電子數據司法鑑定

電子數據司法鑑定

電子數據司法鑑定是一種提取、保全、檢驗分析電子數據證據的專門措施。也是一種審查和判斷電子數據證據的專門措施。它主要包括電子數據證據內容一致性的認定、對各類電子設備或存儲介質所存儲數據內容的認定、對各類電子設備或存儲介質已刪除數據內容的認定、加密檔案數據內容的認定、電腦程式功能或系統狀況的認定、電子數據證據的真偽及形成過程的認定等。

原則

作為鑑定學的一個分支,電子數據司法鑑定的法律屬性首先決定了其整個活動都必須遵守我國相關法律法規的規定;同時,作為一種特殊的科學技術活動,電子數據鑑定又有其具體原則的要求。

(一)合法原則

這一原則要求電子數據司法鑑定在業務範圍、鑑定程式和技術標準上的規範化和制度化。這又包括兩方面內容:

1.行為合法原則:這是針對鑑定人的要求。電子數據司法鑑定人首先必須經過專門培訓;應該做到及時鑑定,防止電子數據隨時間推移而改變,我國公安部出台的《公安機關電子數據鑑定規則》指出電子數據“應當在十四個工作日內完成檢驗鑑定”;做到保證電子數據在整個鑑定程式中真實完整地保存,注意保存環境並防止人為破壞;做到對電子數據的多備份,這是客觀有效鑑定電子數據的解決方案;做到按照法律法規的規定進行鑑定活動並為鑑定的每一個步驟拍照和記錄。

2.狀態合法原則:這是針對電子數據狀態的要求。電子數據應該有多個備份,應該遠離高磁場、高溫、灰塵、積壓、潮濕等,應該儘量保持與目標系統的最初狀態一致或改變最小。之所以把狀態合法原則單列出來,是因為進行監督和檢查時只需要根據電子數據是否保持了上面所說的狀態,就可以直接判定電子數據鑑定活動是否破壞了合法性原則。

(二)獨立原則

電子數據司法鑑定人在不受外界干擾的情況下,獨立表達鑑定意見,根據所得實際結果作出科學判斷,鑑定結果是獨立意志的體現,鑑定人只服從於科學和法律。

(三)監督原則

電子數據司法鑑定需要監督機制,包括兩方面:

1.偵查人員監督:電子數據的移交、保管、開封、拆卸以及分析等各個階段都要由偵查人員監督執行,並由鑑定人與監督人共同簽名承擔責任。

2.社會監督:公開要求社會監督的介入,力求防止和克服腐敗。電子數據鑑定是符合正義的活動,社會監督,可以最大限度地體現公平正義。

步驟

電子證據的取證涉及對電子證據的保存、識別、提取、歸檔和解釋,以作為證據或作為動機分析的依據。電子證據取證工作需要遵循一種明確的、嚴格定義的方法和程式,對於非同一般的事件又需要靈活機動的處理,不可墨守成規。

電子證據取證和其他類型傳統證據的調查取證工作有所不同。傳統的暴力案件現場需要拍照,搜尋證據、供比對的樣本,並且需要控制樣本以便和證物對照。電子證據的調查工作當中也存在類似的工作。但許多時候,調查人員需要對整個系統(無論是單機還是大容量的磁碟陣列伺服器甚至是整個網路)進行重建,這是不同於傳統證據取證但在電子證據取證中常見的工作。

取證的步驟是相對固定的,一定時期內不會隨著計算機技術的量變而改變,除非計算機技術產生了質變。取證步驟可以概括為:①在不對原有的證物進行任何損壞或改動的前提之下獲取證據(Acquire)。②證明所獲取的證據和原有的數據是相同的(Authenticate)。③在不改動數據的前提之下對其進行分析(Analyze)。

標準

在《 布萊克法律詞典》中,證據的可采性(Admissibility)是指“可提交法庭或法官極有可能接受它,即允許其在法庭上提出的品質”。而證據採用標準是世界各國爭論已久的問題。近年的司法實踐證實,如果鑑定過程和結論能夠保證證據的關聯性、客觀性和合法性,就可採用。

(一)電子數據鑑定的關聯性標準

關聯性是證據的自然屬性,是證據與案件事實之間的必然聯繫。電子證據如果在一定程度上能夠對案件事實產生實質性影響,法庭應當裁定其具有關聯性。反之,如果某電子數據無法證明與案件事實的任何一個方面存在相關性,則此數據不具備電子證據的關聯性,不能作為訴訟、定案的依據。許多情況下,單個電子證據不能證明案件的全部事實,但只要能證明案件事實的某個方面,同案件事實之間就存在一定的聯繫,可以成為證據鏈條中的一個環節,法庭同樣應當裁定其具有關聯性。

(二)電子數據鑑定的客觀性標準

客觀性也可稱為真實性。一般來說,電子證據較難被認定為傳統意義上的“原件”,但若能保證電子證據從最初的獲取收集,一直到作為訴訟證據提交使用的全部過程中,其內容沒有任何變化,則該電子證據就具有客觀性或真實性。訴訟實踐時,既要考慮電子證據的生成過程是否科學客觀、是否符合邏輯,又要考慮電子證據的表現形式是否被偽造、變造或剪輯、刪改過。如我國《電子簽名法》第8條規定:“審查數據電文作為證據的真實性,應當考慮以下因素:①生成、儲存或者傳遞數據電文方法的可靠性。②保持內容完整性方法的可靠性;用以鑑別發件人方法的可靠性;其他相關的因素。”

(三)電子數據鑑定的合法性標準

合法性是指只有採取法定形式,具有法定來源,由法定主體以合法手段取得的證據材料,才具有證據能力。電子證據的獲取、存儲、提交等環節均應合法,對國家利益、社會公益和個人隱私等基本權利不構成嚴重侵犯。以非法手段扣押、蒐集、獲取的電子證據,由不具備計算機司法鑑定能力資質的單位和個人提取的電子數據、出具的鑑定意見,在收集、整理、提交等鑑定實施過程中可能影響證據客觀真實性的電子證據等,均應被視做“毒樹之果”而不被採納。

技術

依據電子證據的載體和來源,大體可劃分為“基於單機和設備的電子證據”和“基於網路的電子證據”兩種。

一、基於單機和設備的電子數據司法鑑定技術

單機取證技術是針對一台可能含有證據的非線上計算機等電子設備進行證據獲取的技術,包括存儲介質的證據保全技術、數據恢復技術、隱藏數據的再現技術、加密數據的解密技術和數據挖掘技術等。

1. 證據保全技術。在對單機或設備進行電子數據司法鑑定時,必須進行證據保全,儘可能使用克隆數據而不使用原始檢材進行分析。克隆就是對原始檢材進行位對位的複製,原始檢材中的內容不會丟失、遺漏,也不會被修改,包括被刪除的檔案、未分配空間、列印緩衝區、數據殘留區和檔案碎片等。目前常用的方法是將單機與設備中的存儲介質取下,使用克隆設備進行的克隆備份。

不便克隆的檢材可先通過唯讀設備與之連線,然後計算Hash值。Hash譯作“散列”或“哈希”,是把任意長度的輸入,通過散列算法變換成固定長度的輸出,該輸出就是散列值,被廣泛用於加密和解密技術上。任何一個存儲單元,比如說一個檔案,無論是可執行程式、圖像檔案、臨時檔案或者其他任何類型的檔案,也不管它體積多大,都有且只有一個獨一無二的Hash值,並且如果這個檔案被修改過,它的Hash值也將隨之改變。因此,我們可以通過對比同一存儲單元的Hash值,來校驗這個存儲單元是否被“篡改”過,即可以用來驗證兩個存儲單元是否一致。

2. 數據恢復技術。通過數據恢復技術,可以將被直接刪除的數據及少量次數覆蓋刪除的數據,全部或部分還原出來。數據恢復技術並不能保證100%成功,其成功率與存儲介質、存儲原理、存儲格式、是否覆蓋以及覆蓋次數密切相關。

3. 加密解密技術和口令獲取。取證在很多情況下都面臨如何將加密的數據進行解密的問題。目前的加密解密算法及工具很多,計算機取證中使用的密碼破解技術和方法主要有:①密碼破解技術。包括口令字典、重點猜測、窮舉破解等技術。其中口令字典一般是基於軟體的,而且已經有了多種字典可供使用。②口令搜尋。包括物理搜尋(在計算機四周搜查可能有口令的地方)、邏輯搜尋(在文檔或電子郵件中搜尋明文的口令)和網路竊聽(從網路中捕獲明文口令)。③口令提取。許多Windows的口令都以明文的形式存儲在註冊表或其他指定的地方,我們可以從註冊表中提取口令。④口令恢復。使用密鑰恢復機制可以從高級管理員那裡獲得口令。

4. 隱藏數據的再現技術。信息隱藏技術是保密通信技術的一種,它把需要隱藏的內容嵌入圖像、音視頻或其他類型的檔案中,進行傳輸和存儲,電子數據司法鑑定時,就需要將這些被隱藏起來的證據信息還原出來。主要的技術有隱藏信息檢測與算法還原,即分析檢材中的相關信息中是否含有隱藏信息以及將這些隱藏信息通過各種還原算法還原出來。

5. 信息搜尋與過濾技術。電子證據具有形式多樣、載體豐富、位置隱蔽、結構複雜的特性,有重要價值的證據信息,往往分散和隱藏在浩瀚的無用數據之中,且相互之間又具有各種關聯性,所以必須使用信息搜尋、過濾和挖掘技術,快速定位電子證據。這方面的技術主要有數據搜尋引擎技術、數據過濾技術、數據挖掘技術等。

6. 逆向工程技術。逆向工程技術用於分析目標主機上可疑程式的行為,從而獲取證據。逆向工程通常採用常用的反彙編工具與軟體調試工具。

7. 晶片數據提取技術。電子證據可能存儲在各種辦公或個人電子設備中,如傳真機、複印機、無線路由器、手機等。該類設備中的晶片(如筆記本中的BIOS數據晶片、無線路由器晶片、手機記憶體晶片)都可能存儲涉案的電子證據。晶片可分為易丟失數據型和不易丟失型晶片,包括RAM、ROM、Flash等各種類型。晶片數據提取的手段較少,取證難度較大。通常可採用不同類型的晶片編程器來進行數據提取,然後再利用工具軟體或手工對提取的數據進行解析或解碼。

二、基於網路的電子數據司法鑑定技術

所謂網路取證技術就是在網上跟蹤犯罪分子或通過網路通信的數據信息資料獲取證據的技術。包括IP位址和MAC地址的獲取和識別技術、身份認證技術、電子郵件的取證和鑑定技術、網路偵聽和監視技術、數據過濾技術、漏洞掃描技術等。應該說,在網路的犯罪13益猖獗的今天,網路取證技術在計算機取證技術中占有舉足輕重的地位。

1. 網路環境下的證據保全技術。由於鑑定對象與網路相連線,相關數據信息時刻都在改變。因此在網路環境下的鑑定,一定要注重證據的實時保全,隨時導出、備份需要鑑定的信息,同時對這些備份信息進行Hash校驗,以保證這些證據信息的客觀真實性。

2. 日誌分析技術。在基於網路的電子數據司法鑑定中,通常使用日誌分析技術,了解某時段的CPU負荷、IP來源、惡意訪問、系統異常、用戶操作記錄和習慣等重要信息。

3. 數據捕獲技術。在諸如網路入侵一類的案件中,需要通過截獲和分析入侵終端發出的或者被入侵主機發出的網路數據包,獲得攻擊源地址以及攻擊的類型與方法。

4. 現場重建技術。由於網路套用的綜合性與複雜性,往往需要通過建立一個與案件網路環境類似的模擬試驗環境,從而分析原理,理清過程,還原案件的真實原貌。常用的技術包括web資料庫技術、遠程連線與控制技術、網路攻擊與防禦技術等。

工具

(一)硬體工具

硬碟作為計算機最主要的信息存儲介質,是計算機取證的重要獲取內容,也是目前各種計算機取證工具的主要方向。隨著存儲技術的發展,硬碟的種類增加、容量加大。這在給普通用戶增加更多便利的同時,給使用硬碟取證也帶來更多困難。完整、徹底、精確的獲取數據是對硬碟取證的基本要求。同時具有高速度、多功能、智慧型化以及廣泛的適用性是對此類取證設備的發展要求。

1.硬碟取證設備。多數拷貝機以硬碟直接拷貝為主要方法,即將嫌疑人的硬碟取出直接與拷貝機連線實現硬碟數據的全面複製。一些新型的拷貝機除了直接拷貝還增加了SATA硬碟接口、SCSI硬碟接口、SAS硬碟接口、USB接口、PCMCIA接口,進一步增強了其適用範圍。

2.取證勘查箱。由於電子證據取證涉及的信息存儲介質種類很多,主要有軟碟、硬碟、光碟、快閃記憶體、各種存儲卡、ZIP、不同的掌上電腦及手機等。由此取證人員需要有一套適應面廣、拷貝功能強、攜帶方便、使用靈活的移動取證平台以適應需要。

3.司法分析伺服器。司法分析伺服器是專門配置了多種唯讀接口的高性能、大容量的專用電子證據分析計算機,根據法證分析軟體的要求及特點進行最佳化,能夠充分提高證據分析、處理的效率。

(二)軟體工具

不同的鑑定內容,需要單獨或組合使用不同的鑑定軟體工具,歸納起來主要分為以下幾類。

1.綜合取證分析軟體。電子數據司法鑑定需要功能更強、自動化程度更高、同時更加精確、穩定和安全的軟體工具,因此各類工具的綜合與集成成為一種發展趨勢。目前國外流行的綜合取證分析平台有EnCase、FIX(Forensic Tool—kit)、X—Ways Forensic、ProDiscover等;國內具有自主智慧財產權的取證分析軟體代表有取證大師(Forensics Master)。

2.數據恢復工具。這類工具專門用於恢復被刪除的數據,如Final Data、Easy Recovery、R—Studio、Testdisk、Disk Genius(國產軟體)等都是實用的數據恢復軟體。此外近年在該領域,還有一些新興的碎片檔案重組工具,如AdroitPhoto Forensic(圖片碎片重組及恢復)、AutoMDF(MS SQL資料庫重組)等。此類工具並非純粹利用檔案系統元數據信息或檔案簽名等技術來進行數據恢復,而是深入分析檔案內部結構,智慧型進行結構重組,實現檔案最大程度的恢復。

3.檔案查看工具。這類工具專門用於查看不同數據類型檔案內容的軟體。一些隱藏和改變屬性存儲的檔案,裡面往往有關鍵和敏感的信息。

4.檔案搜尋和檢測工具。這類工具專門用於對特定信息進行搜尋、檢測,如ThumbsPlus是一款功能全面的圖片搜尋檢查軟體;dtSearch則是一個非常方便的用於文本搜尋的工具,特別是搜尋Outlook的“.pst”檔案的時候。後面提到的某些集成軟體,還具有針對關鍵字和檔案結構進行分類檢測的功能。

5.校驗和Hash值計算工具。這類工具專門用於對檔案進行計算校驗,可以計算的哈希值類型包括CRC、MD5、SHA一1、SHA一2等。

6.解密工具。這類工具專門用於對加密的數據進行解密。

7.網路鑑定工具。主要包括日誌分析工具如NetTracker、Logsurfer、Netlog、Analog等,以及數據捕獲分析工具。

8.數據關聯分析系統。電子數據鑑定有時還需要對海量數據進行處理及關聯分析,甚至可自動將數據以圖形方式來表示,以多種視圖方式排列。

相關詞條

相關搜尋

熱門詞條

聯絡我們