电子数据取证方法及原理

电子设备应用的广泛性、功能的复杂性和数据形式多样性决定了电子数据取证方法的不同，例如仅仅针对不同配置智能电表电子数据的取证、固定和分析方法也都不同。根据电子数据载体不同，取证方法分为存储介质（物理载体）内数据取证和网络数据取证两种方法。

（一）存储介质（物理载体）内数据取证方法

火场中提取的计算机、移动终端、摄录设备、智能电器和硬盘录像机等仪器设备都有存储电子数据的存储介质（比如软盘、光盘、硬盘、U盘、各类存储卡等）。按照取证方式的不同，对电子数据的取证可分为直接提取存储介质（物理载体）和提取存储介质内电子数据。

1.直接提取存储介质（物理载体）

收集、提取电子数据时，能够扣押电子数据原始存储介质的，应当扣押、封存原始存储介质，并制作笔录，记录原始存储介质的封存状态。封存电子数据原始存储介质，应当保证在不解除封存状态的情况下，无法增加、删除、修改电子数据。封存前后应当拍摄被封存原始存储介质的照片，清晰反映封口或者张贴封条处的状况，并制作提取笔录。

封存手机等具有无线通信功能的存储介质，应当采取信号屏蔽、信号阻断或者切断电源等措施，例如将通信设备装入屏蔽袋，隔断外界的干扰、篡改、远程控制。

封存联网的计算机、智能终端设备、硬盘录像机等存储介质（物理载体），除与一般实物证据一样的取证要求外，还需要及时将存储介质的载体进行断电、关机等隔离手段，以确保存储在其中的数据不会被远程修改和删除。封存计算机、监控主机等连接线缆的设备时，要标记每根线缆其连接关系，拍照固定，还要注意通过与国家授时中心标准时间做对比，进行时间校准，并收集支持其运行所必需的关联设备，以及说明书、设计图等材料。

封存自动消防系统、化工设备运行控制系统等非联网的仪器设备存储介质（物理载体），需要及时将存储介质的载体进行断电、关机等隔离手段，对设备内的关键数据采取打印、拍照或者录像等方式进行证据固定。

特别需要注意的是，火灾现场中手机、计算机、监控主机等电子数据的存储介质因火烧、水浸、爆炸或人为损坏的，也应作为证物进行收集与封存。

2.提取存储介质（物理载体）内电子数据

在实际工作中，我们可以通过软硬件工具对存储介质内的电子数据进行固定取证，目前常用的方法有现场数据导出、复制机取证和只读锁+软件取证。

（1）现场数据导出。火灾自动报警系统、电气火灾监控系统、门禁、智能门锁、汽车以及DCS（分布式控制系统）工业控制设备的电子数据可以利用设备自身的系统功能以现场导出数据的方式获取。

（2）复制机取证。存储介质内的电子数据可使用复制机硬件设备制作克隆副本取证，常用的制作克隆副本的复制机主要有光盘、硬盘和闪存复制机。其中，由于硬盘存储具有容量大、保存期长等优点，硬盘复制机（拷贝机）的应用比较广泛。例如对监控主机硬盘、电脑等设备的硬盘可采用高速硬盘复制机进行数据固定。高速硬盘复制机基于位对位地将硬盘所有数据通过物理复制的方式进行克隆，高速地制作原始硬盘的克隆硬盘，制作的克隆硬盘可以通过MD5等哈希算法的一致性验证，这种方法是最方便、快速和高效的，见图2-1-2a。

（3）只读锁+软件取证。在缺少存储介质复制机、复制机接口不匹配、未携带备份存储介质或者备件存储介质容量不合适等情况下，可采用只读锁+软件的取证方式，通过软件制作原始存储介质的镜像数据文件，从而达到数据固定的目的，见图2-1-2 b。

(www.xing528.com)

图2-1-2　高速硬盘复制机和只读锁硬盘拷贝机

3.注意事项

（1）对电子数据存储介质进行检查分析，应当将电子数据存储介质通过写保护设备接入到检查设备进行检查分析；有条件的，应当制作电子数据备份，对备份进行检查分析；无法使用写保护设备且无法制作备份的，应当注明原因。

（2）对于无法提取原始存储介质并且无法提取数据的，以及存在数据自毁功能（装置）或者需现场展示、查看相关电子数据的，可以采取打印、拍照或者录像等方式固定相关证据，在勘验笔录中注明采取打印、拍照或者录像等方式固定相关证据的原因、原始存储介质特征、所在位置以及电子数据存储位置等信息。

（3）在电子数据固定工作结束后，需使用专用电子数据物证袋将原始存储介质进行封存保护，对封存的原始存储介质的使用要做严格管控，防止原始存储介质受到损坏。

分析应用数据考验的是人的能力，而不是软硬件的能力。作为一名电子数据分析人员，不仅要掌握各类软硬件设备功能、特长和使用方法，更要不断学习新知识、积累实战经验，更新改进分析思路，建立更加科学的分析方法，不断提升分析能力；同时也要不断了解电子数据分析领域前沿发展，探索、研发、试用新的软硬件工具，做到与时俱进。

（二）网络数据取证

网络数据主要是指存储在局域网、互联网和云端的电子数据，这些数据的载体不易整体获取，需要采用网络下载、文件打印、照相和录像的方式固定。常见的网络数据有手机通信数据、智能终端使用数据、新能源汽车后台数据、网络云资料、网络游戏记录、微信聊天记录、联网智能产品动作记录、网络设备操作记录、网络流量监控记录、手机APP云端记录等。常见的取证方法有：

1.协查函调取

对于智能电能表、光调制解调器（光猫）记录、通话记录、智能家电、气象等电子数据，可以发函或启动与公安机关的协作机制向数据存储、管理和所有单位调取。

2.授权下载取证

原始存储介质位于网络上的电子数据，例如云存储监控视频、云盘中的照片、视频，微信、抖音、快手、微博、贴吧、邮箱等存储在远端服务器上的数据，可以通过获取数据所有人授权后，从网络上下载取证。

3.网络查询取证

对于气象记录、企业工商注册、街景地图、卫星地图等公开的互联网信息，可以使用搜索引擎在互联网上查询获取，取证时应注明电子数据的信息来源，全程拍照、录像。