摘要：近些年来，电子技术的飞速发展使得我们越来越依赖于电子技术产品，信息的存在与取得方式的飞跃使证据学研究乃至证据立法面临诸多考验，但电子证据的法律地位及其效力法律却无明文规定，导致在诉讼中审查和采信电子证据无法可依，在信息化的趋势下，以计算机及其网络为依托的电子证据在证明案件过程中起着越来越重要的作用。本文就电子证据的特性、应用等问题做了分析与探讨，以引起大家关注。
关键词：电子证据 特征 应用 研究
数字化通讯网络和计算机装置使得信息载体的存储、传递、统计、发布等环节实现无纸化。但是，这种信息载体的革命性变革也引发了诸多法律问题，单从证据学角度来讲，就涉及到电子资料的证据力问题。而电子资料的证据力又与电子证据在证据法中的法律地位直接相关；电子数据的证据价值在法学研究与法学实践中得到较为普遍的应用，这也使得讨论电子证据法律地位问题的时机日渐成熟。
一、    电子证据的概念、特征
（一）证据的概念、特性
在日常的生活、工作和科学研究中，人们经常广泛地运用着证据，常常要举出自己知道的事实，来证明另一些事实的存在。所以，一般意义上的证据，顾名思义，就是指证明的凭证，用已知的事实来证明未知的事实。但是，仅仅用一般证据的概念来理解诉讼证据还是很不够的，因为诉讼的特殊性，决定着诉讼证据有其特殊的本质和特性。
证据是指司法机关在办案中搜集的，能够证明案件真相的实事或材料。是分析和确定案件、辩明是非、区分真伪的根据。1
诉讼证据与一般意义的证据不同，其本质特征表现在一下几个方面：
1、客观性
这是指诉讼证据必须是能证明案件真实真相的、不依赖于主观意识而存在
的客观事实。这一客观事实只能发生在诉讼主体进行民事活动中，发生在诉讼法律关系形成、变更或消灭的过程中，是当时作用于他人感官而被看到、听到或感受到的、留在人的记忆中的，或作用于周围的环境、物品引起物件的变化而留下的痕迹物品，也可能由文字或者某种符号记载下来，甚至成为视听资料等等。客观性是诉讼证据的最基本的特征。2
2、关联性
这是指作为证据的事实不仅是一种客观存在，而且它必须是与案件所要查
明的事实存在逻辑上的联系，从而能够说明案件事实。正因为如此，它才能以其自身的存在单独或与其他事实一道证明保证案件真实的存在或不存在。如果作为证据的事实与要证明的事实没有联系，即使它是真实的，也不能作为证明争议事实的证据。3
3、合法性
这是指证据必须由当事人按照法定程序提供，或由法定机关、法定人员按
照法定的程序调查、收集和审查。也就是说，诉讼证据不论是当事人提供的还是人民法院主动调查收集的，都要符合法律规定的程序，不按照法定程序提供、调查收集的证据不能作为认定案件事实的根据。4另外，证据的合法性还包括证据必须具备法律规定的形式。对某些法律行为的成立，法律规定了特定的形式，不具备法律所要求的形式，该项法律行为就不能成立。5
这是对证据的基本要求，也就是说，如果一份证物满足了上述要求，那么它就可以成为证据。
（二）电子证据的概念、特征
1、电子证据的概念
为了进行电子证据的研究，避免发生认识上的混乱，只有精确地理解其概
念的内涵和外延。从逻辑学角度上来讲，电子证据概念的内涵应当是电子证据所反映的客观事物本质属性的总和；电子证据概念的外延是指具有电子证据内涵的客观事物的总和。逻辑学没有必要明确回答电子证据的内涵和外延到底是什么，但是电子证据学的首要任务就是明确电子证据的概念。如果不能掌握电子证据的概念，我们就不能正确地指定电子证据的规则、原则，电子证据的采纳性、证明力、归类及其审查判断等方面的研究也就难以作到有的放矢。因此，对电子证据的研究首先要从概念开始。
就目前我国立法情况来说，虽然电子证据在日常审理案件中经常采纳，但由于电子证据的研究在司法和计算机科学等领域还是一个新课题，电子证据的概念尚无统一定论，笔者认为是指“以数字的形式保存在计算机存储器或外部存储介质中、能够证明案件真实情况的数据或信息”，需要指出的是，研究电子证据要注意区分计算机在证据形成过程中所起的作用--计算机只不过是证据产生工具或是载体。所以且勿把保存在计算机及其外围设备中的数据都看成是电子证据。
2、电子证据的特性
电子证据的特性概括来讲大致可以分为：无形性；客观真实性；可修改性与易破坏性；可保存性；可复制性；存在性、多样性和可活动性。
①无形性
由于电子数据的保存方式只有两种：计算机存储器（一般认定为硬盘）和计
算机外部存储介质（磁盘、光盘等），但其数据的实质是看不到摸不着的一堆按编码规则处理成的“0”和“1”，但其可通过计算机体现出多种多样的形式，如：文本、图像、音频、视频等，我们通称他们为数据。数据本质上是对客观事物特征的一种抽象的、符号化的表示，即用一定符号表示从观察或测量中收集到的基本事实。由于其借助具有集成性、交互性、实时性的计算机及其网络系统，极大地改变了证据的运作方式。6
②客观真实性
客观性是指一切诉讼证据都必须是客观存在的真实情况，不论其表现形式如
何，都是不以人们的主观意志为转移的。客观性是一切诉讼证据最本质的特征。如果不考虑人为篡改、差错和故障影响等因素，电子证据是所有证据种类中最具证明力的一种，它存储方便，表现丰富，可长期无损保存及随时反复重现，它不像物证一样会因周围环境的改变而改变自身的某种属性，不会像书证一样容易损毁和出现笔误，也不像证人证言一样容易被误传、误导、误记或带有主观性，电子证据一经形成便始终保持最初、最原始的状态，能够客观真实地反映事物的本来面貌。
③可修改与可破坏性
由于电子证据的实质为数据的集合，而数据又是以“bit”而存在的，是非连
续的，数据被人改动、伪造不易留下痕迹，如果没有副本或是映象文件就难以查清，而且计算机的错误的操作，硬件的损坏，病毒的入侵，黑客的盗取会使电子证据失去其法律效力，即无法成为证据。7
④可保存性
虽然电子证据具有可修改与可破坏性，但并不影响电子证据的保存。我们可
以将电子证据制作成为映象文件或存储入外部存储器（例：光盘），对与案卷
的保存与整理带来极大的方便
⑤可复制性
电子证据可精确的复制，而且复制品和原件无任何差异。
⑥电子证据具有存在性、多样性和可活动性
由于计算机在网络上都具有唯一的IP地址，每次使用均会留下使用活动的记
录。电子数据交换、电子邮件等还会自动保存发件人的发送时间、邮件地址及发送计算机的IP地址。电子信息可以表现为文字、声音、图象等多种形式，因此电子证据具有存在性、多样性和可活动性。
二、电子证据的法律地位与效力
（一）国际上对电子证据的法律地位与效力的定位
在诉讼或仲裁领域电子证据的效力、作用一直是困扰各国法律界的一个重大问题。对于大陆法系的国家来说，因其对证据的种类限制较少，凡是能够证明案件真实情况的事实都可能被法庭采纳，只是立法中缺少对电子证据的规定而已。对于英美法系的国家，由于其奉行“最佳证据规则”，原件才是最可信、最可靠的证据形式，而电子证据不存在传统意义上的“原件”，其原件只是一堆人们无法识别的磁信号，人们看到的只是电子证据的外在表现形式，这就使得电子证据在诉讼或仲裁中的应用受到限制。为此，各国都采取了相应的对策，但在有关电子证据的立法活动中，以联合国贸法会于1996年通过的《电子商务示范法》最具指导性，该法第5条规定
论文天下
摘要：计算机技术的迅速发展改变了人们的生活方式、生产方式与管理方式。同时，也为违法犯罪分子提供了新的犯罪空间和手段。以计算机信息系统为犯罪对象和工具的各类新型犯罪活动越来越多，造成的危害也越来越大。如何获取与计算机犯罪相关的电子证据，将犯罪分子绳之以法。已成为司法和计算机科学领域中亟待解决的新课题。作为计算机领域和法学领域的一门交叉科学——计算机取证学成为人们研究与关注的焦点。  

关键词：计算机犯罪 计算机取证 电子证据  

Abstract:The rapid development of computer technology has changed the way of living,production and management.It also presents new guilty ways for the criminals.The new types of crimes by taking the computer information system as the object and tools are increasing.It’s getting more harmful. How to get the evidence of computer criminals is a new task forthe law and computer science area. Proof by computer, as a science of computer and law area. becomes a focus of attention. 

KeyWords: Crime on Computer, Computer Evidence, Electronic Evidence 

　　计算机犯罪是伴随计算机的发明和广泛应用而产生的新的犯罪类型。随着计算机技术的飞速发展。计算机在社会中的应用领域急剧扩大。计算机犯罪的类型和领域不断增加和扩展。使“计算机犯罪”这一术语随着时间的推移不断获得新的涵义。 
1　什么是计算机犯罪 
　　在学术研究上．关于计算机犯罪迄今为止尚无统一的定义(大致说来，计算机犯罪概念可归为五种：相关说、滥用说、工具说、工具对象说和信息对象说)。根据刑法条文的有关规定和我国计算机犯罪的实际情况，计算机犯罪是指行为人违反国家规定．故意侵入国家事务、国防建设、尖端科学技术等计算机信息系统，或者利用各种技术手段对计算机信息系统的功能及有关数据、应用程序等进行破坏。制作、传播计算机病毒。影响计算机系统正常运行且造成严重后果的行为。 
　　利用计算机进行犯罪活动，无外乎以下两种方式：一是利用计算机存储有关犯罪活动的信息；二是直接利用计算机作为犯罪工具进行犯罪活动。计算机犯罪具有犯罪主体的专业化、犯罪行为的智能化、犯罪客体的复杂化、犯罪对象的多样化、危害后果的隐蔽性等特点。使计算机犯罪明显有别于传统一般刑事犯罪。近年来，计算机犯罪案例呈逐年上升趋势。给国家带来不可估量的严重后果和巨大的经济损失，甚至威胁到国家的安全，破坏了良好的社会秩序。所以，打击利用计算机进行的犯罪，确保信息安全对于国家的经济发展和社会稳定具有重大现实意义。为有效地打击计算机犯罪，计算机取证是一个重要步骤。存在于计算机及相关外围设备(包括网络介质)中的电子证据已经成为新的诉讼证据之一。 
2　什么是计算机取证 
　　计算机取证又称为数字取证或电子取证，是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术，按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上，计算机取证是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。 
　　计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机犯罪或入侵的现场，寻找并扣留相关的计算机硬件；信息发现是指从原始数据(包括文件，日志等)中寻找可以用来证明或者反驳的证据，即电子证据。与传统的证据一样，电子证据必须是真实、可靠、完整和符合法律规定的。 
2．1物理证据的获取 
　　物理证据的获取是全部取证工作的基础。获取物理证据是最重要的工作，保证原始数据不受任何破坏。无论在任何情况下，调查者都应牢记： 
(1)不要改变原始记录； 
(2)不要在作为证据的计算机上执行无关的操作； 
(3)不要给犯罪者销毁证据的机会； 
(4)详细记录所有的取证活动； 
(5)妥善保存得到的物证。 
　　若现场的计算机处于工作状态。取证人员应该设法保存尽可能多的犯罪信息。由于犯罪的证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置。要收集到所有的资料是非常困难的。关键的时候要有所取舍。如果现场的计算机是黑客正在入侵的目标。为了防止犯罪分子销毁证据文件，最佳选择也许是马上关掉电源；而如果计算机是作案的工具或相关信息的存储器。应尽量保存缓存中的数据。 
2．2信息发现 
　　取得了物理证据后。下一个重要的工作就是信息发现。不同的案件对信息发现的要求是不一样的。有些情况下要找到关键的文件、邮件或图片，而有些时候则可能要求计算机重现过去的工作细节(比如入侵取证)。 
　　值得注意的是。入侵者往往在入侵结束后将自己残留在受害方系统中的“痕迹”擦除掉。犹如犯罪者销毁犯罪证据一样，尽量删除或修改日志文件及其它有关记录。殊不知一般的删除文件操作，即使在清空了回收站后，若不将硬盘低级格式化或将硬盘空间装满，仍可将“删除”的文件恢复过来。在Windows操作系统下的windows swap(page)fde(一般用户不曾意识到它的存在)大概有20-200M的容量，记录着字符处理、Email消息、Internet浏览行为、数据库事务处理以及几乎其它任何有关windows会话工作的信息。另外。在windows下还存在着fde slack，记录着大量Email碎片(Fragments)、字符处理碎片、目录树镜像(snapshot)以及其它潜在的工作会话碎片。以上这些都可以利用计算机取证软件来收集。事实上。现在的取证软件已经具有了非常好的数据恢复能力，同时，还可以做一些基本的文件属性获得和档案处理工作。 
　　数据恢复以后。取证专家还要进行关键字的查询、分析文件属性和数字摘要、搜寻系统日志、解密文件等工作。由于缺乏对计算机上的所有数据进行综合分析的工具，所以，信息发现的结果很大程度上依赖于取证专家的经验。这就要求一个合格的取证专家要对信息系统有深刻的了解。掌握计算机的组成结构、计算机网络、操作系统、数据库等多方面的相关知识。 
　　最后取证专家据此给出完整的报告。将成为打击犯罪的主要依据，这与侦查普通犯罪时法医的角色没有区别。 
3一些取证工具的介绍 
在计算机取证过程中。相应的取证工具必不可少，常见的有tcpdump，Argus，NFR，EnCase，tcpwrapper，sniffers，honeypot，Tripwires，Network monitor，镜像工具等。在国外计算机取证过程中比较流行的是镜像工具和专业的取证软件。下面以EnCase作为一个计算机取证技术的案例来分析。EnCase是目前使用最为广泛的计算机取证工具，至少超过2000家的去律执行部门在使用它。EnCase是用C++编写的容量大约为1M的程序，它能调查Windows，Macintosh，Anux，Unix或DOS机器的硬盘，把硬盘中的文件镜像或只读的证据文件。这样可以防止调查人员修改数居而使其成为无效的证据。为了确定镜像数据与原的数据相同。EnCase会与计算机CRC校验码和MD5台希值进行比较。EnCase对硬盘驱动镜像后重新组织文件结构，采用Windows GUI显示文件的内容。允许调查员使用多个工具完成多个任务。 
　　在检查一个硬盘驱动时，EnCase深入操作系统底层查看所有的数据——包括file slack．未分配的空司和Windows交换分区（存有被删除的文件和其它潜生的证据)的数据。在显示文件方面，EnCase可以由多种标准，如时间戳或文件扩展名来排序。此外．EnCase可以比较已知扩展名的文件签名。使得调查人员能确定用户是否通过改变文件扩展名来隐藏证据。对调查结果可以采用html或文本方式显示。并可打印出来。 
　　在计算机取证的过程中还有一种常用的方法是在被入侵的系统上巧妙地设立HoneyPot，模拟先前被入侵的状态来捕获入侵者的信息，即采用诱敌深入的计策达到取证的目的。 
　　HoneyPot和Honeynet都是专门设计来让人“攻陷”的网络。一旦被入侵者攻破，入侵者的一切信息、工具都将被用来分析学习。 
　　通常情况下，HoneyPot会模拟常见的漏洞。而Honeynet是一个网络系统，而非某台单一主机。这一网络系统隐藏在防火墙后面，所有进出的数据都受到关注、捕获及控制。这些捕获的数据可被用来研究分析入侵者使用的工具、方法及动机。

4　当前计算机取证技术的局限和反取证技术
　　计算机取证的理论和软件是近年来计算机安全领域内取得的重大成果。然而，在实际取证过程中。我们发现目前的计算机取证技术还存在着很大的局限性。首先，有关犯罪的电子证据必须没有被覆盖：其次，取证软件必须能够找到这些数据。并能知道它代表的内容。但从当前软件的实现情况来看。许多取证分析软件并不能恢复所有被删除的文件。
　　正是由于技术上的局限性。使得一些犯罪分子认为有机可乘。因此在取证技术迅速发展的同时．一种叫做反取证的技术也悄悄出现了。反取证技术就是删除或隐藏证据，使取证调查无效。现在反取证技术主要分为三类：数据擦除、数据隐藏、数据加密。这些技术还可结合使用，使取证工作变得很困难。
　　数据擦除是最有效的反取证方法。它清除所有的证据。由于原始数据不存在了。取证自然就无法进行。数据隐藏仅在取证者不知道到哪里寻找证据时才有效。为逃避取证，犯罪者还把暂时不能删除的文件伪装成其他类型的文件或把他们隐藏在图形或音乐文件中。也有人将数据文件隐藏在磁盘的隐藏空间中。
　　加密文件的作用是我们所熟知的。对可执行文件的加密是因为在被入侵主机上执行的黑客程序无法被隐藏，而黑客又不想让取证人员有方向地分析出这些程序的作用，因此，在程序运行前先执行一个文本解密程序。来解密被加密的代码。而被解密的代码可能是黑客程序。也可能是另一个解密程序。
　　此外，黑客还可以利用Root Kit(系统后门、木马程序)，绕开系统日志或利用盗窃的密码冒充其他用户登陆。这些反取证技术给取证工作带来极大的困难。
5　结束语
　　在各种各样的计算机犯罪手段与信息安全防范技术对垒的形势下。目前的研究多着眼于入侵防范对于入侵后的取证技术的研究相对滞后。仅仅通变现有的网络安全技术打击计算机犯罪已经不能够适应当前的形式。因此需要发挥社会和法律的力量去对付计算机和网络犯罪。计算机取证学的出现和矗用是网络安全防御理论走向成熟的标志。也是相多法律得以有效执行的重要保障。

 
参考文献：
【1】高铭喧主编<新编中国刑法学>1998年版
【2】蒋平主编‘计算机犯罪问题研究)2000年版
[3] Robbim J.An Explanation of Computer Foremics http//www.computerforensics/forensics htm
[4]Farmer D,Venema W Computer Foremics Analysis Class Handouts.