摘要：该文主要探讨电子证据的取证规则以及提取方法，所谓取证规则的司法解释是人民法院、行政主体及其相对人和其它利害关系人收集、调取证据所应遵循的程序、方法和应满足的条件。而电子证据的取证规则就是电子证据在调查取证过程中应当遵循的原则、程序、注意事项。所谓电子证据提取方法就是进入计算机犯罪现场以后所面临的技术难题而采取的相应措施。该文介绍一些从开机状态下如何收集电子证据简单方法，供同行借鉴和参考。
　　关键字：电子证据；取证规则；物理对象；逻辑对象
　　中图分类号：TP393文献标识码：A 文章编号：1009-3044(2011)13-3048-02
　　Talking about Rules of Electronic Evidence and Methods of Extraction
　　FANG Zhong-yun
　　(Chinese People's Public Security University, Beijing 100038, China)
　　Abstract: This paper mainly discusses the rules of electronic evidence and methods of extraction. The judicial interpretation of evidence rules is the procedures, methods, and conditions that people's court, the administrative subject and its relative and other stakeholders that should be abided by when collect and obtaining evidence. Forensics rules of electronic evidence is the principles, procedures, precautions that should be abided by when collect Electronic evidence in the process of investigation. The extraction methods of electronic evidence are the corresponding measures which were picked up when one face with the difficult problems after entering computer crime scene. This paper introduces some simple methods of how to collect electronic evidence from the boot condition, and for fellow reference. This paper introduces some simple methods of how to collect electronic evidence from the boot condition, and for fellow reference.
　　Key words: electronic evidence; forensics rules; physical objects; logic objects
　　1 概述
　　随着计算机技术及其网络互联技术的普及，计算机犯罪和其他犯罪的很多证据都以数字形式存在并通过计算机或以网络形式进行处存储和传输，从而诞生了电子证据。从证据学方面看，电子证据研究的重要性日益突出，电子证据已经发展成为一种超越传统的全新证据形式， 在现代信息社会中，电子证据被称为“证据之王”，我们现在正进入另一个全新的司法证明时代，即电子证据时代，电子证据在司法证明的舞台上发挥巨大的作用。
　　2 电子证据的概念
　　这一概念目前争论已久，有从法律上进行界定的，有从实质出发进行界定的，还有的从证据学角度进行界定，电子证据还有“数字证据”、“计算机证据”、“网络证据”等别称，但我们这里统一称为电子证据。电子证据包括以储存的电子化信息资料来证明案件真实情况的所有实物证据，以及计算机开机状态下正在运行的处于计算机内部现场的电子数据。
　　电子证据具有多样性、无形性、易变性、易破坏性等特征。首先，电子证据具有我们肉眼所能见到的多样性，象现场可能出现的一切移动介质，包括移动硬盘、U盘、存储卡、大容量的MP3和MP4播放器、光盘， 还有就是从计算机上拆解下来的硬盘（重要的实物证据）、内存条、网卡、显卡（后面这三种因带有临时缓存现在可以通过一些硬件和软件的技术恢复一些只言片语的证据）。其次，可以从电子证据的字面意思上也可以看出，电子在物理学上就一直是一个无形的名词，只能从思维深处去领会，这也是电子证据现在仍然无法作为呈堂证供的一个原因，但是可以辅助其他涉及电子证据的刑事案件的侦察工作。再次，电子证据具有开机状态下的易变性，比如说目标计算机系统时间的流逝，系统进程的变化，计算机内存的变化（移动鼠标、敲击一个小小的按键都可以引起，诺卡德原理对此就是一个很好的解释），这也是计算机的硬件性质决定的。最后，电子证据的易破坏性是很多人都了解的，也是一些犯罪嫌疑人狡辩的原因，现在可以用MD5软件可以对原始数据作校验生成原始的校验码，只有当出示的证据的校验码和原始校验码一致，就可以说明原始数据没有被破坏。
　　3 电子证据的取证规则
　　3.1 以易失程度为序规则
　　当收集证据时应该遵循从易失部分到非易失部分的顺序。下面是些典型的按易失程度排序的系统。
　　1) 寄存器，高速缓存；2) 路由表，ARP缓存，进程表，内核状态，内存；3) 临时文件系统；4) 硬盘；5) 与可疑系统相关的远程日志和镜像数据；6) 物理配置，网络拓扑；7) 归档介质。
　　3.2 避免发生事项规则
　　破坏证据是非常容易的，常常可以是在不经意间。
　　1) 在完成证据收集前不应该关机，否则许多证据将丢失。同时，攻击者可能设置删除证据的开关机脚本和服务。
　　2) 不要轻信系统中程序，从有适当保护的介质中运行自己的证据收集程序。
　　3) 不要运行能够改变系统中文件访问时间的程序。
　　4) 当删除外部更改的途径时，应注意如果简单的断网可能会触发“无反应开关”，从而擦除了证据。
　　3.3 隐私考虑规则
　　1) 私人条目、公司战略以及法律权限应该得到重视。特别的，应确信收集的证据信息不是是属于没有权限访问的信息。这包括访问日志文件（可能会暴露用户行为的特性），就如个人数据文件。
　　2) 除非有正当理由，不要涉及个人的隐私。特别的，除非足够的理由证明与事件相关，不要收集你没有权限访问（如保存的个人文件）的信息。
　　3) 当实施收集一个事件证据时， 应确信有公司的一个既定程序来支持。
　　3.4 合法性考虑规则
　　计算机证据必须满足：
　　1) 可接受:在被提交法庭前，必须遵循确定的法律条例。
　　2) 真实性:必须能够肯定地将证据材料和事件联系起来。
　　3) 完整性:必须能够描述这个事件而不是特定的片断。
4) 可靠性:必须在如何收集和随后的处理证据方面没有关于其真实性和准确性的疑问。
　　5) 可信性:必须是能够被法庭采信和理解的。
　　4 电子证据的取证对象提取
　　电子证据的取证对象可以分为物理对象、逻辑对象。这里的物理对象也就是宏观对象，是肉眼很好的进行观察的，不易消失的实实在在跟证据相关的一些硬件设备，只要具有良好的侦察素质，经过仔细地现场勘察，就能将它们很好地全部提取。而逻辑对象，只能用语言加以描述，容易变化的，借助一定手段和技术提取的一些在线证据。下面介绍一些电子证据的逻辑对象提取的方法。
　　4.1 现场取证工具法
　　将一些反复运作和相同的命令可以制作成批处理文件和脚本工具，很好的保存并且刻在光盘上，做成一张调查工具盘。例如：
　　tlist.exe –c> %1\tlist–c.log
　　tlist.exe –s> %1\tlist–s.log
　　netstat.exe –ano>%1\netstat-ano.log
　　把这两个工具、三个简单的命令做成一个批处理文件loc.bat进行保存和其它一些编写的批处理文件、脚本文件一并刻在工具盘上，直接运行这些文件就行了。
　　在互联网上下载一些现场取证工具包，比如Windows的API和Agile风险管理公司的Nigilant32，这两款工具包都是针对收集系统易变信息而开发的，而且后款还加入了文件系统检查和物理内存导出功能。
　　4.2 远程取证法
　　远程取证法就是将一系列的命令做成脚本，通过网络运行脚本来获取远程系统的一些有用的信息，一些脚本工具可以很好地和SysInternals的psexec.exe配合使用，很多信息也可以通过Windows管理机制WMI收集。
　　通过做一些批处理文件，在本地运行时设置好目的主机的IP地址、登陆的用户口令和密码（有时需要破解）参数，执行psexec.exe文件，最后程序将结果重新定向到本地文件中。
　　如果目标主机的远程登陆被禁用，这种方法就行不同。
　　4.3 现场拍照、摄像法
　　对一些不容易提取，但是可以通过屏幕可以显现的内容，比如第一时刻计算机屏幕状态，进程信息，网络连接状态，电脑的一个基本配置信息等，这些第一时间可以通过拍照、摄像（高像素）手段来完成证据的提取。
　　5 结束语
　　通过对电子证据的取证规则和取证对象提取方法的简单介绍，给有一线民警出入计算机犯罪现场提供一定的参考和借鉴。但是计算机硬件技术和网络技术的飞速发展，计算机犯罪现场也时刻发生变化，这要求我们一线民警不但具备很高的警察业务素质，还应具有过硬的计算机知识水平，才能赢得未来的悄无声息的信息战。
　　参考文献：
　　[1] 蒋平,杨莉莉.电子证据[M].北京:清华大学出版社,2007.
　　[2] 蒋平,黄淑华,杨莉莉.数字取证[M].北京:清华大学出版社,2007.
　　[3] 杨永川,顾益军,张培晶.计算机取证[M].北京:高等教育出版社,2008.
　　[4] 麦永浩,孙国梓,许榕生,戴士剑.计算机取证与司法鉴定[M].北京:清华大学出版社,2009.
， 唐山私人调查