一、核查取证的概念

  本文所谓的核查取证是针对电子数据的取证技术，核查取证是指以计算机技术及工具为基础，从计算机系统和相关外设以及互联网中获取与案件有关的数字证据，为涉及计算机的刑事、民事、行政案件提供证据支持。核查取证是电子数据取证的一种特殊类型，是指相关部门或者其委托的特定机构，对于涉嫌违反法律法规案件中的计算机、网络系统或其他电子设备，通过有关计算机技术和工具，对证明是否存在违反法律法规行为的电子证据进行提取和确认的过程，以证明违法违规事实。

二、核查取证遵循的原则

  我国对有关电子数据取证原则有不同的论述，为了保证获取证据的合法性、客观性、和关联性，规定了以下原则：

(1) 依法取证

  任何证据的有效性和可采用性都取决于证据的客观性、与案件事实的关联性和取证活动的合法性。取证活动的要素构成是指参与取证活动全过程、决定或影响取证结果的各个方面或因素，包括主体合法、对象合法、手段合法、过程合法。

(2) 无损取证

  证据材料必须能够客观、真实地放映案件事实，才能成为有效的诉讼证据，作为定案的依据。

(3) 及时取证

  这一原则要求计算机证据的获取要有一定的时效性，电子证据从形成到获取之间间隔的时间越长，被删除、毁坏和修改的可能性就越大。因此，确定取证对象后，应该尽可能早地获取电子证据，保证其没有受到任何破坏和损失。

(4) 全面取证

  全面取证就是在取证过程中要认真分析电子证据的来源，并进行全方位、多角度的取证，使获取的证据相互印证，形成完整的证据链。

(5) 取证连续性

  为了在法庭上能证明整个调查取证过程的合法性、真实性和完整性，电子证据从最初的获取状态到法庭提交状态(包含证据的移交、保管、开封、拆卸等过程)如果存在任何变化，必须明确说明此过程中无人对证据进行恶意的篡改，这就是取证过程中的“证据连续性”原则。

三、核查取证技术的分类

  由于电子数据的复杂性和多样性，核查取证技术分类方法不尽相同。针对不同的取证对象，核查取证技术可以分为计算机取证、网络取证、移动设备取证、云计算取证、数据库取证和取证数据分析等技术体系。从取证过程方面来看，核查取证技术可以分为电子证据检测技术、物理证据获取技术、电子数据收集技术、电子证据保全技术、电子证据处理与鉴定技术以及电子证据提交技术等技术体系。

关键技术分为现场勘查技术、远程勘验技术、取证分析技术、核查实验技术4种技术体系。

(1) 现场勘查技术体系包括:现场电子数据保护技术;电子设备识别保护技术;电子数据固定与提取技术(数据镜像、数据完整性校验、易失性数据提取、网络通讯数据提取等技术)。

( 2 )远程勘验技术体系包括:网络数据在线提取技术(动态与静态网页提取、互联网交互信息提取、文件提取等技术);远程主机数据提取技术(权限获取、操作系统信息提取、日志提取、存储文件提取、数据库提取等技术);云平台数据提取技术(云平台信息收集、虚拟主机数据提取、镜像文件提取等技术)。

(3 )取证分析技术体系包括:计算机终端分析技术(特种木马分析、违规外联分析、介质交叉使用分析、文件搜索分析、日志分析、端口分析、服务分析、进程分析等技术);移动智能终端分析技术(蓝牙使用分析、备份文件分析、镜像文件分析、图片文件分析、SIM/SD卡分析、应用软件分 析等技术) ;邮件分析技术(邮件格式解析、邮件关联分析、恶意邮件分析等技术);网络设备/工控设备/嵌人式设备分析技术(端口分析、服务分析、日志分析、特种木马分析、固件分析等技术);数据恢复技术(物理修复、逻辑修复、口令破解、数据解码等技术)。

(4) 核查实验技术体系包括:仿真技术(计算机系统仿真、网络环境仿真、智能终端系统仿真等技术) ;重构技 术(网络重构、数据库重构等技术) ;重现技术(程序功能重现、网络服务功能重现、硬件功能重现等技术)。

四、核查取证的地位和作用

  电子数据的核查取证是为了证明案件事实。随着网络窃密泄密行为越发隐蔽和复杂，核查取证已成为发现窃密行为和泄密隐患的重要技术之一，是维护国家秘密安全的重要手段。《中华人民共和国保守国家秘密法》第四十二条规定:“保密行政管理部门依法组织开展保密宣传教育、保密检查、保密技术防护和泄密案件查处工作，对机关、单位的保密工作进行指导和监督”，保密行政管理部门从事保密检查和泄密案件查处业务基本都要涉及核查取证工作。在涉及计算机等信息设备的违法案件中，电子数据技术核查取证的相关结果已经成为界定案件性质、分清主次责任、确定处理标准的关键要素。