[科普中国]-电子数据司法鉴定

原则

作为鉴定学的一个分支，电子数据司法鉴定的法律属性首先决定了其整个活动都必须遵守我国相关法律法规的规定；同时，作为一种特殊的科学技术活动，电子数据鉴定又有其具体原则的要求。

(一)合法原则

这一原则要求电子数据司法鉴定在业务范围、鉴定程序和技术标准上的规范化和制度化。这又包括两方面内容：

1．行为合法原则：这是针对鉴定人的要求。电子数据司法鉴定人首先必须经过专门培训；应该做到及时鉴定，防止电子数据随时间推移而改变，我国公安部出台的《公安机关电子数据鉴定规则》指出电子数据“应当在十四个工作日内完成检验鉴定”；做到保证电子数据在整个鉴定程序中真实完整地保存，注意保存环境并防止人为破坏；做到对电子数据的多备份，这是客观有效鉴定电子数据的解决方案；做到按照法律法规的规定进行鉴定活动并为鉴定的每一个步骤拍照和记录。

2．状态合法原则：这是针对电子数据状态的要求。电子数据应该有多个备份，应该远离高磁场、高温、灰尘、积压、潮湿等，应该尽量保持与目标系统的最初状态一致或改变最小。之所以把状态合法原则单列出来，是因为进行监督和检查时只需要根据电子数据是否保持了上面所说的状态，就可以直接判定电子数据鉴定活动是否破坏了合法性原则。

(二)独立原则

电子数据司法鉴定人在不受外界干扰的情况下，独立表达鉴定意见，根据所得实际结果作出科学判断，鉴定结果是独立意志的体现，鉴定人只服从于科学和法律。

(三)监督原则

电子数据司法鉴定需要监督机制，包括两方面：

1．侦查人员监督：电子数据的移交、保管、开封、拆卸以及分析等各个阶段都要由侦查人员监督执行，并由鉴定人与监督人共同签名承担责任。

2．社会监督：公开要求社会监督的介入，力求防止和克服腐败。电子数据鉴定是符合正义的活动，社会监督，可以最大限度地体现公平正义。2

步骤电子证据的取证涉及对电子证据的保存、识别、提取、归档和解释，以作为证据或作为动机分析的依据。电子证据取证工作需要遵循一种明确的、严格定义的方法和程序，对于非同一般的事件又需要灵活机动的处理，不可墨守成规。

电子证据取证和其他类型传统证据的调查取证工作有所不同。传统的暴力案件现场需要拍照，搜寻证据、供比对的样本，并且需要控制样本以便和证物对照。电子证据的调查工作当中也存在类似的工作。但许多时候，调查人员需要对整个系统(无论是单机还是大容量的磁盘阵列服务器甚至是整个网络)进行重建，这是不同于传统证据取证但在电子证据取证中常见的工作。

取证的步骤是相对固定的，一定时期内不会随着计算机技术的量变而改变，除非计算机技术产生了质变。取证步骤可以概括为：①在不对原有的证物进行任何损坏或改动的前提之下获取证据(Acquire)。②证明所获取的证据和原有的数据是相同的(Authenticate)。③在不改动数据的前提之下对其进行分析(Analyze)。3

标准在《布莱克法律词典》中，证据的可采性(Admissibility)是指“可提交法庭或法官极有可能接受它，即允许其在法庭上提出的品质”。而证据采用标准是世界各国争论已久的问题。近年的司法实践证实，如果鉴定过程和结论能够保证证据的关联性、客观性和合法性，就可采用。

(一)电子数据鉴定的关联性标准

关联性是证据的自然属性，是证据与案件事实之间的必然联系。电子证据如果在一定程度上能够对案件事实产生实质性影响，法庭应当裁定其具有关联性。反之，如果某电子数据无法证明与案件事实的任何一个方面存在相关性，则此数据不具备电子证据的关联性，不能作为诉讼、定案的依据。许多情况下，单个电子证据不能证明案件的全部事实，但只要能证明案件事实的某个方面，同案件事实之间就存在一定的联系，可以成为证据链条中的一个环节，法庭同样应当裁定其具有关联性。

(二)电子数据鉴定的客观性标准

客观性也可称为真实性。一般来说，电子证据较难被认定为传统意义上的“原件”，但若能保证电子证据从最初的获取收集，一直到作为诉讼证据提交使用的全部过程中，其内容没有任何变化，则该电子证据就具有客观性或真实性。诉讼实践时，既要考虑电子证据的生成过程是否科学客观、是否符合逻辑，又要考虑电子证据的表现形式是否被伪造、变造或剪辑、删改过。如我国《电子签名法》第8条规定：“审查数据电文作为证据的真实性，应当考虑以下因素：①生成、储存或者传递数据电文方法的可靠性。②保持内容完整性方法的可靠性；用以鉴别发件人方法的可靠性；其他相关的因素。”

(三)电子数据鉴定的合法性标准

合法性是指只有采取法定形式，具有法定来源，由法定主体以合法手段取得的证据材料，才具有证据能力。电子证据的获取、存储、提交等环节均应合法，对国家利益、社会公益和个人隐私等基本权利不构成严重侵犯。以非法手段扣押、搜集、获取的电子证据，由不具备计算机司法鉴定能力资质的单位和个人提取的电子数据、出具的鉴定意见，在收集、整理、提交等鉴定实施过程中可能影响证据客观真实性的电子证据等，均应被视做“毒树之果”而不被采纳。3

技术依据电子证据的载体和来源，大体可划分为“基于单机和设备的电子证据”和“基于网络的电子证据”两种。

一、基于单机和设备的电子数据司法鉴定技术

单机取证技术是针对一台可能含有证据的非在线计算机等电子设备进行证据获取的技术，包括存储介质的证据保全技术、数据恢复技术、隐藏数据的再现技术、加密数据的解密技术和数据挖掘技术等。

1．证据保全技术。在对单机或设备进行电子数据司法鉴定时，必须进行证据保全，尽可能使用克隆数据而不使用原始检材进行分析。克隆就是对原始检材进行位对位的复制，原始检材中的内容不会丢失、遗漏，也不会被修改，包括被删除的文件、未分配空间、打印缓冲区、数据残留区和文件碎片等。目前常用的方法是将单机与设备中的存储介质取下，使用克隆设备进行的克隆备份。

不便克隆的检材可先通过只读设备与之连接，然后计算Hash值。Hash译作“散列”或“哈希”，是把任意长度的输入，通过散列算法变换成固定长度的输出，该输出就是散列值，被广泛用于加密和解密技术上。任何一个存储单元，比如说一个文件，无论是可执行程序、图像文件、临时文件或者其他任何类型的文件，也不管它体积多大，都有且只有一个独一无二的Hash值，并且如果这个文件被修改过，它的Hash值也将随之改变。因此，我们可以通过对比同一存储单元的Hash值，来校验这个存储单元是否被“篡改”过，即可以用来验证两个存储单元是否一致。3

2．数据恢复技术。通过数据恢复技术，可以将被直接删除的数据及少量次数覆盖删除的数据，全部或部分还原出来。数据恢复技术并不能保证100%成功，其成功率与存储介质、存储原理、存储格式、是否覆盖以及覆盖次数密切相关。

3．加密解密技术和口令获取。取证在很多情况下都面临如何将加密的数据进行解密的问题。目前的加密解密算法及工具很多，计算机取证中使用的密码破解技术和方法主要有：①密码破解技术。包括口令字典、重点猜测、穷举破解等技术。其中口令字典一般是基于软件的，而且已经有了多种字典可供使用。②口令搜索。包括物理搜索(在计算机四周搜查可能有口令的地方)、逻辑搜索(在文档或电子邮件中搜索明文的口令)和网络窃听(从网络中捕获明文口令)。③口令提取。许多Windows的口令都以明文的形式存储在注册表或其他指定的地方，我们可以从注册表中提取口令。④口令恢复。使用密钥恢复机制可以从高级管理员那里获得口令。

4．隐藏数据的再现技术。信息隐藏技术是保密通信技术的一种，它把需要隐藏的内容嵌入图像、音视频或其他类型的文件中，进行传输和存储，电子数据司法鉴定时，就需要将这些被隐藏起来的证据信息还原出来。主要的技术有隐藏信息检测与算法还原，即分析检材中的相关信息中是否含有隐藏信息以及将这些隐藏信息通过各种还原算法还原出来。

5．信息搜索与过滤技术。电子证据具有形式多样、载体丰富、位置隐蔽、结构复杂的特性，有重要价值的证据信息，往往分散和隐藏在浩瀚的无用数据之中，且相互之间又具有各种关联性，所以必须使用信息搜索、过滤和挖掘技术，快速定位电子证据。这方面的技术主要有数据搜索引擎技术、数据过滤技术、数据挖掘技术等。

6．逆向工程技术。逆向工程技术用于分析目标主机上可疑程序的行为，从而获取证据。逆向工程通常采用常用的反汇编工具与软件调试工具。3

7．芯片数据提取技术。电子证据可能存储在各种办公或个人电子设备中，如传真机、复印机、无线路由器、手机等。该类设备中的芯片(如笔记本中的BIOS数据芯片、无线路由器芯片、手机内存芯片)都可能存储涉案的电子证据。芯片可分为易丢失数据型和不易丢失型芯片，包括RAM、ROM、Flash等各种类型。芯片数据提取的手段较少，取证难度较大。通常可采用不同类型的芯片编程器来进行数据提取，然后再利用工具软件或手工对提取的数据进行解析或解码。3

二、基于网络的电子数据司法鉴定技术

所谓网络取证技术就是在网上跟踪犯罪分子或通过网络通信的数据信息资料获取证据的技术。包括IP地址和MAC地址的获取和识别技术、身份认证技术、电子邮件的取证和鉴定技术、网络侦听和监视技术、数据过滤技术、漏洞扫描技术等。应该说，在网络的犯罪13益猖獗的今天，网络取证技术在计算机取证技术中占有举足轻重的地位。

1．网络环境下的证据保全技术。由于鉴定对象与网络相连接，相关数据信息时刻都在改变。因此在网络环境下的鉴定，一定要注重证据的实时保全，随时导出、备份需要鉴定的信息，同时对这些备份信息进行Hash校验，以保证这些证据信息的客观真实性。

2．日志分析技术。在基于网络的电子数据司法鉴定中，通常使用日志分析技术，了解某时段的CPU负荷、IP来源、恶意访问、系统异常、用户操作记录和习惯等重要信息。

3．数据捕获技术。在诸如网络入侵一类的案件中，需要通过截获和分析入侵终端发出的或者被入侵主机发出的网络数据包，获得攻击源地址以及攻击的类型与方法。

4．现场重建技术。由于网络应用的综合性与复杂性，往往需要通过建立一个与案件网络环境类似的模拟试验环境，从而分析原理，理清过程，还原案件的真实原貌。常用的技术包括web数据库技术、远程连接与控制技术、网络攻击与防御技术等。3

工具**(一)硬件工具**

硬盘作为计算机最主要的信息存储介质，是计算机取证的重要获取内容，也是目前各种计算机取证工具的主要方向。随着存储技术的发展，硬盘的种类增加、容量加大。这在给普通用户增加更多便利的同时，给使用硬盘取证也带来更多困难。完整、彻底、精确的获取数据是对硬盘取证的基本要求。同时具有高速度、多功能、智能化以及广泛的适用性是对此类取证设备的发展要求。

1．硬盘取证设备。多数拷贝机以硬盘直接拷贝为主要方法，即将嫌疑人的硬盘取出直接与拷贝机连接实现硬盘数据的全面复制。一些新型的拷贝机除了直接拷贝还增加了SATA硬盘接口、SCSI硬盘接口、SAS硬盘接口、USB接口、PCMCIA接口，进一步增强了其适用范围。

2．取证勘查箱。由于电子证据取证涉及的信息存储介质种类很多，主要有软盘、硬盘、光盘、闪存、各种存储卡、ZIP、不同的掌上电脑及手机等。由此取证人员需要有一套适应面广、拷贝功能强、携带方便、使用灵活的移动取证平台以适应需要。

3．司法分析服务器。司法分析服务器是专门配置了多种只读接口的高性能、大容量的专用电子证据分析计算机，根据法证分析软件的要求及特点进行优化，能够充分提高证据分析、处理的效率。

(二)软件工具

不同的鉴定内容，需要单独或组合使用不同的鉴定软件工具，归纳起来主要分为以下几类。

1．综合取证分析软件。电子数据司法鉴定需要功能更强、自动化程度更高、同时更加精确、稳定和安全的软件工具，因此各类工具的综合与集成成为一种发展趋势。目前国外流行的综合取证分析平台有EnCase、FIX(Forensic Tool—kit)、X—Ways Forensic、ProDiscover等；国内具有自主知识产权的取证分析软件代表有取证大师(Forensics Master)。

2．数据恢复工具。这类工具专门用于恢复被删除的数据，如Final Data、Easy Recovery、R—Studio、Testdisk、Disk Genius(国产软件)等都是实用的数据恢复软件。此外近年在该领域，还有一些新兴的碎片文件重组工具，如AdroitPhoto Forensic(图片碎片重组及恢复)、AutoMDF(MS SQL数据库重组)等。此类工具并非纯粹利用文件系统元数据信息或文件签名等技术来进行数据恢复，而是深入分析文件内部结构，智能进行结构重组，实现文件最大程度的恢复。

3．文件查看工具。这类工具专门用于查看不同数据类型文件内容的软件。一些隐藏和改变属性存储的文件，里面往往有关键和敏感的信息。

4．文件搜索和检测工具。这类工具专门用于对特定信息进行搜索、检测，如ThumbsPlus是一款功能全面的图片搜索检查软件；dtSearch则是一个非常方便的用于文本搜索的工具，特别是搜索Outlook的“．pst”文件的时候。后面提到的某些集成软件，还具有针对关键字和文件结构进行分类检测的功能。

5．校验和Hash值计算工具。这类工具专门用于对文件进行计算校验，可以计算的哈希值类型包括CRC、MD5、SHA一1、SHA一2等。

6．解密工具。这类工具专门用于对加密的数据进行解密。

7．网络鉴定工具。主要包括日志分析工具如NetTracker、Logsurfer、Netlog、Analog等，以及数据捕获分析工具。

8．数据关联分析系统。电子数据鉴定有时还需要对海量数据进行处理及关联分析，甚至可自动将数据以图形方式来表示，以多种视图方式排列。3