对原始存储介质中提取数据的完整审查———《人民检察院办理网络犯罪案件规定》学习笔记(十七)
小编继续学习《人民检察院办理网络犯罪案件规定》:
第三十五条 对原始存储介质制作数据镜像予以提取固定的,注重审查以下内容:
(一)是否记录原始存储介质的品牌、型号、容量、序列号、识别码、用户标识等外观信息,是否记录原始存储介质的存放位置、使用人、保管人;
(二)是否附有制作数据镜像的工具、方法、过程等必要信息;
(三)是否计算完整性校验值;
(四)是否由取证人员、见证人、持有人(提供人)签名或者盖章。
第三十六条 提取原始存储介质中的数据内容并予以固定的,注重审查以下内容:
(一)是否记录原始存储介质的品牌、型号、容量、序列号、识别码、用户标识等外观信息,是否记录原始存储介质的存放位置、使用人、保管人;
(二)所提取数据内容的原始存储路径,提取的工具、方法、过程等信息,是否一并提取相关的附属信息、关联痕迹、系统环境等信息;
(三)是否计算完整性校验值;
(四)是否由取证人员、见证人、持有人(提供人)签名或者盖章。
以上两条,其实均是对从原始存储介质提取电子数据的审查规定,其基本规定相同,
首先要区分镜像提取与内容提取。先说镜像提取,有点类似将文件压缩后提取,是将特定的一系列文件按照一定的格式制作成单一的文件,以方便用户下载和使用,重要的特点是全部数据可以被特定的软件识别并可直接刻录到光盘上;内容提取则以拷贝等方式直接提取原始媒介中的全部或部分数据。
上述说的有点抽象,简单来说顾名思义,用平时的照相来比喻,镜像有点像全景照片,以镜像提取的可以将原始存储介质的系统文件、引导文件、分区表信息等所有数据信息;内容提取有点像局部照片,需要什么就照什么地方可以了。有的问镜像提取不是更好吗,所有的提取都以镜像方式好了,这样更完全。主要原因是镜像方式有的用于云存储等不宜内容提取的情形,或者宜用于提取光盘上的内容。因为镜像方式需要特定软件,在提取时有的时候就不具备镜像方式提取的条件,而且有的原始存储介质非常大有的内容没必要提取,就不必然需要镜像方式,像再好的相机也不能提供无限大的广角镜头。
一个题外话,小编年轻时候玩游戏,都会在电脑上建一个虚拟光驱,将光盘数据镜像后存入硬盘,以更好的速度游戏;也可以觉得哪张音乐CD好听,就镜像后再镜像复刻到另一张光盘上,这样保护原CD不被刮花。当然,虽然没向外传播但严格意义上这都是侵犯知识产权的行为,我们要支持正版。最常见就是将光盘镜像的方式,做成另一个后缀为 .iso或者 .cue 等的文件,可以与原光盘一样使用。
根据以上两条,实践中应注意:
一是要记录好原始存储介质的各外观信息。提取原始存储介质时,需要记录好原始存储介质的品牌、型号、容量、序列号、识别码、用户标识等外观信息,即原始存储介质其自身的详细信息;同时,还需要记录存放位置、使用人、保管人,即原始存储介质所处的外部信息。
二是无论镜像提取与内容提取,均应记载提取的方式方法,使用的提取工具,以及记录整个提取的过程。另外,内容提取因是原始存储介质中电子数据的部分,还要记录在原始存储介质中的原存储路径,比如C盘下的某某文件夹。以及是否一并提取相关的附属信息、关联痕迹、系统环境等信息,如记载原始存储介质为WINDOWS操作系统,则是否还提取了相关注册表中对该电子数据的最近访问时间等附属信息、关联痕迹。
三是计算完整性校验值,完整性校验值几乎出现在每个关于电子数据的规定中,大家也不陌生,之前小编在“电子数据如何才“完整”———《人民检察院办理网络犯罪案件规定》学习笔记(十)”也有过较详细汇报,肯请大家回看。
四是在将电子数据从原始存储介质提取过程中,相关的取证人员、见证人、持有人(提供人)是否有签名或者盖章,确认提取电子数据的合法性,以及电子数据的完整性。