電子物證提取以及檢驗(yàn)的污染問題探究

楊 冀 侯海濤

（437100 咸寧市公安局 湖北 咸寧）

近年來電子信息科技高速發(fā)展，電子產(chǎn)品大量普及。利用計(jì)算機(jī)電子設(shè)備獲取信息十分容易，電子信息常被不法分子利用。計(jì)算機(jī)與手機(jī)等電子設(shè)備成為犯罪侵害的對(duì)象。電子證據(jù)無處不在，司法部門運(yùn)用計(jì)算機(jī)技術(shù)收集可電子物證，有效打擊網(wǎng)絡(luò)犯罪行為成為維護(hù)社會(huì)公共安全的重要內(nèi)容。

一、電子物證提取檢驗(yàn)要求

為避免在檢驗(yàn)中破壞源儲(chǔ)存介質(zhì)，需在檢驗(yàn)前精確備份源存儲(chǔ)介質(zhì)行。鏡像設(shè)備對(duì)硬盤等存儲(chǔ)介質(zhì)復(fù)制，具有良好的兼容性。光盤復(fù)制機(jī)為高速復(fù)制設(shè)備，操作簡(jiǎn)便，具有載入，對(duì)比等功能，不同類型的取證產(chǎn)品各有優(yōu)勢(shì)。必須深入挖掘各種產(chǎn)品的功能，建立取證勘察工具集合。以增強(qiáng)取證能力。

常見的存儲(chǔ)介質(zhì)只讀設(shè)備只讀讀卡器，只讀鎖等，設(shè)備可直接進(jìn)行取證分析，保證取證檢驗(yàn)過程的司法有效性。專用電子物證檢驗(yàn)分析設(shè)備由制造商專門設(shè)計(jì)集成，可直接獲取數(shù)字證據(jù)。

電子物證提取指具有取證資格的檢驗(yàn)人員，運(yùn)用計(jì)算機(jī)相關(guān)科技原理，對(duì)案件現(xiàn)場(chǎng)及相關(guān)電子設(shè)備存儲(chǔ)數(shù)據(jù)發(fā)現(xiàn)提取的過程，電子物證具有時(shí)效性，不恰當(dāng)?shù)奶幚矸绞綍?huì)損壞電子物證的法律效力。電子物證的提取應(yīng)遵循科學(xué)客觀，公正獨(dú)立的原則。

電子數(shù)據(jù)廣泛存在于電子計(jì)算機(jī)單機(jī)系統(tǒng)及其他電子設(shè)備中，電子物證檢驗(yàn)任務(wù)包括認(rèn)定信息的存在性，認(rèn)定信息的量，來源，認(rèn)定程序功能，重構(gòu)犯罪事件等。電子物證檢驗(yàn)為識(shí)別，提取與鑒定電子設(shè)備中存在的電子證據(jù)。用以案件偵查，常用的檢驗(yàn)方法包括直接讀取文件，關(guān)鍵字搜索技術(shù)，對(duì)比分析技術(shù)，交換空間分析技術(shù)，密碼破解技術(shù)等。

二、我國(guó)電子物證提取檢驗(yàn)現(xiàn)狀

1.我國(guó)計(jì)算機(jī)犯罪現(xiàn)狀

電子物證通過對(duì)電子信息內(nèi)容，軟硬件及運(yùn)行情況檢驗(yàn)得到犯罪證據(jù)。通過對(duì)電子證據(jù)的提取固定為偵破犯罪案件提供線索。體現(xiàn)其在打擊計(jì)算機(jī)犯罪方面的作用。

電子物證檢驗(yàn)通過對(duì)電子證據(jù)檢驗(yàn)，在可預(yù)見的范圍內(nèi)對(duì)犯罪進(jìn)行有針對(duì)性的可行性預(yù)防。如在合理范圍內(nèi)，針對(duì)可能出現(xiàn)的計(jì)算機(jī)犯罪新手段，侵害目標(biāo)進(jìn)行預(yù)警。為國(guó)家團(tuán)體及個(gè)人提供防范準(zhǔn)備，會(huì)減少很多的損失。我國(guó)電子物證檢驗(yàn)在公安工作實(shí)際需求下逐漸發(fā)展，目前已發(fā)展到100多個(gè)實(shí)驗(yàn)室可從事電子物證檢驗(yàn)工作。

計(jì)算機(jī)犯罪分子具有較高的文化水平，具備一定的反偵察能力，大大增加了打擊計(jì)算機(jī)犯罪的難度。犯罪分子對(duì)數(shù)據(jù)文件進(jìn)行加密，增加了電子物證檢驗(yàn)技術(shù)人員的工作難度。我國(guó)電子物證檢驗(yàn)起步較晚，當(dāng)前公安打擊網(wǎng)絡(luò)犯罪中在提取設(shè)備，分析設(shè)等方面對(duì)快速增多的計(jì)算機(jī)犯罪中嚴(yán)重不足。此問題普遍存在于公安機(jī)關(guān)電子物證檢驗(yàn)部。此危害較當(dāng)?shù)亟?jīng)濟(jì)狀況對(duì)電子物證檢驗(yàn)影響更大。

2.提升電子物證檢驗(yàn)水平措施

目前電子物證檢驗(yàn)依賴于檢驗(yàn)工具與檢驗(yàn)軟件，關(guān)于檢驗(yàn)工具的核心技術(shù)尚未掌握。在此方面的人力物力投入不足，自主研發(fā)的檢驗(yàn)工具會(huì)有很好的向下兼容性，在實(shí)際檢驗(yàn)工作中遇到檢材有時(shí)是幾種檢驗(yàn)工具同時(shí)工作。要強(qiáng)調(diào)電子物證檢驗(yàn)自主研發(fā)，打破電子犯罪偵查技術(shù)的發(fā)展瓶頸。電子物證檢驗(yàn)是最有可能率先完成發(fā)展模式轉(zhuǎn)變的偵查技術(shù)。我國(guó)電子物證檢驗(yàn)是最先與新型計(jì)算機(jī)犯罪手段接觸的，計(jì)算機(jī)犯罪案件偵查中，電子物證檢驗(yàn)工具使用者，不同案件會(huì)產(chǎn)生不同的使用問題，為改進(jìn)檢驗(yàn)工具的功能提供了很好的方向。檢驗(yàn)工具開發(fā)工作可與各類廠商與科研院校合作，電子物證檢驗(yàn)僅需投入犯罪手段與檢驗(yàn)工具的使用經(jīng)驗(yàn)，徹底擺脫資金限制。

電子物證檢驗(yàn)對(duì)檢驗(yàn)工作技術(shù)人員專業(yè)技能要求較高。從事電子檢驗(yàn)工作的技術(shù)人員是檢驗(yàn)活動(dòng)的何香凝，檢驗(yàn)人員要憑借自身業(yè)務(wù)知識(shí)對(duì)檢材進(jìn)行觀察判斷，保護(hù)檢驗(yàn)對(duì)象的初始狀態(tài)，盡量縮減檢驗(yàn)周期。電子檢驗(yàn)技術(shù)人員的專業(yè)技能水平很大程度上決定了檢驗(yàn)任務(wù)的成敗。

電子物證檢驗(yàn)技術(shù)人員要能抵擋誘惑，利益是犯罪的根源，從事電子檢驗(yàn)工作的技術(shù)人員要拒絕犯罪分子的誘惑。時(shí)刻保持清醒的意識(shí)。

當(dāng)前各國(guó)根據(jù)本國(guó)實(shí)際情況，相繼出臺(tái)了系列的法律法規(guī)，以規(guī)范電子取證與檢驗(yàn)人員，操作等規(guī)程。隨著計(jì)算機(jī)技術(shù)的快速發(fā)展，一些法律已不能滿足打擊犯罪的新手段需求，如新的犯罪手段無明確的法律規(guī)定，必然會(huì)導(dǎo)致犯罪行為法律缺失，從而損害社會(huì)團(tuán)體及個(gè)人的合法權(quán)益。

目前我國(guó)僅刑法規(guī)定單位犯罪負(fù)刑事責(zé)任。補(bǔ)充法律法規(guī)對(duì)計(jì)算機(jī)犯罪主體主要是將單位作犯罪主體。當(dāng)前利用計(jì)算機(jī)技術(shù)手段報(bào)復(fù)商業(yè)對(duì)手的犯罪行為屢屢發(fā)生，直接侵害競(jìng)爭(zhēng)對(duì)手的商業(yè)利益，應(yīng)視為計(jì)算機(jī)犯罪。

3.設(shè)計(jì)電子物證提取檢驗(yàn)系統(tǒng)

電子物證的檢驗(yàn)隨新型犯罪形式出現(xiàn)，電子物證具有多樣性，因此電子物證檢驗(yàn)系統(tǒng)與其他取證工具的整合能力非常重要。其檢驗(yàn)必須強(qiáng)調(diào)程序的科學(xué)合法性，確保提取檢統(tǒng)應(yīng)滿足使用者處理多種存儲(chǔ)介質(zhì)的需求。實(shí)現(xiàn)對(duì)案件與物證唯一性，對(duì)檢驗(yàn)工具的監(jiān)控，通過系統(tǒng)自動(dòng)生成具有法定證據(jù)效力的檢驗(yàn)結(jié)果。

系統(tǒng)功能模塊包括用戶接口模塊，物證提取模塊，檢驗(yàn)分析模塊，用戶提取模塊中完成電子物證的受理，物證信息的錄入，物證提取模塊中完成收集設(shè)備與提取信息。檢驗(yàn)分析模塊中完成提取摘要信息，關(guān)鍵字匹配。生成法定證據(jù)模塊功能是收集數(shù)據(jù)與生成報(bào)告。

電子物證的提取步驟為現(xiàn)場(chǎng)勘查，拍照記錄，離線提取，封裝保存等，執(zhí)行取證對(duì)各步驟情況進(jìn)行記錄歸檔。確保證據(jù)具備法定效力。電子物證的提取類型包括實(shí)物物證與邏輯物證。實(shí)物物證包括電子設(shè)備，存儲(chǔ)介質(zhì)與文檔資料，邏輯物證包括易失性數(shù)據(jù)與非易失性數(shù)據(jù)。提取邏輯物證分為復(fù)制電子設(shè)備存儲(chǔ)所有電子信息與所需電子信息，應(yīng)根據(jù)案件情況決定取證方式。提取中必須保障現(xiàn)場(chǎng)電子設(shè)備的電子安全，避免發(fā)生數(shù)據(jù)破壞。以便為翻轉(zhuǎn)現(xiàn)場(chǎng)還原提供直接依據(jù)。

構(gòu)建電子物證檢驗(yàn)系統(tǒng)目標(biāo)是針對(duì)被保護(hù)狀態(tài)下采集的電子物證進(jìn)行檢驗(yàn)分析，使電子物證成為偵破認(rèn)定犯罪的有力證據(jù)。建立功能完善的專業(yè)電子物證檢驗(yàn)系統(tǒng)，需具備計(jì)算機(jī)電子設(shè)備數(shù)據(jù)檢驗(yàn)?zāi)芰?。?shí)現(xiàn)系統(tǒng)要加入數(shù)據(jù)信息與綜合管理。

三、電子物證提取檢驗(yàn)污染問題

一些硬盤帶有系統(tǒng)軟件，部分工作人員直接使用帶系統(tǒng)軟件的硬盤啟動(dòng)導(dǎo)致硬盤文件時(shí)間變化；如將帶有檢材信息的移動(dòng)硬盤直接連接到非取證計(jì)算機(jī)設(shè)備中，殺毒軟件反復(fù)讀取分析文件數(shù)據(jù)信息內(nèi)容，易導(dǎo)致篡改硬盤中信息數(shù)據(jù)被。將硬盤介入到帶有系統(tǒng)的檢材計(jì)算機(jī)中，系統(tǒng)自動(dòng)對(duì)硬盤中數(shù)據(jù)進(jìn)行掃描記錄，易造成信息數(shù)據(jù)泄露。

因工作人員對(duì)錄音等設(shè)備操作不當(dāng)，在常規(guī)性檢查中因誤操作導(dǎo)致機(jī)器自動(dòng)錄音錄像，導(dǎo)致物證資料丟失。若在物證鑒定中直接打開手機(jī)等設(shè)備，如調(diào)查當(dāng)事人手機(jī)中短信等信息，未打開屏蔽網(wǎng)絡(luò)設(shè)備，易導(dǎo)致原本檢材內(nèi)容改變，如手機(jī)內(nèi)存已滿，接收新短信導(dǎo)致原短信被刪除。

在未準(zhǔn)確把握計(jì)算機(jī)性能時(shí)，如對(duì)按照系統(tǒng)還原軟件，啟閉計(jì)算機(jī)會(huì)導(dǎo)致計(jì)算機(jī)中的數(shù)據(jù)丟失。對(duì)設(shè)備保護(hù)不當(dāng)亦會(huì)導(dǎo)致證據(jù)丟失。將設(shè)備放在潮濕等環(huán)境中，或設(shè)備保護(hù)措施不到位，導(dǎo)致設(shè)備碰撞損壞，也會(huì)影響物證的取證。

四、電子物證提取檢驗(yàn)污染防治

應(yīng)針對(duì)案件具體情況，判斷是否需連接網(wǎng)絡(luò)。如在持續(xù)性網(wǎng)絡(luò)犯罪案件中保持網(wǎng)絡(luò)暢通，通過網(wǎng)絡(luò)獲取犯罪信息，斷開網(wǎng)絡(luò)為保護(hù)網(wǎng)絡(luò)系統(tǒng)穩(wěn)定性，避免入侵網(wǎng)絡(luò)者篡改數(shù)據(jù)。加強(qiáng)管理現(xiàn)場(chǎng)工作人員，防止出現(xiàn)破壞數(shù)據(jù)信息的行為。查看運(yùn)行中的計(jì)算機(jī)設(shè)備，避免破壞運(yùn)行程序。犯罪現(xiàn)場(chǎng)發(fā)現(xiàn)電子設(shè)備后要避斷電導(dǎo)致緩存數(shù)據(jù)丟失。認(rèn)真檢查犯罪現(xiàn)場(chǎng)，避免周圍磁場(chǎng)影響硬件設(shè)備運(yùn)行。

在犯罪現(xiàn)場(chǎng)要關(guān)注部分非電子設(shè)備數(shù)據(jù)的證據(jù)信息，如日記本內(nèi)容等，現(xiàn)場(chǎng)搜查時(shí)，需注意小物件的擺放位置，做好拍照記錄工作。搜查計(jì)算機(jī)設(shè)備時(shí)，應(yīng)關(guān)注設(shè)備是否存在藍(lán)牙等外部連接情況，避免信息被盜取泄露。

針對(duì)犯罪中被抓案件，如網(wǎng)絡(luò)賭博等行為，工作人員可對(duì)現(xiàn)場(chǎng)網(wǎng)頁進(jìn)行截屏保存，成為有法律效力的電子物證。如計(jì)算機(jī)處于關(guān)機(jī)狀態(tài)，不可進(jìn)行開機(jī)操作，如需開啟設(shè)備，應(yīng)將源計(jì)算機(jī)硬盤數(shù)據(jù)復(fù)制下，打開設(shè)備調(diào)查取證，以保證信息不會(huì)丟失。打開系統(tǒng)后，需校對(duì)計(jì)算機(jī)時(shí)間，及時(shí)做好檔案記錄工作。

總之，隨著電子設(shè)備與網(wǎng)絡(luò)技術(shù)的普及，很多犯罪案件都涉及到電子設(shè)備，需依靠相關(guān)司法工作人員提取電子物證輔助案件偵破。電子物證在提取檢驗(yàn)中涉及多個(gè)環(huán)節(jié)，應(yīng)做好電子物證的保護(hù)工作，避免電子物證被竊取破壞，保證電子物證的法律效力。