[科普中国]-计算机数据分析

定义

计算机数据分析，也可称为计算机调查或者电子数据鉴定。在计算机犯罪中，计算机扮演的角色无非两种：一种是作为犯罪的工具，一种是受侵害的对象，而计算机数据分析工作就是对计算机数据进行获取、保存，然后进行分析、提取，最大限度地再现或还原计算机犯罪的过程，还原操作者的行为。1

随着计算机犯罪的越来越严重，政府机构也通过法律制裁了一些利用计算机进行犯罪的嫌疑人，因此，调查人员如何通过系统的方法对计算机犯罪的案件进行定性和量刑等，对人们越来越具有吸引力。计算机数据分析工作是一种全新的调查方法，由于调查对象的特殊性，其调查手段，调查的设备，调查的方法，正在逐渐成为业界的热门话题，也渐渐展现在人们的面前。1

计算机数据分析技术是调查人员通过特定的方法手段、特殊的调查工具，对电子介质进行发现、固定、鉴别、分析、提取、记录和展式的一系列工作。它也是调查工作的一种，是需要遵守一定的方法和程序的，然而它又是在虚拟空间范围里面工作，因此在调查过程中又需要灵活应变的处理方法。

原则计算机数据分析的原则有关联性、合法性、客观性等原则。1

关联性原则分析计算机数据或信息与案件事实有关联，关联程度如何，是否实质性关联，其中附属信息与系统环境往往要相互结合，才能与案件事实发生实质性关联。确定能够证明案件事实的电子证据、附属信息证据和系统环境证据，并排队相互之间的矛盾。因此，根据案件当事人与电子证据的关联，可以决定电子证据的可采性。我国《民事诉讼法》第七十条规定：“凡是知道案件情况的单位和个人，都有义务出庭作证。”《最高人民法院关于民事诉讼证据的若干问题的规定》第七十五条规定：“有证据证明一方当事人持有证据无正当理由拒不提供，如果对方当事人主张该证据的内容不利于证据持有人，可以推定该主张成立。”联合国《电子商务示范法》第九条第一款指出：“在任何法律程序中，在应用有关证据的任何规则时，如果涉及一条数据电文作为证据的可接受性，就不能以它仅仅是一条数据电文为理由予以拒绝，更不能在当它是提供者在合理情况下所能提供的最好证据时，仅以它不是原初形式为理由加以否认。”《最高人民法院关于民事诉讼证据的若干规定》第七十条规定：“一方当事人提出的下列证据，对方当事人提出异议但没有足以反驳的相关证据的，人民法院应当确认其证明力：

（一）书证原件或者书证原件核对无误的复印件、照片、副本、节录本；

（二）有其他证据佐证并以合法手段取得的、无疑点的视听资料或者与视听资料核对无误的复制件”。1

合法性原则违反法定程序取得的证据应予以排除。我国《刑事诉讼法》第四十三条规定：“审判人员、检察人员、侦查人员必须依照法定程序，收集能够证实犯罪嫌疑人、被告人有罪或者无罪、犯罪情节轻重的各种证据，严禁严刑逼供和以威胁、引诱、欺骗以及其他非法的方法收集证据”。根据《电子签名法》第一条规定：“符合下列条件的数据电文，视为满足法律、法规规定的原件形式要求：

（一）能够有效地表现所载内容并可供随时调取查用；

（二）能够可靠地保证自最终形成时，内容保持完整，未被更改。但是，在数据电文上增加背书以及数据交换、存储和显示过程中发生的形式变化不影响数据电文的完整性。除非有相反证据，否则法官应当有理由相信基于CA认证体系下的电子数据都是真实的，有数字签名并通过其验证的文档也都是真实的”。1

客观性原则考察电子证据在生成、存储、传输过程有无剪接、删改、替换的情况，其内容是否前后一致爱、通顺、符合逻辑。我国《电子签名法》第八条规定：“审查数据电文作为证据的真实性，应当考虑以下因素：

（一）生成、存储或者传递数据电文方法的可靠性；

（二）保持内容完整性方法的可靠性；

（三）用以鉴别发件人方法的可靠性；

（四）其他相关因素。这一规定的范围不能够包括所有电子证据所产生的诉讼、仲裁等”。1

对象计算机犯罪是一种在虚拟空间、使用虚拟身份、通过虚拟手段来完成，但是却可以在现实空间获得利益的犯罪方式。由于其犯罪证据本身也是虚拟的，而且很多证据可以通过一定的技术手段将其重新恢复出来，因此对虚拟空间的搜查比对现实空间的侦查更有意义。因此要求调查人员了解如何获取存储在计算机中的电子证据，如网络记录文件、电子邮件、文档处理文件，JPG图片文件等，发挥这些电子证据的作用，甚至是关键性的作用。1

电子数据调查分析一方面包括对存储在计算机硬盘、光盘、软盘、U盘等介质中的电子数据进行恢复、固化、查找、提起、分析并最终出具鉴定结论等。同时电子证据处于严格的监控保护下，保证调查过程中证据的完整性、有效性，以及调查过后证据的妥善保存等。1

另一方面，还能对网页、BBS等网络环境下的数据进行证据的固化、查找、提取、分析并最终出具鉴定结论。对计算机病毒、间谍软件、木马程序等破坏性程序进行查找、提取与功能鉴定分析。1

同时，还有一些情况如下：涉案的计算机硬盘数据丢失，需要找回丢失数据；在计算机犯罪中，需要对涉案的计算机硬盘中存储的计算机软件和原告拥有版权的软件进行比对，认同其同一性；在调查中，需要查明涉案硬盘的被操作情况，如：数据被删除的时间和次数、数据内容是否曾经被刻录成光盘等；需要对涉案计算机硬盘进行搜索 ，寻找特定证据材料；需要对涉案硬盘进行分析，查找曾经在该硬盘上安装使用的QQ号码等线索。1

我国在计算机犯罪方面的立法存在明显的不足，如搜查程序、证据扣押、账号冻结等等都缺乏对应的规定给。同时，电子证据又具有易修改性等特点，因此，在对电子证据进行甄别、搜集、处理的过程中，稍有不慎，就很容易使原始的电子证据受到破坏。受到破坏的电子证据，如果不能提供完整的修改情况说明，则其作为原始证据的法律地位将受到质疑，甚至失去其作为原始证据的法律地位。1

计算机数据分析软件——EncaseEncase简介Guidance Software是计算机调查和事件响应解决方案领域的领导者，创建于1997年，总部在美国中部的帕塞迪纳州，并在加利福尼亚、弗吉尼亚和英国设立了办事处和培训机构，全球有超过15000个法人团体和政府调查机构应用了EnCase软件。

EnCase软件是计算机分析人员和信息安全专业人员使用的一款计算机调查分析软件，是全世界计算机分析人员交流的一个平台。EnCase软件已经被全球众多的法庭所接受，被当做标准的调查工具来使用。2

Encase基本操作（1）Encase安装。跟大部分软件一样，Encase的安装十分简单，只需要执行简单的操作就可以完成，但是要注意的是，Encase的软件授权采用硬件加密狗的方式，如果加密狗没有正确安装，则只能运行Encase获取版。因此除了安装主称序文件外，还需要安装加密狗驱动。

（2）新建Encase案例。要新建一个案例，当运行完Encase软件以后，选择“文件”——“新建”命令或者直接单击“新建”按钮，然后在弹出的“案例选项”对话框中填入对应的选项，定义好各个路径后，单击“确定”按钮即可完成一个案例的新建。新建完案例后，选择“文件”——“保存”命令或者单击工具栏中的“保存”按钮保存案例文件。浏览到需要保存案例的位置，并输入案例名称，单击保存按钮即可。

（3）Encase备份文件。Encase为了保证工作的顺利进行，会为案例文件自动创建一个备份。该文件名与用户名的案例文件名是一致的，只是扩展名不同，案例的备份文件扩展名是cbak（Encase版本4的扩展名为cbk）。

（4）配置Encase。第一次安装Encase后，可以通过对Encase进行配置，使Encase满足我们的工作习惯，提高工作效率。可以先建立一个案例，然后在Encase菜单栏中选择“工具”——“选项”命令，进入Encase的配置对话框。Encase的对话框包含了8个选项卡：全局、调式、NAS、色彩、字库、EnScript、存储路径，如果已经打开了一个案例，那么还会多出一个案例选项出来。调查人员可根据需要，对每个选项进行修改。

（5）Encase证据文件的格式。

（6）Encase证据文件的组成。Encase证据文件由三个主要的部分组成：文件头、文件一致性检查组件（CRC和MD5）和数据块，这三个部分共同提供了分析对象磁盘的一个可靠的、具有自校验值的状态描述信息。

（7）获取Encase证据文件。把一个已经添加到Encase案例中的设备获取成证据文件是一个很简单的工作，可在需要获取成证据文件的设备上右击，选择“获取”命令，也可以选择设备后，在工具栏中单击“获取”按钮。

（8）添加证据文件。先新建一个案例，然后添加设备，此时会发现在“添加设备”对话框里有一个证据文件的选项，如果需要添加证据文件，那么可以在证据文件的选项上右击，然后选择“新建”命令，新建的选项允许用户创建一个路径，该路径指向证据文件所在的文件夹。当新建完路径之后，就可以看到一个新的路径出现在下方，单击该路径，如果该文件夹下面有Encase可以识别的证据文件，那么证据文件的图标就可以出现。经过两次确认后，就可以把证据文件添加到案例里面了。

（9）验证Encase证据文件。2