现场勘验检查,是指在案发现场实施勘验,以提取、固定现场存留的与本案有关的电子证据和其他相关证据;
应当由县级以上公安机关相关部门负责组织实施,必要时,可以指派或者聘请具有专门知识的人参加。
问题:如何保证现场获取的电子证据的法律效力?
1.遵循相关法律法规
2.使用经认证的取证设备
3.正确的取证方法
4.人员资质
5.遵循标准的取证流程
现场勘查的四大原则
原则1 只读原则(只读锁)
原则2 避免使用原始证据原则 -- 后续取证分析过程都是基于副本进行
原则3 记录所做的操作
原则4 遵循相关的法律法规
在现场勘查发现计算机,处理计算机总的原则:
如果计算机处于开机状态,别立即关机
如果计算机处于关机状态,别去开启系统(进入BIOS记录机器当前时间)
问题:如何快速准确的判断台式机、笔记本是否处于开机状态?
台式机:
-
观察电源指示灯:大多数电脑在开机状态下,电源指示灯会亮起。
-
听风扇声音:开机状态下,电脑的风扇通常会运转,可以听到轻微的风扇声。
-
检查硬盘指示灯:如果硬盘指示灯在闪烁,说明电脑可能在读取数据,处于开机状态。
-
观察屏幕:如果屏幕亮起并显示内容,那么电脑肯定是开机的。
-
触摸外壳:开机状态下,电脑的外壳可能会有轻微的热度。
-
远程唤醒:如果电脑支持远程唤醒功能,可以通过网络远程发送唤醒信号。
-
使用软件工具:有些软件工具可以远程检测电脑是否开机。
-
检查网络连接:如果电脑连接到网络,可以通过网络工具检查其是否在线。
-
使用物理开关:检查电脑的电源开关是否处于开启状态。
-
尝试键盘操作:如果电脑处于睡眠或休眠状态,按下任意键可能会唤醒电脑。
-
使用BIOS/UEFI功能:某些BIOS/UEFI设置允许远程查看电脑状态。
-
使用操作系统的电源管理设置:查看操作系统的电源管理设置,了解电脑的当前状态。
笔记本:
1.检查键盘背光:如果键盘背光灯亮起,通常意味着电脑是开机的。
2.检查触摸板:如果触摸板响应触摸,电脑很可能是开机的。
3.检查无线指示灯:如果无线网络指示灯亮起,电脑可能已经开机。
4.尝试充电:如果电脑在充电,通常指示灯会显示充电状态。
在线取证固定:
1.易失数据的固定
拍照以记录系统当前的运行状态,及时间信息等
物理内存的固定
2.即时通讯数据提取
对正在运行的即时通讯程序,应及时导出相关聊天记录及联系人信息,如:微信、QQ、MSN、新浪UC、雅虎通、移动飞信等
3.加密容器
应检查对象机器是否加载了虚拟容器软件,如TrueCrypt、Private Disk、PGP、BestCrypt等
在线进行证据固定、存成镜像文件(E01、dd)
4.硬盘加密
对Win11、Win10、Vista、Win7、Win8系统需检查是否用了Bitlocker全盘加密技术
进行证据固定、获取镜像文件(E01、dd)
扫一扫
5414
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
