[科普中国]-固定证据

固定证据，即对证据采取措施加以固定并提取。证据由于时间变化或其他原因，有可能难以取得，甚至灭失、失真。如证人将要出国或因疾病死亡；现场脚印会模糊甚至消失；物证可能会腐烂、变质或变形等。因此，为了有效地利用证据来确定案情，有关机关必须采取相应的措施对证据加以保全。

固定证据的意义固定证据是刑事诉讼过程中的核心步骤。刑事诉讼活动的全部过程，就是收集、审查、判断证据并运用证据证明案件事实，在此基础上适用法律的过程。离开证据就无法查明案件事实，谈不上用刑罚惩罚犯罪，也就无刑事诉讼可言。罪行法定原则的确立，使证据在诉讼中的地位显得更为明显。现阶段，刑事诉讼活动对证据的要求越来越严格，侦查人员必须将以固定证据为核心的侦查观念贯穿于整个侦查过程，并且使所收集、固定的证据客观、真实、全面，经得起庭审的质证。

固定证据的基本要求证据收集与固定须符合法定程序《刑事诉讼法》第43条规定∶"审判人员、检察人员、侦查人员必须依照法定程序，收集能够证实犯罪嫌疑人、被告人有罪或者无罪、犯罪情节轻重的各种证据。严禁刑讯逼供和以威胁、引诱、欺骗以及其他非法的方法收集证据。必须保证一切与案件有关或者了解案情的公民，有客观地充分地提供证据的条件，除特殊情况外，并且可以吸收他们协助调查。”与此同时，刑事诉讼法还具体规定了讯问犯罪嫌疑人、被告人和询问证人以及勘验、检查、搜查、扣押物证、书证、侦查实验等侦查取证行为的程序。要求在调查取证过程中就必须严格按照法律规定程序收集、固定证据。据此，只有来源合法的证据才会被法律所认可。要使证据来源合法，在收集、固定证据时必须严格的按照程序规定的方式、步骤进行，不能图省事而减少环节，造成证据来源不合法，导致千辛万苦收集到的证据丧失证明力。

证据的完整性与统一性证据的完整统一是要求证据的指向具有一致性，在对同一犯罪事实认定上相统一，不能出现认定不一致现象。侦查人员在侦查过程中不能只关注证据的种类，还应十分注意把握所收集的证据具有合法性、准确性和法律证明力。注意各类证据之间相互印证补充使之形成统一。这就要求侦查人员在侦查活动中注意做到认真细致，克服粗放式的取证方式，避免因忽视证据收集的细节造成证据的不完整或存在漏洞，使证据的证明力减弱，给诉讼工作带来困难。

证据收集与固定的时间性时间对于证明犯罪来说起着十分重要的作用。据收集的时间性主要是两方面：一是由于任何犯罪都是发生在一定的时间段内，所以收集、固定的证据中确认的时间必须与犯罪实施时间相吻合。如果所收集的证据中确认的时间没有在案件发生的时间段内，证据就失去证明力。所以，在证据的收集、固定过程中应十分注意对时间的锁定。二是对贪污、受贿罪行的侦查活动是侦查人员与犯罪嫌疑人斗智斗勇的过程，有的证据可能会随时间的延长而消失，抓住了时间就掌握了主动权，所以对证据收集、固定一定要及时。

证据调取手续的完备性在证据调取过程中手续一定要完备，必须在完整提取证据的同时，对一些可能会对所提取的证据产生影响的加以规定。如：证据的形成时间、过程；证据的出处；证据的持有人或保管人及持有、保管的过程；证据的提供（提取）方式；证据的提供人；证据的提取时间；证据的提取人要合法、手续要完备，程序要合法等等。只有这样才能使所提取的证据真实反映事物的真实本质，才能让人信服。

固定证据的方法固定证据的方法多种多样，通过相机记录现场信息，使用电子取证设备保存电子信息，对嫌疑人进行审问并保存笔录，都是固定证据的方法，只要能够完整的保存信息即可。

电子证据固定应急解决办法只读锁+WinHex软件固定法WinHex是一款以通用的16进制编辑器为核心，专门用在计算机取证、数据恢复、低级数据处理以及各种日常紧急情况下的高级磁盘编辑工具，其文件小，一般只有1M多，速度快，功能异常强有了只读锁加上WinHex，就可以开始进行证据固定了。WinHex的 “创建磁盘镜像”功能可以将磁盘制作成.dd、.001、.e01以及.whx等扩展名的镜像，并且同时可以计算镜像的MD5值。由WinHex生成的镜像文件，不仅可以被专业取证软件所支持，进行下一步的鉴定工作，同时，也可以把镜像文件还原到新的硬盘上，新生成的硬盘、镜像文件以及原始介质，均可以通过MD5算法进行的一致性验证。

USB接口写保护法按照规范的工作流程，如果没有只读锁，是绝对禁止对电子介质进行进一步操作的，哪怕是接到电脑上看一下。但是有些紧急情况是不允许人员花费太多时间去寻找只读设备。在这种情况下，我们可以利用操作系统进行技术处理，人为的制作出一个软件只读锁来使用。众所周知，U盘之所以能够如此快速的替代软盘、ZIP盘等其他存储设备，除了它个头小、存储容量大、携带方便等因素外，更主要的原因是USB接口已经成为每台电脑的必备接口之一。包括前面我们介绍的只读锁等专用设备，基本上都是通过USB接口连接到分析电脑里面。然而，在没有只读锁的情况下，通过硬盘接口转USB接口设备，虽然可以让我们正确识别原始介质硬盘，但是也会造成证据破坏等问题。既然都要通过USB接口，如果把USB接口变成只读状态，就可以不通过只读锁直接把介质接进电脑里面。下面介绍一个方法将USB接口设置成只读，这样不管接入的设备是只读还是非只读，系统均不会往介质里面写入数据。

操作方法如下：打开注册表编辑器：开始→运行→输入Regedit.exe，确定后打开如下位置：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contr，在Control项目上面单机鼠标右键，选择新建→项，输入名称StorageDevicePolicies，然后打开项StorageDevicePolicies在右边的面板上空白处单击右键，新建Dword值，新建名为：WriteProtect，数值为1即可启动USB写保护。这样，当调查人员或者系统要向USB存储设备写入数据的时候，就会出现写保护警告，不能写入数据。USB软件写保护开启以后，就可以根据前面介绍的方法，用EnCase或者WinHex进行下一步的工作了。这个方法对于任何可以转换成USB接口的介质，如硬盘、存储卡、移动硬盘、SIM卡等等，均是有效的。需要提醒的是，这个方法必须在WindowsXPSP2下面或者Windows Server2003 SP1下面运行才有效。建议调查人员在使用该方法之前，先用U盘等其他介质进行一下测试后再正式接入原始介质。如果有的机器是专门用于检测用的，那么也可以把这个修改做成注册表文件，每次需要将USB写保护的时候双击运行即可，非常方便使用。1

光盘启动法我们知道，Windows操作系统为了提高系统的运行效率，在磁盘正确识别到以后，立即对磁盘进行系统文件的写入，虽然这个提高了系统的运行速度和效率，但是对于我们鉴定工作来说并不是件好事，因为这会导致磁盘内数据受到破坏，造成证据失效，也正是这个原因，才禁止将原始介质直接接入系统内。在有些时候，当我们既没有只读锁、也没有硬盘转USB接口设备的时候，比如碰到1.8英寸的硬盘，这时候，我们就必须要依托系统本身的硬件系统，结合其他软件进行固定工作。一般我们推荐用LiveCD的方法来进行，LiveCD就是一种利用光盘内的系统镜像把电脑启动起来的技术，由于其使用的是RAMDisk技术，不会涉及到电脑里面的硬盘信息，因此，使用这种光盘，可以很轻松的把机器启动起来。我们这里指的并不是WinPE系统，因为它也是基于Windows架构的系统，仍然会改变硬盘里面的数据。我们指的是类似于Helix之类的基于Linux的LiveCD系统。

Helix是一个非常容易使用、快速、强大的LiveCD系统，可以用于动态取证、事件响应以及电子调查等，用该光盘系统启动电脑，对原始介质内的数据完。2

部分固定法还有一种就是在手中没有任何设备、没有任何软件工具的情况下，只能对特定的对象进行固定。当然这个是比较迫不得已的，因为固定特定的对象，意味着你已经非常明确鉴定的对象、鉴定的内容，只需要固定一些数据就足够完成鉴定工作了。一般的做法是，在有第三方人员或者送检人员在场的情况下，把需要的特定文件全部复制出来到其他设备，然后把所有文件压缩打包，并用WimMD5或者WinHex计算文件压缩包的MD5值，把压缩包和MD5值记录下来并由第三方人员或者送检人员签字确认就可以了。因为MD5值是对特定文件唯一性识别的方法，只要文件的内容确定后，其MD5值是不会发生变化的，在后期的鉴定工作中，只要MD5值没有变化，就可以说明我们鉴定的是同一个文件。从程序上说，此时鉴定的对象就只是压缩文件，而不存在送检介质的说法。

复杂证据的提取和固定复杂取证，指需要专业技术人员协助进行的电子证据的收集和固定活动。多使用于电子证据不能顺利获取，被加密或是被人为地删改、破坏的情况下，计算机病毒、黑客的袭扰等。这种情况下常用的取证方式包括：

①解密

所需要的证据已经被行为人设置了密码，在文件中时,就需要对密码进行解译。在找到相应的密码文件后,请专业人员选用相应的解除密码口令软件。如：Word软件制作的密码文件,选用Word软件解译解密后，件有价值的文件，可进行一般取证。在解密的过程中如必要的话，可采取录像的方式。同时应当将被解密文件备份，以止因解密中的操作使文件丢失或因病毒损坏。如在办理一起某国际投资公司的职务罪案件中，侦察员在搜查办公室时发现其使用办公桌的抽屉和文件橱内有11张微机软盘，怀疑盘内存有其犯罪的重要证据，取回后立即送技术科进行检验，我技术人员按要求进行了详细检验并查清了这些盘中用Word软件所制作的文件已加入了密码，即针对所用软件采用了Ad-vanced Word 97 Password Recovery1.23软件成功地破译了其中的密码，从而解出了108份文件，掌握了其犯罪的重要书证，扩大了办案线索，使得案件深入发展。3

②恢复

大多数计算机系统都有自动生成备份数据和恢复数据、剩余数据的功能，有些重要的数据库安全系统还会为数据库准备专门的备份。这些系统一般是由专门的设备、专门的操作管理组成，一般情况下较难篡改。因此当发生网络犯罪时，其中有关证据已经被修改、破坏的，可以通过对自动备份数据和已经被处理过的数据证据进行比较、恢复并获取定案所需证据。如1997年7月底，重庆市某农业大学学生处计算机办公网遭到破坏，直接影响到8月份即将开始的招生工作。侦查人员在接到报案后及时进行了现场保护，从网络的5号无盘站上获取了一个破坏程序正对系统进行的破坏过程。这一破坏程序的运行痕迹是由于犯罪人疏忽没能把自身删掉而遗留的， 侦查人员通过这个线索找到了源程序，最终破获了全案。如果数据连同备份都被改变或删除，可以在系统所有者的协助下通过计算机系统组织数据的链指针进入小块磁盘空间，从中发现数据备份或修改后的剩余数据进行比较分析，然后恢复部分或全部的数据。另外,也可以使用一些专门的恢复性软件,如Recover 98、Recover NTEXPD等。4

③测试

电子证据内容涉及电算化资料时应当由司法会计专家对提取的资料进行现场验证。验证中如发现可能与软件设计或软件使用有关的问题时，应当由司法会计专家现场对电算化软件进行数据测试(侦查实验)。主要过程为使用事先制作的测试文件，经测试确认软件有问题时，则由计算机专家对软件进行检查或提取固定。4

本词条内容贡献者为:

麦永浩 - 教授 - 湖北警官学院电子数据取证重点实验室