由于網(wǎng)絡(luò)商品交易的虛擬性和隱蔽性，工商行政管理機(jī)關(guān)在網(wǎng)絡(luò)商品交易監(jiān)管中，對網(wǎng)絡(luò)商品交易違法行為的調(diào)查取證，往往出現(xiàn)“違法證據(jù)查不到，當(dāng)事人找不到，違法行為管不了，案件查處罰不了”的尷尬局面。再加之網(wǎng)頁、電子郵件等電子數(shù)據(jù)具有易刪除、易修改的特性，對電子證據(jù)的收集、固定和審查，往往成為查處網(wǎng)絡(luò)商品交易違法行為的瓶頸。因此，在查處網(wǎng)絡(luò)商品交易違法行為中，履行完善的取證程序，采取合理的取證方法，利用有效的取證工具，是十分必要的。針對電子證據(jù)的特點，調(diào)查取證的程序應(yīng)該分為三個階段：證據(jù)獲取、證據(jù)分析和證據(jù)鑒定。本文對取證程序各階段的取證方法和取證工具。以及調(diào)查取證方式進(jìn)行技術(shù)分析探討。

一、證據(jù)獲取

證據(jù)獲取階段的主要工作是固定證據(jù)。電子證據(jù)容易修改，一旦決定需要獲取電子證據(jù)，應(yīng)該首先進(jìn)行證據(jù)固定，防止有用證據(jù)的丟失。在本階段要求將電子證據(jù)的狀態(tài)固定起來，使之在后續(xù)的分析、陳述過程中不會改變。并能夠在法庭展示證據(jù)固定的有效性。

(一)取證方法

在采集電子證據(jù)時，應(yīng)將注意力放在計算機(jī)內(nèi)容上而不是硬件上，而且需要采集所有的數(shù)據(jù)以避免遺失線索和損害證據(jù)。取證人員將從涉案的計算機(jī)硬盤中完整采集出所有數(shù)據(jù)，通常運用硬盤克隆機(jī)或者數(shù)據(jù)獲取軟件兩種方法。

1.運用硬盤克隆機(jī)獲取證據(jù)

運用硬盤克隆機(jī)方法是從硬盤中采集數(shù)據(jù)時最直接的方法。在記錄了硬盤和主板的連接方式后，將硬盤從計算機(jī)上拆卸下來，然后用取證專用的硬盤克隆機(jī)制作原硬盤的克隆品。

硬盤數(shù)據(jù)物理復(fù)制采集按以下步驟操作：拆除將接受數(shù)據(jù)取證的原硬盤；檢測原硬盤，確保無物理故障；打開預(yù)備的目標(biāo)硬盤，對目標(biāo)硬盤進(jìn)行格式化處理，清除目標(biāo)硬盤內(nèi)所有內(nèi)容；復(fù)制原硬盤數(shù)據(jù)到目標(biāo)硬盤。

2.運用數(shù)據(jù)獲取軟件獲取證據(jù)

由于Windows會自動在檢測到的硬盤上寫入數(shù)據(jù)，因此Windows的數(shù)據(jù)獲取軟件在使用時必須結(jié)合硬盤寫保護(hù)器進(jìn)行。硬盤寫保護(hù)器通過USB或1394接口和取證計算機(jī)連接。

硬盤數(shù)據(jù)鏡像采集按以下步驟操作：拆除將接受數(shù)據(jù)取證的原硬盤：通過硬盤寫保護(hù)器將原硬盤連接到另一臺計算機(jī)上，利用計算機(jī)應(yīng)用軟件復(fù)制原硬盤數(shù)據(jù)到目標(biāo)硬盤。

(二)取證工具

證據(jù)獲取通常使用的取證工具有硬盤克隆軟件和文件瀏覽器兩種。Norton Ghost就是一個非常著名的硬盤克隆軟件，主要作用是將一個硬盤或硬盤中的某個分區(qū)原封不動的復(fù)制到另一個硬盤或其他的分區(qū)中，可以很好地支持FATl6、FAT32以及NTFS格式的文件分配結(jié)構(gòu)(其中包括Windows 2000的文件分配格式)。而文件瀏覽器是專門用來查看數(shù)據(jù)文件的閱讀工具，只用于查看而沒有編輯和恢復(fù)功能，其體積較小并可以防止證據(jù)的破壞。比較好的文件瀏覽器是Quic View Plus。

二、證據(jù)分析

證據(jù)分析階段的工作是分析證據(jù)與案件的關(guān)聯(lián)性。電子證據(jù)包含的數(shù)據(jù)量往往很大，而且數(shù)據(jù)類型往往雜亂無章，收集的所有證據(jù)需要進(jìn)行提取、整理和篩選后才能被使用。在本階段要求能夠?qū)ψC據(jù)進(jìn)行全面分析，并在全面分析的基礎(chǔ)上進(jìn)行數(shù)據(jù)挖掘和整合，使之清晰呈現(xiàn)案情相關(guān)信息。

(一)取證方法

主要的證據(jù)分析方法有：刪除數(shù)據(jù)的恢復(fù)和加密文檔的解密。

1.刪除數(shù)據(jù)的恢復(fù)

被刪除數(shù)據(jù)的恢復(fù)主要從兩個層次進(jìn)行：文件系統(tǒng)級和應(yīng)用級的數(shù)據(jù)恢復(fù)。

(1)文件系統(tǒng)級恢復(fù)

在Unix環(huán)境下刪除一個文件的過程很簡單，即首先把索引節(jié)點和文件所占用的數(shù)據(jù)塊的狀態(tài)信息標(biāo)記為空閑，然后增大目錄文件中相應(yīng)的目錄項的前一項中記錄項長度的值，繞過對被刪除目錄項的訪問，有關(guān)文件的數(shù)據(jù)和原始數(shù)據(jù)都沒有被徹底清除。

正是由于文件系統(tǒng)的上述特點。所以在計算機(jī)的硬盤中會留下大量記錄著過去曾經(jīng)發(fā)生過的文件操作的信息。當(dāng)前取證工具的作用，就是收集和分析這些殘存信息。取證工具可以從目錄文件中找到被刪除的目錄項，從中恢復(fù)出過去存在過的文件的名字，還可以從索引節(jié)點中得到有關(guān)文件的信息，如果被刪除的數(shù)據(jù)塊沒有被重新使用，它就能把文件從硬盤上找回來；即使找不回文件數(shù)據(jù)，取證者也可以從原始數(shù)據(jù)了解到文件系統(tǒng)中曾經(jīng)發(fā)生過什么。

(2)應(yīng)用級的數(shù)據(jù)恢復(fù)

除了文件系統(tǒng)級的數(shù)據(jù)恢復(fù)，還可以在應(yīng)用級進(jìn)行數(shù)據(jù)恢復(fù)。通過識別應(yīng)用文檔特征，在整個硬盤中搜索符合此類特征的數(shù)據(jù)，達(dá)到恢復(fù)數(shù)據(jù)的目的。以JPG文件恢復(fù)為例，JPEG文件頭都有特征，如果根據(jù)此類特征在硬盤上尋找所有的JPG文件，將比只從文件系統(tǒng)中恢復(fù)帶有JPG擴(kuò)展名的文件更加徹底。

2.加密文檔的解密

加密給證據(jù)分析提出了難題，像Office這樣的辦公軟件就內(nèi)置有加密文檔功能。有兩種方法可以處理類似于Office這種加密程序：密鑰搜索和多節(jié)點分布式破解。

(1)密鑰搜索技術(shù)

密鑰搜索是一種新的密碼破解方法。這種方法并不是嘗試去恢復(fù)密碼。而是通過測試所有的加密密鑰。一旦密鑰被發(fā)現(xiàn)，就可以解密文檔。以一個解密節(jié)點為例，如果速度為每秒測試100萬個密鑰，僅需要305個小時，即13天即可嘗試完所有的密鑰。如果采用多個解密計算節(jié)點同時進(jìn)行破解，則解密時間可縮短為幾天甚至是幾小時。

(2)多節(jié)點分布式破解技術(shù)

多節(jié)點分布式密碼破解是一種新的密碼破解技術(shù)，它能夠?qū)⒎浅｝嫶蠓敝氐拿艽a破解計算問題分解成許許多多小的密碼破解運算任務(wù)。并分散至多個計算節(jié)點上進(jìn)行。然后通過這些分布式的計算節(jié)點將這些密碼破解問題逐個解決。該方法可以利用多個計算節(jié)點同時進(jìn)行字典搜索、暴力破解和密鑰搜索破解，大大提高破解成功率和縮短密碼破解時間。

(二)取證工具

證據(jù)分析通常使用的取證工具有數(shù)據(jù)恢復(fù)軟件、解密軟件和磁盤鏡像三種。

R-Studio是功能超強的數(shù)據(jù)恢復(fù)、反刪除工具，支持FATl2／16／32、NTFS、NTFS5和Ext2FS文件系統(tǒng)，能夠重建損毀的RAID陣列，為磁盤、分區(qū)、目錄生成鏡像文件，恢復(fù)刪除分區(qū)上的文件、加密文件(NTFS 51和數(shù)據(jù)流(NTFS、NTFS 5)，恢復(fù)FDISK或其他磁盤工具刪除過的數(shù)據(jù)、病毒破壞的數(shù)據(jù)、MBR破壞后的數(shù)據(jù)等等。

解密軟件有AnyPassword l_3和BF Password Recovery 1.4.0.231等。AnyPassword為多種密碼獲取的集合，可獲取電腦內(nèi)一般加密后的密碼，并提供刪除密碼功能，還有一些提供了修改密碼的功能。BFPassword Recovery是郵件賬號解密工具。目前支持Outlook Express及Outlook郵件工具。只要打開郵件工具，再打開ABF Password Recovery，就會將所有賬戶，包含郵件、新聞群組等列出來，并將星號部分的密碼顯示出來。

可以滿足取證分析(即逐位拷貝以建立整個驅(qū)動器的映像)的磁盤映像軟件有SafeBack、SnapBack、Ghost、dd(UNIX中的標(biāo)準(zhǔn)工具)等。

三、證據(jù)鑒定

證據(jù)鑒定是要就電子證據(jù)與案件的關(guān)聯(lián)性進(jìn)行陳述。在此階段要求能夠證實電子證據(jù)取得的途徑、分析過程，并合理引用電子證據(jù)分析結(jié)果對案情進(jìn)行陳述。電子證據(jù)的鑒定主要是解決證據(jù)的完整性驗證和確定其是否符合可采用標(biāo)準(zhǔn)。網(wǎng)絡(luò)商品交易違法行為調(diào)查取證工作的難點之一，就是證明取證人員所搜集到的證據(jù)沒有被修改過。而電子證據(jù)又恰恰具有易改變和易損毀的特點，如腐蝕、強磁場的作用、人為破壞等等都會造成原始證據(jù)的改變和消失。所以。取證過程中應(yīng)注重采取保護(hù)證據(jù)的措施。在這一步驟中使用的取證工具包括含有時間戳、數(shù)字指紋和軟件水印等功能的軟件，主要用來確定證據(jù)數(shù)據(jù)的可靠性。

四、調(diào)查取證方式

由于網(wǎng)絡(luò)的特點，電子證據(jù)的取證方式有別于傳統(tǒng)證據(jù)，可采取以下方式：

(一)電子證據(jù)的一般取證方式

一般取證，是指電子證據(jù)在未經(jīng)偽飾、修改、破壞等情形下進(jìn)行的取證。主要方式有：

打印。對網(wǎng)絡(luò)違法案件在文字內(nèi)容上有證明意義的情況下，可以直接將有關(guān)內(nèi)容打印在紙張上的方式進(jìn)行取證。

拷貝。是將計算機(jī)文件拷貝到軟盤、話動硬盤或光盤中的方式。

拍照、攝像。如果該證據(jù)具有視聽資料的證據(jù)意義，可以采用拍照、攝像的方法進(jìn)行證據(jù)提取和固定，以便全面、充分地反映證據(jù)的證明作用。

制作司法文書。一般包括檢查筆錄和鑒定。檢查筆錄是指對于取證證據(jù)種類、方式、過程、內(nèi)容等在取證中的全部情況進(jìn)行記錄。鑒定是專業(yè)人員就取證中的專門問題進(jìn)行的認(rèn)定，也是一種固定證據(jù)的方式。

查封、扣押。對于涉及案件的證據(jù)材料、物件，為了防止有關(guān)當(dāng)事人進(jìn)行損毀、破壞，可以采取查封、扣押的方式，將有關(guān)材料置于司法機(jī)關(guān)保管之下。

公證。由于電子證據(jù)極易被破壞、一旦被破壞又難以恢復(fù)原狀，所以。通過公證機(jī)構(gòu)將有關(guān)證據(jù)進(jìn)行公證固定是獲取電子證據(jù)的有效途徑之一。

(二)電子證據(jù)的復(fù)雜取證方式

復(fù)雜取證，是指需要專業(yè)技術(shù)人員協(xié)助進(jìn)行的電子證據(jù)的收集和固定活動。多使用于電子證據(jù)不能順利獲取，如被加密或是被人為刪改、破壞的情況下，如計算機(jī)病毒、黑客襲擾等。這種情況下常用的取證方式包括：

解密。所需要的證據(jù)已經(jīng)被行為人設(shè)置了密碼。就需要對密碼進(jìn)行解譯。在找到相應(yīng)的密碼文件后，請專業(yè)人員選用相應(yīng)的解除密碼口令軟件。在解密的過程中，必要的話，可以采取錄像的方式。同時應(yīng)當(dāng)將被解密文件備份，以防止因解密中的操作使文件丟失或因病毒損壞。

恢復(fù)。大多數(shù)計算機(jī)系統(tǒng)都是有自動生成備份數(shù)據(jù)和恢復(fù)數(shù)據(jù)、剩余數(shù)據(jù)的功能，有些重要的數(shù)據(jù)庫安全系統(tǒng)還會為數(shù)據(jù)庫準(zhǔn)備專門的備份。因此，當(dāng)發(fā)生網(wǎng)絡(luò)違法，其中有關(guān)證據(jù)已經(jīng)被修改、破壞的，可以通過對自動備份數(shù)據(jù)和已經(jīng)被處理過的數(shù)據(jù)證據(jù)進(jìn)行比較、恢復(fù)，獲取定案所需證據(jù)。如果數(shù)據(jù)連同備份都被改變或刪除，可以在系統(tǒng)所有者的協(xié)助下，通過計算機(jī)系統(tǒng)組織數(shù)據(jù)的鏈指針進(jìn)入小塊磁盤空間，從中發(fā)現(xiàn)數(shù)據(jù)備份或修改后的剩余數(shù)據(jù)，進(jìn)行比較分析?；謴?fù)部分或全部的數(shù)據(jù)。

測試。電子證據(jù)內(nèi)容涉及電算化資料的，應(yīng)當(dāng)由司法會計專家對提取的資料進(jìn)行現(xiàn)場驗證。驗證中如發(fā)現(xiàn)可能與軟件設(shè)計或軟件使用有關(guān)的問題時。應(yīng)當(dāng)由司法會計專家現(xiàn)場對電算化軟件進(jìn)行數(shù)據(jù)測試(偵查實驗)。主要是使用事先制作的測試文件，經(jīng)測試確認(rèn)軟件有問題時，則由計算機(jī)專家對軟件進(jìn)行檢查或提取固定。