罪线索的一个重要手段。计算机存储的各种文件信息被删除后，它们所占用的硬盘空间可能并没有被新的数据覆盖或只覆盖了一部分，从取证的角度看，这些信息可能具有一定的价值，通过技术手段把残存在计算机上的信息全部或部分再现并进行分析，得出鉴定意见，作为认定事实的依据。

三、与网络有关的电子物证的检验

（一）Web浏览器使用记录的检验

检查Web浏览器（如IE、火狐、遨游等）的下拉地址栏、浏览器历史记录、浏览器收藏夹、Cookies等使用信息，查看最近访问的网站、访问时间、访问次数，一定量的最近浏览的实际文件和WEB网页的缓存，通过浏览器可以查看这些内容。

（二）网络即时通信工具使用记录的检验

利用取证工具检查和分析电脑中安装的网络即时通信工具（如QQ、MSN、新浪UC等）是什么，送检电脑上登录过的网络即时通信工具账号有哪几个，以及各自的聊天记录、联系人列表、传送和接收的文件及图片等，并从中分析出与案情有关的各种信息。

（三）上网用户账号、密码的检验

利用取证工具提取被调查电脑中用于宽带连接的用户账号及密码信息，以用来帮助确定用户上网时间及网络浏览行为。检查具体宽带上网记录需要到网络接入商的服务器上查找。

（四）电子邮件的检验

电子邮件是互联网上的一种重要的网络服务，可以传送文字、图像、声音等各种类型的文件。通常一封完整的电子邮件包括邮件正文、邮件头和附件三个部分：

1.邮件正文指邮件撰写者撰写的邮件内容；

2.附件指跟随邮件正文一起发送的独立文件；

3.邮件头是电子邮件原始信息中的一个重要组成部分，能够描述出邮件在网络中的传输情况。邮件头查看方法：以Web方式登录涉案电子邮箱，直接查看被调查邮件的电子邮件头，注意不同邮件服务器查看邮件头的方式不一样；或者用Foxmail、OutlookExpress等电子邮件客户端打开保存到被调查机器上的电子邮件，通过邮件属性查看邮件头。最后收到的服务器排在邮件头的最上方，第一个服务器列在邮件头的最下面。从邮件头中一般可分析出发件人和收件人邮箱、邮件主题、邮件编号（Message-Id）、发件人IP地址、发件时间和时区、各个中转服务器IP地址、邮件客户端、邮件编码等信息，对调查取证有着重要意义。

电子邮件的检验内容通常有：

1．特定的电子邮件的检查

在计算机中检查出与案件有关的电子邮件及内容。随着电子邮件的普及和发展，用于收发电子邮件的工具软件也是层出不穷，主要有OutlookExpress、Foxmail等。例如，用OutlookExpress收发邮件时会把邮件保存在扩展名为.dbx的文件中。

2．确定电子邮件IP地址和发送时间

我们可以根据电子邮件头部信息分析发送时嫌疑人使用的IP地址和邮件发送时间。电子邮件在网络上传递的时间分为两部分：一是邮件在网络上运行的时间；二是邮件送达至接受者阅读的时间。容量不大的邮件通常只需数秒即可发送完毕。

3．电子邮件真实性的检验

犯罪嫌疑人采用虚假的电子邮箱帐号或者盗用他人电子邮箱账号和密码进行各种违法犯罪活动时，都需要进行电子邮件真实性的检验。我们可以根据电子邮件头部信息分析发送时嫌疑人使用的IP地址、邮件发送时间、发送邮件服务IP地址、是否采用了邮件客户端等信息，结合邮件服务器日志，以判定电子邮件的真实性。

因为电子邮件只能传送US-ASCII格式的文字讯息，非ASCII格式的档案要经过编码后才可顺利传送，收信方再用解码程序将经过编码的信息还原。

（五）IP地址的检验

在检材中，以被调查网站名称、被调查网站IP地址为条件进行搜索，以确定电脑与涉案网站的关系。如果是服务器，重点调查相关日志文件，查看被调查电脑登录时的IP、用户名、登录时间，验证与已掌握的案情是否吻合。此种检验主要用于网站攻击类案件，或者用于嫌疑人自己构建网站进行诈骗、传播淫秽物品等案件中。当然，IP地址可能被欺骗或被伪造。

四、软件功能检验

软件功能检验，是对送检软件的各项功能进行测试检验，以确认该软件是否与某种案件所用作案工具、作案过程、作案技术手段有关联。

软件功能检验包括：

（一）软件本身的功能检验。

测试检验软件是否具有某些特定的功能。

（二）软件运行结果的检验。

检验程序是否能产生预期的结果，检验这些结果的合理性。

五、软件一致性检验

软件一致性检验，是对送检检材与样本软件进行综合技术性能检测，判断两者是否同一，以确认是否构成对计算机软件的侵权。

（一）受法律保护的计算机软件内容包括

1．计算机程序和文档。计算机软件保护条例指出，计算机软件的受保护范围包括计算机程序和文档两部分，不延及开发软件所用的思想、处理过程、操作方法或者数学概念等。

计算机程序是指为了得到某种结果而可以由计算机等具有信息处理能力的装置执行的代码化指令序列，或者可以被自动转换成代码化指令序列的符号化指令序列或者符号化语句序列。同一计算机程序的源程序和目标程序为同一作品。

文档是指用来描述程序的内容、组成、设计、功能规格、开发情况、测试结果及使用方法的文字资料和图表等，如程序设计说明书、流程图、用户手册等。

2．菜单和页面设计。菜单和页面设计，单纯的菜单和页面功能是不会受到著作权法保护的，因为著作权法保护的核心是“表达形式”而不是“基本要素”，因此，著作权人应当强调的是菜单和页面的独特的组合排列形式而非本身。

3．数据库。

4．技术保护措施。

（二）软件一致性检验的内容

1．软件比对

对被检验的软件与原版软件直接进行内容对比或者目录、文件名对比。如果这两者完全一致，就可以认定该软件的使用或销售者为软件侵权者；如果并非完全一致，而只是大部分一致，就要在这个基础上进行下面的检验。

2．安装过程对比

对两套软件同时或先后进行安装，不管其安装使用的文件是不是相同，只需看其安装过程中的屏幕显示，包括软件信息以及使用功能键后的屏幕显示等是否相同。如果雷同，则可认定这两套软件的安装过程一致。

3．目录、文件属性对比

软件安装成功后，要对其安装后的目录，文件进行对比。同上述一样，进行文件比较时，首先要对其各种属性比较，包括文件名、文件长度、文件建立（或修改）的时间、文件属性四个部分。一般情况下，侵权销售者经过修改的软件与原版软件不可能在这些方面都完全一致，但是因为其修改的只是少数部分，所以两绝大部分文件的表现现象都应是一致的。

4．显示内容对比

软件安装成功后，要进行使用过程对比。使用过程中涉及的加密、解密过程暂且不去管它，只是对使用过程中的屏幕显示、功能、功能键、使用方法等进行对比，特别是对于屏幕显示，要仔细对其普通下拉、弹出菜单的方位、内容、选择项等进行对比。

5．代码对比

计算机程序指为了得到某种结果而可以由计算机等具有信息处理能力的装置执行的代码化指令序列，或者可被自动转换成代码化指令序列的符号化指令序列或者符号化语言序列，包括源程序和目标程序。源程序指的是可以由人类理解的高级语言如Ｃ语言、FORTRAN语言等组成的代码序列，它必须进行编译才能被计算机所运行。一般来讲，计算机软件单独以源程序方式向外传播的情况较少，大多是以目标程序的形式向外传播，而不向外公布其源程序。

六、文件一致性检验

文件一致性检验，是对送检的检材与样本，通过计算其哈希值，比较两者的内容是否相同，以判断文件是否被修改。

文件一致性检验的原理是：任何文件可用散列算法计算出一个哈希值；两个数据完全一致的文件其哈希值完全相同，两个数据有差异的文件其哈希值完全不同；哈希值具有单项不可逆性,不能通过哈希值恢复源文件内容。

七、文件解密检验

文件解密，是指为了获得与案件相关的有价值的信息，采用一定的技术手段使文件的加密保护措施失效。

八、数码照片属性检验

EXIF（Exchangeable image file format）是可交换图像文件的缩写，是专门为数码相机的照片设定的，可以记录数码照片的属性信息和拍摄数据。EXIF可以附加于JPEG、TIFF、RIFF等文件之中，为其增加有关数码相机拍摄信息的内容和索引图或图像处理软件的版本信息。

通过对数码照片的检验，一是查找数码照片属性信息如数码相机的制造厂家、型号、分辨率、拍摄时间、光圈、曝光时间、图片格式等，可为案件的侦破提供线索或证据，二是通过对两张或多张数码照片的检验，以确定是否为同一类型数码相机所拍照。

数码相机拍摄照片中含有EXIF信息，不同的数码相机所包含的EXIF信息是不同的，因此EXIF信息能够反映出不同型号数码相机的性能和指标。同时，如果对数码相机拍摄的照片用PhotoShop等软件处理后，其EXIF信息会随着处理软件等条件的不同发生不同程度的改变。因此，通过查看数码相机拍摄照片的EXIF信息，可以对其原始性进行检验。

进行数码照片属性检验应用的主要软件工具有：ExifReader、ExifShow、WidowsXP资源管理器摆在面前。

九、关键字检验

通过已知内容或关键字对硬盘、光盘、U盘等存储设备中的数据文件或二进制数据进行搜索的检验。

十、计算机控制的外围设备的检验

对计算机控制的外围设备和相关驱动程序进行功能检验，并查看程序中的数据，为破案提供线索或证据。随着计算机控制技术的发展，计算机能够控制各种各样的设备，如日常用的打印机、扫描仪等；还有一些特殊用途的设备，如刷卡机、提款机、刻章机等。通过计算机和外围设备连接检验其所能达到的各种功能。根据相关程序中的日志文件查到与案件有关的蛛丝马迹。

十一、手机的检验

手机中电子数据的检验是对存在于手机机身内存、SIM卡和外接扩展存储器内的电子数据进行提取分析，整理出有价值的案件线索或能被法庭所接受的证据的过程。手机电子数据证据主要来自手机机身内存、SIM卡和外接扩展存储器。

十二、其他电子设备中电子物证的检验鉴定

以计算机技术为核心的电子设备的检验，设备虽然不是计算机但主要是以集成电路、芯片技术为核心的电子设备，如掌上电脑、掌上读、大型游戏机、彩票投注机等。对该类设备检验若能将设备与计算机建立联系，可将其有关数据读入计算机中进行检验。

1．对可编程控制器的检验：编译好的目标文件被烧录在可编程芯片中，可用通用编程器对检材和样本中的目标文件（二进制文件）读取后进行对比检验。

2．对掌上电脑、掌上读的检验：可与台式计算机连接或直接进行检验，检验方法与对计算机的检验类似。

3．其他电子设备的检验，可根据案件的需要具体分析获得有价值的案件信息。

第二节电子物证检验条件

在开展电子物证检验与分析工作时，要严格保证人员条件和实验室条件，使得该项工作能够顺利有效地进行。

一、人员条件

从事电子物证检验与分析的人员，应该具有从事电子物证检验与分析所需的专业知识和工作经验，经过公安司法部门的专业培训并考试合格，取得公安司法部门颁发的《电子数据鉴定人资格证书》方可从事电子物证检验与分析工作。另外，根据检验鉴定需要，也可以聘请相关学科的专业人员参与电子物证检验与分析工作，但需要与公安司法部门签订保密协议。

电子物证检验与分析人员应具有良好的职业道德，应当依法独立、客观、公正地进行鉴定，并对自己做出的检验鉴定结论负责。电子物证检验与分析人员应当保守在检验过程中知悉的国家秘密、商业秘密，不得泄露个人隐私。同时在检验活动中应当依照有关诉讼法律规定实行回避，经人民法院依法通知，应当出庭作证，回答与鉴定事项有关的问题。

二、实验室条件

1.环境条件

实验室的设施、检验场地及能源、照明、通风、温度湿度应满足检验需要；对可能影响检验结果的各种因素如电磁干扰、电源电压波动、噪声及其他强烈的震动要给予足够的重视，在相邻区域内的工作相互之间有不利影响时，应采取隔离措施。实验室应配置停电、防火等应急措施；对进入实验室的人员应有明确的控制和限制；电子物证检验实验室内部分区要明确，分为设取证/获取区、数据恢复区、鉴定分析区、中心设备区、卷宗介质保存区等。

2.实验室的设备条件

（1）硬盘复制设备。新型的硬盘复制设备除具备硬盘复制功能外，还实现哈希值校验、制作硬盘DD Image镜像文件等操作。还可实现在不拆卸被调查计算机硬盘情况下，利用光盘或U盘启动对方计算机或直接进入系统进行硬盘复制。

（2）只读锁。只读锁从硬件层阻止了写入通道，能有效保护存储介质中的数据在获取以及分析过程中不会被修改，从而保证司法有效性与数据完整性。

（3）数据擦除设备。它可以彻底地擦除存储介质（如USB存储设备、数码存储卡、IDE硬盘、SATA硬盘等）中的数据，防止因电子数据被恢复而造成信息泄露和用于复制的目标盘与源盘之间数据污染。

（4）动态仿真设备。针对目标硬盘动态取证需求的取证系列产品。系统采用虚拟仿真