構建我國計算機仿真取證標準的思考

王俊

（中國人民公安大學，北京100038）

根據計算機取證狀態的不同，學界一般將計算機取證分為動態的在線取證和靜態的事后取證，由于動態在線取證的技術標準和法律認同問題久拖未決，為保證取證結果的法律認可和電子證據的易于采信，目前司法實踐中大多使用傳統的靜態取證。

傳統的靜態取證方式立足于對計算機相關存儲設備中的電子數據的離線解讀和分析，需要電子數據的既定寫存和較好的數據存儲環境。如果數據未能寫入相關存儲設備或取證條件不理想的情況下，靜態取證的效果將大打折扣。譬如，對運行中的計算機信息系統先實施關機操作再進行事后的靜態取證就會造成取證目標主機中一些重要的即時數據①所謂的即時數據是指只有在計算機系統運行的過程中可以被分析和獲取的電子數據，這些數據會隨著系統關機而滅失。諸如寄存器轉存數據、RAM數據、虛擬內存數據、用戶實時操作軌跡、網絡即時通訊數據等都可視為即時數據范疇。的丟失。即時數據大多是明文數據，其中可能含有各種密文的解密口令、各類程序的操作運行記錄、虛擬內存的寫入記錄、網絡即時通訊數據記錄等信息，這些信息最終并不會被寫入計算機系統的存儲設備中，其會隨著系統的運行終結而自行消失。在很多時候，獲得這些即時數據可以使取證事半功倍，因而其重要性也越來越受到司法機關的重視，但獲得這些數據需要取證的在線進行和動態的研判分析與收集保全，采用靜態事后取證無法滿足即時數據獲取的需要。

此外，靜態取證獲取的數據是計算機系統運行的各類結果數據，對于各類電子數據如何形成、獲取的各類電子數據間有何關聯、用戶事前進行了何種操作、數據變化的原因等問題若采用事后靜態取證的方法，從結果數據中很難推定這些數據產生、改變、滅失的原因。再有，靜態取證難以重現電子數據先在②取證實施前目標計算機系統的動態運行環境以及系統變量。運行環境，面對海量的電子數據，靜態取證的準確度、取證的效率受到很大影響。

為滿足取證動態分析的實際需要、彌補靜態事后取證之不足，近年來學界一直致力于滿足取證技術和取證法律雙重要求的動態取證方法的探尋。隨著計算機仿真技術、磁盤重新定向技術、Shadow等計算機技術的研究應用，計算機仿真（動態）取證應用的技術條件已經具備。目前已開發出的 Power Shadow、PC Virtual、Virtual Box、VM Workstation等軟件工具已具備了應用于計算機取證的條件，我國計算機取證產品開發廠商也已研發成型 “ATT-3000動態仿真取證系統”、“盤石計算機仿真取證系統”等仿真取證設備。這些設備的應用在很大程度上促進了取證效率的提高，充實了計算機取證的結果。但也有學者對于仿真取證設備的可靠性提出質疑，有學者提出目前仿真取證的技術標準、相關操作規范和程序要求缺失，如何保障計算機仿真取證的結果能夠獲得法律的認可？怎樣實現計算機仿真取證的規范化運作？計算機仿真取證能否保證結果的真實完整等，解決這些問題的關鍵就在于仿真取證規范化的盡快實現。

計算機仿真取證規范化的實現途徑與傳統靜態取證的要求相同，即“技法并行”，才能保證取證結果的有效和電子證據的客觀、完整、可信。因此，在計算機仿真取證應用技術條件成熟的同時，仿真取證的相應規范和標準也必須及時制定和完善。基于此目的，本文試從計算機仿真取證的法律規范設計角度出發，結合仿真取證的技術特點，尋求仿真取證規范的構建。

1 計算機仿真取證解讀

簡言之，計算機仿真取證是指在仿真模擬目標計算機系統的運行環境下實施的動態取證活動。系統仿真、系統原始環境的再現、數據寫保護、數據動態在線分析和保全是仿真取證的主要特點。所以歸結來講，計算機仿真取證是指運用計算機仿真技術實現對目標計算機系統的仿真模擬和環境再現，在系統寫保護狀態下實施的對目標系統中各類電子數據原有狀態的還原、操作軌跡的追蹤以及各種數據記錄的收集與保全活動。

1.1 仿真取證的原理與分類

計算機仿真取證主要是利用虛擬機技術、Shadow技術、重新定向等技術對目標計算機系統的操作系統內核、硬件設備、用戶環境、各種網絡協議、應用程序、數據記錄等信息進行動態的仿真運行模擬，以在此基礎上構建出安全的、可供動態取證的操作環境[1]。

按照取證對象的不同，可將計算機仿真取證分為：基于原機的仿真、基于硬盤鏡像的仿真和基于硬盤鏡像文件的仿真。基于原機的仿真是在擁有原始主機且系統處于寫保護狀態下的即時在線取證，其主要目的是動態獲取目標主機中的即時數據、程序運行數據、網絡通信信息以及攻擊、入侵行為的數據記錄；基于硬盤仿真取證是在借助虛擬機技術的基礎上對裝有操作系統的硬盤進行硬件的仿真重建，通過仿真加載原有系統設置，重建原有計算機系統運行的軟、硬件環境，進行原始電子數據的動態分析獲取；基于硬盤鏡像的仿真取證是在甄別鏡像文件中的原有系統配置信息的基礎上，實現原載系統的仿真啟動，以在線直觀、準確的判別、收集和保全所需的電子證據[2]。

1.2 仿真取證的效能

仿真取證是為彌補傳統靜態取證的不足、提高計算機取證的效率、充實取證的結果而設計的，所以仿真取證有傳統靜態取證所不具備的優勢和功能。

1.2.1 仿真取證能獲取傳統靜態取證所無法獲得的“即時數據”

靜態取證多采取“二步式”做法，首先需要偵（調）查人員對原有計算機系統進行靜態的封存，之后再交由專業的電子數據鑒定人員做取證分析。如果對處于運行狀態下的目標計算機系統實施直接關機操作，這樣目標計算機系統中的“即時數據”就無法得以收集和保全。采用動態仿真的做法，可在系統寫保護的狀態下實現對目標主機中的“即時數據”③需要原系統處于運行狀態，在系統寫保護的情況下實施即時在線取證分析。的及時在線獲取，避免“即時數據”的滅失，為后續取證分析提供口令、文件和數據的支持。

1.2.2 仿真取證可以彌補傳統靜態取證 “網絡電子數據”獲取能力的不足

仿真取證的一大優點就是其可以仿真模擬原有計算機系統的網絡運行環境和網絡通信協議，獲取原有系統中的各種網絡程序的賬號信息、電子證書數據、IE自動填寫表單數據。獲得這些數據可以實現對用戶的電子郵箱信息、聊天記錄、寄存于網絡存儲空間中的電子數據的解讀和分析；仿真取證具有“還原重現”原有系統運行軌跡的功能。傳統靜態取證只能對已存電子數據做事后的分析和解讀，無法解決目標系統原有運行軌跡記錄數據的收集和獲取，因此也就很難實現對目標系統原有運行軌跡的還原和再現。仿真取證則可通過仿真模擬，再現目標系統原有數據的生成、改動、存儲等數據運行的軌跡，重塑電子數據從生成到改動的操作記錄，實現數據的追溯還原。

1.3 仿真取證應用必須解決的問題

目前各國對計算機仿真取證的研究尚處在起步階段，由于仿真取證的相關標準缺失，仿真取證在應用的過程中在技術、法律、程序等方面受到很多拷問。仿真取證技術能否完全保障取證目標計算機系統中各種數據的原始性和可信性？仿真取證應遵循何種取證程序標準？仿真取證工具是否經過檢測和認證？從保證電子證據的證據能力和證明力的角度思考，這些問題可集中歸為一點，即仿真取證結果的法律認可問題。為求得取證結果的法律認可，仿真取證的應用必須首先著眼相關標準和規范的制定。鑒于計算機取證必須滿足技術和法律的雙重要求，仿真取證規范的內容在保障仿真取證技術容許性的基礎上必須與取證的法律要求相契合。因此仿真取證規范的制定應將重點放在取證法律規范、技術檢測認證規則④得益于硬盤重新定向技術、虛擬仿真技術、臨時存儲技術（Shadow）的成熟應用，現今計算機仿真技術的可行性問題已得到了解決，但基于仿真技術研發的各種仿真取證設備是否能應用于仿真取證活動目前還有待評判，因而仿真取證技術規范研究應重點著眼仿真取證工具的檢測和認證（評判）標準的制定。、程序標準等問題的解決上。

2 計算機仿真取證的法律標準

2.1 仿真取證規范化進程中的已決和未決法律問題

計算機仿真取證的法律標準包括兩大部分：仿真取證的法律依據和取證結果的法律認可。仿真取證的法律依據早在我國97年《刑法》中就已有明文規定。我國在97年《刑法》中增設了第285條（非法侵入計算機信息系統罪）、286條（破壞計算機信息系統罪）、287條（利用計算機實施傳統犯罪的規定）有關計算機犯罪的規定，標志著我國計算機犯罪取證正式法律依據的出臺。同時，在2009年出臺的《刑法》第七修正案中對第285條“非法侵入計算機信息系統罪”的適用范圍進行了擴大修訂，對于非法侵入“國家事務”、“國防建設”和“尖端科技領域”外的計算機信息系統，情節嚴重的行為，也要求給予刑事處罰，進一步擴大了計算機取證的適用范圍[3]。

仿真取證結果的法律認證問題亦包括兩個方面：電子證據的證據資格和證據能力問題。證據資格解決的是電子證據的法律地位問題，證據能力則是對電子證據認證的要求。審視我國法律體系不難發現，電子證據的證據資格問題目前還未得到妥善解決。首先，我國的三大訴訟法中僅規定了七類傳統證據形式，由于三大訴訟法制定時間較早，當時在我國尚未出現涉及電子證據的法律訴訟，所以在這些法律中并未設置電子證據的法律條文。其次，對于電子證據的歸屬問題目前尚不統一。最高人民法院《關于民事訴訟證據的若干規定》第二十二條規定：“調查人員調查收集計算機數據或者錄音、錄像等視聽資料的，應當要求被調查人提供有關資料的原始載體；”最高人民法院《關于行政訴訟證據若干問題的規定》第十二條規定：“根據行政訴訟法第三十一條第一款第（三）項的規定，當事人向人民法院提供計算機數據或者錄音、錄像等視聽資料”。從高法兩個有關電子證據的司法解釋看，司法機關是將電子證據作為視聽資料使用，但《中華人民共和國合同法》在解釋“書面”的語詞含義時將電子證據納入其中作為書證看待，二者之間明顯存在矛盾。

我國對于電子證據證據力的審查評判目前仍沿用著傳統證據審查采納的“三大原則”（客觀性、合法性和關聯性評判原則）。傳統證據審查采納的客觀性準則要求證據的真實和本位，呈堂出示的證據不受人為主觀的改變和修正，是符合案件事實的證據；合法性要求取證的主體、程序、方式合法，證據在內容和形式上符合法律的規定；關聯性則是要求出示的證據必須與案件事實存在邏輯和法律的聯系，與案件無關的其他事實材料不能作為證據使用。上述證據的一般采納標準是依據傳統證據的特性而制定的，如果將其用于新型證據“電子證據”采納認證上則存在“兼容不佳”的問題。首先，客觀性與電子證據的“即時性”和“不可見性”兼容不佳。電子證據具有即時性和隱蔽性，較之于傳統證據，電子證據更易發生改變，造成其改變的決定因素在于電子證據存儲環境的不安全，而非電子證據本身。所以要求電子證據具備客觀性的前提條件就是保證其外在寄存環境的安全性，將客觀性要求建之于電子證據的審查標準不能保證電子證據本源的安全和可信。因而電子證據的證據采納標準應著眼“安全性”審查，而非“客觀性”的衡量；其次，“關聯性”標準與電子證據的“完整性”審查置位不當。決定電子證據是否具備證據能力、證據效力的大小的首要因素在于電子證據內容是否完整，同時要看其存儲載體是否安全。電子證據的“完整性”決定著電子證據的“關聯性”，“關聯性”標準僅是對“完整性”要求的補強，如將“關聯性”作為審查電子證據采納的評判標準，有依據缺失之嫌。因此，審查采納電子證據應首先以“完整性”審查作為“關聯性”審查的依據，唯此才能保證電子證據內容的可信和“關聯性”要求的具備。再次，電子證據“合法性”審查的先決條件不足。證據采納的“合法性”審查包含對證據形式的審查，我國目前的證據法體系中并未完全承認電子證據的法定證據地位，這在證據資格審查階段就已經否決了電子證據的法律效力，因此也就無從提及電子證據的“合法性”的審查評判。

2.2 未決問題的解決方案

通過上述分析可以發現，仿真取證法律標準的構建應重點著眼電子證據證據地位的明確和電子證據可采性規則的建立，設計包括仿真取證在內的各種計算機取證活動結果法律認可的方法和標準。

2.2.1 電子證據證據地位的明確

緣于我國證據法采用法定證據列舉的形式，因此應在證據法中增加電子證據的法律條文，至于是否將電子證據列為一種新型證據類型，筆者持肯定態度。因為將電子證據視為物證、書證或視聽資料證據都無法涵蓋電子證據的內涵和外延。將電子證據列為物證使用違背電子證據的“不可見”特性，物證是以其外在特征、狀態來證明案件事實的，而電子證據則是以其不可直接顯現的內容用作證據的，其不具備物證的屬性；將電子證據作為書證使用也不符合電子證據的特性，書證的內容是能夠直觀再現的文字、符號、圖標，且其內容較為穩定，通常被作為直接證據使用，而電子證據的內容不能直接顯示，且容易發生變化，一般只能被用作間接證據，所以二者不能簡單等同。電子證據不可作為視聽資料使用，是因為電子證據既包括可以視聽的證據內容，也包括不可視聽的諸如電子文本（文檔）記錄、程序代碼、數字符號等電磁數據內容。此外，電子證據呈現方式較之于視聽資料類證據呈三維多媒體化，而非單一的視、聽形式，其外延大于視聽資料的外延范圍，因而電子證據亦不能歸為視聽資料使用。鑒于上述電子證據有別于傳統證據的特有屬性，應將電子證據單列作為一種新型證據在證據法中予以規定。

2.2.2 電子證據審查采納標準的建立

鑒于電子證據有別于傳統證據的特殊之處，美國、加拿大、菲律賓等國對于電子證據已單獨設立了相應的審查采納標準。以美國為例，美國建立了電子證據采納的 “業務記錄例外規則”、“最佳證據規則”、“電子證據可靠性的評判標準”，同時其《聯邦證據規則》第702條[4]對于“專家證人”出庭作證也給出了5條標準。“業務記錄例外”規則規定：“如果向法院呈交的電子證據符合相應案例所確立的采信標準⑤通過United States v.Cestnik，36 F.3d 904，909-10（10th Cir.1994）；United States v.Moore，923 F.2d 910，914（1st Cir.1991）；U-nited States v.Briscoe，896 F.2d 1476，1494（7th Cir.1990）；United States v.Catabran，836 F.2d 53，457（9th Cir.1988）；Capital Marine Supply v.M/V Roland Thomas II，719 F.2d 104，106（5th Cir.1983）案件的審理，美國聯邦法院最終確立了電子證據的采信規則。只要符合以上案例所確定的規則，法院將對提交的電子證據予以采信。同時，該規則對于“業務”術語的定義也給出了說明，“業務”包括商務、社會事業機構、協會、職業、專業，凡此種種，無論是否以盈利為目的。，法院將以‘業務記錄’的形式對其予以認可；”美國的最佳證據規則規定：“如果數據存儲在計算機或與計算機類似的裝置中，且這些數據能夠被準確讀取，那么這些數據的準確打印輸出記錄總是能夠滿足最佳證據規則要求的。”最佳證據規則的這一規定對電子證據的效力做出了解釋，只要是能準確記錄和反映案件事實并能正確獲取的電子證據，其法律效力就可以得到認可[5]，其優點在于用準確記錄展示的方法解決了電子證據的原始性證明問題。關于電子證據的可靠性評判，美國則要求在取證的過程中建立取證安全保障體系⑥在United States v.Glasser，773 F.2d 1553，1559（11th Cir.1985）一案中，法院確立了如下規則：法庭認可計算機打印輸出記錄的先決條件是取證當時必須要構建安全保障體系，否則電子證據將不被采信。，如果整個取證過程有完整的安全保障措施，取證所獲取的電子證據就是可信的。此外，美國聯邦證據規則第702條對于取證人員出庭作證提供 “專家證言”也設置了相應的標準。其對專家證言可否采信設置了5條衡量標準：（1）審查專家證人所使用的理論和技術是否已通過專業認證；（2）審查這些理論和技術是否得到同行認可，是否被公開使用；（3）審查專家證人所使用的技術是否存在已知的錯誤率；（4）審查這些理論和技術的應用是否遵循相關標準；（5）審查專家證人所使用的理論和技術是否被社會所廣泛接受。只有滿足上述標準的要求，“電子證據鑒定 （取證）”結論才能被法庭采納和認可[6]。

加拿大在其《統一電子證據法》中規定了電子證據的運用、認證規則和完整性假定規則，其中完整性假定標準要求必須有證據證明取證過程中目標計算機系統運行正常、取證須由與案件無利害關系的人操作。同時，《統一電子證據法》[7]中還要求法庭在審查采納電子證據的過程中考慮電子數據的來源、數據的性質和數據存儲的目的。

《菲律賓電子證據規則》中設置了最佳證據規則，其中規定了“電子文檔原件標準”和“拷貝等于原件”標準。如果電子文檔通過其打印稿或通過其他手段可只讀輸出并能準確反映數據的內容，此時可視該電子文檔為最佳證據規則下的原件；如果文檔存在兩個以上的拷貝件，且內容和原件一致，該拷貝件和原件具有同等效力。此外，在該規則中首次規定了“瞬息電子證據”，如果瞬息電子證據產生、傳輸過程有當事人或在場人員證明，該瞬息電子數據記錄就可視為證據使用[8]。

分析以上國外電子證據審查采納的相關規則可以發現，這些規則采用了不同于傳統證據審查的標準，審查的重點在于電子證據存儲環境的安全性和可追溯性，同時也注重電子證據內容完整性的審查。有鑒于此，我國電子證據審查采納標準應單獨制定區別于傳統證據的審查采納標準，在電子證據安全性審查、內容完整性審查、來源可追溯性審查的框架下設計具體的衡量標準。

2.2.2.1 電子證據安全性審查

主要應包括：（1）電子證據取證過程是否制定了安全保障措施、這些措施是否可行；（2）取證活動的關鍵時刻電子證據的存儲環境是否收到影響，是否引發了電子證據內容的改變；（3）取證技術是否可行，這些技術是否有已知的錯誤率，錯誤率是否影響取證結果的唯一性；（4）取證所使用的軟硬件工具是否具備準確識別、收集、保全電子證據的能力，是否經過專業機構檢測（已使用的仿真取證工具是否在業內被同行普遍認可）；（5）取證機構專業能力水平的審查，取證實驗室是否經過國家認證認可監督管理委員等部門授權的檢測認證機構的認可；（6）取證人員的審查。審查取證人員是否有司法機構統一頒發的取證（鑒定）資格證書；（7）取證結束到電子證據呈堂展示階段電子證據的安全性審查。審查在此階段電子證據的安全保障措施是否到位，保管方法是否可行。

2.2.2.2 電子證據內容完整性審查

主要應包括：（1）取證結果的電子數據記錄和紙質記錄內容是否一致；（2）電子證據的內容是否準確反映了案件的某一事實，是否能夠解釋某一活動、行為的邏輯和法律聯系；（3）電子證據各副本記錄記載的數據內容是否相同；（4）取證活動整個階段數字水印（時間戳、數字摘要）是否連續，數字摘要的數值是否同一；（5）恢復的電子證據的內容是否可以顯示，無法顯示的是否有其他證據佐證。

2.2.2.3 電子證據來源的可追溯性審查

來源的可追溯性審查主要是為查證電子證據是否準確反映案件事實而服務，是取證過程連續性和電子證據可靠性的一條重要衡量標準，依據“可追溯性”的語詞含義、結合取證過程連續性要求和司法推知的原理，電子證據來源的可追溯性審查的內容應涵蓋：（1）審查取證活動各階段是否能關聯印證，是否能夠逆向求證；（2）審查電子證據的調取位置是否與其原始存儲位置一致；（3）審查電子證據存儲介質中的原始記錄和呈堂數據記錄的內容是否同一；（4）審查呈堂的取證結果是否出自原始存儲載體，在現有技術條件下出示的電子證據是否能被認知；（5）審查原始電子數據遭受破壞后，取證人員調取該數據的殘存記錄是否能準確反映原有電子數據的內容。

此外，對于電子證據審查還應配套建立傳聞證據有限排除規則、最佳證據規則、補強證據規則，同時從取證、舉證、質證、采證整個司法證明過程著手建立相應的標準。

3 計算機仿真取證技術標準

計算機仿真取證作為一類新型的動態取證技術，其借助虛擬仿真技術實現了對計算機系統的動態模擬，取證人員可以對目標主機進行啟動在線分析，彌補了傳統靜態取證網絡電子證據獲取能力的不足，但仿真取證的風險也進一步增加。分析“仿真”一詞就可看出仿真取證的重要特性就是要實現對裝有操作系統的待檢磁盤中原有系統環境的真實化模擬和重現，而計算機信息系統環境的仿真模擬靠人工無法實現，需要借助相應的仿真工具。因此，仿真取證技術標準應以仿真取證工具為著眼點，依據計算機仿真虛擬技術的功能特點，建構仿真取證工具的通用標準、設計標準和檢測認可標準。

3.1 仿真取證工具的通用標準

現有取證工具主要基于虛擬機技術和Shadow⑦Shadow技術（影子系統）是一種系統虛擬寫保護技術，只有在有原始主機存在的情況下才能被使用，其僅僅是對原系統數據進行保全和隔離的技術。由于不常用到，在此就不做詳細介紹。等技術而研發和設計，其中以虛擬機技術最為常用。其優點是可以仿真模擬系統運行環境，并能提供程序的仿真操作和計算機信息系統網絡通訊協議的仿真模擬，便于取證人員進行虛擬在線操作。此外，虛擬機技術還能提供多類型操作系統的同機在線取證。因此，基于此技術研發的取證工具首先應具備虛擬機工具的優點和特性。其次，仿真取證工具通用要求還應包含對仿真取證工具優點的釋明；再次，取證工具的選用問題也應納入通用要求中，以為取證機構正確選用達標的取證工具提供指引。具體來講，通用標準的內容應包含：

3.1.1 仿真取證工具應具備的法律和取證要求

基于虛擬機技術、Shadow技術以及其他仿真技術研發的仿真取證工具應保障取證結果的準確、真實、完整，有利于提高取證的效率。

3.1.2 仿真取證工具的設計要求

仿真取證在功能設計的范圍內，不得因自身瑕疵（錯誤應能避免或排除）造成待檢驗設備中電子數據內容的丟失或破壞。

3.1.3 仿真取證設備適用的環境

即仿真取證設備支持的磁盤類型和支持的操作系統類型。

3.1.4 仿真取證工具的準入要求

仿真取證工具在使用之前應經過專業檢測認證機構的檢測和認可。取證機構選用仿真取證工具時也應選用經過檢測和認可的工具。

3.2 仿真取證工具的功能設計標準

根據數字取證研究工作組 （Digital Forensics Research Workshop，DFRWS）提出的取證框架，電子證據的取證技術包括：數據識別、數據獲取、數據檢查、數據分析、數據保全、數據呈堂六大類技術。這六大類技術涵蓋了現今計算機取證所使用的主要技術，現有取證設備的研發和設計也是以此為據的。仿真取證工具雖是當前新出現的取證技術，但其技術基點還在該六大技術之中，其“仿真”技術僅是一種數據保全還原技術。依據DFRWS的框架并結合現有取證的實際需求，仿真取證工具的功能設計范圍應涉及：系統仿真、數據識別、數據獲取、數據恢復、數據解密、數據保全、數據的自動分類歸檔七個方面[9]。為保證仿真取證活動的連續性，系統仿真功能，數據的識別、獲取、保全功能所有的仿真取證工具都應要求具備。由于其他三類功能可用其他工具替代，屬于取證工具的“高級”功能，因此不宜硬性要求所有的仿真工具具備。在此基礎上，可將仿真取證工具功能設計細分為：

3.2.1 系統仿真功能的設計標準

仿真取證工具應能仿真模擬不少于一種操作系統，且應能準確識別各種操作系統的版本，模擬取證對象系統的硬件設備、用戶配置、運行環境、網絡協議、程序運行。

3.2.2 仿真取證平臺建構功能

仿真取證工具應能準確識別待檢硬盤或硬盤鏡像中的操作系統內核、用戶權限配置，突破取證對象系統的訪問控制和權限控制機制，構建仿真取證的基礎平臺。

3.2.3 仿真取證工具的數據獲取要求

仿真取證工具應能自動獲取系統中各類已存密碼，捕獲用戶網絡通訊程序口令⑧具體包括：瀏覽器自動完成表單記錄、上網（含無線網絡）賬號、郵件客戶端口令、FTP已存登陸密碼、即時聊天工具的已存登陸密碼、網絡游戲已存密碼、網絡互動點播程序的已存密碼、其他網絡交互程序已存密碼等。及其運行的數據記錄。

3.2.4 仿真取證工具的兼容運行要求

仿真取證工具應能兼容常見的網絡服務平臺、常見的辦公軟件、開發工具軟件、數據庫軟件、病毒和木馬程序以及其他常見應用軟件。

3.2.5 仿真取證工具的保全要求

仿真取證工具應保證仿真設備和待檢設備間的只讀隔離，并具備取證操作的實時記錄和數據效驗功能。

3.2.6 仿真取證工具的安全標準

仿真取證工具應保證取證過程中數據調取、在線分析的安全性及數據存儲環境的原始性，同時應保障取證活動不受病毒、木馬程序和惡意軟件的影響。

3.2.7 仿真取證工具的接口設計標準

應遵循國際通行的PC類產品接口設計標準，并具備接口拓展和轉換的功能。

3.3 仿真取證工具的檢測和認證標準

仿真取證工具檢測和認證標準的內容包括：檢測認證主體的設立、檢測認證程序、檢測認證的項目內容、研發機構參加檢測認證的要求四個方面。根據《中華人民共和國標準化法》、《中華人民共和國認證認可要求》，實驗室和檢查機構的設置需經過國務院認證認可監督管理委員會認可。對其資質的評定目前在我國主要由國家認監委和中國合格評定國家認可委員會（CNAS）負責。我國目前并未將計算機取證工具檢測和認證列入檢測名錄中，而且在經正式批準設立的檢測機構中，現有機構均不具備計算機取證工具檢測和認證的資質，仿真取證工具的檢測與認證遲遲未能開展。有鑒于此，筆者認為構建仿真取證的檢測和認證標準首先就應解決仿真取證工具檢測認證 “主體”不明的問題。

至于仿真取證檢測程序和具體要求，我國國家質量監督檢驗檢疫總局在2008年5月8日發布了《GB/ T 27025-2008/ISO/IEC 17025：2005檢測和校準實驗室能力的通用要求》[10]，已從管理控制、技術要求方面詳細規定了各檢測和校準實驗室從事專業檢測和認證的要求。

仿真取證工具的檢測項目內容包括：仿真取證工具的功能設計、取證工具各項功能的能力驗證、仿真取證工具錯誤率的檢測、取證工具的構造設計等項目。

研發機構參與檢測認證的要求涉及：遞交檢測的程序、遞交材料的內容、強制通過檢測認證的時限、原仿真取證工具更新和功能更新后的再檢測、仿真取證未通過檢測和認證的懲罰措施等內容。

基于以上分析，仿真取證的檢測和認證標準內容應涵蓋：

3.3.1 仿真取證工具檢測認證的主體⑨美國國家標準和技術研究所（National Institute of Standards and Technology，NIST）早已開展了計算機取證工具的檢測和認證，并制訂了計算機取證工具測試計劃（Computer Forensic Tool Testing，CFTT）進行通用工具規范、測試過程、測試標準、測試軟硬件的研究。

應盡快設置包括仿真取證在內的取證工具檢測和認證機構[11]，設置的批準機構應由國家認監委負責，經其授權各相關機構也應有權批準設立第三方的取證工具檢測和認證機構。檢測和認證機構能力驗證可由國家認監委、司法部等部門協商解決。

3.3.2 檢測程序標準的內容規定

依據“ISO-17025”標準從質量控制、機構管理、操作流程規范、檢測技術規范、文書規范層面設置相應的標準。

3.3.3 檢測內容要求

首先，應對仿真取證工具說明材料中給出的功能進行真實性檢測；其次，規定仿真取證工具錯誤率的檢測；再次，應要求對取證工具安全性進行檢測；最后，應對仿真取證工具的接口和結構設計是否符合標準進行檢測。

3.3.4 研發機構參與檢測的要求

（1）提交材料的要求。應要求各研發機構將其所開發的取證產品和相關設計材料一并遞交認證；（2）應要求參加檢測認證的必須在規定時限（次數）內通過；（3）對于未經過檢測和認證的仿真取證工具應禁止其準入；（4）功能更新后的仿真取證工具檢測要求。對于功能更新后的仿真取證工具應要求研發機構將原有產品和更新改進后的產品一并送交檢測認證。

4 計算機仿真取證程序標準

計算機取證程序是否合法直接影響著取證活動結果的法律效力，是取證標準內容設計的又一重點問題。計算機取證程序標準包括取證過程標準、取證方式、方法標準等，目前取證技術已經走向成熟、取證方法也有行業內規范，唯獨取證的操作過程目前學界和實務界尚未達成統一意見。因此，在取證程序標準建構部分，筆者將重點對仿真取證過程的標準化設計進行解析。

計算機取證從20世紀80年代開始至今，發生了兩大轉變：從注重取證技術研究到取證法律規范的研究為先的轉變與注重取證工具的研發到取證程序規范日益受到重視的轉變。分析其中的原因可以得出，取證程序的合法性審查問題是引發計算機取證研究理念轉變的一個重要因素。據國外專業機構統計，計算機取證結果不被法庭采信大多是由于取證程序不合法導致的。在20世紀90年代初，在涉及計算機取證的案件中，只有不足5%的案件取證結果被法庭所采信，一大原因就是由于取證程序不規范所致。因此，在當時國外學者的研究重點從取證工具的研發轉向了取證程序合法性問題的研究，其中以取證過程的標準化研究較為典型。受研究理念轉變的影響，在90年代中后期相繼出現了諸如美國司法部的電子犯罪現場勘查模型、事件響應過程模型、抽象化的取證程序模型、集成型的取證過程模型、增強型的取證過程模型等較有代表性的取證過程模型。其中集成型的過程模型將取證分為傳統物證的犯罪現場勘查和計算機犯罪現場勘查兩部分[12]；增強型取證過程模型則將計算機取證分作“第一犯罪現場”和“第二犯罪現場”的取證，同時也注重取證各步驟之間的相互聯系和印證[13]。

分析上述幾大取證過程模型，其共性在于都遵循取證準備、證據收集、證據分析、證據檢查的操作流程依次進行；不同之處在于各取證過程模型設計針對的情況不同，其中有適用于網絡取證的事件響應程序模型，也有適用于靜態取證的取證過程模型。此外，各取證過程模型的步驟多寡、內容詳盡程度也有很大區別。

傳統取證的操作流程標準不能用于仿真取證。首先，傳統取證過程模型是基于靜態取證和網絡取證設計的，而仿真取證重點在于“系統動態仿真”，二者設計的目的不同；其次，傳統取證過程模型之間目前仍存在爭議，且業界也沒有認可任何現有的取證過程標準；再次，傳統取證過程步驟缺少“系統仿真啟動”的步驟設計。鑒于上述原因考慮，仿真取證過程標準（模型）的設計也應有別于傳統取證遵循的步驟標準⑩另行設計仿真取證過程標準并不否決傳統取證過程的步驟設計，傳統取證過程標準的內容可以作為仿真取證過程標準內容的參照。。基于對現有仿真取證工具功能的分析和待檢對象類型的考量，仿真取證過程標準應在保證動態分析安全性的情況下，針對不同的待檢設備，構思不同的操作流程。具體過程如圖簡示：

仿真取證流程圖示

從上圖可以看出，仿真取證分為基于原始系統的仿真、基于硬盤鏡像的仿真和基于硬盤的仿真三類，因此仿真取證的過程設計也應一分為三：

4.1 基于原始主機的仿真取證過程：

（1）取證的準備。準備取證所需的環境和工具。

（2）原始主機的只讀保護。在有原始主機的情況下利用shadows技術對待取證主機系統進行只讀隔離。

（3）數據收集。即取證人員在線對待檢對象中的電子數據進行動態研判分析和收集。

（4）證據保全。將在線分析取證獲取的電子證據采用合理方法（數字摘要、攝像、打印、文字記錄）進行保全。

（5）回顧檢查。仔細檢查取證過程有無疏漏，收集先前可能未獲取到的電子證據。

（6）證據歸檔。對電子證據進行分類存儲和保管。

4.2 基于硬盤的仿真取證過程

（1）取證的準備。準備取證器材、設備，創造安全的取證環境，為硬盤的虛擬仿真啟動制定安全保障策略。

（2）硬盤的仿真啟動。對裝載有操作系統的硬盤機進行仿真啟動，模擬重現待取證硬盤的硬件配置、裝置的操作系統的運行環境、用戶配置、網絡通訊環境以及系統應用程序的運行環境。

（3）在線分析和檢查。在線分析檢查待檢磁盤中的網絡賬號、操作系統登陸口令、IE自動完成表單、已存郵件客戶端密碼、FTP已存登錄口令、電子證書、即時通訊軟件數據記錄、系統中應用軟件的操作記錄以及其他系統運行的歷史痕跡數據。

（4）數據的保全。與基于原始主機的仿真取證要求相同。

（5）分析報告的制作。在線動態分析數據過程進行時和完成后，同步制作取證報告。

4.3 基于硬盤鏡像的仿真過程與基于硬盤的仿真取證過程

基于硬盤鏡像文件的仿真取證需要在只讀隔離的情況下將鏡像文件拷貝入空白硬盤或仿真取證工具中，借助虛擬機技術進行動態分析。而基于硬盤的仿真取證則可以直接在待檢平臺上進行。所以，基于硬盤鏡像的仿真過程與基于硬盤的仿真取證過程在仿真啟動的方式（步驟2）存在差異，鏡像文件在仿真前應先進行拷貝。除此之外二者其余操作過程相同。

以上仿真取證過程內容的設計借鑒了現有幾種取證過程模型的內容，并結合仿真取證的自身特點而設計。本文在仿真取證過程的步驟設計中并未對計算機犯罪現場進行“第一現場”和“第二現場”的區分，是因為動態仿真取證往往很難做到對“第一現場”中電子數據的同步獲取，且遠程獲取的“第一現場”中的電子數據的安全性也很難保證，在現有的技術條件和法律框架下無法被法庭所采納和認可，因此對該問題未加解釋。此外，由于前文在在電子證據審查采納標準設計部分對取證各階段的關聯印證要求進行了說明，且在此無法將該要求精確置于某一具體的操作步驟中，所以在設計仿真取證過程的具體內容時未再行說明取證各階段的關聯印證要求。

5 結語

仿真取證是近年來新出現的一種取證技術，目前我國涉及計算機仿真取證的技術、法律和程序標準目前還處于空白狀態，這不利于仿真取證在司法實踐中的應用，更不利于發揮仿真取證的技術優勢，為此應盡快出臺相應的法規和標準對阻滯計算機仿真取證應用的電子證據地位問題、電子證據的可采性問題加以明晰，并配套建立取證工具的檢測認可規范和仿真取證操作的程序規范，從法律、技術和程序三個方面構建完整的計算機仿真取證規范體系，以解決仿真取證的準入、司法應用和仿真取證結果的法律效力問題。

[1]Senior Special Agent Ernest Baca United States Customs Service Office of Investigations，Resident Agent in Charge.Using Linux VMware and SMART to Create a Virtual Computer to Recreate a Suspect’s Computer[EB/OL].（2002-04-01）[2009-10-01]http：//www.infosecwriters.com/text_resources/andrewr -osen/SMARTForensics.pdf.

[2]D.Bem，E.Huebner.Computer Forensic Analysis in a Virtual Environment[EB/OL].（2007-01-01）[2009-10-01]http：//www.utica.edu/-academic/institutes/ecii/publications/articles /1C349F35-C73B-DB8A-926F9F46623A1842.pdf.

[3]中華人民共和國刑法修正案（七）[E].2009-2-28.

[4]Daniel J.Ryan,Gal Shpantzer.Legal Aspects of Digital Forensics[EB/OL].（2006-02-01）[2009-10-01]http：//www.danjryan.com.

[5]Orin S.Kerr.Computer Records and the Federal Rules of Evidence[EB/OL].(2001-03-01)[2009-10-01]http://www. seeingthetruth.com.

[6]Wall C,Paroff J.Cracking the Computer Forensics Mystery [J].Otah Bar Journal,2004，17（7）：10-14.

[7]蔣平，黃舒華，楊莉莉.數字取證[M].北京：清華大學出版社，2007：246.

[8]蔣平，黃舒華，楊莉莉.數字取證[M].北京：清華大學出版社，2007：250-252.

[9]Palmer G.Road Map for Digital Forensic Research[J].Technical Report 2001，（6）：15-20.

[10]GB/T 27025-2008/ISO/IEC 17025：2005檢測和校準實驗室能力的通用要求[S].

[11]Whitcomb C M.A.Historical Perspective of Digital Evidence：A forensic Scientists’View[J].International Journal of Digital Evidence，2002，（1）：5-7.

[12]Carrier B，Spafford EH.Getting Physical with the Investigative Process[J].International Journal of Digital Evidence，2003，（2）：2.

[13]Venansius Baryamureeba，Florence Tushabe.The Enhanced Digital Investigation Process Model[EB/OL].（2004-05-27）[2009-10-01]http://www.dfrws.org/bios/day1/Tushabe_EIDIP. pdf.