[科普中國]-固定證據(jù)

固定證據(jù)，即對證據(jù)采取措施加以固定并提取。證據(jù)由于時間變化或其他原因，有可能難以取得，甚至滅失、失真。如證人將要出國或因疾病死亡；現(xiàn)場腳印會模糊甚至消失；物證可能會腐爛、變質(zhì)或變形等。因此，為了有效地利用證據(jù)來確定案情，有關(guān)機關(guān)必須采取相應(yīng)的措施對證據(jù)加以保全。

固定證據(jù)的意義固定證據(jù)是刑事訴訟過程中的核心步驟。刑事訴訟活動的全部過程，就是收集、審查、判斷證據(jù)并運用證據(jù)證明案件事實，在此基礎(chǔ)上適用法律的過程。離開證據(jù)就無法查明案件事實，談不上用刑罰懲罰犯罪，也就無刑事訴訟可言。罪行法定原則的確立，使證據(jù)在訴訟中的地位顯得更為明顯?，F(xiàn)階段，刑事訴訟活動對證據(jù)的要求越來越嚴格，偵查人員必須將以固定證據(jù)為核心的偵查觀念貫穿于整個偵查過程，并且使所收集、固定的證據(jù)客觀、真實、全面，經(jīng)得起庭審的質(zhì)證。

固定證據(jù)的基本要求證據(jù)收集與固定須符合法定程序《刑事訴訟法》第43條規(guī)定∶"審判人員、檢察人員、偵查人員必須依照法定程序，收集能夠證實犯罪嫌疑人、被告人有罪或者無罪、犯罪情節(jié)輕重的各種證據(jù)。嚴禁刑訊逼供和以威脅、引誘、欺騙以及其他非法的方法收集證據(jù)。必須保證一切與案件有關(guān)或者了解案情的公民，有客觀地充分地提供證據(jù)的條件，除特殊情況外，并且可以吸收他們協(xié)助調(diào)查?！迸c此同時，刑事訴訟法還具體規(guī)定了訊問犯罪嫌疑人、被告人和詢問證人以及勘驗、檢查、搜查、扣押物證、書證、偵查實驗等偵查取證行為的程序。要求在調(diào)查取證過程中就必須嚴格按照法律規(guī)定程序收集、固定證據(jù)。據(jù)此，只有來源合法的證據(jù)才會被法律所認可。要使證據(jù)來源合法，在收集、固定證據(jù)時必須嚴格的按照程序規(guī)定的方式、步驟進行，不能圖省事而減少環(huán)節(jié)，造成證據(jù)來源不合法，導致千辛萬苦收集到的證據(jù)喪失證明力。

證據(jù)的完整性與統(tǒng)一性證據(jù)的完整統(tǒng)一是要求證據(jù)的指向具有一致性，在對同一犯罪事實認定上相統(tǒng)一，不能出現(xiàn)認定不一致現(xiàn)象。偵查人員在偵查過程中不能只關(guān)注證據(jù)的種類，還應(yīng)十分注意把握所收集的證據(jù)具有合法性、準確性和法律證明力。注意各類證據(jù)之間相互印證補充使之形成統(tǒng)一。這就要求偵查人員在偵查活動中注意做到認真細致，克服粗放式的取證方式，避免因忽視證據(jù)收集的細節(jié)造成證據(jù)的不完整或存在漏洞，使證據(jù)的證明力減弱，給訴訟工作帶來困難。

證據(jù)收集與固定的時間性時間對于證明犯罪來說起著十分重要的作用。據(jù)收集的時間性主要是兩方面：一是由于任何犯罪都是發(fā)生在一定的時間段內(nèi)，所以收集、固定的證據(jù)中確認的時間必須與犯罪實施時間相吻合。如果所收集的證據(jù)中確認的時間沒有在案件發(fā)生的時間段內(nèi)，證據(jù)就失去證明力。所以，在證據(jù)的收集、固定過程中應(yīng)十分注意對時間的鎖定。二是對貪污、受賄罪行的偵查活動是偵查人員與犯罪嫌疑人斗智斗勇的過程，有的證據(jù)可能會隨時間的延長而消失，抓住了時間就掌握了主動權(quán)，所以對證據(jù)收集、固定一定要及時。

證據(jù)調(diào)取手續(xù)的完備性在證據(jù)調(diào)取過程中手續(xù)一定要完備，必須在完整提取證據(jù)的同時，對一些可能會對所提取的證據(jù)產(chǎn)生影響的加以規(guī)定。如：證據(jù)的形成時間、過程；證據(jù)的出處；證據(jù)的持有人或保管人及持有、保管的過程；證據(jù)的提供（提取）方式；證據(jù)的提供人；證據(jù)的提取時間；證據(jù)的提取人要合法、手續(xù)要完備，程序要合法等等。只有這樣才能使所提取的證據(jù)真實反映事物的真實本質(zhì)，才能讓人信服。

固定證據(jù)的方法固定證據(jù)的方法多種多樣，通過相機記錄現(xiàn)場信息，使用電子取證設(shè)備保存電子信息，對嫌疑人進行審問并保存筆錄，都是固定證據(jù)的方法，只要能夠完整的保存信息即可。

電子證據(jù)固定應(yīng)急解決辦法只讀鎖+WinHex軟件固定法WinHex是一款以通用的16進制編輯器為核心，專門用在計算機取證、數(shù)據(jù)恢復、低級數(shù)據(jù)處理以及各種日常緊急情況下的高級磁盤編輯工具，其文件小，一般只有1M多，速度快，功能異常強有了只讀鎖加上WinHex，就可以開始進行證據(jù)固定了。WinHex的 “創(chuàng)建磁盤鏡像”功能可以將磁盤制作成.dd、.001、.e01以及.whx等擴展名的鏡像，并且同時可以計算鏡像的MD5值。由WinHex生成的鏡像文件，不僅可以被專業(yè)取證軟件所支持，進行下一步的鑒定工作，同時，也可以把鏡像文件還原到新的硬盤上，新生成的硬盤、鏡像文件以及原始介質(zhì)，均可以通過MD5算法進行的一致性驗證。

USB接口寫保護法按照規(guī)范的工作流程，如果沒有只讀鎖，是絕對禁止對電子介質(zhì)進行進一步操作的，哪怕是接到電腦上看一下。但是有些緊急情況是不允許人員花費太多時間去尋找只讀設(shè)備。在這種情況下，我們可以利用操作系統(tǒng)進行技術(shù)處理，人為的制作出一個軟件只讀鎖來使用。眾所周知，U盤之所以能夠如此快速的替代軟盤、ZIP盤等其他存儲設(shè)備，除了它個頭小、存儲容量大、攜帶方便等因素外，更主要的原因是USB接口已經(jīng)成為每臺電腦的必備接口之一。包括前面我們介紹的只讀鎖等專用設(shè)備，基本上都是通過USB接口連接到分析電腦里面。然而，在沒有只讀鎖的情況下，通過硬盤接口轉(zhuǎn)USB接口設(shè)備，雖然可以讓我們正確識別原始介質(zhì)硬盤，但是也會造成證據(jù)破壞等問題。既然都要通過USB接口，如果把USB接口變成只讀狀態(tài)，就可以不通過只讀鎖直接把介質(zhì)接進電腦里面。下面介紹一個方法將USB接口設(shè)置成只讀，這樣不管接入的設(shè)備是只讀還是非只讀，系統(tǒng)均不會往介質(zhì)里面寫入數(shù)據(jù)。

操作方法如下：打開注冊表編輯器：開始→運行→輸入Regedit.exe，確定后打開如下位置：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contr，在Control項目上面單機鼠標右鍵，選擇新建→項，輸入名稱StorageDevicePolicies，然后打開項StorageDevicePolicies在右邊的面板上空白處單擊右鍵，新建Dword值，新建名為：WriteProtect，數(shù)值為1即可啟動USB寫保護。這樣，當調(diào)查人員或者系統(tǒng)要向USB存儲設(shè)備寫入數(shù)據(jù)的時候，就會出現(xiàn)寫保護警告，不能寫入數(shù)據(jù)。USB軟件寫保護開啟以后，就可以根據(jù)前面介紹的方法，用EnCase或者WinHex進行下一步的工作了。這個方法對于任何可以轉(zhuǎn)換成USB接口的介質(zhì)，如硬盤、存儲卡、移動硬盤、SIM卡等等，均是有效的。需要提醒的是，這個方法必須在WindowsXPSP2下面或者Windows Server2003 SP1下面運行才有效。建議調(diào)查人員在使用該方法之前，先用U盤等其他介質(zhì)進行一下測試后再正式接入原始介質(zhì)。如果有的機器是專門用于檢測用的，那么也可以把這個修改做成注冊表文件，每次需要將USB寫保護的時候雙擊運行即可，非常方便使用。1

光盤啟動法我們知道，Windows操作系統(tǒng)為了提高系統(tǒng)的運行效率，在磁盤正確識別到以后，立即對磁盤進行系統(tǒng)文件的寫入，雖然這個提高了系統(tǒng)的運行速度和效率，但是對于我們鑒定工作來說并不是件好事，因為這會導致磁盤內(nèi)數(shù)據(jù)受到破壞，造成證據(jù)失效，也正是這個原因，才禁止將原始介質(zhì)直接接入系統(tǒng)內(nèi)。在有些時候，當我們既沒有只讀鎖、也沒有硬盤轉(zhuǎn)USB接口設(shè)備的時候，比如碰到1.8英寸的硬盤，這時候，我們就必須要依托系統(tǒng)本身的硬件系統(tǒng)，結(jié)合其他軟件進行固定工作。一般我們推薦用LiveCD的方法來進行，LiveCD就是一種利用光盤內(nèi)的系統(tǒng)鏡像把電腦啟動起來的技術(shù)，由于其使用的是RAMDisk技術(shù)，不會涉及到電腦里面的硬盤信息，因此，使用這種光盤，可以很輕松的把機器啟動起來。我們這里指的并不是WinPE系統(tǒng)，因為它也是基于Windows架構(gòu)的系統(tǒng)，仍然會改變硬盤里面的數(shù)據(jù)。我們指的是類似于Helix之類的基于Linux的LiveCD系統(tǒng)。

Helix是一個非常容易使用、快速、強大的LiveCD系統(tǒng)，可以用于動態(tài)取證、事件響應(yīng)以及電子調(diào)查等，用該光盤系統(tǒng)啟動電腦，對原始介質(zhì)內(nèi)的數(shù)據(jù)完。2

部分固定法還有一種就是在手中沒有任何設(shè)備、沒有任何軟件工具的情況下，只能對特定的對象進行固定。當然這個是比較迫不得已的，因為固定特定的對象，意味著你已經(jīng)非常明確鑒定的對象、鑒定的內(nèi)容，只需要固定一些數(shù)據(jù)就足夠完成鑒定工作了。一般的做法是，在有第三方人員或者送檢人員在場的情況下，把需要的特定文件全部復制出來到其他設(shè)備，然后把所有文件壓縮打包，并用WimMD5或者WinHex計算文件壓縮包的MD5值，把壓縮包和MD5值記錄下來并由第三方人員或者送檢人員簽字確認就可以了。因為MD5值是對特定文件唯一性識別的方法，只要文件的內(nèi)容確定后，其MD5值是不會發(fā)生變化的，在后期的鑒定工作中，只要MD5值沒有變化，就可以說明我們鑒定的是同一個文件。從程序上說，此時鑒定的對象就只是壓縮文件，而不存在送檢介質(zhì)的說法。

復雜證據(jù)的提取和固定復雜取證，指需要專業(yè)技術(shù)人員協(xié)助進行的電子證據(jù)的收集和固定活動。多使用于電子證據(jù)不能順利獲取，被加密或是被人為地刪改、破壞的情況下，計算機病毒、黑客的襲擾等。這種情況下常用的取證方式包括：

①解密

所需要的證據(jù)已經(jīng)被行為人設(shè)置了密碼，在文件中時,就需要對密碼進行解譯。在找到相應(yīng)的密碼文件后,請專業(yè)人員選用相應(yīng)的解除密碼口令軟件。如：Word軟件制作的密碼文件,選用Word軟件解譯解密后，件有價值的文件，可進行一般取證。在解密的過程中如必要的話，可采取錄像的方式。同時應(yīng)當將被解密文件備份，以止因解密中的操作使文件丟失或因病毒損壞。如在辦理一起某國際投資公司的職務(wù)罪案件中，偵察員在搜查辦公室時發(fā)現(xiàn)其使用辦公桌的抽屜和文件櫥內(nèi)有11張微機軟盤，懷疑盤內(nèi)存有其犯罪的重要證據(jù)，取回后立即送技術(shù)科進行檢驗，我技術(shù)人員按要求進行了詳細檢驗并查清了這些盤中用Word軟件所制作的文件已加入了密碼，即針對所用軟件采用了Ad-vanced Word 97 Password Recovery1.23軟件成功地破譯了其中的密碼，從而解出了108份文件，掌握了其犯罪的重要書證，擴大了辦案線索，使得案件深入發(fā)展。3

②恢復

大多數(shù)計算機系統(tǒng)都有自動生成備份數(shù)據(jù)和恢復數(shù)據(jù)、剩余數(shù)據(jù)的功能，有些重要的數(shù)據(jù)庫安全系統(tǒng)還會為數(shù)據(jù)庫準備專門的備份。這些系統(tǒng)一般是由專門的設(shè)備、專門的操作管理組成，一般情況下較難篡改。因此當發(fā)生網(wǎng)絡(luò)犯罪時，其中有關(guān)證據(jù)已經(jīng)被修改、破壞的，可以通過對自動備份數(shù)據(jù)和已經(jīng)被處理過的數(shù)據(jù)證據(jù)進行比較、恢復并獲取定案所需證據(jù)。如1997年7月底，重慶市某農(nóng)業(yè)大學學生處計算機辦公網(wǎng)遭到破壞，直接影響到8月份即將開始的招生工作。偵查人員在接到報案后及時進行了現(xiàn)場保護，從網(wǎng)絡(luò)的5號無盤站上獲取了一個破壞程序正對系統(tǒng)進行的破壞過程。這一破壞程序的運行痕跡是由于犯罪人疏忽沒能把自身刪掉而遺留的， 偵查人員通過這個線索找到了源程序，最終破獲了全案。如果數(shù)據(jù)連同備份都被改變或刪除，可以在系統(tǒng)所有者的協(xié)助下通過計算機系統(tǒng)組織數(shù)據(jù)的鏈指針進入小塊磁盤空間，從中發(fā)現(xiàn)數(shù)據(jù)備份或修改后的剩余數(shù)據(jù)進行比較分析，然后恢復部分或全部的數(shù)據(jù)。另外,也可以使用一些專門的恢復性軟件,如Recover 98、Recover NTEXPD等。4

③測試

電子證據(jù)內(nèi)容涉及電算化資料時應(yīng)當由司法會計專家對提取的資料進行現(xiàn)場驗證。驗證中如發(fā)現(xiàn)可能與軟件設(shè)計或軟件使用有關(guān)的問題時，應(yīng)當由司法會計專家現(xiàn)場對電算化軟件進行數(shù)據(jù)測試(偵查實驗)。主要過程為使用事先制作的測試文件，經(jīng)測試確認軟件有問題時，則由計算機專家對軟件進行檢查或提取固定。4

本詞條內(nèi)容貢獻者為:

麥永浩 - 教授 - 湖北警官學院電子數(shù)據(jù)取證重點實驗室