常用的取证方法包括以下几种:
询问:
执法机关或律师要求当事人、证人或鉴定人陈述自己了解的案情。
讯问:
执法机关要求违法行为人、犯罪嫌疑人或刑事被告人如实交代案情。
辨认:
要求被害人或证人在若干类似的物品、场所或人中,挑选出自己曾经所见所闻的部分。
勘验:
执法人员亲临现场,发现和提取证据的专门活动。
检查:
执法机关依法对与案件有关的人身进行检验的专门活动。
搜查:
执法机关依职权对与案件有关的场所或人身进行强制性的寻查、寻找和提取证据材料的专门活动。
实验:
执法机关模拟再现犯罪现场、犯罪过程或案件发生过程的专门活动,主要适用于刑事案件。
鉴定:
专门的机构或人员利用专业技术知识和科学技术设备,对有关的专门问题进行检测,并作出鉴定结论的活动。
查询法:
审计人员根据已经掌握的专案材料,进行调查了解,征询意见,书面查询、函证,再通过比较分析后取得真实可靠的审计证据。
比较分析法:
通过对比分析,取得真实可靠的审计证据。
详查法:
对审计中发现的重大问题采用详查法。
抽查法:
对一般问题采用抽查法,即采用重点和一般区别对待的方法。
全部审计和详查法:
对被审单位内部控制制度不健全、不完善或流于形式、贯彻不力的情况下,必须采用全部审计和详查法。
抽样审计:
审计主体不同,所选择的抽样方法也有区别,内部审计一般采用判断抽样的取证方法,外部审计为减少审计风险,要采用统计抽样的方法。
文件内容调查:
在存储设备中取得文档文件、图片文件、音频视频文件、动画文件、网页、电子邮件内容等相关文件的内容。
使用痕迹调查:
包括windows运行的痕迹、上网记录的调查、Office、realplay和mediaplay的播放列表及其它应用软件使用历史记录。
软件功能分析:
针对特定软件和程序的性质和功能进行分析,常见是对恶意代码的分析。
软件相似性分析:
比较两软件,找出两者之间是否存在实质性相似的证据。
日志文件分析:
通过系统日志、数据库日志、网络日志、应用程序日志等进行分析,发现系统是否存在入侵行为或其他访问行为的证据。
网络状态分析:
取得特定时刻计算机联网状态,例如网络中哪些机器与本机相连,本机的网络配置、开启了哪些服务、哪些用户登录到本机等信息。
