固定證據

固定證據是刑事訴訟過程中的核心步驟。刑事訴訟活動的全部過程，就是收集、審查、判斷證據並運用證據證明案件事實，在此基礎上適用法律的過程。離開證據就無法查明案件事實，談不上用刑罰懲罰犯罪，也就無刑事訴訟可言。罪行法定原則的確立，使證據在訴訟中的地位顯得更為明顯。現階段，刑事訴訟活動對證據的要求越來越嚴格，偵查人員必須將以固定證據為核心的偵查觀念貫穿於整個偵查過程，並且使所收集、固定的證據客觀、真實、全面，經得起庭審的質證。

《刑事訴訟法》第43條規定∶"審判人員、檢察人員、偵查人員必須依照法定程序，收集能夠證實犯罪嫌疑人、被告人有罪或者無罪、犯罪情節輕重的各種證據。嚴禁刑訊逼供和以威脅、引誘、欺騙以及其他非法的方法收集證據。必須保證一切與案件有關或者瞭解案情的公民，有客觀地充分地提供證據的條件，除特殊情況外，並且可以吸收他們協助調查。”與此同時，刑事訴訟法還具體規定了訊問犯罪嫌疑人、被告人和詢問證人以及勘驗、檢查、搜查、扣押物證、書證、偵查實驗等偵查取證行為的程序。要求在調查取證過程中就必須嚴格按照法律規定程序收集、固定證據。據此，只有來源合法的證據才會被法律所認可。要使證據來源合法，在收集、固定證據時必須嚴格的按照程序規定的方式、步驟進行，不能圖省事而減少環節，造成證據來源不合法，導致千辛萬苦收集到的證據喪失證明力。

證據的完整統一是要求證據的指向具有一致性，在對同一犯罪事實認定上相統一，不能出現認定不一致現象。偵查人員在偵查過程中不能只關注證據的種類，還應十分注意把握所收集的證據具有合法性、準確性和法律證明力。注意各類證據之間相互印證補充使之形成統一。這就要求偵查人員在偵查活動中注意做到認真細緻，克服粗放式的取證方式，避免因忽視證據收集的細節造成證據的不完整或存在漏洞，使證據的證明力減弱，給訴訟工作帶來困難。

時間對於證明犯罪來説起着十分重要的作用。據收集的時間性主要是兩方面：一是由於任何犯罪都是發生在一定的時間段內，所以收集、固定的證據中確認的時間必須與犯罪實施時間相吻合。如果所收集的證據中確認的時間沒有在案件發生的時間段內，證據就失去證明力。所以，在證據的收集、固定過程中應十分注意對時間的鎖定。二是對貪污、受賄罪行的偵查活動是偵查人員與犯罪嫌疑人鬥智鬥勇的過程，有的證據可能會隨時間的延長而消失，抓住了時間就掌握了主動權，所以對證據收集、固定一定要及時。

在證據調取過程中手續一定要完備，必須在完整提取證據的同時，對一些可能會對所提取的證據產生影響的加以規定。如：證據的形成時間、過程；證據的出處；證據的持有人或保管人及持有、保管的過程；證據的提供（提取）方式；證據的提供人；證據的提取時間；證據的提取人要合法、手續要完備，程序要合法等等。只有這樣才能使所提取的證據真實反映事物的真實本質，才能讓人信服。

固定證據的方法多種多樣，通過相機記錄現場信息，使用電子取證設備保存電子信息，對嫌疑人進行審問並保存筆錄，都是固定證據的方法，只要能夠完整的保存信息即可。

WinHex是一款以通用的16進制編輯器為核心，專門用在計算機取證、數據恢復、低級數據處理以及各種日常緊急情況下的高級磁盤編輯工具，其文件小，一般只有1M多，速度快，功能異常強有了只讀鎖加上WinHex，就可以開始進行證據固定了。WinHex的 “創建磁盤鏡像”功能可以將磁盤製作成.dd、.001、.e01以及.whx等擴展名的鏡像，並且同時可以計算鏡像的MD5值。由WinHex生成的鏡像文件，不僅可以被專業取證軟件所支持，進行下一步的鑑定工作，同時，也可以把鏡像文件還原到新的硬盤上，新生成的硬盤、鏡像文件以及原始介質，均可以通過MD5算法進行的一致性驗證。

按照規範的工作流程，如果沒有隻讀鎖，是絕對禁止對電子介質進行進一步操作的，哪怕是接到電腦上看一下。但是有些緊急情況是不允許人員花費太多時間去尋找只讀設備。在這種情況下，我們可以利用操作系統進行技術處理，人為的製作出一個軟件只讀鎖來使用。眾所周知，U盤之所以能夠如此快速的替代軟盤、ZIP盤等其他存儲設備，除了它個頭小、存儲容量大、攜帶方便等因素外，更主要的原因是USB接口已經成為每台電腦的必備接口之一。包括前面我們介紹的只讀鎖等專用設備，基本上都是通過USB接口連接到分析電腦裏面。然而，在沒有隻讀鎖的情況下，通過硬盤接口轉USB接口設備，雖然可以讓我們正確識別原始介質硬盤，但是也會造成證據破壞等問題。既然都要通過USB接口，如果把USB接口變成只讀狀態，就可以不通過只讀鎖直接把介質接進電腦裏面。下面介紹一個方法將USB接口設置成只讀，這樣不管接入的設備是隻讀還是非只讀，系統均不會往介質裏面寫入數據。

操作方法如下：打開註冊表編輯器：開始→運行→輸入Regedit.exe，確定後打開如下位置：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contr，在Control項目上面單機鼠標右鍵，選擇新建→項，輸入名稱StorageDevicePolicies，然後打開項StorageDevicePolicies在右邊的面板上空白處單擊右鍵，新建Dword值，新建名為：WriteProtect，數值為1即可啓動USB寫保護。這樣，當調查人員或者系統要向USB存儲設備寫入數據的時候，就會出現寫保護警告，不能寫入數據。USB軟件寫保護開啓以後，就可以根據前面介紹的方法，用EnCase或者WinHex進行下一步的工作了。這個方法對於任何可以轉換成USB接口的介質，如硬盤、存儲卡、移動硬盤、SIM卡等等，均是有效的。需要提醒的是，這個方法必須在WindowsXPSP2下面或者Windows Server2003 SP1下面運行才有效。建議調查人員在使用該方法之前，先用U盤等其他介質進行一下測試後再正式接入原始介質。如果有的機器是專門用於檢測用的，那麼也可以把這個修改做成註冊表文件，每次需要將USB寫保護的時候雙擊運行即可，非常方便使用。 ^[1] 

我們知道，Windows操作系統為了提高系統的運行效率，在磁盤正確識別到以後，立即對磁盤進行系統文件的寫入，雖然這個提高了系統的運行速度和效率，但是對於我們鑑定工作來説並不是件好事，因為這會導致磁盤內數據受到破壞，造成證據失效，也正是這個原因，才禁止將原始介質直接接入系統內。在有些時候，當我們既沒有隻讀鎖、也沒有硬盤轉USB接口設備的時候，比如碰到1.8英寸的硬盤，這時候，我們就必須要依託系統本身的硬件系統，結合其他軟件進行固定工作。一般我們推薦用LiveCD的方法來進行，LiveCD就是一種利用光盤內的系統鏡像把電腦啓動起來的技術，由於其使用的是RAMDisk技術，不會涉及到電腦裏面的硬盤信息，因此，使用這種光盤，可以很輕鬆的把機器啓動起來。我們這裏指的並不是WinPE系統，因為它也是基於Windows架構的系統，仍然會改變硬盤裏面的數據。我們指的是類似於Helix之類的基於Linux的LiveCD系統。

Helix是一個非常容易使用、快速、強大的LiveCD系統，可以用於動態取證、事件響應以及電子調查等，用該光盤系統啓動電腦，對原始介質內的數據完。 ^[2] 

還有一種就是在手中沒有任何設備、沒有任何軟件工具的情況下，只能對特定的對象進行固定。當然這個是比較迫不得已的，因為固定特定的對象，意味着你已經非常明確鑑定的對象、鑑定的內容，只需要固定一些數據就足夠完成鑑定工作了。一般的做法是，在有第三方人員或者送檢人員在場的情況下，把需要的特定文件全部複製出來到其他設備，然後把所有文件壓縮打包，並用WimMD5或者WinHex計算文件壓縮包的MD5值，把壓縮包和MD5值記錄下來並由第三方人員或者送檢人員簽字確認就可以了。因為MD5值是對特定文件唯一性識別的方法，只要文件的內容確定後，其MD5值是不會發生變化的，在後期的鑑定工作中，只要MD5值沒有變化，就可以説明我們鑑定的是同一個文件。從程序上説，此時鑑定的對象就只是壓縮文件，而不存在送檢介質的説法。

複雜取證，指需要專業技術人員協助進行的電子證據的收集和固定活動。多使用於電子證據不能順利獲取，被加密或是被人為地刪改、破壞的情況下，計算機病毒、黑客的襲擾等。這種情況下常用的取證方式包括：

①解密

所需要的證據已經被行為人設置了密碼，在文件中時,就需要對密碼進行解譯。在找到相應的密碼文件後,請專業人員選用相應的解除密碼口令軟件。如：Word軟件製作的密碼文件,選用Word軟件解譯解密後，件有價值的文件，可進行一般取證。在解密的過程中如必要的話，可採取錄像的方式。同時應當將被解密文件備份，以止因解密中的操作使文件丟失或因病毒損壞。如在辦理一起某國際投資公司的職務罪案件中，偵察員在搜查辦公室時發現其使用辦公桌的抽屜和文件櫥內有11張微機軟盤，懷疑盤內存有其犯罪的重要證據，取回後立即送技術科進行檢驗，我技術人員按要求進行了詳細檢驗並查清了這些盤中用Word軟件所製作的文件已加入了密碼，即針對所用軟件採用了Ad-vanced Word 97 Password Recovery1.23軟件成功地破譯了其中的密碼，從而解出了108份文件，掌握了其犯罪的重要書證，擴大了辦案線索，使得案件深入發展。 ^[3] 

②恢復

大多數計算機系統都有自動生成備份數據和恢復數據、剩餘數據的功能，有些重要的數據庫安全系統還會為數據庫準備專門的備份。這些系統一般是由專門的設備、專門的操作管理組成，一般情況下較難篡改。因此當發生網絡犯罪時，其中有關證據已經被修改、破壞的，可以通過對自動備份數據和已經被處理過的數據證據進行比較、恢復並獲取定案所需證據。如1997年7月底，重慶市某農業大學學生處計算機辦公網遭到破壞，直接影響到8月份即將開始的招生工作。偵查人員在接到報案後及時進行了現場保護，從網絡的5號無盤站上獲取了一個破壞程序正對系統進行的破壞過程。這一破壞程序的運行痕跡是由於犯罪人疏忽沒能把自身刪掉而遺留的， 偵查人員通過這個線索找到了源程序，最終破獲了全案。如果數據連同備份都被改變或刪除，可以在系統所有者的協助下通過計算機系統組織數據的鏈指針進入小塊磁盤空間，從中發現數據備份或修改後的剩餘數據進行比較分析，然後恢復部分或全部的數據。另外,也可以使用一些專門的恢復性軟件,如Recover 98、Recover NTEXPD等。 ^[4] 

③測試

電子證據內容涉及電算化資料時應當由司法會計專家對提取的資料進行現場驗證。驗證中如發現可能與軟件設計或軟件使用有關的問題時，應當由司法會計專家現場對電算化軟件進行數據測試(偵查實驗)。主要過程為使用事先製作的測試文件，經測試確認軟件有問題時，則由計算機專家對軟件進行檢查或提取固定。 ^[4]