在民事案件中,特別是在經濟糾紛案件中,“法醫”的地位也存在。收集和分析各種財務報告、合同和報表,作為訴訟證據。負責收集證據的人實際上是一家商業調查公司。
據武漢商業調查公司,隨著計算機的普及,越來越多的證據是數字化和電子化的。這給商業調查公司帶來了一個難題——如何收集數字證據?
數字取證檢查員使用一系列技術從計算機中查找數據,通常用于恢復已刪除、加密或損壞的文件(圖形、文檔、圖像等)。
所有這些信息都至關重要,尤其是在獲取證據或準備刑事或民事訴訟的過程中。要恢復的大部分信息可能無法在簡單刪除的文件中找到。它可能隱藏在其他數據文件中,如HTML、電子郵件條目和從硬盤區域(如虛擬內存、可用空間或回收站)恢復的信息。
根據武漢商業調查公司的經驗,在收集數字證據時,我們應注意以下三項:
收集和保存數字證據的方式對于任何調查或法律事務都至關重要。
首先,企業必須在其律師的幫助下,確定其是否擁有收集存儲在感興趣的電子設備上的數據的合法權利。
計算機硬盤和大多數形式的數字媒體在每次訪問和修改時都有時間戳。為了保存上次使用的證據,必須關閉設備,拔下電源線,如果可能,將其存放在安全的位置。盡管IT人員有所了解,但他們只能通過使用設備或將設備重新分配給另一名員工來無意中更改調查中的關鍵數據。
所有嫌疑犯和證人都應從存放電子設備的一般區域撤離。如果無法做到這一點,則應在正常工作時間之后,在沒有嫌疑人和證人在場的情況下收集或保存電子證據。此外,在可能的情況下,不應告知嫌疑人和證人正在從分配給他們的電子設備收集證據。
如果無法將電子設備轉移給調查公司,審查員應使用公認的數字方法在現場對設備進行成像或復制。請記住,此過程的長度取決于硬盤驅動器的大小和成像的數據量。
第二,在對電子設備所載數據進行任何工作之前,應收集與調查有關的所有信息。這包括密碼、識別使用的操作系統類型、屏幕名稱、電子郵件地址、感興趣的軟件程序等。
應徹底搜查電子設備位置附近的區域,以尋找任何證據。數字取證檢查員定期拍攝整個工作區,尋找替代數據存儲設備或使用它們的跡象。外部硬盤、軟盤、USB閃存、SD卡和讀卡器、錄音機、數碼相機甚至iPod可用于存儲可能與調查有關的數據。
應使用保管鏈清單記錄任何電子設備的收集情況。保管鏈應注明接收電子設備的日期、人員姓名、授權發放電子設備的人員姓名、電子設備的詳細說明以及任何識別信息,如序列號。還應拍攝電子設備的時間戳照片。如果無法在現場執行從電子設備(如筆記本電腦)收集的數據,客戶可以將電子設備發送給檢查員。裝運前應拍攝設備照片,并附上描述裝運電子設備的附信。貨物應該是可追蹤的,而且包裝時要特別小心。