電子證據(jù)是計算機網(wǎng)絡科技與法律相結合的一種新的證據(jù)類型。

隨著計算機網(wǎng)絡技術的快速發(fā)展，在司法實踐中涉及到電子物證的實例越來越多，電子證據(jù)的取證規(guī)則、取證方式都不同于傳統(tǒng)證據(jù)，需要通過特定的技術方法進行獲取和分析，所以在電子證據(jù)的取證過程中應當規(guī)范取證流程和取證方法。

一、電子證據(jù)取證規(guī)則

鑒于電子證據(jù)本身所具有的無形、多樣和易被破壞等特點，任何人為因素或其他不定因素導致的對電子數(shù)據(jù)的修改、刪除、覆蓋都無形當中加大了電子證據(jù)取證的難度，因此電子證據(jù)取證工作是相對困難的，必須要掌握一定的計算機知識，依照準確嚴格的方法和程序。

1、保護證據(jù)現(xiàn)場。

證據(jù)現(xiàn)場的保護是電子取證的前提條件，也是電子取證程序的第一步。

其對于收集犯罪證據(jù)及認定犯罪事實有重要影響。如果犯罪嫌疑人事先得到消息，就很可能立即銷毀或者修改電子證據(jù)導致取證無效，因此必須快速對證據(jù)現(xiàn)場實施保護措施。

取證人員進入現(xiàn)場后，應迅速封鎖整個計算機及相關電子設備區(qū)域，實行人機物理隔離；

如計算機處于開機狀態(tài)，應保護好計算機日志，對數(shù)據(jù)進行備份，切斷遠程控制；

封存現(xiàn)場的信息系統(tǒng)、各種可能涉及到的其他電子設備，內部人員使用的工作記錄、程序備份和數(shù)據(jù)備份；

提取涉案計算機硬盤、移動存儲介質、光盤等，應特別注意對當事人隨身攜帶的手機和存儲介質的提取。

有效的保護證據(jù)現(xiàn)場能夠避免電子證據(jù)受到破壞，保護好數(shù)據(jù)信息資料，防止發(fā)生人為更改數(shù)據(jù)、損壞硬盤、感染病毒等破壞電子證據(jù)的情況。

2、提取和固定電子證據(jù)。

電子證據(jù)的提取和固定是整個電子取證的基礎，也是電子證據(jù)得以運用的前提，指的是用一定的形式將電子證據(jù)固定下來，加以妥善保管，以便將來進行數(shù)據(jù)分析和認定案件事實時使用。

電子證據(jù)丟失風險大且難以彌補，如果取得的電子證據(jù)沒有進行正確的證據(jù)固定，則可能會導致電子證據(jù)喪失可采性和證明力。

因此電子證據(jù)的提取和固定是保證其有效的重要措施。

3、電子證據(jù)的數(shù)據(jù)分析。

電子取證數(shù)據(jù)分析是指運用計算機技術和信息網(wǎng)絡技術，對提取到的電子數(shù)據(jù)進行分析，發(fā)現(xiàn)能夠體現(xiàn)案件事實相關的數(shù)據(jù)，以確定電子證據(jù)應該采納的內容和方向。

電子取證數(shù)據(jù)分析是電子取證的核心和關鍵，所有的分析工作應該在克隆硬盤或備份文件上進行，以保證原始證據(jù)的可靠性和合法性。

二、電子證據(jù)取證的方法

常用的取證技術方法有數(shù)據(jù)復制技術、數(shù)據(jù)恢復技術、數(shù)據(jù)挖掘技術和密碼破解技術等。

1、數(shù)據(jù)復制技術。

電子取證中的數(shù)據(jù)復制指的是將合法提取的電子設備上的數(shù)據(jù)備份到另外一個或幾個計算機硬盤中，從而保證源數(shù)據(jù)與備份數(shù)據(jù)的一致性。

在電子取證過程中，如果我們直接在被調查的電子設備中對電子證據(jù)進行分析操作，很可能會由于誤操作或設備故障導致原始數(shù)據(jù)遭到損壞，比如直接開啟涉案計算機就會導致系統(tǒng)日志的修改，這將嚴重影響電子證據(jù)的完整性和合法性，進而影響到后續(xù)的取證工作。

為了出現(xiàn)避免這種情況，電子證據(jù)的提取和分析工作不能直接在原計算機上進行，除非涉案計算機在取證現(xiàn)場處于開機狀態(tài)，利用在線取證工具對內存及其他易失數(shù)據(jù)進行提取和固定后，再對涉案計算機進行后續(xù)處理。

2、數(shù)據(jù)恢復技術。

數(shù)據(jù)恢復就是把被破壞或由硬件故障等各種原因導致丟失的數(shù)據(jù)還原成可見的正常數(shù)據(jù)。

在犯罪實施過程中，犯罪嫌疑人可能會更改或者刪除一些與犯罪事實相關的數(shù)據(jù)，案件發(fā)生后，犯罪嫌疑人也可能在得到一些風聲后人為的破壞電子證據(jù)，因此數(shù)據(jù)恢復技術是電子取證過程中常用的提取數(shù)據(jù)手段。

數(shù)據(jù)恢復技術大多依靠一些數(shù)據(jù)恢復工具軟件來實現(xiàn)。

3.數(shù)據(jù)挖掘技術。

數(shù)據(jù)挖掘技術是指從大量的、模糊的、隨機的應用數(shù)據(jù)中提取潛在有利于案件偵破或直接反映犯罪事實的信息的過程。

隨著信息技術的發(fā)展，各種數(shù)據(jù)量成倍增長，如何快速的從海量數(shù)據(jù)中提取到有價值的信息成為電子取證工作的重中之重。

因此我們需要對提取的電子數(shù)據(jù)進行分析，運用關聯(lián)規(guī)則提取犯罪信息的關聯(lián)特征，挖掘出各種與案件有關的信息證據(jù)。

4.密碼破解技術。

在某些情況下，文件夾或者文件被設置了密碼保護，這就需要對文件夾或者文件進行破譯解密，如對加密后的壓縮文檔，需要利用密碼破解工具軟件對其破譯解密后，才能分析出其是否與案件有關聯(lián)，進行一般取證。

三、電子證據(jù)取證需要注意的問題

電子取證是一項極其細致的工作，電子證據(jù)可能由于操作者的失誤、硬件故障、突然斷電、感染病毒等各種因素而丟失，因此與傳統(tǒng)證據(jù)相比較，對電子證據(jù)的提取和審查就有更大的困難。

電子取證過程中除了必須掌握正確的取證規(guī)則和取證方法之外，為了保證獲取證據(jù)的法律有效性，取證過程應當注意以下幾個問題：

1、對原始數(shù)據(jù)要進行冗余備份。提取的電子證據(jù)應該有兩個或兩個以上完整的拷貝。

冗余備份既可以避免由于電子證據(jù)不穩(wěn)定性造成的備份數(shù)據(jù)丟失，還可以在數(shù)據(jù)分析過程中同時對拷貝文件進行調查和分析，以提高分析取證的工作效率。

2、在備份復制過程中，以及對備份的硬盤或鏡像文件進行數(shù)據(jù)分析檢驗時，應當使用寫保護技術進行操作，并采取加密技術和數(shù)字簽名等技術，以確保提取到的電子證據(jù)的真實性、準確性和合法性。

3、通過照相、錄像等形式將電子證據(jù)從提取之后到提交法庭作為審判依據(jù)的過程中產(chǎn)生的所有變化都進行記錄和說明。

在移動涉案硬件之前，把需提取的設備在現(xiàn)場中的位置、外觀及連接狀態(tài)用照相、錄像等形式記錄下來，并采用錄像的方式記錄檢驗分析的全過程，尤其對改變封存狀態(tài)、分析過程的關鍵操作等重要步驟時應當進行多角度錄像，以提高證據(jù)的合法性。

4、保障電子取證的工作環(huán)境安全可靠。

存儲電子證據(jù)的介質必須遠離磁場、避免高溫、避免灰塵、避免潮濕的環(huán)境中科學存放，避免電子設備損壞，防止重要的線索和證據(jù)被破壞。

還要注意阻止無線信號干擾，在對手機等無線通訊設備進行取證時，一定要在防屏蔽環(huán)境中進行，如手機屏蔽袋或者屏蔽室內，以免無線通訊時產(chǎn)生的數(shù)據(jù)污染待提取數(shù)據(jù)。