电子数据取证定义

电子数据取证定义 使用软件和工具，按照一些预先定义的程序全面的检查计算机系统，以提取和保护有关犯罪的证据。 必考点 完整性

规范性

按照一些预先定义的程序 对象

具有存储功能 类型

电子数据鉴定就是对涉案存储介质进行特殊形式的痕检，提起出案情相关的内容，如 办公文档 电子邮件 即时聊天记录 上网记录 多媒体文件 数据库文件等 难点

硬盘容量大 介质数据多

移动重点应用个性化

违法活动手段日趋多远化，更隐蔽，防范意识更强

如何保证司法有效性 遵循标准的取证流程 完整性

遵循相关法律法规 司法有效性

使用经任何的取证设备 不能使用未经许可的设备 正确的取证方法 人员资质

《刑事诉讼法》第五章第四十八条规定 可以用于证明案件事实的材料，都是证据 包括

无证、书证、、、、、电子证据

原则1

不损害原则（只读锁）

只读锁通过屏幕写信号，确保不会修改不良行为嫌疑人的硬盘，这样就具有司法有效性。 电子证据只读锁已经成为计算机取证的标准配置工具，其获取的证据的有效性已经被法庭采信。 原则2

避免使用原始证据原则（硬盘复制机）

利用专门的复制设备将原始存储介质中的电子数据完全复制下来，后续取证分析过程都是基于复制产生的副本进行 原则3

记录所做的操作

调查过程中，应记录电子证据的相关操作，第三方应能根据之前记录的操作，取得相同的结果。 流程 确定对象 取证准备 证据识别 证据手机

证据固定及获取 证据保存 证据分析 生成报告

处理计算机总的原则是：

如果计算机处于开机状态，别立即关机

开机----动态取证----内存数据 易丢失数据的固定

拍照以记录系统当前的运行装备，及时间信息 即时通讯数据提取

正在运行的即时通讯程序，应即时导出相关聊天记录及联系人信息 加密容器

检查WIN7\\8 系统是否使用了bitlocker

关机----静态取证----硬盘数据

校验文件签名

本文来源：https://www.bwwdw.com/article/sh5d.html