normal contango:如何有效获取电子证据

　　其实，文件在磁盘上的存储就像是一个链表，表头是文件的起始地址，整个文件并不一定是连续的，而是一个节点一个节点连接起来的。要访问某个文件时，只要找到表头就行了。删除文件时，其实只是把表头删除了，后面的数据并没有删除，直到下一次进行写磁盘操作需要占用节点所在位置时，才会把相应的数据覆盖掉。数据恢复软件正是利用了这一点。所以，就算你误删了文件之后又进行了其他写磁盘操作，只要没有覆盖掉那些数据，一般都是可以恢复的。我们可以利用计算机的这一储存原理，来进行犯罪数据的恢复、还原、分析，从而找到一些有利的证据。

　　现在美国至少有70%的法律部门拥有自己的计算机取证实验室。目前国内法律部门打击计算机犯罪主要是针对制造传播木马、病毒的侦查和取证，有关计算机取证方面的研究和实践也是刚刚起步。但是当前利用计算机犯罪的案件已经大量涌现，计算机取证技术在检察机关应用虽然只是探索性的尝试，但这种技术对于调查取证、辅助立案侦查具有很强的实用价值。同时也是检察技术向现代化科技强检的一大途径，对于推动信息技术人员参与、协助办案，充分利用信息技术人员的技术优势，参与、协助办理涉及信息技术的案件，提高办案的科技含量、充分发挥检察技术职能，强化法律监督，促进社会和谐稳定都具有非常重要的意义。

　　那么，贪污贿赂侦查中如何进行计算机取证呢?

　　(一)计算机取证遵循的理念。计算机证据即电子证据，其取证技术与传统证据一样，电子证据必须是可信、准确、完整、符合法律法规并使法庭所能够接受的。在计算机取证过程中应遵循的理念是:把涉案计算机作为物证对待，在不对原有数据进行改动损坏的前提下进行取证，证明获取证据与原有证据是相同的，并在不改动原有数据的情况下进行分析。

　　(二)电子证据收集。电子证据即计算机证据，是指在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。由于电子证据的不稳定性和易更改性为收集者作假和随意变更提供了可能，在证据的提取过程中应有当事人或见证人在场，即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上出现没有任何变化。

　　在证据搜集过程中，应注意以下问题:(1)在电子证据的收集过程中，要注意电子证据的收集和相关人隐私权冲突问题的解决，这类问题主要发生在国家机关收集电子证据的过程中。一般情形下，电子证据的收集和提取主要是对计算机的硬盘文件进行查看，但是许多情形下，电子数据并不是现成的，这种时候往往要通过当事人的电子邮件、电子通讯、恢复删除文件等方式来取得证据。由于这些证据中经常涉及当事人隐私，在收集和运用电子数据的过程中，应该注意保护当事人的隐私权，严格按照法律规定程序进行收集。只能收集与本案有关的电子数据，不得任意扩大收集范围。对于严重违反法定程序并侵犯当事人合法权益的行为所收集到的电子证据应当排除其证据效力。(2)由于电子证据的易修改、易破坏性，作为证据使用可能会出现当事人翻供的现象。对于这种情况，技术人员在收集的过程中应至少两人在场。最好一个操作一个记录，敏感现场收集证据应使用同步录音录像。

　　(三)实施的具体步骤:

　　1.涉案计算机系统的保护。(1)对涉案计算机第一时间进行封锁。(2)对涉案计算机硬盘、光盘等存储介质进行原数据拷贝，尽量避免在原计算机内操作，以免数据丢失。有必要利用硬盘拷贝机把涉案硬盘进行整盘拷贝。(3)利用先进的计算机取证勘查箱进行取证，它具有应用范围广、携带方便、规范化、专业化的特点。(4)在现场取证调查时应记录的内容包括:电脑使用者，电脑状态，是否连接网络，执行取证在场人员，电脑的品牌、型号，电脑硬盘序列号，电脑的外设情况。

　　2.确定证据。(1)利用搜索工具，进行一系列的关键字搜索查找最重要的信息。(2)借助专业的删除———格式化恢复工具，把删除、隐藏、加密的信息找出。注意Wind°ws系统的交换文件和硬盘中未分配的空间往往存放着犯罪嫌疑人容易忽视的证据。(3)利用数据解密技术和密码破译技术，对电子介质中的被保护信息进行强行访问，获取信息。(4)把搜集好的数据与办案干警初步确定数据进行印证。(5)收集好的原数据应做备份。

　　3.提取分析数据。(1)利用专业的取证分析平台对文件属性、文件的摘要和日志进行分析。分析平台应具有数据恢复、数据修复、多格式支持、信息检索等必要功能。(2)对确凿证据，作出与案件关联的分析报告。

　　4.归档。对得出的结论以及电子证据要严格保管、做好备份。办案人员查看时必须登记。

　　计算机技术是把双刃剑，作为法律保护神的检察机关，要紧紧把握时代特征，充分利用高科技手段强化法律监督，打击高科技犯罪，更有效地保护人民生命财产安全，促进社会和谐稳定。