電子物證現(xiàn)場取證技術研究

楊 勇

湖南警察學院，湖南 長沙 410138

0 引言

我國自1978年實施改革開放政策以及在新世紀加入世界貿(mào)易組織（WTO）以來，我國在各個領域都取得了較為快速地發(fā)展。其中，偵查技術就發(fā)生了根本性的變化，偵查技術逐漸發(fā)展成為以信息技術為主體的專業(yè)的科學技術，通過融入信息技術，這就使得偵查的效率變得十分之高，各種犯罪行為也在信息技術這雙“慧眼”的監(jiān)視下一個個被偵破，這也在很大程度上減少了犯罪行為的發(fā)生。因此，可以說電子物證現(xiàn)場取證技術是時代的進步，也是信息技術發(fā)展到一定階段的重要產(chǎn)物。本文主要對電子物證的現(xiàn)場取證技術的相關內(nèi)容及重要組成部分進行了闡述，以及對電子物證取證及檢驗的重要意義以及作用進行了論述。具體的方法為主要是對歐美以及國內(nèi)的有關電子物證現(xiàn)場取證技術方面的資料進行了研究，最終得出了電子物證現(xiàn)場取證及檢驗的涵義、取證對象、具體的方法以及特點等方面進行了介紹，進而得出這樣的結論：電子物證現(xiàn)場取證技術關乎到識別、發(fā)現(xiàn)、提取、保存、恢復以及分析鑒定等方面的科學技術，能夠為案件偵查提供必要的證據(jù)，從而增加了犯罪偵查的效率。

1 電子數(shù)據(jù)的預檢

在正式確定目標物證之前，要對其進行電子數(shù)據(jù)預檢，其主要目的就是為了對相關案件加以鎖定和發(fā)現(xiàn)，以及對整個的發(fā)生過程進行事先安排。由于電子數(shù)據(jù)具有很多特點，如易復制、易損壞以及易傳播等特點，現(xiàn)場調(diào)查取證的工作人員應該加強對證據(jù)安全的風險意識進行提高，以不斷提高電子數(shù)據(jù)的原始性以及完整性。

1.1 對手機的預檢

目前，手機主要分為3種類型，即GSM、CDMA和CDMA/GSM3種類型。對于數(shù)據(jù)的存儲一般使用的是SIM卡、手機本身帶有的內(nèi)存以及擴展卡（或者稱為可以替換的存儲卡），此種存儲介質(zhì)的一大特點就是保存了與案件有關的電子數(shù)據(jù)如通話記錄、信息、記事本、視頻信息等，而這些信息往往都與發(fā)生的案件有很大的聯(lián)系，因此這種渠道來獲取電子數(shù)據(jù)也是電子物證現(xiàn)場取證的一個重點內(nèi)容?，F(xiàn)場取證的工作人員能開啟手機對相關數(shù)據(jù)進行預檢，在對手機進行預檢時，應該注意應該對相關信號進行屏蔽，除了該案件需要對撥人電話或者發(fā)短信息的人實施跟蹤。這樣做的主要的原因就是手機處于一種全開放的在線工作狀態(tài)，這就可能會發(fā)生隨時將信息泄漏出去的現(xiàn)象，而且短信也可能會被刪除或是被泄漏出去，而這些被泄漏出去的信息往往和案件有很大的關系。因此，筆者認為，應該加強對手機信息加以保護，以避免手機信息的外泄而影響了案件的快速偵查。

1.2 對電子計算機設備中的電子數(shù)據(jù)進行預檢

現(xiàn)場的調(diào)查取證人員為了對運行中的檢驗設備以及設備中的電子數(shù)據(jù)進行預檢，一般都會按照常規(guī)的方式進行開機查閱，然后對系統(tǒng)中的相關文件加以瀏覽，那么這樣做的壞處就是很有可能對所儲存的電子數(shù)據(jù)的有關屬性進行了改變，電子數(shù)據(jù)的屬性改變了，就會帶來一定的風險。這些風險主要包括如下幾個方面：改變了系統(tǒng)中的文件時間屬性，對于Windows各個系統(tǒng)的影響是不同的，其中對于Windows98系統(tǒng)而言，會造成約為300個文件屬性的改變，對于Windows2000系統(tǒng)，一般會造成約為500個文件屬性發(fā)生改變，如果此案件要涉及到電腦開機時間的取證與檢驗，那么勢必會導致取證及檢驗的條件發(fā)生重要的扭變。因此，可以說現(xiàn)場取證調(diào)查工作人員不要對處于關機狀態(tài)下的設備中硬盤的電源，拔下硬盤數(shù)據(jù)線，將BIOS的引導設備修改為軟盤，阻斷被預檢的硬盤啟動系統(tǒng)，之后采用專用的系統(tǒng)啟動盤(如專用的Encase啟動盤)重新啟動系統(tǒng)。

2 涉案設備封存收繳時應該注意的幾個問題

2.1 涉案實體對象封存收繳

對于涉案實體對象封存收繳，是一種獲取物證十分重要的方式。當前時期下，涉案實體對象主要分為四個方面，即存儲的介質(zhì)、文檔、電子設備及其他資料。其中，存儲介質(zhì)主要有以下幾個方面，即硬盤、軟盤、U盤、光盤、磁帶以及各類存儲卡等，上述這些設備可以存儲相關的數(shù)據(jù)。電子設備主要包括PC機等、mp4、手機、數(shù)碼設備、集線器、路由器、磁帶機以及數(shù)據(jù)線等，這些設備可以對電子物證進行外在的反映。文檔以及其他資料主要包括計算的程序方面的內(nèi)容以及各種設備的用戶手冊、打印的各類文檔資料等。上述設備主要是對電子數(shù)據(jù)進行記錄。

2.2 開機狀態(tài)的設備的封存收繳

對于開機狀態(tài)的設備而言，一般不能對其進行簡單的處理，大部分人都會將電源直接關閉進行收繳封存，如果按照這樣做的話，勢必會使得重要的數(shù)據(jù)受到破壞以及丟失，且對后續(xù)的數(shù)據(jù)分析以及取證檢驗增加更大的技術難度。例如一個正在運行的應用系統(tǒng)，將電源關閉之后，可能會造成兩個方面的不良后果：1）使得內(nèi)存中處于動態(tài)運行的程序以及文件的相關數(shù)據(jù)大量丟失，這樣就會使得屏幕上所顯示的全部信息不能很好地重現(xiàn)；2）各種存儲介質(zhì)中的相關數(shù)據(jù)即使能夠進行很好的克隆和備份，但是對于需要在實際運行中分析檢驗的專用系統(tǒng)，重新搭建系統(tǒng)運行環(huán)境，則很有可能會遇到系統(tǒng)啟動密碼，文件加密、應用系統(tǒng)運行時需要支持的各種工具軟件的安裝等。

3 電子物證現(xiàn)場取證的具體方法

當現(xiàn)場調(diào)查取證的工作人員在進行現(xiàn)場取證時，由于受到各種外界條件的影響以及限制，根本無法對正在運行的系統(tǒng)進行停止處理或者對設備封存收繳，尤其是在面對某些專用的應用系統(tǒng)，例如金融、醫(yī)療以及大型的網(wǎng)站等，對系統(tǒng)進行停止運行勢必會對被調(diào)查部門或者是用戶正常的工作秩序造成一定程度的影響或是傷害，它們會承受經(jīng)濟上的巨大損失以及風險，但是對于現(xiàn)場調(diào)查取證的工作人員而言，對相關的電子數(shù)據(jù)實施靜態(tài)或是動態(tài)的分析，面對巨大的存儲數(shù)據(jù)，一是對其分析相當耗時；二是令人難以承受。所以，筆者認為，現(xiàn)場調(diào)查的工作人員應該選擇那些物理存儲介質(zhì)中的電子數(shù)據(jù)，當前時期下，隨著信息技術以及其他各類技術的快速發(fā)展，對電子數(shù)據(jù)的獲取主要采用的技術方法是對物理存儲介質(zhì)的實體鏡像以及邏輯進行復制。目前各國普遍使用的保存數(shù)據(jù)的方法為物理存儲介質(zhì)的實體鏡像，同時它也是世界各個國家司法鑒定機構普遍認為最好的取證方式之一。物理存儲介質(zhì)的實體鏡像，可以實現(xiàn)對整個物理存儲介質(zhì)進行逐步的整體復制，對于在這個過程中所復制的目標數(shù)據(jù)不僅包括操作系統(tǒng)中可以進行訪問的正常數(shù)據(jù)文件，而且還包括了操作系統(tǒng)不能進行識別的已經(jīng)被刪除的文件、文件碎片以及沒有進行磁盤空間分配等，在上述空間中可能包含了文件刪除之后沒有被覆蓋的大量殘余的信息，而這些數(shù)據(jù)一般與已經(jīng)發(fā)生的案件具有十分密切的關系。所謂邏輯復制指的就是對物理存儲介質(zhì)中的某個分區(qū)或是文件進行復制，這些文件以及分區(qū)，操作系統(tǒng)可以進行正常地訪問。

[1]尹春社.對電子數(shù)據(jù)現(xiàn)場獲取存在問題的分析與探討[J].刑事技術，2008(3).

[2]李盛，朱秀云，韓杰，等.電子物證檢驗中常用數(shù)據(jù)恢復工具對比研究[J].刑事技術，2008(4).

[3]王桂強.電子物證檢驗[J].刑事技術，2003(4).

[4]羅文華.信息上傳操作在客戶端主機中留有痕跡的檢驗[J].刑事技術，2010(1).

[5]徐茂.犯罪嫌疑人手機儲存信息在偵查破案中的價值芻議[J].鐵道警官高等專科學校學報，2008(6).