電子物證司法鑒定服務調查研究

蘇鵬沖，尹承灝，焦陸偉

（中國人民公安大學網絡安全保衛學院，北京102623）

電子物證司法鑒定服務調查研究

蘇鵬沖，尹承灝，焦陸偉

（中國人民公安大學網絡安全保衛學院，北京102623）

0　引言

電子物證在我國的發展已有十多年時間，取得了矚目的成績。伴隨著國家政治發展、經濟建設、文化開放的不斷變化，信息技術的擴展應用，電子物證在司法鑒定方面也碰到了新的難題與挑戰。信息化在為人民生活帶來便利的同時也對許多傳統事物帶來了不小的挑戰，網絡犯罪就是信息化社會所帶來的負面影響，新形勢下的網絡犯罪不但十分猖狂而且還對人民群眾的正常生產生活造成了十分惡劣的影響。根據2014-2015中國互聯網安全研究報告指出每天有近10萬個新電腦病毒產生，2014年病毒從業者幾乎完美結合了釣魚網站和手機病毒兩種攻擊手法，制造了空前的網絡犯罪災難，這些都對公安機關的網絡偵查工作提出了更高的要求。

網絡犯罪的案件之所以難以被偵破，除了缺少相關的法律法規支持以外，關鍵的一個問題就是網絡犯罪的高隱蔽性，使得犯罪份子的作案證據很難以被收集到，缺乏證據的支持，對于其犯罪的行為就難以定性難以量刑，所以為了使這類型的問題得到妥善地解決，需要加強電子物證相關取證技術的研究與發展。

就目前來看我國現階段的電子物證司法鑒定中心很少有自主知識產權的鑒定技術。大多數都是使用一些國外較先進的電子物證鑒定軟件進行鑒定，這些軟件中有些本地化做的并不是很好，未必適合中國的國情現狀。與此同時，電子物證的證據采集和保全工作做的并不是規范完善的，還存在著收集或保存階段因為人為失誤所導致的證據無法被法庭使用等情況的出現，而且對提取出來的電子物證分析和解釋工作也不夠全面，從而使得電子物證由于缺乏合乎規定的檢驗結論而不被庭審中所采納。就目前來看，我國現階段還沒有什么國家級的司法鑒定機構發布有關于取證工具的評價標準，取證過程的操作規范也沒有明確的條文進行規范化約束，取證人員水平參差不齊，我國各個地方都面臨著相關的電子物證檢驗人員水平不高、檢驗技術相對落后的問題。

1　電子物證在法律方面的支持

電子證據是存儲于磁性介質之中，以電子數據形式存在的訴訟證據。2013年1月開始施行的《刑事訴訟法》已將電子數據作為證據之一，從法律條文上確保了電子數據的合法地位和作用。

傳統證據一般指實物，可以較長時間地保存其原有狀態，此外它還比較明顯容易直接觀察并且不容易被篡改，例如合同、發票、信件、證件牌照，等等。而電子證據是存貯在磁介質、閃存介質等介質媒體中的電子數據，它具有無形性、穩定性差、專業技術性強、易篡改等特點。

首先，電子物證在保存過程中的實效性和穩定性面臨著種種檢驗，計算機終端和互聯網中所保存的數據信息會有一定程度的可能性遭受到蠕蟲病毒的破壞或是黑客的非法入侵、就連系統管理人員的誤操作也可以輕易將其毀壞、清除；其次，電子物證是無法直觀查看的，其保存、讀取和傳輸都需要依托于現代信息技術，若沒有相應的電子物證讀取設備，便很難看出電子物證所提供的事實依據，在司法鑒定中提取電子物證的難度較高；再次，對于存儲在計算機磁盤介質中的電子數據，篡改的可能性加大，被加密的數據也同樣可能會存在著被解密的可能。從這一點展現出來的問題可以發現對電子物證進行真實性驗證，相比傳統證據，是極為困難且富有挑戰的。

聯合國國際貿易法協會采用了以功能對等價值的方法，以“書面形式”的要求為標準并且認為電子證據符合該標準，此外還對“原件”作了進一步的解釋，考慮到海洋法系國家的傳聞規則與最佳證據規則有可能會制約電子物證在海洋法系國家的可接受性；事實上在英國、美國和其他一些海洋法系的國家，早已打破了傳統證據法的限制，以適應廣泛的計算機技術在實際中的應用。而大陸法系國家，允許所有相關證據的提出（如德國、奧地利、瑞典等國）或是單獨列出一份可供接受的證據類型單據（如中國），因此電子證據的可采納性上并不存在著實質性障礙。

2　電子物證司法鑒定的相關技術支持

電子物證司法鑒定包括三大技術原則：只讀、克隆、校驗技術。只讀技術的出現其主旨是在保護需要進行鑒定的電子數據不會因為人為的操作而改變，從而確保了待被檢驗的電子數據的最初狀態。數據的克隆技術可以保證待被檢驗的電子數據完整復制，并且準確地重復了鑒定過程。校準技術既可以準確再現克隆技術，還幫助識別了鑒定過程，又可以用于電子物證的保全，還可以作用于鑒定知識產權等方面。

電子物證的數據獲取技術的最關鍵部分是不能破壞原有的數據，并且在這個基礎上將所需要的證據信息提取出來。其中重要一環是為原始數據建立物理鏡像，保證電子物證有效性、完整性，對鏡像文件進行數據分析，從而保證數據的安全獲取。同時數據獲取中如何完成信息的有效挖掘同樣重要，除了彰顯的數據信息外，對于系統中內存數據、未分配磁盤空間、文件中的碎片空間、交換文件、臨時文件（temp file）等隱含信息的挖掘是信息搜集、獲取的重要手段。

數據恢復技術是指通過取證技術手段，使人為刪除或者修改過的文件，再次呈現在司法鑒定人員面前。數據恢復將原本已經儲存在磁盤介質中的數據進行回收整理，數據文件的丟失往往是系統分區表、文件分配表等的丟失或標記刪除，如果沒有其他數據覆蓋的情況下，可以通過修復相關配置表實現數據的復原。

電子物證的數據分析包括許許多多個方面，例如分析數據文件的內容、分析數據文件的屬性、分析數據文件中的關鍵詞、加密數據的解密分析等通過相關技術在已獲證據中梳理出有價值的信息和線索。

電子物證保全要求必須能證明電子證據從產生之時直到提交法庭的一切過程和手續均合法有效，并且從未遭到任何修改，如感染病毒、腐蝕、強電磁場的作用、惡意人員的蓄意破壞等，如果原有的證據被改變或消失，將會影響電子物證在法庭上的法律效力。數據保全技術涵蓋數據加密技術、數字摘要技術、數字簽名技術。數據加密即是把相關的電子物證信息在不安全的傳送過程中轉化為不容易被識別密文進行安全發送，從而保證了數據傳輸過程中的安全性，數字摘要即是對于所需要進行傳送的數據信息進行Hash運算，數據的發送方和接受方根據運算出的Hash值來確保數據信息在傳輸過程中的完整性，沒有被第三方惡意劫持篡改。數字簽名是用來識別數據發送者的身份已經對于數據的發送者產生一種不可抵賴性。

從我國目前的現狀發展來看，電子物證自2006年公安部的相關規定出臺以后發展的勢頭是非常迅猛的，跟電子物證有關的案件數量不斷的上漲，各地方也都分別建立了自己的電子物證實驗室，并配備了相關的專業鑒定人員，從發展態勢上來看，20世紀的最后15年是法庭化學的時代，步入21世紀的前15年是電子物證影響法庭審判的時代。

（1）在線取證工具成為研發熱門

由于計算機系統自身多變性等特點，涉案計算機的信息提取往往會遺漏掉很多。如果涉案的計算機其應用程序的運行程序發生了改變，那么其系統得到注冊表文件、緩存文件或是虛擬內存中的頁文件信息也會相應地發生改變，如果使用傳統方法關機以后再將硬盤復制提取的話，更多的涉案信息可能會消失，從而導致取證結果不夠準確，甚至無法提取出與案件息息相關的關鍵性信息。為了解決這類問題，越來越多取證軟件的研發機構或公司都開始向著在線取證這個方向進行發展，即是在調查現場對開機狀態下的計算機進行電子物證的提取，這樣提取出來的電子物證便可以保證其時效性與準確性。

（2）手機專用取證工具迅速發展

近些年來，手機在全世界范圍內被大量普及，智能機替換原有的功能機，如此大量的移動智能手機中存在著不少的電子物證，這種情況的出現，使得從事電子物證司法鑒定工作的人員與機構不得不及時應對。各大取證軟件廠商們也開始著力研發手機取證工具，能夠對不同品牌不同系統的手機分別進行取證，全球市場占有量最高的iPhone手機也專門對其推出了相應的取證工具。今后，隨著“互聯網+”在社會發展中的深入融合，電子物證的檢驗技術也應當相應地推陳出新，面對形勢日益復雜的未來社會，電子物證的發展體現在如下幾個方面：

①取證工具的多系統化，專門針對iOS系統和Android系統開發的專用司法鑒定取證工具。

②結合主流的應用軟件如360安全衛士、MSE、天網防火墻等一系列的網安類應用程序進行動態取證的研究。

③優化現有取證工具的軟件架構和取證算法，使相關取證工作人員的工作負荷降低，全自動化地取證，降低取證類軟件對操作人員技術水平的要求，并且使取證的速度和準確性得到進一步的提高。

④針對現在的反取證技術要進行相應的針對性處理，可以做深層次的數據挖掘，探求隱藏在更深處的關鍵信息。

⑤針對取證規范流程上要進行法律的補充完善，盡快地制定出來相應的法律條款，形成一套完備的電子物證取證規范流程。

（3）電子物證檢驗相關的硬件產品發展速度減慢

2007年-2012年這5年是有關于電子物證檢驗的硬件類產品研發最為昌盛的時間段，各種一體化取證設備層出不窮。以硬盤復制機為例，從最開始的只支持IDE端口慢慢演變成了支持多端口多平臺的一體化解決方案，目前硬盤復制機支持SCSI、SATA 2.0、STAT 3.0、USB、PCI-E等各種各樣的接口，對于計算機操作系統的支持也從最開始的單一提供Windows操作系統的支持演變到了現在不僅僅支持提供Windows支持還提供Mac OS、Linux、iOS、Android等主流系統的支持，這些一體化產品的出現，對電子物證的發展起到了推波助瀾的作用。但是2012年以后，相關電子物證取證類產品的一體化解決方案推出速度明顯放緩，創新應用方面也難創佳績，主要是對以前的產品進行升級換代，新功能的推出日漸放緩。

3　電子物證司法鑒定服務現狀調查

國內司法鑒定中心這個概念在2006年由公安部牽頭多部委聯合提出的，在近十年間的發展，目前已經飛速發展到了一個較為全面的狀態，如公安部司法鑒定中心、司法部物證鑒定中心，都已經加入了電子物證的相關檢驗科室，北京市公安局的電子物證司法鑒定中心、廈門市中心司法鑒定中心等國家級電子物證司法鑒定實驗室也都是隨著這個電子物證發展浪潮建立起來的，此外還有許許多多的民間資本也加入到其中，例如廈門美亞柏科公司電子數據鑒定實驗室，也同樣是經過公安部、司法部認證的，為現如今很多的法庭審判提供了有效可靠的電子物證的鑒定。

目前國內電子物證司法鑒定中心的鑒定對象一般是各種各樣的電子類型的硬件設備或儲存在這一類電子設備中的信息資源，或是在各種電子信息設備之間相互傳播交換的數據信息。最常見的例如是主機服務器、筆記本電腦、個人計算機、軟盤、U盤、光盤、移動硬盤、SD儲存卡，其他類型的電子物證還包括PDA、手機、激光復印機、身份識別卡、數碼相機、數碼攝像機等。鑒定中心將一些跟案件有關的電子設備中的數據進行克隆鑒定，以從中提取如涉黃涉毒、網路賭博、詐騙記錄等有關違法犯罪的信息數據作為呈堂證供。

此外國內還有許許多多的民間公司提供數據恢復等相關服務，雖然這些公司無法直接為法庭提供可以影響審判的電子物證，但是其所恢復的數據既可以為民間百姓帶來生活上的便利，又可以在商業糾紛中作為輔佐的證據提出來供法庭參考。

由于受到一些法律法規的限制，數據恢復類公司所提供的服務十分有限，大多數實在計算機磁盤方面提供的數據急救服務，例如硬盤異響、硬盤進水、二次開盤、硬盤無法識別等，盡可能為用戶將介質中的重要數據恢復。此外還有一些公司提供移動端的數據恢復服務，如手機固件修復、手機數據恢復等。

與電子物證司法服務鑒定中心不同的是，這些電子數據恢復公司一般是擁有自主開發的數據恢復系統，可支持多達數十種的文件格式的恢復，并且有一些公司也跟司法機關進行著密切往來的合作，開展培訓交流課程，為司法鑒定中心的工作人員進行充電學習，這是一個良好的發展態勢，未來將會有更多的數據恢復公司在取得相關資質認證的前提下，開展電子物證的提取和鑒定工作，使電子證據司法鑒定行業良性的發展下去。

（1）主流取證軟件的介紹

當前國內外廠商都研發了成熟的電子取證產品，例如國內的廈門美亞，國外的EnCase、FTK、Nuix、XWays等。取證大師提供電子證據固定、分析、報告生成等取證功能，提出了自動取證技術概念；EnCase是一款適合企事業、政府等單位實施內部遠程電子數據調查與取證的系統，能夠幫助安全專家、調查員、計算機事件響應團隊和訴訟專員進行快速且全面地搜索、收集、保存和分析來自企業網絡任何位置的服務器和工作站中的數據；Nuix是一款專業的數據分析系統，已成為數據分析的瑞士軍刀，是目前電子數據取證領域最為專業的電子郵件分析的專業工具；FTK是美國警方標準配備、全球警方使用量第一的電子物證分析軟件，執行自動、完整、徹底的計算機電子取證檢查，其擁有強大自動的文件分析、過濾和搜索功能。

（2）軟件的橫向對比如表1。

4　結語

隨著的計算機、網絡技術的日新月異，電子物證的發展也在我國取得了讓人驚嘆的成績，相關技術和法律的建設逐漸完善起來，當網絡犯罪的形勢越來越嚴峻，要求司法鑒定界更加重視對電子物證理論、取證技術的研究，緊扣我國當前對網絡犯罪嚴打的這股浪潮，不斷地建立電子物證提取的相關規范化流程，使我國的電子物證的效力穩步提高，使國家的信息化改革發展更快、更好、更穩定地進行下去。

表1

［1］王桂強.電子物證檢驗［J］.刑事技術，2003，04:3-7.

［2］吳麗娜.針對計算機信息來源的電子物證技術研究［D］.甘肅政法學院，2012.

［3］馬凌霄.電子物證檢驗系統的研究與實現［D］.復旦大學，2009.

［4］劉品新，戴士劍.論電子物證的鑒定［J］.山東警察學院學報，2008，05:81-87.

［5］張羽，吳瑞，楊永川.法律視角下的電子物證技術規范化［J］.特區經濟，2010，02:249-251.

［6］楊勇.電子物證現場取證技術研究［J］.科技傳播，2011，08:11+10.

［7］謝建江，郭文舉.論電子物證在刑事案件中的重要作用［J］.信息網絡安全，2011，08:36-37.

［8］張羽.新形勢下我國的電子物證分析展望［A］.中國政法大學證據科學研究院.第二屆證據理論與科學國際研討會論文集（下卷）［C］.中國政法大學證據科學研究院，2009:7.

［9］劉然.論網絡犯罪中的電子物證檢驗［D］.黑龍江大學，2010.

Electronic Evidence；Forensic Services；Network Forensics

Investigation and Research on the Judicial Identification of Electronic Evidence

SU Peng-chong，YIN Cheng-hao，JIAO Lu-wei
（Institute of Network Security，People's Public Security University of China，Beijing 102623）

1007-1423（2015）19-0046-05

10.3969/j.issn.1007-1423.2015.19.012

蘇鵬沖（1980-），男，陜西府谷人，研究生，講師，研究方向為網絡安全尹承灝（1992-），男，北京人，網絡安全與執法專業

2015-05-14

2015-06-25

網絡犯罪的甚囂塵上帶給公安部門極大的挑戰，而為了獲取網絡犯罪的電子數據，電子物證司法鑒定服務日漸增多。對目前國內電子物證的司法鑒定服務的法律支持、主流的電子物證司法鑒定技術及發展趨勢進行調查分析研究，對電子物證司法鑒定服務現狀進行調查總結，以此總結國內電子物證司法鑒定服務理論基礎。

電子物證；司法鑒定服務；網絡犯罪取證

焦陸偉（1993-），男，北京人，網絡安全與執法專業

Rampant cybercrime brings a great challenge to the police security department，in order to obtain electronic data of cybercrime，forensic services of electronic evidence are increasing.Investigates and analyzes the current domestic forensic services of electronic evidence legal support，mainstream forensic technology of electronic evidence and development trend，conducts a survey summary on forensic services of electronic evidence status，in order to summarize the domestic forensic services of electronic evidence theoretical basis.