数据库取证

1. 公安机关办理刑事案件电子数据取证规则是什么

法律分析：电子取证是指利用计算机软硬件技术，以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。从技术方面看，计算机犯罪取证是一个对受侵计算机系统进行扫描和破解，对入侵事件进行重建的过程。具体而言，是指把计算机看作犯罪现场，运用先进的辨析技术，对计算机犯罪行为进行解剖，搜寻罪犯及其犯罪证据。电子数据取证包括但不限于：（一）收集、提取电子数据；（二）电子数据检查和侦查实验；（三）电子数据检验与鉴定。公安机关电子数据取证涉及国家秘密、警务工作秘密、商业秘密、个人隐私的，应当保密；对于获取的材料与案件无关的，应当及时退还或者销毁。

法律依据：《公安机关办理刑事案件电子数据取证规则》

第六条 收集、提取电子数据，应当由二名以上侦查人员进行。必要时，可以指派或者聘请专业技术人员在侦查人员主持下进行收集、提取电子数据。

第七条 收集、提取电子数据，可以根据案情需要采取以下一种或者几种措施、方法：（一）扣押、封存原始存储介质；（二）现场提取电子数据；（三）网络在线提取电子数据；（四）冻结电子数据；（五）调取电子数据。

2. 数字取证的基本原则和一般步骤是怎样的

数字证据的取证原则和方法

数字证据是计算机和网络科技高速发展的产物，是将法律与高科技相结合的一种新形式的证据。数字证据的取证规则、取证方式都有别于传统证据，需要通过特定的技术手段进行分析和获取，因此在数字证据的取证过程中应当注意规范取证流程，遵循一定的原则和方法。

一、数字证据的取证程序应严格规范

1.证据现场的保护。取证人员进入现场后，应迅速封锁整个计算机区域，将人、机、物品之间进行物理隔离;保护好计算机日志，对数据进行备份，切断远程控制;封存现场的信息系统、各种可能涉及到的磁介质、内部人员使用的工作记录、程序备份和数据备份;提取涉案计算机硬盘、移动磁介质、光盘等，特别应注意对当事人随身携带的存储介质的提取。

2.证据的提取和固定。提取和固定数字证据时，一个重要的原则就是确保对目标计算机中的原始数据不产生任何改动和破坏，只有这样，才能保证数字证据的真实性、完整性和安全性。在取证过程中，应在对案件有关的计算机中的数据和资料不进行任何改动或损坏的前提下进行备份，记录备份的时间、地点、数据来源、提取过程、使用方法、备份人及见证人名单并签名。

3.证据的分析。应当注意的是，所有的检查和分析工作应该在备份件上进行，以保证原始证据的可靠性和可信性。对数字证据进行数据分析，必须考虑计算机的类型，采用的操作系统，是否有隐藏的分区，有无可疑外设，有无远程控制、木马程序及当前计算机系统的网络环境。对数据进行全面的分析，还应该注意检查所有的日志文件，对在该系统上使用过的用户操作时间以及操作记录进行登记，查看可能进入或使用过该机器系统的可疑程序。

二、数字证据取证过程中应注意保持证据原始性

1.对原始数据进行备份后利用备份的数据进行分析，不能对原始数据直接进行分析。要在不破坏原始介质的前提下，对所获得的数据进行分析，从而提取出有效证据。为保证原始介质数据的完整性，在进行数据分析之前，必须对原始数据进行镜像拷贝，然后对拷贝进行分析。

2.对原始数据要进行冗余备份。数字证据在保存时应该有两个或两个以上完整的拷贝。冗余备份一方面避免了由于数字证据本身的不稳定性造成备份数据的丢失，另一方面还可以在数据分析过程中同时对拷贝文件进行调查和分析，提高取证效率。

3.在备份复制过程中，以及对备份复制的硬盘或镜像文件进行数据分析、恢复、检验时，应当使用安全只读接口，使用写保护技术进行操作。对重要证据文件还应采取必要的加密技术和数字签名等技术，并且应当记录分析过程所使用的设备型号、序列号，所使用的软件的名称、版本号、具体操作过程以及检查结果等，制作相应的工作记录或检验文书。

4.详细记录取证全程，保证证据连续性。将数字证据从获取生成之后到提交法庭作为审判依据的过程中产生的变化都进行记录和说明。在移动硬件之前，把被提取的设备在现场中的相对位置、具体外观和连接状态用照相、录像、绘图、文字的形式记录下来，用摄像机记录检验分析的全过程，尤其对解除封存状态、检查过程的关键操作、重新封存等主要步骤应当多角度录像。

5.保障硬件环境安全可靠。存储数字证据的介质必须按照科学方法保全，应该远离磁场、高温、灰尘、潮湿、静电环境，避免造成电磁介质数据丢失，防止破坏重要的线索和证据。还要注意防磁，特别是使用安装了无线电通讯设备的交通工具运送数字证据时，要关掉车上的无线设备，以免其工作时产生的电磁场破坏计算机及软盘、磁带等存储的数据。