問題詳情

複選題
35.在現場進行賭博網站蒐證時,前端操作人員可能位於境內,而後端機房可能架設於境外,下列現場蒐證模式何者正確?
(A)偵查人員於現場執行蒐證時,應考量案件狀況判斷是否需蒐集非揮發性資料,再行關機扣押
(B)因大部分證據均位於後端機房,故前端操作人員之外接儲存設備較無參考價值
(C)相對於後端機房的資料庫,前端透過網頁存取資料,較容易查看完整會員資料
(D)賭博網站的 IP 可做為判斷是否將機房架設於境外之情資
(E)偵查人員規劃蒐證勤務時,應明白前、後端蒐證之優勢與限制,以期完整取得偵查所需證 據資料

參考答案

答案:A,C,D,E

統計:A:323,B:14,C:231,D:348,E:373

難度:非常困難

用户評論

Tang cheng Hs】評論

刑案現場數位證物蒐證手冊第八點:刑案現場數位證物,其他處理注意事項如下(處理流程如附件三):(一)電腦主機:現場電腦應視其為開機或關機狀態,採取不同處理方式 ;蒐證伺服器時,宜指出取證範圍,並注意有時效性資料之取得。 現場蒐證完畢後,移除電源及其他連接線材。(二)行動裝置:現場查扣行動裝置,應開啟飛航模式或隔絕其通訊及網 路功能,並注意行動裝置之電量。(三)儲存裝置:勿複製任何檔案至儲存裝置,以保持證物完整性。(四)網路設備:維持網路設備運作,查看所有連接之設備(注意以無線 方式連接之行動裝置),並蒐集相關資料;確認無其他需蒐集之資 料後,中斷網路。(五)數位錄影錄音設備:應避免操作錄製動作,以防止錄製時蓋寫儲存 媒體現有紀錄。(六)電磁紀錄:刑案現場電腦為網路連線狀態時,應擷取與案情相關之 資料,包含網站資料、社群網站、部落格、即時通訊對話紀錄、網 頁郵件、雲端儲存空間、點對點分享資料(Peer-to-Peer, P2P) 等。系統入侵或駭客攻擊之案件,應注意揮發性資料之蒐集(記憶 體資料、處理程序、網路連線狀態等)。    刑案現場數位證物,主要處理原則如下: 107 103現場數位證物須小心操作,避免修改證物儲存之資料,並注意設備之電量及揮發性資料之保存。取得並記錄數位證物(含電腦、行動裝置、電子郵件帳戶、檔案等)之密碼,以利後續進行鑑識分析。勿安裝或複製任何程式、檔案至數位證物中。蒐證過程發現與案情相關之證據,應撰寫現場數位證物蒐證報告(如附件一「略」);證物為電腦主機時,應另填寫現場電腦主機蒐證紀錄表(如附件二「略」)。以標籤方式標示數位證物之廠牌、型號、序號及所有人(保管人)等資訊。刑案現場數位證物,其他處理注意事項如下(處理流程如附件三「略」): 107 106電腦主機:現場電腦應視其為開機或關機狀態,採取不同處理方式;蒐證伺服器時,宜指出取證範圍,並注意有時效性資料之取得。現場蒐證完畢後,移除電源及其他連接線材。行動裝置:現場查扣行動裝置,應開啟飛航模式或隔絕其通訊及網路功能,並注意行動裝置之電量。儲存裝置:勿複製任何檔案至儲存裝置,以保持證物完整性。網路設備:維持網路設備運作,查看所有連接之設備(注意以無線方式連接之行動裝置),並蒐集相關資料;確認無其他需蒐集之資料後,中斷網路。數位錄影錄音設備:應避免操作錄製動作,以防止錄製時蓋寫儲存媒體現有紀錄。電磁紀錄:刑案現場電腦為網路連線狀態時,應擷取與案情相關之資料,包含網站資料、社群網站、部落格、即時通訊對話紀錄、網頁郵件、雲端儲存空間、點對點分享資料(Peer-to-Peer, P2P)等。系統入侵或駭客攻擊之案件,應注意揮發性資料之蒐集(記憶體資料、處理程序、網路連線狀態等)。刑案現場數位證物之扣押,應注意事項如下: 107 106執行扣押時,以扣押整套電腦設備為宜,包含電腦主機、螢幕、鍵盤、電源線及其他連接線等設備。扣押電腦應符合比例原則,尤其網路公司應特別注意其影響層面。扣押物品時,最好使用原扣押物的包裝或紙箱,以免扣押證物受損,影響其證據力,尤其是電腦主機內含所有重要證據,更須小心拆裝搬運。光碟片、記憶卡、隨身碟等電腦輔助記憶體之數量應確實清點,詳載於扣押物品目錄表,並避免置於強光、高溫、磁場附近及灰塵場所。數位證物查扣、代保管或搬運,應於包裝盒或機體上足以改變其內資料之接口施以封緘,證物交接並應維持證物監督鏈之完整。數位證物採取後應先進行初篩程序,並評估證物送鑑刑事局之必要性,以決定送鑑之先後順序。未送鑑之證物,仍應妥善保存,視案情需要,再行送鑑。數位證物之蒐證,應符合刑事訴訟法第十一章搜索及扣押相關規定及警察職權行使法第二章身分查證及資料蒐集規定辦理。 揮發性資料volatile data:為開機狀態的即時資訊,在電源拔除後,這些資料會消逝而無法蒐集。如記憶體、處理程序及網路連線狀態等。非揮發性資料non-volatile data:儲存於媒體的資料,在電源拔除後,資料仍可從媒體中蒐集。如安全稽核記錄、系統相關組態設定、即時通訊紀錄等。 蒐集程序,首重證據蒐集的先後次序,識別數位設備之開機(系統電源開啟)或關機 (系統電源關閉)狀態後,根據情境、成本和時間等實際情況決定採用最合適的蒐集或擷取方 法。數位證據依其消逝速度,可分為揮發性資料(Volatile Data)和非揮發性資料(Non-volatile Data)。揮發性資料為開機狀態的即時資訊,如網路連線狀態、記憶體資料等,在電源拔除 後,這些資料會消逝而無法蒐集。非揮發性資料乃儲存於媒體的資料,如安全稽核記錄、系統 相關組態設定,在移除電源後,資料仍可從媒體中蒐集。由於拆卸數位設備電源或關機,儲存 媒體內的非揮發性資料會被保留,但部分揮發性資料會消失,因此如果調查案件需要揮發性資 料時,就要適用「揮發性優先」原則。揮發性資料包括隨機存取記憶體(RAM,Random Access Memory)、虛擬交換空間 (Swap Space) 和正在執行程序(Running Processes)等。為保存 證據,數位鑑識第一線處理人員,必須能分辨、及時蒐集揮發性資料,同時應詳細記錄蒐證過 程,確保所蒐集之資料具有證據能力。