计算机取证：收集物理证据

在犯罪证据收集阶段过程中，取证是一个非常关键的步骤。被收集到每一个证物都必须妥善保存，并且要真实地标注出证物的相关信息，比如采集地点，采集时间，送入法院的时间等。如果没有仔细的对待证物收集过程以及管理过程，有可能会导致一个或多个关键证物在法庭上失去其法律意义。

当一个物品被认定为证物时，必须要为其添加一个标签。为证物添加标签可以帮助我们识别收集到的大量证物。最小的标签可能只是一个贴纸，上面标明了日期，时间，控制编号，调查者或者证物收集者的姓名。采用控制编号的目的是可以让我们在大量的证物文献中快速找到所需证物的文献资料。一个标签还可以包含更多的内容，比如证物的基本信息，所发生的案件或者意外事故的背景信息等。图A是美国司法机构常用的证物标签。
 

图A

需要添加标签的证物类型包括：

◆可移动的媒体
◆线缆
◆出版物
◆各种计算机设备，包括外设
◆从垃圾堆中发现的物品
◆其他杂物 (比如日记或者报表 )

当证物被加上标签后，调查人员应该对其再次拍照，保留带有标签内容的证物照片。当针对所收集的证物以及该证物的处理过程进行归档时，这些照片是非常有用的。在对于计算机设备进行拍照时，调查人员应该从多个角度拍摄多张照片，并包含各种接口的照片。如果有线缆连接在计算机设备的接口上，应该在拍照后再拔下来。另外，再拍摄接口照片时，最好清晰的标明每个接口线缆的连接设备。

在拍摄完证物的照片后，就要将证物封存在袋子中。将证物封存在口袋里可以帮助在证物传送，存档以及法庭呈现过程中保护证物不被破坏。注意在保存磁介质证物或通信器材证物时，要采用防静电防磁的电磁屏蔽型塑料袋。这样可以保护证物中存储的数据安全，并且防止通信器材收发信息或其他数据。

图B是一个标准的密封证物袋。虽然还有其它更正式的证物袋，但是对于简单的证物，标准密封袋就很好了。
 

图B

当证物被存入口袋后，应该同时附上一个证物看护文档。这份文档提供了有关证物保存的重要信息，包括提交证物的调查人员姓名，证物传递过程，以及证物传递中的经手人。这里有一个我曾经使用过的PDF版本的证物看护文档。每一次证物的转移或管理过程都要被记录在案。 另外，证物看护文档也要妥善保存，一般来说，都会附在证物口袋内。

首先将单独的证物保存在一个小储藏室，等证物收集的较多时再统一运送到更大的证物存储地点是一个不错的方法。它可以保证同一批证物的完整性以及减少证物再传送过程中的丢失情况。再将证物临时存放在小储藏室的时候，我们需要注意：

◆证物在运输过程中防止车辆或路面颠簸问题造成证物损坏。
 
◆运输证物的车辆需有人看护证物。受到客观环境的破坏，证物看护文档有可能在证物到达存储地点前损坏。

◆注意避免温度或者湿度等自然条件对证物的影响。

在证物到达存放地点后，应该被保存在一个带锁的安全房间内，并且房间内应该设有陈列柜，或者保存在一个出入受到严格限制的房间。简单来讲，为了确保证物传递环节的清晰明确，应该由专人对证物的接收，保管负责，并且签署各种与证物有关的单据。这种人被称作证物报关员（evidence custodian），他应该对所采集的证物的保存负完全责任。

在本系列的下一篇文章中，我们将介绍如何从电脑或笔记本电脑中获取电子证据。

（责任编辑:陈毅东）