淺談電子證據(jù)與數(shù)字取證

吳文博，劉依卓

（國家無線電監(jiān)測中心哈爾濱監(jiān)測站，黑龍江 哈爾濱 150010）

1 電子證據(jù)與計算機(jī)取證概述

電子證據(jù)是案件發(fā)生過程中形成的，以數(shù)字化形式存儲、處理、傳輸?shù)模軌蜃C明案件事實(shí)的數(shù)據(jù)[1]。這里的電子證據(jù)是我國法律中眾多證據(jù)種類中的一種，主要包括網(wǎng)絡(luò)平臺發(fā)布的信息、網(wǎng)絡(luò)應(yīng)用服務(wù)的通信信息、用戶注冊信息、電子交易記錄、通信記錄、登錄日志以及文檔、圖片、各類電子形式的音視頻等電子文件[2]。通常在計算機(jī)網(wǎng)絡(luò)犯罪中，會存在著大量的電子證據(jù)，這些電子證據(jù)的收集、挖掘與分析對于打擊網(wǎng)絡(luò)犯罪、維護(hù)網(wǎng)絡(luò)空間安全具有重要意義。

計算機(jī)取證是計算機(jī)領(lǐng)域和法學(xué)領(lǐng)域的一門交叉科學(xué)，被用來解決大量的計算機(jī)犯罪和事故，包括網(wǎng)絡(luò)入侵、盜用知識產(chǎn)權(quán)和網(wǎng)絡(luò)欺騙等[3]問題。簡而言之，計算機(jī)取證就是針對計算機(jī)網(wǎng)絡(luò)犯罪所進(jìn)行的電子數(shù)據(jù)的獲取、保存、分析與展示，而電子數(shù)據(jù)的獲取與鑒定過程通常包括證據(jù)保全、證據(jù)獲取、證據(jù)恢復(fù)與證據(jù)分析等[4]。計算機(jī)取證對于打擊計算機(jī)網(wǎng)絡(luò)犯罪具有重要作用，通過數(shù)字取證工具挖掘出犯罪嫌疑人的犯罪“痕跡”，并將這些電子數(shù)據(jù)作為證據(jù)在法庭上進(jìn)行可視化“展示”，才能將犯罪嫌疑人定罪、量刑。

2 計算機(jī)取證的原則與取證工具分類

計算機(jī)取證應(yīng)遵循以下基本原則[5-6]：時效性原則，即要求電子數(shù)據(jù)的獲取具有一定的時效性；過程合法性原則，即電子數(shù)據(jù)在取得的過程中是合法的，所得到的電子數(shù)據(jù)是真實(shí)的、有效的、完整的，整個取證活動是依法依規(guī)進(jìn)行的；妥善保管原則，即電子數(shù)據(jù)應(yīng)予以妥善保存，方便進(jìn)行試驗(yàn)和展示，一方面電子數(shù)據(jù)的存儲應(yīng)滿足一定的環(huán)境要求，另一方面電子數(shù)據(jù)應(yīng)進(jìn)行備份保存；嚴(yán)格過程管理原則，即電子數(shù)據(jù)的移交、保管、驗(yàn)證、展示的過程中都需要進(jìn)行嚴(yán)格的管理和記錄，保證電子數(shù)據(jù)未被人為篡改，以保證證據(jù)的完整性和真實(shí)性。

根據(jù)取證工具用途的不同，可將取證工具分為磁盤和數(shù)據(jù)采集工具、文件查看工具、文件分析工具、登記冊分析工具、互聯(lián)網(wǎng)分析工具、電子郵件分析工具、移動設(shè)備分析工具、網(wǎng)絡(luò)取證工具等多種數(shù)字取證工具。

3 數(shù)字取證工具及其應(yīng)用

（1）在線取證工具：在線取證工具一般可在嫌疑人的計算機(jī)上直接運(yùn)行，并可自動獲取內(nèi)存、運(yùn)行表等相關(guān)數(shù)據(jù)，也可通過取證軟件獲取硬盤的完整鏡像。

（2）保護(hù)接口硬件：保護(hù)接口硬件通過計算機(jī)的火線或者USB接口獲取硬盤鏡像和分析文件使用的所有保護(hù)接口，確保證據(jù)數(shù)據(jù)以只讀的方式讀取到證據(jù)分析設(shè)備中[7]。

（3）數(shù)據(jù)擦除設(shè)備：數(shù)據(jù)擦除設(shè)備可以對不需要保留的的各種存儲介質(zhì)和涉密數(shù)據(jù)進(jìn)行數(shù)據(jù)清潔，從而使存儲介質(zhì)可以重新使用。

（4）手機(jī)取證系統(tǒng)：可以針對移動運(yùn)營商、SD和SIM卡中的數(shù)據(jù)，以及智能操作系統(tǒng)和App應(yīng)用中的數(shù)據(jù)進(jìn)行收集、挖掘和分析。

（5）數(shù)據(jù)恢復(fù)工具：數(shù)據(jù)恢復(fù)工具可將已刪除文件恢復(fù)，對不同程度上的損壞數(shù)據(jù)進(jìn)行恢復(fù)，以及將不可見區(qū)域的數(shù)據(jù)進(jìn)行呈現(xiàn)。

（6）密碼破譯工具：密碼破譯工具可以對加密的文件進(jìn)行破解。如ElcomSoft可對計算機(jī)系統(tǒng)密碼以及智能手機(jī)加密文件進(jìn)行破解，而Passware軟件運(yùn)用CPU+GPU進(jìn)行運(yùn)算，可以大幅度提高破解速度。

（7）專用計算機(jī)取證工具：專用計算機(jī)取證工具能夠?yàn)閳?zhí)法部門提供專業(yè)的數(shù)據(jù)收集并進(jìn)行分析、可視化展示的數(shù)字取證綜合性軟件，其結(jié)論可以進(jìn)行展示并被司法機(jī)關(guān)所認(rèn)可。

4 數(shù)字取證的挑戰(zhàn)

（1）數(shù)字取證人員的能力要求。數(shù)字取證本身具有很強(qiáng)的專業(yè)性和交叉性，對數(shù)字取證工作人員的專業(yè)性提出了較高的要求。數(shù)字取證人員不僅要具有一定的計算機(jī)技術(shù)水平，并且需要熟練使用各類專業(yè)化的數(shù)字取證工具，還應(yīng)對網(wǎng)絡(luò)安全領(lǐng)域相關(guān)法律法規(guī)有所涉獵。數(shù)字取證是一項(xiàng)專業(yè)的取證過程，不了解或不具有數(shù)字取證能力的人進(jìn)行取證，不僅難以從海量數(shù)據(jù)中挖掘出具有價值的證據(jù)，還容易對電子數(shù)據(jù)造成破壞，使其喪失證明力。

（2）數(shù)字取證缺少相應(yīng)的通用標(biāo)準(zhǔn)。由于計算機(jī)犯罪往往是跨區(qū)域犯罪，這也為數(shù)字取證的國際合作帶來了巨大的困難。不同國家或地區(qū)具有不同的法律和文化制度，而對于數(shù)字取證來說也難以建立統(tǒng)一的取證流程。建立通用的數(shù)字取證標(biāo)準(zhǔn)，一方面可以規(guī)范數(shù)字取證流程、提高數(shù)字取證效率；另一方面也可以促進(jìn)跨區(qū)域打擊網(wǎng)絡(luò)犯罪合作。

（3）新型計算機(jī)技術(shù)的發(fā)展以及智能設(shè)備的普及。各類新型計算機(jī)技術(shù)如大數(shù)據(jù)、云計算、區(qū)塊鏈以及人們生活由PC端向移動端轉(zhuǎn)移，也給電子取證帶來了諸多新的挑戰(zhàn)。首先，大數(shù)據(jù)時代數(shù)據(jù)往往都存放在數(shù)據(jù)中心，數(shù)字取證的過程中既要保證數(shù)據(jù)的時效性和完整性，同時也要保證在數(shù)字取證的過程中不耽誤數(shù)字中心中其他數(shù)據(jù)的調(diào)用，高效地從海量數(shù)據(jù)中挖掘出具有價值的電子數(shù)據(jù)，本身具有一定的難度。其次，智能設(shè)備的普及，加快了人們的工作和生活從PC端向移動端的轉(zhuǎn)移，這也意味著數(shù)字取證人員不僅要熟悉傳統(tǒng)計算機(jī)系統(tǒng)的取證方法，還要熟悉安卓、蘋果等移動系統(tǒng)的取證方法；而絕大多數(shù)操作系統(tǒng)都是非開源系統(tǒng)，且操作系統(tǒng)的更新較為頻繁，這無疑增加了取證人員獲取系統(tǒng)日志的難度。

（4）數(shù)字取證與隱私保護(hù)?，F(xiàn)如今，計算機(jī)網(wǎng)絡(luò)、個人計算機(jī)、智能手機(jī)已經(jīng)成為我們生活中不可缺少的重要部分，我們?nèi)粘５墓ぷ?、學(xué)習(xí)、娛樂、社交甚至是網(wǎng)絡(luò)購物、金融交易都可以通過手機(jī)在網(wǎng)絡(luò)上進(jìn)行。數(shù)字取證需要在海量數(shù)據(jù)中挖掘出有價值的證據(jù)并進(jìn)行深度分析，而這些海量數(shù)據(jù)中也可能包含一些涉及個人隱私的信息。從保護(hù)個人隱私的角度上看，數(shù)字取證可能會導(dǎo)致個人隱私信息的泄露。

（5）犯罪嫌疑人反偵察意識以及相應(yīng)反偵察技術(shù)的提升。盡管國家對于網(wǎng)絡(luò)犯罪的打擊力度不斷增強(qiáng)，但是犯罪嫌疑人的反偵察意識也在不斷提升，他們也學(xué)會了利用各種新型反偵察技術(shù)，銷毀證據(jù)、隱藏蹤跡、逃避打擊。有些人會使用數(shù)據(jù)擦除軟件隱藏蹤跡；有些人將敏感信息嵌入到圖片、視頻等類型的文件中，以突破網(wǎng)絡(luò)封鎖；還有些人則利用后門、木馬等繞開系統(tǒng)日志或者對系統(tǒng)日志進(jìn)行銷毀。

5 結(jié)束語

在當(dāng)今“互聯(lián)網(wǎng)+”的時代背景下，計算機(jī)網(wǎng)絡(luò)犯罪案件頻發(fā)，這使得相關(guān)案件電子證據(jù)的獲得、存儲以及使用變得尤為重要。數(shù)據(jù)取證工具的應(yīng)用，對于打擊計算機(jī)網(wǎng)絡(luò)犯罪、維護(hù)網(wǎng)絡(luò)空間秩序具有重要意義。一方面使用專業(yè)的數(shù)字取證工具能夠很好地進(jìn)行數(shù)據(jù)的收集、恢復(fù)、挖掘和分析；另一方面專業(yè)數(shù)字取證工具能夠從大量的電子數(shù)據(jù)中快速地挖掘出具有價值的證據(jù)并有效減少出錯的可能性，最后利用數(shù)字取證工具所形成的電子證據(jù)更容易在庭審上展示。與此同時，盡管數(shù)字取證對于打擊網(wǎng)絡(luò)犯罪維護(hù)網(wǎng)絡(luò)空間安全具有重要意義，但是當(dāng)前數(shù)字取證仍面臨著諸多問題和挑戰(zhàn)；取證人員能力的不足、取證標(biāo)準(zhǔn)的不完善、新技術(shù)、新產(chǎn)品所帶來的新問題以及數(shù)字取證的倫理道德問題，都給數(shù)字取證的發(fā)展帶來了巨大的挑戰(zhàn)，也需要我們予以充分應(yīng)對。