淺談電子證據取證

高洋

（伊春市人民檢察院檢察技術處 黑龍江伊春 153000）

淺談電子證據取證

高洋

（伊春市人民檢察院檢察技術處 黑龍江伊春 153000）

自97《刑法》首次對計算機犯罪作出規定以來，立法與實踐已取得很大成果，對此類犯罪的打擊也對想利用計算機手段犯罪者起到一定威懾作用。計算機取證的目的是將犯罪者留在計算機中的“痕跡”作為有效的訴訟證據提供給法庭，為此，新刑事訴訟法將電子數據單獨列為一種證據種類，賦予電子證據明確的法律地位。兩高一部最新出臺的《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》也進一步明確了微信聊天記錄等可以用作證據。這是一門新興的交叉性學科，之所以稱其為交叉性，因其還涉及到法學領域。計算機的專業性、隱私性特點，如何以合法手段取得證據，如何證實其取得過程合法，不是僅僅懂得專業知識就能解決的。本文是筆者實際工作經驗心得和對電子數據的一些想法。

計算機犯罪有隱蔽性、復雜性的特點，犯罪嫌疑人甚至具有專業知識的普通人就可以利用電子郵件、聊天軟件、網上支付平臺或手機進行犯罪活動，而上述這些渠道的供應商，因出于自身產品安全考慮，均采取加密方式對數據進行保護，致使取證難度加大。比如，如果要查找一封電子郵件的真實來源，需要網絡服務商提供郵件的傳輸路徑，經過那些服務器，其IP地址屬于哪一區域；又如，在不知道密碼的情況下查詢高版本QQ聊天記錄，如果軟件商不提供支持是不可能得到的。不久前，FBI希望通過合法手段查詢一個iCloud賬號，此賬號被認為可能與性暴力犯罪有關，蘋果公司以保護用戶隱私為名不肯公布其芯片級硬件加密技術，使FBI頭疼不已。計算機產業公司為其自身利益當然不可能把核心技術公布于世，不論對方是誰，其用戶是否犯罪也與其無關。我們沒法從立法上強行規定，產品供應商必須站在正義的立場上無條件服從法律，那樣就沒隱私可言，作為個案的偵察人員，在技術力量上也無力與供應商匹敵。

對于某些案件，由于技術壁壘的存在，我們的確無能為力，但對于大部分案件，電子數據還是有大有其用武之地的。現在人們的日常生活幾乎都離不開網絡，購物、繳費、轉賬，有些信息不經意就加入到網絡數據的洪流中，而云技術的發展，使某些部門可以合法的收集這些信息以備查詢。比如，某人在論壇公布了QQ號碼，在一起案件中發現嫌疑人曾聯系過此號碼，又如手機號碼、郵箱地址也是容易獲取的，而這些往往綁定某些支付平臺，可能有資金往來。這些信息點交織在一起，就組成一幅嫌疑人的線索網絡。還有一些可直接操作獲得證據的案件，可以從硬盤或者手機中，直接或恢復刪除數據獲得電子證據。需要注意的是，這些過程一定要遵循合法性原則，包括取得證據合法，而且要記錄下整個過程，以證明其合法性。

取證時最好有計算機相關知識的人員進行操作，對于較為復雜的情況可聘請專家。取證時盡量做到全程錄像，重要情節拍照，并有至少兩名與案件不相關聯的證人在場。要詳細記錄清單，做到不落細節，可能用來記錄密碼的記事本、U盤等小物件要仔細查看。現實中，人們記錄一些常用密碼之類的短小文字，往往隨手取材，隨意放置，U盤等移動存儲的外形也是各式各樣，這些都要注意收集；有些特殊硬件需要驅動或特制接口，計算機相關的各類配件，如光盤、電源適配器等也要收集全面。雖然大部分安卓手機都使用Micro usb接口，但數據線定義卻不一定相同，可能造成后續取證過程中只能充電不能獲取數據的情況，所以一定要盡量收集原裝配件。蘋果系列產品需特別注意，如有安裝iTunes同步軟件的計算機也要一并收集。需要現場取證的，如果是專業性較強的證據，例如電信公司服務器等，則在計算機專家的監督下讓涉案的專業人員自行操作其計算機，目的是防止其以證據損壞為由進行抵賴。取證中遇到的一些突發狀況一定要隨機應變，如發現剛剛執行格式化操作，則馬上切掉計算機電源，防止損失進一步擴大。采集的證據經封裝記錄后將進入檢驗階段。

為體現電子數據的證明力，檢驗過程需遵循科學性和可再現性原則，即對電子數據分析所依賴的軟硬件、技術原理符合科學邏輯，能夠經受事實的考驗，并且任何人只要遵循相同的分析過程都能夠得到相同的結論。檢驗時原則上不對原始檢材進行操作，制作的副本應進行哈希值校驗。傳統機械硬盤的恢復技術已比較成熟，可委托鑒定的機構也不少，需注意的是新興的固態硬盤的數據恢復。因固態硬盤的數據存儲結構不同于機械硬盤，微軟在Windows7及以上操作系統中加入了基于ATA命令的TRIM指令，目的是為了提高固態硬盤的性能。其基本原理是一旦有刪除文件、格式化之類的磁盤讀寫操作，系統就會向固態硬盤發出清空區塊中數據的命令，而不像機械硬盤只刪除索引而保留數據。某種意義上來說這時的固態硬盤相當于全新狀態，也就不再有性能下降的問題，但也造成了對于支持TRIM指令的固態硬盤的數據恢復基本上不可能實現的狀況。前文所述的蘋果手機之例，對蘋果設備的取證要慎重，有時要果斷放棄，有時卻可另辟蹊徑，如利用蘋果的同步功能，查看iCloud網絡或本地計算機的iTunes備份，說不定會有意想不到的收獲，這也是收集安裝iTunes軟件計算機的原因。取證時遇到狀況無法進行下去，的確非常遺憾，而這正體現出電子數據這類證據的特點，交叉的綜合性、極強的技術性。

以計算機為手段的犯罪是不同于以往任何犯罪形式的，計算機可以為我們做任何事，那么任何事都有可能被其利用。大家都熟知的蹭網行為是最簡單的入侵，物聯網的崛起，使智能家居成為可能，通過一只WIFI插座，在單位就可以遙控空調等設備的開啟，這些指令是通過產品商提供的服務器實現的，而那個小小的插座的安全性怎么來保證?如果說針對個人的計算機犯罪已經讓人焦頭爛額，那么來自國外的威脅就更讓人防不勝防。我們基本不可能去要求一個位于國外的網絡運營商來配合查詢一封電子郵件的路徑，對斯諾登那樣的黑客也束手無策。如果一個國有企業的服務器數據突然丟失，將造成無法估量的損失，一些科研機構已經證實CPU供應商利用其壟斷地位在硬件設計中加入未知用途的指令，也可以稱其為后門或硬件木馬，這已經是國家安全層面的問題了。

[1]http：//news.mydrivers.com/1/158/158349.htm.

[2]http：//news.mydrivers.com/1/489/489395.htm.

D925.2

A

1004-7344（2016）35-0311-01

2016-11-28