五、哪里可以找到证据
1、数据文件可能存储于下列计算机系统
办公室桌上电脑/工作站
笔记本电脑
家用电脑
私人助理/秘书/职员的电脑
掌上型电脑设备
网络文件服务器/主机/袖珍型电脑
* 为保证获取包括残留数据在内的所有数据,建议从本地电脑的硬盘上拷贝数据时制作镜像拷贝。
2、备份磁带
系统整体备份(每月/每周/增加的)
系统瘫痪恢复备份(站外存储)
个人或“特别”备份(需寻找磁盘和其他便携式介质)
3、其他介质资源
磁带档案
被替换/拆除的驱动器
软盘和其他便携式介质(如光盘、盒式压缩磁盘)
六、如何保护已得到的证据
1. 对所有的介质进行写保护和病毒检查。
一旦得到了你所要的资料,你会怎么看它们呢?你拥有的是一堆混杂在一起的影像拷贝、备份磁带、磁盘、光盘和其他介质。
在你做任何其他事情之前,必须保证你得到的每一个介质的完整性。
这需要两个关键性的步骤,即写保护和病毒检查。
写保护可以防止介质被添加数据。这种措施可以保证你在利用收集到的证据工作时,证据不会被删改。
因此在你使用证据之前一定要对它们进行写保护。写保护的程序多种多样,但都相当简单。
同样,病毒检查也可以防止证据被改写并且也是你必须对你所拥有的证据进行的处理。
而使用最新版本的查毒软件是尤为重要的。如果发现病毒,就应记录全部信息然后立即通知该介质的制造者。不要擅自对该介质进行清理,否则会改变原有的证据。
2.保留监视链
监视链能从最初始的证据追踪到当庭提供的证据。
对于电子证据而言,监视链是至关重要的,因为以电子方式存储的证据修改起来相对容易,证明这条锁链是电子证据鉴别过程中的重要工具。
保留电子证据的监视链至少需要证实下列内容:
1)任何信息未被添加或更改
2)已制作了完整的拷贝
3)复制过程可靠
4)所有的介质都是安全的。对所有的介质进行写保护和病毒检测是保留监视链的众多环节中的首要要求,其次就是要制作镜像拷贝。
可靠的拷贝程序有三个特征。
第一,该程序的质量和可靠性必须符合行业标准。这包括用来创建拷贝的软件和拷贝所依存的介质。一个基本标准就是司法机关是否应用并信赖这种软件。
第二,制作的拷贝必须能够作为独立的证据。简言之,这些拷贝要足以让你的对手和法院认为是精确的。
第三,拷贝必须能防篡改。
给介质加上安全防护措施能保证你的原始拷贝不被篡改。正如你建立任何文档后都会制作工作备份一样,你也要创建数据的工作备份。
当你从备份介质上调取数据使用时,一定要确定你能追踪到每一个文档或文件的源头。
