案例-任務(wù)驅(qū)動(dòng)教學(xué)法在電子物證檢驗(yàn)中的應(yīng)用

高洪濤

中國(guó)刑事警察學(xué)院 遼寧 110035

0 引言

隨著打擊計(jì)算機(jī)犯罪活動(dòng)的進(jìn)一步深入，需要培養(yǎng)更多高素質(zhì)的電子物證技術(shù)人員。近幾年來(lái)，一些公安院校陸續(xù)開(kāi)設(shè)了電子物證檢驗(yàn)課程。電子物證檢驗(yàn)課程是一門新興的綜合交叉學(xué)科，是培養(yǎng)學(xué)員進(jìn)行電子物證的獲取、分析和鑒定工作的。電子物證檢驗(yàn)課程強(qiáng)調(diào)理論與實(shí)踐并重，學(xué)員要在學(xué)好理論課程的同時(shí)，具有較強(qiáng)的實(shí)踐動(dòng)手能力。

1 傳統(tǒng)教學(xué)模式的剖析

近年來(lái)，雖然教學(xué)手段從“粉筆+黑板”改變?yōu)榱恕坝?jì)算機(jī)+大屏幕投影”，但是教學(xué)方式還大多沿用傳統(tǒng)的教學(xué)模式。同時(shí)，雖然采用多媒體技術(shù)可以將內(nèi)容生動(dòng)、形象逼真、聲音動(dòng)聽(tīng)的文本、圖像、聲音、視頻和數(shù)據(jù)等信息一起傳輸給學(xué)員，但由于信息量的加大，反而使學(xué)習(xí)更無(wú)從下手，學(xué)員一旦遇到實(shí)際問(wèn)題可能會(huì)束手無(wú)策，從而束縛了思維發(fā)展，不利于培養(yǎng)創(chuàng)造性人才。

電子物證檢驗(yàn)的傳統(tǒng)教學(xué)方法是以知識(shí)點(diǎn)為主線來(lái)展開(kāi)，按照教材的模塊順序授課，先基礎(chǔ)、后應(yīng)用。首先介紹電子物證、計(jì)算機(jī)司法檢驗(yàn)等相關(guān)概念，然后提出電子物證檢驗(yàn)的基本過(guò)程檢驗(yàn)前所需掌握的相關(guān)知識(shí)及準(zhǔn)備工作，接著介紹常用電子物證檢驗(yàn)工具和Windows、Unix/Linux系統(tǒng)的檢驗(yàn)方法，最后對(duì)典型案例進(jìn)行分析。因?yàn)殡娮游镒C檢驗(yàn)課程的知識(shí)點(diǎn)的分布是網(wǎng)絡(luò)型的而不是線性的，并沒(méi)有嚴(yán)格的學(xué)習(xí)次序，所以學(xué)員對(duì)它的知識(shí)體系較難把握。

在實(shí)踐環(huán)節(jié)的教學(xué)中，教師先進(jìn)行操作，然后由學(xué)員自己練習(xí)。尤其是在電子物證檢驗(yàn)工具內(nèi)容的教學(xué)中，由于檢驗(yàn)工具的操作步驟繁多，針對(duì)不同案例的操作組合不同，學(xué)員很容易混淆，導(dǎo)致學(xué)習(xí)興趣降低，教學(xué)時(shí)效低，最終導(dǎo)致理論與實(shí)踐脫節(jié)。

因此，在電子物證檢驗(yàn)的教學(xué)中采用傳統(tǒng)教學(xué)方法和教學(xué)模式已不能滿足時(shí)代的需求和學(xué)員的需要。尋找一種理論聯(lián)系實(shí)際，能夠解決教學(xué)過(guò)程中存在的“重知識(shí)，輕實(shí)踐”的矛盾，培養(yǎng)學(xué)員根據(jù)實(shí)際問(wèn)題進(jìn)行動(dòng)手能力的教學(xué)方法和教學(xué)模式勢(shì)在必行。案例教學(xué)和任務(wù)驅(qū)動(dòng)式教學(xué)都是極具發(fā)展?jié)摿Φ慕虒W(xué)方法，能很好解決理論與實(shí)踐的銜接。

2 案例-任務(wù)驅(qū)動(dòng)教學(xué)法

案例教學(xué)法是一種以案例為基礎(chǔ)的教學(xué)法，用實(shí)際案例來(lái)進(jìn)行教學(xué)，案例教學(xué)側(cè)重于對(duì)學(xué)員綜合能力的培養(yǎng)，有助于提高學(xué)員對(duì)所學(xué)知識(shí)的綜合運(yùn)用能力。案例教學(xué)提供一個(gè)近乎真實(shí)的場(chǎng)景，縮短了教學(xué)與實(shí)踐之間的差距。案例教學(xué)中的案例通常是選取完整的實(shí)例，較為完整地?cái)⑹鰧?shí)例的起因、問(wèn)題和處理過(guò)程。在學(xué)員掌握一定基礎(chǔ)理論知識(shí)的基礎(chǔ)上，教師有目的、有選擇地把司法實(shí)踐中的客觀實(shí)際提供給學(xué)員，提出案例分析和解決問(wèn)題的諸多方法，讓學(xué)員對(duì)教師所提供的具體事實(shí)和原始材料進(jìn)行思考、分析、研究、提出解決問(wèn)題的方法，解決問(wèn)題的種種方法都可以提出來(lái)并進(jìn)行試驗(yàn)，對(duì)比各種方法的優(yōu)缺點(diǎn)，最終得出正確的結(jié)果，從而培養(yǎng)學(xué)員的綜合運(yùn)用能力。

任務(wù)驅(qū)動(dòng)教學(xué)法就是教師把教學(xué)內(nèi)容設(shè)計(jì)成一個(gè)或多個(gè)具體的任務(wù)，讓學(xué)員在完成這些任務(wù)的過(guò)程中來(lái)達(dá)到教學(xué)目標(biāo)。由教師根據(jù)當(dāng)前教學(xué)主題設(shè)計(jì)并提出任務(wù)，針對(duì)提出的任務(wù)，采取演示或講解等方式，給出完成任務(wù)的思路、方法，然后引導(dǎo)學(xué)員邊學(xué)邊練，完成相應(yīng)的學(xué)習(xí)任務(wù)。任務(wù)驅(qū)動(dòng)教學(xué)不再以知識(shí)點(diǎn)作為線索，而是以任務(wù)為線索，其教學(xué)內(nèi)容由多個(gè)精心設(shè)計(jì)的任務(wù)來(lái)組成。在完成任務(wù)的過(guò)程中，學(xué)員掌握相關(guān)教學(xué)內(nèi)容和學(xué)會(huì)學(xué)習(xí)，教師由權(quán)威的知識(shí)傳授者變成了教學(xué)的引導(dǎo)者、組織者和評(píng)價(jià)者。這種方法適用于培養(yǎng)學(xué)員分析問(wèn)題、解決問(wèn)題的能力和創(chuàng)新能力。

案例教學(xué)法和任務(wù)驅(qū)動(dòng)式教學(xué)法都強(qiáng)調(diào)在學(xué)習(xí)過(guò)程中學(xué)員的主動(dòng)性。案例教學(xué)法是呈現(xiàn)案例，由教師分析、講解案例中的知識(shí)點(diǎn)并提示學(xué)員對(duì)案例進(jìn)行功能拓展。案例教學(xué)法的關(guān)鍵是根據(jù)課程的內(nèi)容和特點(diǎn)選取恰當(dāng)?shù)陌咐瑫r(shí)在案例的討論中學(xué)習(xí)和理解相關(guān)的知識(shí)并由此拓展到新的知識(shí)內(nèi)容中。而任務(wù)驅(qū)動(dòng)式教學(xué)法是以任務(wù)為主線、教師為主導(dǎo)、學(xué)員為主體的教學(xué)方法。就是教師的教學(xué)活動(dòng)與學(xué)員的學(xué)習(xí)過(guò)程都圍繞著一個(gè)具體目標(biāo)，通過(guò)對(duì)學(xué)習(xí)資源的積極主動(dòng)應(yīng)用，進(jìn)行自主探索和互動(dòng)協(xié)作學(xué)習(xí)，并在完成既定任務(wù)的同時(shí)又產(chǎn)生新的任務(wù)。任務(wù)驅(qū)動(dòng)式教學(xué)法的關(guān)鍵是完成任務(wù)的動(dòng)態(tài)過(guò)程。

由以上分析可以考慮將兩種教學(xué)方法的優(yōu)勢(shì)相結(jié)合，同時(shí)汲取傳統(tǒng)教學(xué)模式的優(yōu)點(diǎn)，形成案例-任務(wù)驅(qū)動(dòng)教學(xué)模式。在此教學(xué)模式下，在選取和呈現(xiàn)案例程序時(shí)遵循案例教學(xué)的特點(diǎn)和方法，充分體現(xiàn)出案例的作用；在學(xué)習(xí)進(jìn)行中強(qiáng)調(diào)任務(wù)的實(shí)現(xiàn)過(guò)程，在有針對(duì)性地完成任務(wù)的同時(shí)讓學(xué)員得到能力的鍛煉。

3 案例-任務(wù)驅(qū)動(dòng)教學(xué)過(guò)程

（1）案例準(zhǔn)備

教師要依課程教學(xué)內(nèi)容選擇案例，選用的案例應(yīng)與教學(xué)內(nèi)容有密切的聯(lián)系。選用的案例能反映同類案例的一般特征，能起到舉一反三、觸類旁通的作用。選用的案例還要有一定難度，使學(xué)員有思考的余地。教師要仔細(xì)分析案例材料，找出案例中的關(guān)鍵性問(wèn)題和解決問(wèn)題的思路。

（2）講解案例

給每位學(xué)員提供證據(jù)文件和相應(yīng)的背景資料。通過(guò)多媒體手段將案例展示出來(lái)并進(jìn)行適當(dāng)講解，講解案例應(yīng)用背景，提出問(wèn)題，明確本次課的教學(xué)目標(biāo)。

（3）分析任務(wù)

應(yīng)重點(diǎn)把握好任務(wù)的切分和層次推進(jìn)問(wèn)題。根據(jù)提出的問(wèn)題引導(dǎo)學(xué)員進(jìn)行思考，將案例分解并設(shè)計(jì)成一個(gè)個(gè)相對(duì)獨(dú)立、簡(jiǎn)單的任務(wù)，分解的任務(wù)在功能上要保持一定的完整性，且各任務(wù)之間具有一定的漸進(jìn)性、擴(kuò)展性，存在一定的先后關(guān)系，層層推進(jìn)。

（4）任務(wù)探究

在這一過(guò)程中，學(xué)員是完成任務(wù)的主體，教師起著引導(dǎo)作用。學(xué)員要分析、討論任務(wù)，自主探究，完成任務(wù)，同時(shí)學(xué)習(xí)和掌握相應(yīng)的知識(shí)，提高動(dòng)手能力和綜合分析能力。教師要把握總體教學(xué)目標(biāo)，使任務(wù)的完成與教學(xué)目標(biāo)的實(shí)現(xiàn)統(tǒng)一起來(lái)。根據(jù)學(xué)員學(xué)習(xí)層次的不同，教師還要做到因材施教。對(duì)基礎(chǔ)差的學(xué)員多一些指導(dǎo)，使他們能順利完成基礎(chǔ)層的任務(wù)，樹(shù)立自信；對(duì)優(yōu)秀的學(xué)員，要鼓勵(lì)他們?nèi)ネ瓿筛吣繕?biāo)層次的任務(wù)，進(jìn)行“發(fā)現(xiàn)性”學(xué)習(xí)。

（5）總結(jié)評(píng)價(jià)

雖然學(xué)員完成了任務(wù)，但還不夠完善，要幫助學(xué)員進(jìn)行知識(shí)的歸納與總結(jié)，加深對(duì)新知識(shí)的理解，建立起已學(xué)知識(shí)間的聯(lián)系，完成知識(shí)構(gòu)建。任務(wù)評(píng)價(jià)要注意客觀性，以表?yè)P(yáng)鼓勵(lì)為主，使學(xué)員體驗(yàn)到完成任務(wù)的成就感。

4 具體教學(xué)實(shí)例：走私案件的電子物證檢驗(yàn)

（1）案例展示

在2010年2月的打擊走私行動(dòng)中，某海關(guān)查獲一批手機(jī)，調(diào)查得知這批貨物的主人為一名叫“阿強(qiáng)”的男子，警方隨即抓獲該男子并查封電腦一臺(tái)。要求從電腦中查找相關(guān)證據(jù)。

（2）檢驗(yàn)前的準(zhǔn)備

為了避免證據(jù)的誤損壞，在檢驗(yàn)前要用磁盤鏡像工具獲取原始檢材的精確備份。鏡像工具可以使用如 SafeBack、SnapBack、EnCase和X-Ways等。為了保全證據(jù)的完整性，需要使用數(shù)字簽名和時(shí)間戳技術(shù)，以證明從操作開(kāi)始到取證過(guò)程結(jié)束證據(jù)沒(méi)有被修改過(guò)。保全工具可使用 Md5sum、 EnCase、X-Ways等，并將證據(jù)文件的hash值和生成時(shí)間等信息記錄下來(lái)。接下來(lái)的任務(wù)才是對(duì)電子物證檢材進(jìn)行分析。

（3）案例分析

若嫌疑人使用過(guò)該電腦，則必然會(huì)留下操作痕跡，根據(jù)提取的內(nèi)容可以反映出犯罪嫌疑人的活動(dòng)情況。電腦中的基本信息是否存在與走私貨物相關(guān)的信息呢？需要調(diào)查哪些基本信息呢？怎么查找被刪除文件里面的內(nèi)容呢？若文件的擴(kuò)展名被更改了，如何識(shí)別這些文件的真實(shí)類型呢？在分析此案例中，從問(wèn)題的提出到問(wèn)題的解決，一步一步將學(xué)員引入到終點(diǎn)，使學(xué)員對(duì)電子物證檢驗(yàn)過(guò)程中所使用的基本方法、基本過(guò)程和使用的工具有進(jìn)一步理解。

（4）基本信息分析

首先要求學(xué)員提取電腦的基本信息，這部分信息包括：操作系統(tǒng)信息、用戶操作痕跡、即時(shí)通訊、電子郵件、常用文件等，使用取證大師(Forensic Master)的自動(dòng)取證功能來(lái)提取基本信息比較方便和全面。然后讓學(xué)員對(duì)找到的信息進(jìn)行分析。同學(xué)們會(huì)發(fā)現(xiàn)QQ聊天記錄中有比較明顯的線索，要求學(xué)員對(duì)聊天記錄做進(jìn)一步分析。

（5）聊天記錄分析

聊天記錄中與案情相關(guān)的內(nèi)容如表1所示。

表1 相關(guān)的聊天記錄

從 QQ聊天記錄中可分析出：嫌疑人把貨物清單通過(guò)Email進(jìn)行傳送，并可能會(huì)使用QQ號(hào)或電話號(hào)碼作為密碼。因此，下一個(gè)任務(wù)是對(duì)電子郵件賬號(hào)進(jìn)行分析。

（6）電子郵件賬號(hào)分析

電子郵件賬號(hào)中與案情相關(guān)的信息如表 2、表 3、表 4所示。

表2 收件箱列表

表3 發(fā)件箱列表

表4 已發(fā)郵件列表

從郵件列表信息中可分析出：嫌疑人使用的郵箱為qia119@163.com。因此，下一個(gè)任務(wù)是對(duì)該電子郵件賬號(hào)進(jìn)行分析。

（7）賬號(hào)qia119@163.com分析

因?yàn)樵谕暾泥]件文件中未發(fā)現(xiàn)相關(guān)線索，所以需要對(duì)殘缺郵件做進(jìn)一步分析。這部分工作需要使用 EnCase工具的關(guān)鍵字搜索功能。可通過(guò)設(shè)置關(guān)鍵字 qia119@163.com來(lái)查找殘缺郵件信息。從未分配簇中發(fā)現(xiàn)相關(guān)的殘缺郵件信息如圖1所示。

圖1 相關(guān)殘缺郵件碎片

從郵件碎片中可分析出：嫌疑人使用郵箱 qia119@163. com 發(fā)送了一個(gè)文件：table.doc。因此，下一個(gè)任務(wù)是對(duì)table.doc文件進(jìn)行分析。

（8）文件table.doc分析

通過(guò)對(duì)table.doc進(jìn)行過(guò)濾，未發(fā)現(xiàn)該文件。需要學(xué)員用數(shù)據(jù)恢復(fù)軟件恢復(fù)被刪除文件。可以選擇 Easy Recovery、Final Data等恢復(fù)軟件，也可以使用EnCase、X-Ways等軟件中的關(guān)鍵字搜索功能來(lái)搜索相關(guān)文件碎片。從未分配簇中發(fā)現(xiàn)相關(guān)信息如圖2所示。

圖2 與table.doc字符串相關(guān)碎片

從table.doc字符串相關(guān)碎片中可分析出：嫌疑人在word中新建了一個(gè).doc文檔，經(jīng)過(guò)編輯，先后以文件名table.doc和cvb.doc保存。因此，下一個(gè)任務(wù)是對(duì)文件cvb.doc進(jìn)行分析。

（9）文件cvb.doc分析

對(duì)硬盤中的文件進(jìn)行過(guò)濾，未發(fā)現(xiàn)文件cvb.doc，卻發(fā)現(xiàn)未知文件類型的文件cvb.isd。為了獲得該文件的文件類型，需要使用文件簽名功能進(jìn)行驗(yàn)證，得知該文件的類型為Compound Document File，如圖3所示，即可能為.doc類型文件。

將cvb.isd復(fù)制到檢驗(yàn)工作站，重命名為cvb.doc，使用word嘗試打開(kāi)，發(fā)現(xiàn)該文件是加密的。下一個(gè)任務(wù)是對(duì)該文件進(jìn)行密碼破解。

（10）文件cvb.doc的密碼破解

一般情況下，可以使用 Advanced Office Password Recovery等Word密碼解除軟件進(jìn)行密碼破解，但是耗費(fèi)的時(shí)間較長(zhǎng)。有沒(méi)有更好的辦法呢？聯(lián)想到聊天記錄中的相關(guān)內(nèi)容可知，該文件可能使用嫌疑人的QQ號(hào)碼或電話號(hào)碼作為密碼。經(jīng)試驗(yàn)，成功破解該文件讀取到文件內(nèi)容，如表 5所示，內(nèi)容正是所查獲的走私手機(jī)的品牌、型號(hào)和數(shù)量，因此獲得了嫌疑人走私手機(jī)的有力證據(jù)。

表5 走私貨物清單

（11）任務(wù)評(píng)價(jià)

找到需要的證據(jù)后，學(xué)員要對(duì)獲得的證據(jù)進(jìn)行固定并整理資料，寫出完整的分析報(bào)告。教師要對(duì)整個(gè)教學(xué)過(guò)程進(jìn)行評(píng)價(jià)，幫助學(xué)員進(jìn)行知識(shí)的歸納與總結(jié)，加深學(xué)員對(duì)新知識(shí)的理解。

5 總結(jié)

電子物證檢驗(yàn)課程作為一門相對(duì)較新的課程，在利用案例-任務(wù)驅(qū)動(dòng)這一教學(xué)模式時(shí)要根據(jù)教學(xué)目標(biāo)，對(duì)教學(xué)案例、課程任務(wù)進(jìn)行科學(xué)的設(shè)計(jì)與合理的組織，確保方法運(yùn)用得合理。但其教學(xué)方式還存在相當(dāng)大的探索空間，在很多方面還有待于擴(kuò)充和完善，如：

（1）案例-任務(wù)驅(qū)動(dòng)教學(xué)適用于復(fù)雜知識(shí)、專業(yè)知識(shí)的教學(xué)。簡(jiǎn)單知識(shí)的學(xué)習(xí)，反而會(huì)花費(fèi)更多的時(shí)間。

（2）案例的形成過(guò)程往往花費(fèi)較大，時(shí)間消耗過(guò)多。

（3）案例-任務(wù)驅(qū)動(dòng)教學(xué)方法以學(xué)員的積極參與為前提，以教師的有效組織為保證，而要做到這些方面的有機(jī)結(jié)合往往較為困難，有時(shí)會(huì)產(chǎn)生耗費(fèi)時(shí)間較多而教學(xué)效率較低。

（4）案例-任務(wù)驅(qū)動(dòng)教學(xué)一般既要讓學(xué)員了解過(guò)程，更要讓他們領(lǐng)會(huì)內(nèi)容，這兩者常難以兼顧。

[1]宋秀麗,陳龍,鄧紅耀.計(jì)算機(jī)取證課程實(shí)驗(yàn)教學(xué)探討[J].實(shí)驗(yàn)室研究與探索.2007.

[2]生桂勇.計(jì)算機(jī)專業(yè)案例教學(xué)法初探[J].電腦知識(shí)與技術(shù). 2008.

[3]郭外萍.“案例+任務(wù)驅(qū)動(dòng)”在計(jì)算機(jī)教學(xué)中的應(yīng)用[J].電腦知識(shí)與技術(shù).2006.