在執法辦案的現場勘驗中,標準的文書模板應該記錄哪些關鍵信息?電子證據及物證又該如何封存、固定情況?
12月23日,首屆全國市場監管系統執法辦案電子數據取證大比武個人賽第一名、江西省上饒市市場監督管理局楊志龍分享了在大比武中現場勘驗的標準文書製作和電子證據及物證封存、固定的流程,並就一些常見電子取證問題進行了答疑。
01 勘驗環節現場文書
包括哪些內容?
在現場勘驗環節,現場筆錄是執法人員對有違法嫌疑的物品或場所進行檢查,記錄現場檢查過程、收集現場證據時使用的文書。需要根據現場填寫的內容主要包括:
一、當事人基本情況;
二、現場情況;除違法場所內相關環境的記錄外,還要記錄計算機、手機、U盤(或加密授權產品)、光碟等相關物品,這裡的相關物品信息可以簡略記錄。
三、現場勘驗檢查過程。
1、簡單記錄檢查事由,檢查開始時間、檢查人員、檢查地點等。
2、前期準備工作,對相關執法裝備檢查確認是否正常,根據現場情況進行初步分工。
3、進場準備,對擬勘驗現場進行保護,打開執法記錄儀全程實時錄音錄像,對現場環境進行拍照固定(十字定位法,現場檢查中的所有照片要進行分類並記錄於圖片記錄表)。
4、確認疑似物證,對上文現場情況中的物品進行確認,記錄物證的詳細信息(電子產品包括品牌、型號、SN碼等),並拍照固定。
5、涉案物證數據的固定提取,今天主要介紹的是開機狀態電腦的電子數據取證工作,因為開機狀態電腦中存儲的內存文件、緩存文件在電腦關機後可能丟失,所以只能在現場進行電子數據取證。首先是對該電腦當前狀態進行拍照及描述,開機狀態,屏幕是否顯示,移動滑鼠後,進入系統桌面的情況。插入取證專用U盤(要記錄U盤的品牌、型號、容量、盤符等信息),打開錄屏軟體(取證所用到的軟體均為取證U盤內免安裝綠色版,記錄軟體名版本號)開始進行錄屏(執法記錄儀+錄屏軟體,雙重記錄)。
1)涉案電腦系統信息:右鍵單擊計算機,查看屬性,記錄該電腦作業系統信息,對電腦系統信息進行拍照固定。
2)校對涉案電腦系統時間:打開系統時間及時區信息,電腦時間2020年12月10日9:18:20、時區「(UTC+08:00) 北京,重慶,香港特別行政區,烏魯木齊」,與執法人員手機瀏覽器百度(m.baidu.com)查詢的北京時間2020年12月10日9:18:18對照,該電腦系統時間比北京時間快2秒,進行拍照固定。
3)涉案電腦網路情況:經查看發現該電腦網線未拔出,顯示無網絡連接,進行拍照固定,現場拔出電腦網線。
4)涉案電腦磁碟管理情況:雙擊計算機,顯示該電腦有「C:D:E:F:H:」5個本地磁碟,其中F盤為BITLOCKER加密狀態,H盤容量38.7MB(疑似容器加密區),有可移動存儲的設備DVD RW 驅動器1個,盤符G:,名稱12092020。右鍵單擊計算機,單擊管理,雙擊磁碟管理,顯示除取證專用U盤外,共有5個卷,磁碟數量不一致,進行拍照固定。(可以初步判斷是否存在加密區,如有加密區可以現場進行重要文件的複製及加密區鏡像製作)
5)檢查勘驗工具運行環境及進行提取準備:在任務欄檢查該電腦有運行火絨殺毒軟體,右鍵退出(殺毒軟體、清理內存軟體會影響取證軟體的運行),運行有VeraCrypt軟體(加密容器),該電腦休眠狀態未禁用,電腦屏幕保護程序未禁用,禁用該電腦屏幕保護及休眠狀態(會影響取證軟體的運行),關閉正在運行的Google瀏覽器「退出瀏覽器清除緩存」 功能(防止關機後瀏覽器緩存、歷史記錄被清除), 進行拍照固定。
6)內存提取:運行取證專用U盤內「精靈」(試用包20200625-20201231)軟體,「精靈」軟體按以下步驟自動運行完成數據提取:①檢測系統環境、不開啟錄屏功能②禁用屏幕保護和電腦休眠功能③關閉瀏覽器的退出自動清理功能④獲取剪貼板信息並導出⑤獲取系統基本信息及內存區的緩存文件,並對打開的頁面進行截屏固定並導出⑥完成數據自動提取。導出「精靈」提取到的數據,使用 「WinRAR」(版本號:5.70.x64)壓縮生成名為「精靈採集數據.rar」文件,存於取證專用U盤「20201210江西省\證據包」目錄下,使用「Hash計算.exe "(版本號:1.0.4.0)工具計算文件的MD5值(所有提取到的電子數據材料,均要進行哈希值計算並記錄於固定電子數據清單)。
7)重要文件導出,為防止數據丟失,將已打開的word文檔另存於取證U盤「在運行應用數據」目錄下,文件名:新車型項目委託設計密封報價文件(CAN).doc,截圖軟體「FSCapture」(版本號7.7)進行長截圖1張,保存至取證U盤「截圖類證據」文件夾。
8)網頁截圖:對正在運行的瀏覽器內各網頁標籤內容進行截圖,記錄每個網頁標籤的網址及主題,將截圖保存至U盤「截圖類證據」文件夾,壓縮打包計算MD5值。
9)磁碟鏡像提取:打開取證U盤中「FTK Imager」(版本號:3.1.1.8),先對已經解密的磁碟(加密區)進行鏡像提取,對光碟機(U盤)進行鏡像提前,對電腦磁碟進行整個鏡像製作,所有鏡像都應保存在取證U盤內,計算MD5值。
10)結束數據提取:退出光碟機內光碟,取出光碟,對光碟進行拍照固定,打開正在運行的錄屏軟體「Ocam」,將錄下的視頻文件保存至取證專用U盤 「視頻類證據」目錄下,文件名為「錄屏.wmv」,壓縮生成「視頻類證據.rar」文件,計算該文件MD5值(詳見固定電子數據清單),安全拔出取證專用U盤。使用取證專用手機原裝數據線連接取證專用電腦,按照所拍攝照片的信息導出照片,分類存於取證專用U盤內,壓縮生成「照片類證據」目錄下,計算MD5值。
四、電子證據及物證如何封存固定
1、將涉案電腦拔出電源強制關機(我們一般認為電腦在強制關機後,當前的所有操作不會被記錄到系統內,筆記本電腦可以選擇拔出電池,如無法拔出電池可以讓它待機至斷電),對主機後部所接線路黏貼標籤並拍照,拔出全部線路,於主機前部開關及USB接口處、背部電源接口處分別黏貼封條,實施查封扣押,並拍照固定。
2、將標籤紙放入物證袋進行封口並黏貼封條,實施查封扣押,並拍照固定。
3、將光碟放入物證袋進行封口並黏貼封條,實施查封扣押,並拍照固定。
02 問答環節
湖南市監同仁:請簡單介紹一下十字定位法和哈希值兩個概念?
楊志龍:十字定位法可以簡單地理解為就是一個對角線的拍攝方法。
哈希值,可以把它理解為是每一個文件的身份證,這個身份證是唯一的,如果對個文件內容進行修改的話,它的哈希值就會發生改變。
瀋陽市監同仁:工具包裡的軟體,是下載到執法U盤裡使用嗎?
楊志龍:工具包內所有軟體都是綠色版的,我們要將它放在自己取證U盤內。你可以直接運行,不需要進行安裝或者是複製到對方電腦上。
山西市監同仁:為什麼要進行內存提取?
楊志龍:因為電腦開機狀態下有很多緩存文件,操作記錄等,它都是保存在這個內存裡,不會直接讀寫在這個硬碟裡,一旦關機之後,這個內存裡邊的文件就全都釋放了,所以現場就要進行內存數據的提取。
重慶市監同仁:取證完了,為什麼還要進行將涉案電腦拔出電源強制關機?
楊志龍:如果通過正常關機,我們取證時進行的所有操作就會記錄在涉案電腦的系統日誌內,而拔出電源它就不會記錄下來。
湖南市監同仁:為什麼還要對光碟機盤進行鏡像,可以直接取盤封存嗎?
楊志龍:如果直接對光碟進行封存,不對它先進行鏡像查看的話,要查看他光碟裡面的內容的話,那我是不是要破壞它這個封存的狀態?要對他進行一個解除查封扣押。如果我們先期對他光碟進行鏡像後再對光碟進行封存,後續我們就可以對光碟製作的鏡像進行直接的分析,通過分析鏡像,提取這個光碟裡面的內容,就不需要對光碟的封存狀態進行破壞。
同樣,如果當事人電腦上插著U盤的話,你可以對他這個U盤也進行鏡像製作,然後再對U盤進行封存,後續你就可以直接分析U盤鏡像。
作者系江西省上饒市市場監督管理局 楊志龍
來源:市監沙龍
發布單位:中國工商出版社 新媒體部(數字出版部)
注重交流執法經驗
關注消費維權動態
同護市場公平正義
共觀市場經濟大潮
權威●專業
半月沙龍微信
輸入公眾號「市場監管半月沙龍」,即可找到。