一種計(jì)算機(jī)網(wǎng)絡(luò)犯罪案件電子取證的溯源策略研究與實(shí)踐

◆李志剛 朱巨軍

（衢州市公安局 浙江 324000）

一種計(jì)算機(jī)網(wǎng)絡(luò)犯罪案件電子取證的溯源策略研究與實(shí)踐

◆李志剛 朱巨軍

（衢州市公安局 浙江 324000）

電子取證在刑事案件偵查、移送起訴的整個(gè)司法過程中變得非常重要。但在實(shí)際應(yīng)用中，電子取證遇到了多方面的問題，需要不斷解決這些問題才能更好地震懾、打擊計(jì)算機(jī)網(wǎng)絡(luò)違法、犯罪行為。本文首先介紹電子取證的現(xiàn)狀，然后分析計(jì)算機(jī)網(wǎng)絡(luò)犯罪案件電子取證的特點(diǎn)，給出了一種提高計(jì)算機(jī)網(wǎng)絡(luò)犯罪案件電子取證效率的策略，結(jié)合電子取證的實(shí)例給予詳細(xì)說明，最后是作者對(duì)電子取證的展望與分析。

電子證據(jù); 計(jì)算機(jī)取證; 計(jì)算機(jī)網(wǎng)絡(luò)犯罪; 反取證; 手機(jī)取證

0 前言

打擊計(jì)算機(jī)犯罪的關(guān)鍵是找到充分、可靠、有說服力的電子證據(jù)，因此，計(jì)算機(jī)和法學(xué)的交叉學(xué)科——計(jì)算機(jī)取證受到了越來越多的關(guān)注[1]。電子取證在打擊計(jì)算機(jī)和網(wǎng)絡(luò)犯罪中作用十分關(guān)鍵，它的目的是要將違法、犯罪者留在計(jì)算機(jī)單機(jī)、服務(wù)器、手機(jī)、移動(dòng)終端或者網(wǎng)絡(luò)存儲(chǔ)媒介中的“痕跡”作為有效的訴訟證據(jù)提供給執(zhí)法部門或者法庭，以便將違法、犯罪嫌疑人繩之以法，讓他們得到應(yīng)有的處罰或者懲罰。

但目前在司法實(shí)踐中，公檢法對(duì)于電子數(shù)據(jù)這種新的證據(jù)類型，在收集、審查、保管、移送、采信等程序性規(guī)范方面認(rèn)識(shí)不統(tǒng)一，已有法律法規(guī)僅限于原則性規(guī)定，司法實(shí)踐中較難掌握和運(yùn)用。雖然電子數(shù)據(jù)已取得合法地位，但大量案件中電子數(shù)據(jù)類證據(jù)難以采信、認(rèn)定，絕大部分仍然需要轉(zhuǎn)化為書證、視聽資料或者鑒定意見，公安機(jī)關(guān)在偵查和打擊計(jì)算機(jī)違法犯罪活動(dòng)的工作中遇到一定的困難，影響了刑事司法活動(dòng)的實(shí)際效果，需要國(guó)家層面及時(shí)更新相關(guān)的法律法規(guī)來應(yīng)對(duì)不斷翻新的違法、犯罪手段和方法。

在當(dāng)今和平發(fā)展的大環(huán)境下，網(wǎng)絡(luò)違法犯罪活動(dòng)仍然不和諧地頻繁出現(xiàn)，為適應(yīng)這種新形勢(shì)，2016年10月1日起實(shí)施的《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》明確，人民法院、人民檢察院和公安機(jī)關(guān)有權(quán)依法向有關(guān)單位和個(gè)人收集、調(diào)取電子數(shù)據(jù)。除了手機(jī)短信、文檔、圖片、音視頻等，微博、朋友圈等網(wǎng)絡(luò)信息也“入圍”電子數(shù)據(jù)。依靠法律，利用法律手段對(duì)網(wǎng)絡(luò)違法犯罪行為予以制裁，是解決網(wǎng)絡(luò)安全問題的有效途徑。2016年11月7日，網(wǎng)絡(luò)安全法由全國(guó)人大常委會(huì)發(fā)布，于2017年6月1日起施行，該法對(duì)于網(wǎng)絡(luò)數(shù)據(jù)和電子數(shù)據(jù)給予明確定義。作者通過實(shí)踐注意到，在網(wǎng)絡(luò)犯罪案件中的電子取證，有相當(dāng)一部分是手機(jī)取證。那么此類案件的法律實(shí)施的先決條件就是手機(jī)取證所獲取的電子證據(jù)。因此，下文首先介紹網(wǎng)絡(luò)犯罪案件的特點(diǎn)，然后給出一種手機(jī)取證的溯源策略，再給出一個(gè)具體案例詳細(xì)講解如何將該策略應(yīng)用于網(wǎng)絡(luò)犯罪案件的電子證據(jù)固定。本文的最后是作者對(duì)網(wǎng)絡(luò)犯罪案件電子取證的展望與分析。

1 網(wǎng)絡(luò)犯罪案件的特點(diǎn)

在計(jì)算機(jī)取證技術(shù)蓬勃發(fā)展的同時(shí)，一種叫做反取證的技術(shù)悄悄出現(xiàn)了。反取證就是刪除或者隱藏證據(jù)使取證調(diào)查無效。反取證技術(shù)分為三類：數(shù)據(jù)擦除、數(shù)據(jù)隱藏和數(shù)據(jù)加密。這些技術(shù)結(jié)合起來使用，讓取證工作的效果大打折扣[1]。網(wǎng)絡(luò)犯罪案件中違法犯罪嫌疑人運(yùn)用的反取證技術(shù)主要是數(shù)據(jù)擦除和數(shù)據(jù)加密。在此基礎(chǔ)上，作者分析了當(dāng)前網(wǎng)絡(luò)犯罪案件的規(guī)律特點(diǎn)：

（1）發(fā)現(xiàn)難。嫌疑人普遍使用即時(shí)通訊聊天工具，并且多使用圖片、暗語。

（2）取證難。一是嫌疑人經(jīng)常采取更換手機(jī)、恢復(fù)出廠設(shè)置、重裝軟件覆蓋原來數(shù)據(jù)、破壞手機(jī)硬件等數(shù)據(jù)擦除方式來逃避打擊。二是固定證據(jù)難。有的因報(bào)案間隔時(shí)間較長(zhǎng)導(dǎo)致網(wǎng)址打不開等問題，無法形成有效的證據(jù)鏈。三是手機(jī)上即時(shí)通訊聊天工具刪除或卸載后，取證軟件無法獲取殘留的內(nèi)容和信息。

（3）處理難。一是法律適用難。對(duì)于沒有明確的處理依據(jù)的，只能按已有規(guī)定處理。二是對(duì)多次違法犯罪的行為，由于在短時(shí)間內(nèi)犯罪痕跡被海量信息淹沒，無法做到及時(shí)、有效、全部地固定。

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)犯罪的危害正在不斷加深，網(wǎng)絡(luò)取證的研究逐漸凸顯出其重要性和緊迫性[2]。網(wǎng)絡(luò)犯罪嫌疑人的作案時(shí)間有時(shí)可能僅數(shù)秒鐘，因此，在嫌疑人破壞其網(wǎng)絡(luò)犯罪證據(jù)之前，公安機(jī)關(guān)必須做出快速反應(yīng)，并準(zhǔn)確地獲取犯罪證據(jù)[3]。

電子證據(jù)的固定是網(wǎng)絡(luò)犯罪案件偵辦的重點(diǎn)，其有無直接關(guān)系到犯罪事實(shí)的認(rèn)定。在某些網(wǎng)絡(luò)犯罪案件中，犯罪分子租用阿里云的云存儲(chǔ)服務(wù)器，一旦租用時(shí)間到期，云服務(wù)器里數(shù)據(jù)就會(huì)被釋放，數(shù)據(jù)將不可恢復(fù)。一般做法是，挖掘租用服務(wù)器的資料，通過與阿里云公司協(xié)作、遠(yuǎn)程登錄相結(jié)合等辦法，以盡快將涉案的服務(wù)器數(shù)據(jù)用拷貝光盤如數(shù)拷出。

更進(jìn)一步地，作者嘗試提出一種策略，將網(wǎng)絡(luò)犯罪案件獲取的電子數(shù)據(jù)追溯到人形成完整證據(jù)鏈，趕進(jìn)度、搶時(shí)間，將取證窗口前移，從而能夠提前固定證據(jù)深挖幕后組織者和源頭。當(dāng)然，具體實(shí)施起來有諸多困難，這不僅僅局限于案件的簡(jiǎn)單取證，還要把電子取證工作與溯源工作結(jié)合起來。

2 一種網(wǎng)絡(luò)犯罪案件電子取證的策略

當(dāng)前的計(jì)算機(jī)取證軟件的主要功能是信息獲取和數(shù)據(jù)恢復(fù)，本文嘗試對(duì)擴(kuò)展取證軟件的功能上做一些初步的探索。以往勘查取證只是找出一些文字材料等提交給辦案部門用于移送起訴的電子證據(jù)，相互之間沒有交流和溝通。雖然手機(jī)取證分析軟件都有這樣那樣的不足，但是把電子取證工作與溯源工作結(jié)合起來會(huì)獲得意想不到的良好效果。通過勘查取證除了找到Word和Excel等Office文檔，還可能會(huì)有圖片文件，這往往是我們不能忽視的。一旦查清手機(jī)中圖片傳播的來源（即時(shí)通訊上家賬號(hào)），再繼續(xù)補(bǔ)充完善電子證據(jù)勘查工作記錄，就能夠?yàn)橐扑推鹪V提供有力的證據(jù)。

依據(jù)中央資源變資產(chǎn)、資金變股金、農(nóng)民變股民的政策要求，農(nóng)民以家庭為單位，開展信用合作，提供資金互助服務(wù)，構(gòu)建農(nóng)業(yè)產(chǎn)業(yè)發(fā)展的資金池。規(guī)范民間借貸關(guān)系，解決農(nóng)民貸款難、抵押難、貸款貴的問題，增加農(nóng)民財(cái)產(chǎn)性與資產(chǎn)性收入，為農(nóng)村新型經(jīng)營(yíng)主體提供創(chuàng)業(yè)有本、發(fā)展有保的產(chǎn)業(yè)金融體系，支持和鼓勵(lì)農(nóng)民創(chuàng)業(yè)就業(yè)，促進(jìn)農(nóng)村一二三產(chǎn)業(yè)融合發(fā)展。

因?yàn)槭謾C(jī)中的信息量巨大，一頁(yè)一頁(yè)地翻看顯然不切實(shí)際，因此我們主要選擇手機(jī)取證軟件開展工作，手機(jī)取證軟件能夠快速獲取文件系統(tǒng)信息，是迅速獲取電子數(shù)據(jù)的前提保證。同時(shí)，無的放矢地固定海量信息，不但會(huì)耽誤時(shí)間而且得不到及時(shí)準(zhǔn)確簡(jiǎn)明扼要的歸納總結(jié)。在下面的案例中作者主要詳述勘查取證與溯源策略結(jié)合的要點(diǎn)和方法。

網(wǎng)絡(luò)犯罪案件的取證行為一般是在違法犯罪行為發(fā)生之后才進(jìn)行的，由于電子證據(jù)的脆弱性、易逝性、隱蔽性和多媒性等特點(diǎn)，即使使用了有效的手機(jī)取證分析工具，此時(shí)手機(jī)中的許多電子證據(jù)已被破壞或隱藏。而且隨著時(shí)間的推移，電子證據(jù)可能會(huì)發(fā)生變化或消失。這使得取證人員很難獲得充分有效的電子證據(jù)。即使取得了一些證據(jù)，其完整性和真實(shí)性也很難得到證明。若要提高電子證據(jù)的證明力，最重要的是能保證所有證據(jù)從最初的采集到最后移送起訴都保持真實(shí)完整性[4]。以下給出一個(gè)網(wǎng)絡(luò)犯罪案件的手機(jī)取證與溯源策略相結(jié)合的實(shí)戰(zhàn)案例，通過這個(gè)案例發(fā)掘出更多的電子證據(jù)，從而完善整個(gè)案件的證據(jù)鏈。

應(yīng)用溯源法，通過手機(jī)勘查取證分析獲得圖片的傳播源，步驟如下：

（1）通過手機(jī)取證軟件發(fā)現(xiàn)手機(jī)中有圖片文件（存儲(chǔ)于SD卡中），其中圖片文件名為P1.jpg（大圖）。

（2）在手機(jī)取證結(jié)果樹的文件系統(tǒng)節(jié)點(diǎn)中搜索圖片文件名P1。

（3）查看文件系統(tǒng)節(jié)點(diǎn)中搜索圖片文件名的結(jié)果，發(fā)現(xiàn)該大圖片是T1賬號(hào)與T2賬號(hào)之間聊天時(shí)的內(nèi)容，具體是誰發(fā)給誰的暫時(shí)不知道，聊天日期為YMD。

（4）在文件系統(tǒng)節(jié)點(diǎn)中搜索日期YMD的聊天內(nèi)容。

（6）在文件系統(tǒng)節(jié)點(diǎn)中搜索日期YMD的結(jié)果2：在SD卡中的數(shù)據(jù)存放文件夾中的內(nèi)容顯示，T1賬號(hào)與T2賬號(hào)在日期YMD聊天，交流1張圖片P1.jpg（大圖）。

（7）經(jīng)查手機(jī)聊天內(nèi)容并對(duì)比2張圖片發(fā)現(xiàn)，s1.png是P1.jpg的縮略圖，而手機(jī)聊天內(nèi)容中只保存了縮略圖。該圖片是日期YMD聊天時(shí)T1賬號(hào)發(fā)給T2賬號(hào)的。賬號(hào)T1是圖片的傳播源。

通過這種方法，把電子取證的時(shí)間窗前移，預(yù)先把敏感的、潛在的、還未暴露的案件證據(jù)挖掘出來，這樣一方面能夠避免發(fā)生或者減少發(fā)生新的案件，另一方面能夠在下一階段抓捕嫌疑人之前就開始搜集違法犯罪的電子證據(jù)，還有利于及時(shí)補(bǔ)充完善證據(jù)，有利于促進(jìn)案件的順利推進(jìn)。手機(jī)勘查取證工作不是彼此孤立的，與溯源工作相輔相成，才能最大效能地打擊網(wǎng)絡(luò)犯罪行為。

3 展望與分析

電子證據(jù)的脆弱性、不可靠性、表現(xiàn)形式的多樣性等，使得獲取電子證據(jù)和保證可靠性這兩個(gè)方面一直是計(jì)算機(jī)犯罪案件的難點(diǎn)[5]。隨著信息技術(shù)的發(fā)展，各種違法犯罪案件幾乎都要涉及電子數(shù)據(jù)的收集問題，電子證據(jù)被廣泛應(yīng)用于行政處罰、刑事訴訟活動(dòng)。而刑事訴訟活動(dòng)對(duì)行政處罰活動(dòng)有著強(qiáng)烈的參照意義，所以對(duì)刑事訴訟法律法規(guī)的及時(shí)更新補(bǔ)充完善提出了更高的要求。一方面，刑事訴訟中有關(guān)電子數(shù)據(jù)證據(jù)法律法規(guī)不斷完善，2012年修改后的刑事訴訟法適應(yīng)現(xiàn)代信息技術(shù)的發(fā)展，根據(jù)刑事訴訟中出現(xiàn)的新情況和實(shí)踐需要，將電子數(shù)據(jù)增設(shè)為法定證據(jù)種類，進(jìn)一步豐富了證據(jù)的外延，同時(shí)對(duì)于電子數(shù)據(jù)收集、審查、保管、移送、非法證據(jù)排除等問題也提出了新的課題。另一方面，全面深化改革、全面依法治國(guó)對(duì)電子數(shù)據(jù)取證執(zhí)法和司法活動(dòng)提出新的要求，人民群眾對(duì)公檢法適應(yīng)互聯(lián)網(wǎng)發(fā)展、改進(jìn)和創(chuàng)新電子數(shù)據(jù)取證活動(dòng)提出新的期待。

網(wǎng)絡(luò)犯罪案件的違法犯罪證據(jù)和海量的正常手機(jī)上網(wǎng)數(shù)據(jù)混雜在一起，而且一個(gè)異常行為往往隱藏在多個(gè)分散的數(shù)據(jù)之中，使得取證分析人員很難用單一的方法獲得潛在的電子證據(jù)[4]。目前計(jì)算機(jī)取證獲取電子證據(jù)的方法有兩種，一種是手工操作硬件，一種是使用工具軟件。取證工作的成敗主要取決于部門工作人員的經(jīng)驗(yàn)和能力[5]。因此，計(jì)算機(jī)取證從技術(shù)和法律兩個(gè)方面完善和發(fā)展是未來的方向，一是取證技術(shù)的自動(dòng)化，盡量用少量的取證工具、取證軟件，減少人工干預(yù)，做少量的操作即可自動(dòng)完成取證。二是規(guī)范計(jì)算機(jī)取證工作的法律法規(guī)和操作標(biāo)準(zhǔn)，減少取證工作的隨意性，提升取證工作的可靠性、權(quán)威性和科學(xué)性。在取證軟件不斷強(qiáng)化認(rèn)證、簡(jiǎn)化步驟、完善功能、提升自動(dòng)化程度的前提下，進(jìn)一步在法律法規(guī)的層面規(guī)范好電子取證的方方面面，才能使偵查、檢察、審判機(jī)關(guān)形成認(rèn)識(shí)上的統(tǒng)一,對(duì)網(wǎng)絡(luò)違法犯罪分子形成強(qiáng)大的震懾,從而維護(hù)好網(wǎng)絡(luò)虛擬社會(huì)的穩(wěn)定發(fā)展。

在辦理網(wǎng)絡(luò)犯罪案件時(shí)提供完整、準(zhǔn)確的電子取證是完善證據(jù)鏈的強(qiáng)有力保障。在網(wǎng)絡(luò)犯罪案件的偵辦過程中，針對(duì)嫌疑人的作案手機(jī)的電子取證，取證軟件可能找到直接的違法犯罪證據(jù)，也可能在手機(jī)中找不到證據(jù)，但是通過電子取證結(jié)合溯源策略的應(yīng)用可以找到關(guān)聯(lián)證據(jù)，論證這些關(guān)聯(lián)證據(jù)的有效性是一個(gè)長(zhǎng)期關(guān)注的課題。相關(guān)法律法規(guī)應(yīng)當(dāng)適應(yīng)不斷發(fā)展的新形勢(shì)的需要，為電子取證相關(guān)的專門性技術(shù)問題的認(rèn)定不斷提供最新的指引。再如對(duì)偵查機(jī)關(guān)難以將海量數(shù)據(jù)封存、扣押，海量云存儲(chǔ)大數(shù)據(jù)的難以調(diào)取的問題，法律法規(guī)應(yīng)當(dāng)規(guī)定不需要對(duì)海量數(shù)據(jù)復(fù)制或?qū)⒃品?wù)器扣押，即可實(shí)現(xiàn)證據(jù)的移送。此處只需解決不可抵賴性和可獲取性的問題即可，不可抵賴性是指作為犯罪嫌疑人不能對(duì)其實(shí)施過的網(wǎng)絡(luò)違法犯罪的行為進(jìn)行否認(rèn)，而可獲取性是指保證云服務(wù)器在凍結(jié)和扣押期間辦案單位仍可進(jìn)行保護(hù)性訪問，防止未經(jīng)授權(quán)的用戶的訪問、篡改和破壞，直至訴訟結(jié)束。

未來司法實(shí)踐中電子數(shù)據(jù)勘驗(yàn)檢查還要對(duì)網(wǎng)絡(luò)中的、物理位置不在本地及境內(nèi)的路由器、交換機(jī)、防火墻、服務(wù)器等遠(yuǎn)程計(jì)算機(jī)信息系統(tǒng)，甚至還包括無法或很難確定電子數(shù)據(jù)存儲(chǔ)位置的公有云、私有云、云服務(wù)器、云存儲(chǔ)等被虛擬化技術(shù)創(chuàng)造出來的遠(yuǎn)程計(jì)算機(jī)信息系統(tǒng)的勘驗(yàn)，提取、固定電子數(shù)據(jù)，記錄遠(yuǎn)程計(jì)算機(jī)信息系統(tǒng)狀態(tài)等涉案信息和電子數(shù)據(jù)，這顯然遠(yuǎn)遠(yuǎn)超出了傳統(tǒng)勘驗(yàn)檢查的范疇和對(duì)象，這都必須由權(quán)威的法律法規(guī)來規(guī)范。

目前有較多的文獻(xiàn)在研究云取證方面做出了不懈的努力。文[6]從云計(jì)算的技術(shù)原理出發(fā),結(jié)合我國(guó)公安電子數(shù)據(jù)取證工作的現(xiàn)狀,探究云計(jì)算在公安數(shù)字取證技術(shù)中的應(yīng)用。文[7]分析了云計(jì)算特有的安全隱患和取證的困難,并針對(duì)困難設(shè)計(jì)了針對(duì)云計(jì)算的取證系統(tǒng),為今后的云計(jì)算取證問題的研究提供了有益的參考。

4 結(jié)束語

為了適應(yīng)愈發(fā)復(fù)雜的取證環(huán)境，作者對(duì)大數(shù)據(jù)量的取證數(shù)據(jù)進(jìn)行整理和裁剪進(jìn)行了深入思考，充分利用手機(jī)取證分析軟件和溯源策略相結(jié)合的方法，從而確定重點(diǎn)勘查范圍，集中使用取證資源，減少取證分析的時(shí)間，提高了取證分析的效率。但是對(duì)于互聯(lián)網(wǎng)云服務(wù)器中的電子取證來說,如何收集信息、分析各電子證據(jù)間的關(guān)聯(lián),發(fā)現(xiàn)潛在的異常行為特征是下一步需要研究的課題。

[1]王玲，錢華林.計(jì)算機(jī)取證技術(shù)及其發(fā)展趨勢(shì)[J].軟件學(xué)報(bào)，2003.

[2]史昕嶺，鄭淑麗.網(wǎng)絡(luò)取證技術(shù)的研究與發(fā)展[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.

[3]高玲玲.互聯(lián)網(wǎng)遠(yuǎn)程取證的實(shí)現(xiàn)模式[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016.

[4]孫波.計(jì)算機(jī)取證方法關(guān)鍵問題研究[D].北京：中國(guó)科學(xué)院研究生院，2004.

[5]丁麗萍，王永吉.計(jì)算機(jī)取證的相關(guān)法律技術(shù)問題研究[J].軟件學(xué)報(bào)，2005.

[6]何明.云計(jì)算在公安電子數(shù)據(jù)取證技術(shù)中的研究與應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.

[7]錢芳菊.基于云的計(jì)算機(jī)取證系統(tǒng)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016.