干货!执法取证现场勘验文书如何制作?电子物证又该如何封存固定?

在执法办案的现场勘验中,标准的文书模板应该记录哪些关键信息?电子证据及物证又该如何封存、固定情况?

12月23日,首届全国市场监管系统执法办案电子数据取证大比武个人赛第一名、江西省上饶市市场监督管理局杨志龙分享了在大比武中现场勘验的标准文书制作和电子证据及物证封存、固定的流程,并就一些常见电子取证问题进行了答疑。

01

勘验环节现场文书

包括哪些内容?

在现场勘验环节,现场笔录是执法人员对有违法嫌疑的物品或场所进行检查,记录现场检查过程、收集现场证据时使用的文书。需要根据现场填写的内容主要包括:

一、当事人基本情况;

二、现场情况;除违法场所内相关环境的记录外,还要记录计算机、手机、U盘(或加密授权产品)、光盘等相关物品,这里的相关物品信息可以简略记录。

三、现场勘验检查过程。

1、简单记录检查事由,检查开始时间、检查人员、检查地点等。

2、前期准备工作,对相关执法装备检查确认是否正常,根据现场情况进行初步分工。

3、进场准备,对拟勘验现场进行保护,打开执法记录仪全程实时录音录像,对现场环境进行拍照固定(十字定位法,现场检查中的所有照片要进行分类并记录于图片记录表)。

4、确认疑似物证,对上文现场情况中的物品进行确认,记录物证的详细信息(电子产品包括品牌、型号、SN码等),并拍照固定。

5、涉案物证数据的固定提取,今天主要介绍的是开机状态电脑的电子数据取证工作,因为开机状态电脑中存储的内存文件、缓存文件在电脑关机后可能丢失,所以只能在现场进行电子数据取证。首先是对该电脑当前状态进行拍照及描述,开机状态,屏幕是否显示,移动鼠标后,进入系统桌面的情况。插入取证专用U盘(要记录U盘的品牌、型号、容量、盘符等信息),打开录屏软件(取证所用到的软件均为取证U盘内免安装绿色版,记录软件名版本号)开始进行录屏(执法记录仪+录屏软件,双重记录)。

1)涉案电脑系统信息:右键单击计算机,查看属性,记录该电脑操作系统信息,对电脑系统信息进行拍照固定。

2)校对涉案电脑系统时间:打开系统时间及时区信息,电脑时间2020年12月10日9:18:20、时区“(UTC+08:00) 北京,重庆,香港特别行政区,乌鲁木齐”,与执法人员手机浏览器百度(m.baidu.com)查询的北京时间2020年12月10日9:18:18对照,该电脑系统时间比北京时间快2秒,进行拍照固定。

3)涉案电脑网络情况:经查看发现该电脑网线未拔出,显示无网络连接,进行拍照固定,现场拔出电脑网线。

4)涉案电脑磁盘管理情况:双击计算机,显示该电脑有“C:D:E:F:H:”5个本地磁盘,其中F盘为BITLOCKER加密状态,H盘容量38.7MB(疑似容器加密区),有可移动存储的设备DVD RW 驱动器1个,盘符G:,名称12092020。右键单击计算机,单击管理,双击磁盘管理,显示除取证专用U盘外,共有5个卷,磁盘数量不一致,进行拍照固定。(可以初步判断是否存在加密区,如有加密区可以现场进行重要文件的复制及加密区镜像制作)

5)检查勘验工具运行环境及进行提取准备:在任务栏检查该电脑有运行火绒杀毒软件,右键退出(杀毒软件、清理内存软件会影响取证软件的运行),运行有VeraCrypt软件(加密容器),该电脑休眠状态未禁用,电脑屏幕保护程序未禁用,禁用该电脑屏幕保护及休眠状态(会影响取证软件的运行),关闭正在运行的Google浏览器“退出浏览器清除缓存” 功能(防止关机后浏览器缓存、历史记录被清除), 进行拍照固定。

6)内存提取:运行取证专用U盘内“精灵”(试用包20200625-20201231)软件,“精灵”软件按以下步骤自动运行完成数据提取():①检测系统环境、不开启录屏功能②禁用屏幕保护和电脑休眠功能③关闭浏览器的退出自动清理功能④获取剪贴板信息并导出⑤获取系统基本信息及内存区的缓存文件,并对打开的页面进行截屏固定并导出⑥完成数据自动提取。导出“精灵”提取到的数据,使用 “WinRAR”(版本号:5.70.x64)压缩生成名为“精灵采集数据.rar”文件,存于取证专用U盘“20201210江西省\证据包”目录下,使用“Hash计算.exe '(版本号:1.0.4.0)工具计算文件的MD5值(所有提取到的电子数据材料,均要进行哈希值计算并记录于固定电子数据清单)。

7)重要文件导出,为防止数据丢失,将已打开的word文档另存于取证U盘“在运行应用数据”目录下,文件名:新车型项目委托设计密封报价文件(CAN).doc,截图软件“FSCapture”(版本号7.7)进行长截图1张,保存至取证U盘“截图类证据”文件夹。

8)网页截图:对正在运行的浏览器内各网页标签内容进行截图,记录每个网页标签的网址及主题,将截图保存至U盘“截图类证据”文件夹,压缩打包计算MD5值。

9)磁盘镜像提取:打开取证U盘中“FTK Imager”(版本号:3.1.1.8),先对已经解密的磁盘(加密区)进行镜像提取,对光驱(U盘)进行镜像提前,对电脑磁盘进行整个镜像制作,所有镜像都应保存在取证U盘内,计算MD5值。

10)结束数据提取:退出光驱内光盘,取出光盘,对光盘进行拍照固定,打开正在运行的录屏软件“Ocam”,将录下的视频文件保存至取证专用U盘 “视频类证据”目录下,文件名为“录屏.wmv”,压缩生成“视频类证据.rar”文件,计算该文件MD5值(详见固定电子数据清单),安全拔出取证专用U盘。使用取证专用手机原装数据线连接取证专用电脑,按照所拍摄照片的信息导出照片,分类存于取证专用U盘内,压缩生成“照片类证据”目录下,计算MD5值。

四、电子证据及物证如何封存固定

1、将涉案电脑拔出电源强制关机(我们一般认为电脑在强制关机后,当前的所有操作不会被记录到系统内,笔记本电脑可以选择拔出电池,如无法拔出电池可以让它待机至断电),对主机后部所接线路黏贴标签并拍照,拔出全部线路,于主机前部开关及USB接口处、背部电源接口处分别黏贴封条,实施查封扣押,并拍照固定。

2、将标签纸放入物证袋进行封口并黏贴封条,实施查封扣押,并拍照固定。

3、将光盘放入物证袋进行封口并黏贴封条,实施查封扣押,并拍照固定。

02

问答环节

湖南市监同仁:请简单介绍一下十字定位法和哈希值两个概念?

杨志龙:十字定位法可以简单地理解为就是一个对角线的拍摄方法。

哈希值,可以把它理解为是每一个文件的身份证,这个身份证是唯一的,如果对个文件内容进行修改的话,它的哈希值就会发生改变。

沈阳市监同仁:工具包里的软件,是下载到执法U盘里使用吗?

杨志龙:工具包内所有软件都是绿色版的,我们要将它放在自己取证U盘内。你可以直接运行,不需要进行安装或者是复制到对方电脑上。

山西市监同仁:为什么要进行内存提取?

杨志龙:因为电脑开机状态下有很多缓存文件,操作记录等,它都是保存在这个内存里,不会直接读写在这个硬盘里,一旦关机之后,这个内存里边的文件就全都释放了,所以现场就要进行内存数据的提取。

重庆市监同仁:取证完了,为什么还要进行将涉案电脑拔出电源强制关机?

杨志龙:如果通过正常关机,我们取证时进行的所有操作就会记录在涉案电脑的系统日志内,而拔出电源它就不会记录下来。

湖南市监同仁:为什么还要对光驱盘进行镜像,可以直接取盘封存吗?

杨志龙:如果直接对光盘进行封存,不对它先进行镜像查看的话,要查看他光盘里面的内容的话,那我是不是要破坏它这个封存的状态?要对他进行一个解除查封扣押。如果我们先期对他光盘进行镜像后再对光盘进行封存,后续我们就可以对光盘制作的镜像进行直接的分析,通过分析镜像,提取这个光盘里面的内容,就不需要对光盘的封存状态进行破坏。

同样,如果当事人电脑上插着U盘的话,你可以对他这个U盘也进行镜像制作,然后再对U盘进行封存,后续你就可以直接分析U盘镜像。

作者系江西省上饶市市场监督管理局 杨志龙

来源:市监沙龙

(0)

相关推荐