关键词: [12]chris prosise&kevin mandia,incident response:investigating computer crime，osborne/mcgraw-hill，2001，pp.87-130.
[13]technical working group for electronic crime scene investigation,“electronic crime scene investigation:a guide for first responders”2001,available at http://www.ojp.usdoj.gov/nij/pubs-sum/219941.htm.
[14]mark reith，clint carr&gregggunsch,“an examination of digital forensicmodels”，3 international journal of digital evidence（2002），p.8.
[15]brian carrier&eugene h.spafford，“getting physical with the digital investigation process”，2 international journal of digital evidence（2003），pp.5-12.
[16]转引自丁丽萍、王永吉：《多维计算机取证模型研究》，载《计算机安全》2005年第11期。lOCALhoST
[17]同注[16]。
[18]参见李炳龙、王清贤、罗军勇、刘镔：《可信计算环境中的数字取证》，载《武汉大学学报》2006年第5期。
[19]参见郝桂英、刘凤、李世忠：《网络实时取证模型的研究与设计》，载《计算机时代》2007年第4期。
[20] 参见刘品新：《论计算机搜查的法律规制》，载《法学家》2008年第4期。
[21]这里所谓的“抽象”，是指该模型适用于各种电子取证方法；所谓的“司法程序”，是指该模型立足于我国现行的司法程序制度。
[22]当时使用的是" computer forensics" ，即狭义的电子证。
[23] 参见许榕生：《国际计算机取证的操作规程标准化动态》，载《金融电子化》2003年第9期。这20项标准或规则如下：（1）取证分析与检查规程和协议的研究和评估一样，应当由持有资格证书的人员操作。他应当胜任取证工作，具有技术和科学方法，其道德品质也应当是无可置疑的；（2）无论何时设计出一种新的取证检查规程，使用前都应先对它进行鉴定和测试；（3）取证的最低要求应当提前制定并作准确说明；（4）技术标准应当保证获得最低要求的证据；（5）取证的操作规程应当与所制定的标准相符；（6）取证的操作规程和标准应当得到相关科学团体的认可，并应进行定期的复查；（7）取证工具应当获得许可证或授权才能使用，这些工具应当得到业界的认可或能通过科学评测；（8）应当确立对私人数据的访问权限（如在取证过程中，允许取证专家访问所有的私人数据），检查规程应当保障这些相关的权限；（9）取证检查应当根据某种标准模型得出结论；（10）取证专家应当对其检查结果和获得的证据负法律责任；（11）当某位取证专家在法律上不允许执行取证检查时（如当该取证专家与犯罪者有血缘关系时），应当提前通知；（12）为减少个人因素对结果的影响，取证检查人员应当不少于二人；（13）为确保取证专家准确而高效地工作，应当保证有一个良好的取证环境，特别是取证检查所需的设备和材料；（14）取证专家必须以科学的态度得出结论，即结论不能存在其他可能性；（15）无论何时对证据进行分析，取证检查都应当作为调查工作中必不可少的一部分；（16）应当保存取证证据，以进行第二次分析；（17）在取证专家到来之前，应当对现场进行保护。任何发生的变动都应当作出报告；（18）可以使用照片、图纸、图表等，以使检查结果尽可能地详尽；（19）应当事先获得对计算机的搜查证；（20）要确立在没有计算机搜查证的情况下取证的规章制度。
[24]ioce ，“g8 proposed principles for the procedures relatingto digital evidence”，available at http://www.ioce.org/core.php？id=5.
[25]同注[13]。
[26] 参见乔洪翔、宗森：《论刑事电子证据的取证程序——以计算机及网络为主要视角》，载《国家检察官学院学报》2005年第6期。
[27]参见丁丽萍、王永吉：《计算机取证的相关法律技术问题研究》，载《软件学报》2005年第2期。
[28]参见何家弘主编：《证据调查》（第二版），中国人民大学出版社2005年版，第162页。
[29]关于我国应当建立的电子证据原件规则，参见刘品新：《论电子证据的原件理论》，载《法律科学》2009年第5期。
[30] see supra note[10]，p.10.这九个方面具体包括：（1）严禁在收集、存储和分析过程中改变原始的电子证据（包括只在电子证据复制件上分析、对电子证据原件进行防篡改加密等）；（2）在收集、存储和分析电子证据的过程中严格作书面记录，记录的内容要特别包括收集到了何种电子证据，在何处收集到的电子证据，在收集之前、存储之际和检验之后何人接触过电子证据，电子证据是如何收集和存储的（包括所使用的工具和方法），电子证据是在何时收集的，等等；（3）对电子证据的任何改变作书面记录和解释，必要时建立稽核程序；（4）保持电子证据的连续性；（5）对有争议的电子证据进行完全复制；（6）复制电子证据的方法必须足够可靠（如可借助独立的哈希函数进

[1] [2] 下一页