基于社交網(wǎng)絡的電子證據(jù)取證方法探討

◆翟振興 楊仕海

（重慶市公安局江北區(qū)分局 重慶 400021）

基于社交網(wǎng)絡的電子證據(jù)取證方法探討

◆翟振興 楊仕海

（重慶市公安局江北區(qū)分局 重慶 400021）

隨著網(wǎng)絡技術尤其是移動互聯(lián)網(wǎng)的快速發(fā)展和迅速普及，網(wǎng)絡社交成為當今主要的一種社交方式。然而，以社交網(wǎng)絡為載體或者社交網(wǎng)絡作為入侵客體的犯罪案件頻發(fā)，這對電子證據(jù)取證技術提出了更高的要求。如何有效提取及固定社交網(wǎng)絡犯罪中留下的“痕跡”，成為刑事訴訟偵查取證的關鍵環(huán)節(jié)。本文結合社交網(wǎng)絡犯罪及電子證據(jù)取證技術的特點，提出了基于社交網(wǎng)絡的云取證和數(shù)據(jù)挖掘電子證據(jù)取證方法，對依法打擊社交網(wǎng)絡犯罪和刑事訴訟具有積極意義。

社交網(wǎng)絡; 電子證據(jù); 取證; 方法

0 前言

社交網(wǎng)絡即社交網(wǎng)絡服務，源自英文SNS（Social Network Service）的翻譯，即提供社會性網(wǎng)絡服務的網(wǎng)站，是人類在互聯(lián)網(wǎng)上傳播信息和進行社會交流活動的平臺和載體，其本質(zhì)是包括硬件、軟件、服務及應用在內(nèi)的綜合體，其發(fā)展經(jīng)歷了早期社交網(wǎng)絡BBS時代、娛樂化社交網(wǎng)絡時代、信息社交網(wǎng)絡時代和垂直社交網(wǎng)絡應用時代。

社交網(wǎng)絡犯罪是以接入社交網(wǎng)絡的信息系統(tǒng)及其存儲、傳輸?shù)男畔榉缸飳ο?，或者把社交網(wǎng)絡作為犯罪工具所實施的危害社會、依照刑法規(guī)定需要追究刑事責任的行為，也即是把社交網(wǎng)絡即作為犯罪對象又作為犯罪工具的犯罪。包括入侵社交網(wǎng)絡網(wǎng)站、在社交網(wǎng)站上傳授犯罪方法、傳播淫穢物品牟利、進行網(wǎng)絡誹謗等非法活動，且構成刑法意義上的社會危害。與傳統(tǒng)的計算機犯罪、網(wǎng)絡犯罪相比，社交網(wǎng)絡犯罪具有鮮明的特點，即犯罪分子將傳統(tǒng)網(wǎng)絡犯罪的技巧與現(xiàn)在的社交工程技術相結合，逐步掌握犯罪所需的全部信息，進而敲詐用戶錢財、冒充好友進行詐騙、誘使用戶下載惡意信息及進行其他的網(wǎng)絡攻擊和侵害。

1 電子證據(jù)取證

電子證據(jù)是指以應用現(xiàn)代信息技術而產(chǎn)生的，借助電子或者相關電子設備形成的，可以用于證明案件事實或與法律事務有關事實的一切與電子信息相關的材料與信息的總稱[1]。電子證據(jù)作為訴訟證據(jù)必須具備客觀性、關聯(lián)性和合法性的特點。電子證據(jù)取證是運用計算機及網(wǎng)絡等技術獲得電子證據(jù)的過程。電子證據(jù)取證技術是隨著計算機技術、網(wǎng)絡技術和信息安全技術發(fā)展而來的新興領域，依據(jù)電子證據(jù)的載體劃分，分為傳統(tǒng)電子證據(jù)取證技術和網(wǎng)絡取證技術。

1.1 傳統(tǒng)電子證據(jù)取證技術

傳統(tǒng)電子證據(jù)取證對象大多是硬盤、U盤等看得見、摸得著的具有存儲功能的電子設備，取證人員可以通過物理扣押制作磁盤鏡像獲取證據(jù)，逐比特的復制鏡像能完整的記錄磁盤上已刪除文件、未分配空間和交換空間的內(nèi)容。與傳統(tǒng)證據(jù)相比，傳統(tǒng)電子證據(jù)具有表現(xiàn)形式多樣化、易破壞、易修改等特點，因此要求取證人員擁有相應的知識和技術工具，按照相關的法律、法規(guī)，同時遵照取證操作規(guī)程，開展提取和固定證據(jù)工作。然而，傳統(tǒng)電子證據(jù)取證是事后取證，存在取證設備效率低、取證設備標準缺失和不統(tǒng)一及取證設備功能滯后等問題。

1.2 網(wǎng)絡取證技術

網(wǎng)絡取證技術主要針對網(wǎng)絡數(shù)據(jù)流、網(wǎng)絡設備日志的實時監(jiān)控和分析，發(fā)現(xiàn)網(wǎng)絡系統(tǒng)的入侵行為，自動記錄犯罪證據(jù)，對網(wǎng)絡的動態(tài)信息進行收集和對網(wǎng)絡攻擊的主動防御[2]。網(wǎng)絡取證的電子證據(jù)來源與其他取證不同，網(wǎng)絡取證更專注于網(wǎng)絡流量的監(jiān)控與分析。網(wǎng)絡取證中電子證據(jù)的主要來源有：系統(tǒng)日志、IDS、防火墻、ftp、反病毒軟件日志、系統(tǒng)的審計記錄、網(wǎng)絡流量監(jiān)控、數(shù)據(jù)庫的臨時文件及連網(wǎng)設備等[3]。為保證傳輸?shù)目煽啃?，網(wǎng)絡數(shù)據(jù)流中不可避免的會有大量的冗余數(shù)據(jù)。網(wǎng)絡取證是事中取證，常用的網(wǎng)絡取證技術包括入侵檢測取證技術和痕跡取證技術[4]。入侵檢測取證技術是通過計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點手機信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術，簡稱IDS，其可以對網(wǎng)絡數(shù)據(jù)通信包進行實時的監(jiān)控和分析，獲取嫌疑人的犯罪信息。痕跡取證技術是指運用專門的工具軟件和技術手段，對犯罪嫌疑人使用過的計算機網(wǎng)絡設備相關記錄和痕跡信息進行分析取證，獲得案件相關的犯罪證據(jù)。主要有文件內(nèi)容、網(wǎng)頁內(nèi)容、聊天記錄、登錄日志及網(wǎng)絡日志等。

1.3 反取證技術

實際案例中，黑客往往具備專業(yè)的計算機和網(wǎng)絡技術知識，因此大多黑客具有較強的反偵查意識，在入侵過程中采用身份隱藏、入侵后采取擦除的方式刪除相應的“痕跡”和電子證據(jù)。犯罪分子使用數(shù)據(jù)隱藏技術、數(shù)據(jù)刪除技術和數(shù)據(jù)加密等反取證技術大大削弱取證工作的效果，給取證工作帶來很大的困難。因此，取證人員需要加大對反取證技術的研究力度，深入分析反取證技術的原理，通過專業(yè)的知識綜合運用數(shù)據(jù)恢復、數(shù)據(jù)解密技術進行取證操作，并嚴格按照取證操作規(guī)程，以獲取司法實踐中可信的電子證據(jù)。

2 基于社交網(wǎng)絡的電子證據(jù)取證

由于社交網(wǎng)絡具有信息多樣、動態(tài)（實時）、海量、交互和可信性質(zhì)疑等特點，相比傳統(tǒng)的電子證據(jù)取證和網(wǎng)絡取證具有更大的困難，主要表現(xiàn)在動態(tài)實時數(shù)據(jù)獲取問題、海量數(shù)據(jù)內(nèi)容分析問題、復雜交互數(shù)據(jù)展示問題和證據(jù)的可信性問題[5]。結合社交網(wǎng)絡犯罪的特點，綜合云取證及數(shù)據(jù)挖掘技術的優(yōu)勢，提出基于社交網(wǎng)絡的云取證和數(shù)據(jù)挖掘的電子證據(jù)取證方法。

2.1 基于社交網(wǎng)絡的云取證方法

社交網(wǎng)絡作為犯罪工具有兩種表現(xiàn)形式，即作為犯罪主體聯(lián)系的平臺和犯罪存儲的載體。隨著移動互聯(lián)網(wǎng)和云計算的快速發(fā)展和普及，社交網(wǎng)絡的載體從PC端逐漸向移動智能終端和云端過渡。社交網(wǎng)絡中的“QQ群”、“微信群”、“朋友圈”讓興趣相同的人緊密聯(lián)系在一起，但這也成為滋生犯罪的“溫床”。筆者結合日常取證實例：張某等人傳播隱晦物品和暴恐音視頻案。張某等人利用微信群和云盤傳播淫穢視頻及暴恐音視頻信息，該案中社交網(wǎng)絡既作為犯罪主體聯(lián)系的平臺，又作為犯罪存儲的載體。犯罪嫌疑人張某通過加入一些微信“歪群”，通過發(fā)紅包付費的方式獲取群成員存儲在云端的隱晦視頻和暴恐音視頻下載權限，然后自己建立微信群，下載到本地再存放到大量（TB級）的淫穢視頻和暴恐視頻的115網(wǎng)盤供他人下載。如何提取和固定不同微信群成員云盤賬號下的電子證據(jù)成為取證的一大難點。采取遠程勘驗對每個云盤賬號下的淫穢視頻進行下載固定，不具有可操作性?？紤]到不同云賬號下的視頻文件可能是通過最初的一個云賬號進行分享后轉(zhuǎn)存的，不同云賬號下的同一視頻文件名列表實際指向相同的文件。取證實踐中如能證明每個云賬號中的視頻文件列表實際指向的相同文件，這樣能大大減輕取證的工作量，只需要下載一個云賬號下的視頻文件，同時向云服務提供商及時凍結和調(diào)取包括云賬號、索引、文件儲存位置列表在內(nèi)的證據(jù)即可。

2.2 基于社交網(wǎng)絡的數(shù)據(jù)挖掘取證方法

社交網(wǎng)絡作為犯罪客體是指犯罪分子通過各種技術手段，違反國家規(guī)定，侵入各種各樣的大型社交系統(tǒng)，他們可能會竊取賬號密碼獲取公民個人信息，或以破壞系統(tǒng)進行敲詐勒索等犯罪活動。大型社交網(wǎng)絡往往采用了分布式技術和云計算的技術來存儲各類數(shù)據(jù)的。社交網(wǎng)絡數(shù)據(jù)的高度復雜性給電子證據(jù)取證帶來了巨大的挑戰(zhàn)。同時，社交網(wǎng)絡數(shù)據(jù)之間的關聯(lián)性使得可以綜合利用數(shù)據(jù)挖掘的思想進行電子證據(jù)提取、分類。社交網(wǎng)絡作為犯罪客體，可以利用多線程技術的抓包引擎，依據(jù)不同的協(xié)議層規(guī)則和綜合運用各種數(shù)據(jù)挖掘技術來分析相應層的可疑數(shù)據(jù)，提取與案件相關的電子證據(jù)，同時通過分析入侵來源和方法，將分析出的新規(guī)則存入知識庫，指導下一次的數(shù)據(jù)挖掘分析和入侵檢測，從而發(fā)現(xiàn)證據(jù)間的潛內(nèi)在關聯(lián)，重現(xiàn)系統(tǒng)入侵的全過程，提供準確有效的電子證據(jù)，解決網(wǎng)絡取證可信性的問題。通過數(shù)據(jù)挖掘的關聯(lián)規(guī)則和聚類方法，對提取的海量和交互數(shù)據(jù)進行分類，從而解決了網(wǎng)絡數(shù)據(jù)取證對海量數(shù)據(jù)內(nèi)容分析和復雜交互數(shù)據(jù)展示的局限性問題，在實際工作中，技術人員通過合理運用數(shù)據(jù)挖掘技術，可以在海量的網(wǎng)絡數(shù)據(jù)中對犯罪行為的諸如文件屬性、IP日志等盡心深入分析，從而及時挖掘各種犯罪行為，進而固定電子證據(jù)，為案件的審查移送提供強有力的證據(jù)支撐。

3 結論

筆者結合日常取證工作實際，提出了基于社交網(wǎng)絡的云取證和數(shù)據(jù)挖掘電子證據(jù)取證方法，具有較好實用價值。隨著社交網(wǎng)絡向縱深領域發(fā)展，必將對現(xiàn)有的電子證據(jù)取證方法提出更高的要求。這也將是筆者下一步研究重點。

[1]龐鳳宇.電子證據(jù)取證問題研究[J].河北公安警察職業(yè)學院學報，2016.

[2]Pilli ES，Joshi RC，Niyogi R.A generic framework for network forensics.Int’l Journal of Computer Applications，2010.

[3]杜威，彭建新，毛莉.網(wǎng)絡電子證據(jù)取證技術綜述[J].刑事技術，2011.

[4]楊泉清，許元進.淺談計算機網(wǎng)絡取證技術[J].海峽科學，2010.

[5]吳信東，李亞東，胡東輝.社交網(wǎng)絡取證初探[J].Journal of Software，2014.