【取证】电子数据现场搜查和勘验注意事项

以下文章来源于数据利剑 ，作者数睿分析团队

电子数据调查、取证是指根据案件侦查、调查的需要，通过搜查、查封、扣押、现场勘验、远程勘验、实验室检验，发现、提取与犯罪有关的电子数据，记录计算机信息系统状态，判断案件性质，分析犯罪过程，确定调查方向和范围，为案件突破、案件诉讼提供线索和证据的调查、办案活动。对电子数据的收集和提取我们往往可以采用电子数据载体的扣押、现场及远程勘验、实验室检验等手段来实现。

一、电子数据现场搜查扣押和勘验检查遵循的原则

1.1 及时性性原则

由于电子数据可以被迅速修改或删除，及时收集和提取数据是至关重要的。任何延迟都可能导致数据的丢失或篡改。

在接到调查或取证通知后，应立即采取措施，确保电子数据的及时收集。

1.2 针对性原则

归属的针对性：确保收集的数据属于涉案嫌疑人或其关系人。这需要仔细核查数据的来源和所有权。

时间的针对性：特定的时间范围对于案件调查至关重要。应确保收集的数据与案件发生的时间段相关。

范围的针对性：明确取证的范围，避免收集不必要的数据。这有助于提高效率和减少后续分析的复杂性。

1.3 全面性原则

电子数据取证往往涉及多个维度和层面，因此必须确保收集的数据全面而完整。

不仅要收集与案件直接相关的数据，还要考虑与案件间接相关的数据，以便在后续分析中提供有用的线索。

1.4 规范性原则

遵循标准的操作流程和程序，确保电子数据的合法性和有效性。

制作详细的笔录，记录收集、提取电子数据的全过程，包括时间、地点、方法和过程等。

确保电子数据清单的准确性和完整性，包括类别、文件格式、完整性校验值等。

尽可能要求电子数据持有人（提供人）签名或盖章，如无法签名或拒绝签名，应在笔录中注明，并由见证人签名或盖章。

在条件允许的情况下，对现场搜查扣押活动进行录像，以提供额外的证据支持。

整个搜查扣押活动需要由符合条件的人员担任见证人。由于客观原因无法由符合条件的人员担任见证人的，应当在笔录中注明情况，并对相关活动进行录像，针对同一现场多个计算机信息系统收集、提取电子数据的，可以由一名见证人见证。

二、电子数据现场勘验检查的注意要点

电子数据的现场调取，主要包括以下三种设备的调取，分别是个人电脑、存储介质、通信设备。在针对计算机及服务器的时候我们往往要根据不同条件来分别对待。

2.1 计算机及服务器的扣押与勘验

1、取证对象处于开机状态且可扣押：

技术人员与调查人员的合作：当技术人员在场时，他们应该负责查看和分析电脑中的数据和程序。调查人员则负责整体指挥和策略制定。

不进行操作原则：在没有技术人员的情况下，调查人员应避免进行任何写操作，如截图或打印，因为这可能会改变数据或留下痕迹。

数据固定方法：第一步查看电脑中正在运行的程序和正在编辑的文件（文档、表格、图片等），如发现有价值的数据，建议采取相机拍摄屏幕的方式固定，不建议截图、打印等操作；第二步在屏幕右下角查看电脑系统时间，建议采取相机拍摄屏幕的方式固定，不建议截图等操作。

在线取证工具：这些工具可以帮助快速收集和分析电脑中的数据，但需要根据具体情况定制提取策略。

关机方法：直接拔掉电源是一种快速且有效的方式来保留内存中的数据。这样可以在内存中保留电脑正在运行的一些进程，然后扣押进行后续实验室检验。

绝对不能够出现以下操作：

一是使用取证对象上网，登陆网页邮箱；

二是登陆、执行电脑中的应用程序（qq、邮箱工具、office、专有程序等等。）；

三是删除、修改文件；

四是创建、复制、本地拷贝文件夹、文件。

2、取证对象处于关机状态且可扣押：

在这种情况下，由于电脑已经关机，没有运行的数据需要担心。因此，直接扣押并进行后续实验室检验是一个简单而直接的方法。

3、个人电脑不可扣押且处于开机状态:

在这种情况下，需要更加小心，因为不能扣押整个电脑。可以按照第一种情况的步骤来查看和固定证据。

硬盘复制：在关机后，应该复制硬盘的内容并计算其完整性校验值，以确保数据的完整性和真实性。

4、个人电脑不可扣押且处于关机状态：

在这种情况下，直接复制硬盘并计算其完整性校验值是必要的步骤。

其他注意事项：

关注周边环境：电脑周边的纸条、记录、便签纸等可能包含重要信息，如密码或口令。

小型存储设备：U盘、移动硬盘、存储卡等也可能包含关键数据。

其他设备：扫描仪、打印机等设备的品牌和型号也可能对后续调查有帮助。

2.2 移动存储介质的扣押与勘验

移动存储介质与硬盘相比是纯粹的存储设备，它不包含太多的无用数据，而更多存储的是个人数据，因此其取证价值更大。

主要载体：包括移动硬盘、U盘、存储卡等种类。

仔细搜查：由于其体积小、易于隐藏，需要仔细搜索和查找。

直接扣押：建议直接扣押移动存储介质，以确保数据安全和完整性。

只读设备连接：如果需要现场查看数据，应通过只读设备连接移动存储介质和电脑，以避免数据被修改。

2.3 手机的扣押与勘验

智能手机在人们工作、生活中应用广泛，但同时也留下了许多的痕迹，这使手机取证能够为案件调查提供有价值的线索、定罪量刑的依据，并且能够节约办案成本。在搜查中一定要注重手机的查找和扣押，尤其是老手机的扣押，必然隐藏了调查对象以往犯罪的蛛丝马迹。

主要载体：手机的SIM卡、手机机身、存储卡是取证的关键部分。

关机状态处理：如果手机处于关机状态，建议带回实验室进行后续取证，避免现场开机可能造成的数据变化。

开机状态处理：如果手机处于开机状态，应先考虑将其调至飞行模式或置入屏蔽箱/袋中阻断信号，以防止数据状态改变，然后扣押。尽量获取锁屏密码，以便后续检验。

​