電子數(shù)據(jù)概述

陳超 沈燕峰

摘 要：回顧信息技術(shù)發(fā)展歷史，從結(jié)繩記事，到電子計(jì)算機(jī)的誕生，從電話網(wǎng)絡(luò)，到三網(wǎng)融合，從云計(jì)算，到物聯(lián)網(wǎng)，伴隨著技術(shù)的飛速發(fā)展，人類信息時(shí)代的生活越來越美好。但是，也正是計(jì)算機(jī)網(wǎng)絡(luò)的無處不在，它也同樣不可避免地被牽涉到種種非法事件中，從而在美好的背后，存在著各種各樣的丑惡，尤其是形形色色的犯罪。正所謂天網(wǎng)恢恢，犯罪分子在計(jì)算機(jī)上的任何活動(dòng)，都必然會(huì)留下印跡。本文主要研究電子數(shù)據(jù)，來闡述其作用。

關(guān)鍵詞：電子數(shù)據(jù)；證人證言；犯罪

一、電子證據(jù)調(diào)查概念

（一）證據(jù)

2012刑訟法第四十八條指出證據(jù)的定義：即證據(jù)是可以用于證明案件事實(shí)的材料 。

由八部分組成證據(jù)，具體包括：物證；書證；證人證言；被害人陳述；犯罪嫌疑人、被告人供述和辯解；鑒定意見；勘驗(yàn)、檢查、辨認(rèn)、偵查實(shí)驗(yàn)等筆錄；視聽資料、電子數(shù)據(jù)。

（二）電子數(shù)據(jù)

電子證據(jù)和傳統(tǒng)證據(jù)相比較而言，其存在形式比較獨(dú)特，主要在各種媒介上面以光，電和磁信號(hào)等物理形式存在。在形成、存在和利用電子證據(jù)過程中，主要依靠電子設(shè)備或者電子技術(shù)，存在的形式為電子類，使用時(shí)需要利用電子技術(shù)方可實(shí)現(xiàn)。由此可知，電子證據(jù)才突出了“電子”一詞，而且也因此與常規(guī)的證據(jù)有所區(qū)別。

在國際方面，通常會(huì)應(yīng)用“Computer Forensics”、“computer evidence”、“digital evidence ”、“electrionic evidence”等術(shù)語。“Computer Forensics”是“Forensics”的一個(gè)分支。此分支為自然科學(xué)范疇，相關(guān)犯罪與其他合法證據(jù)主要利用技術(shù)手段獲取。“forensics”的本意主要指“辯論練習(xí)，辯論術(shù)”，而“Forensic”的本意指“法庭的，論爭的：與法庭或公眾論爭有關(guān)的；用于或適于法庭或公眾論爭的，辯論的，修飾的”。

我們國家主要使用術(shù)語進(jìn)行描述，包括電子取證，電子鑒定，以及電子數(shù)據(jù)和電子物征等等。國內(nèi)外關(guān)于這方面的內(nèi)容基本相同，在本質(zhì)上的區(qū)別不大。

（三）電子數(shù)據(jù)主要特點(diǎn)

狹義的電子證據(jù)，即計(jì)算機(jī)犯罪的電子證據(jù)與傳統(tǒng)證據(jù)相比較而言，具有更為突出的特點(diǎn)，在很多著作中幾乎都總結(jié)電子證據(jù)的特點(diǎn)，目前業(yè)界內(nèi)公認(rèn)的包括下述幾個(gè)特點(diǎn)：

1.易變性特點(diǎn)

電子證據(jù)與傳統(tǒng)證據(jù)相比較而言，主要特點(diǎn)表現(xiàn)為受高科技含量影響比較脆弱。電子證據(jù)的存儲(chǔ)形式為電和磁等。證據(jù)更容易被變更和修改，一旦電子證據(jù)被修改，因無映像文件和副本相對(duì)照，所以進(jìn)行判斷和查清時(shí)比較困難。

2.多樣性特點(diǎn)

在輸出電子證據(jù)過程中，具有各種各樣的表現(xiàn)形式，包括大量多媒體信息，如視頻，音頻，動(dòng)畫和圖像等等，這些信息可加密編譯，也可為交互式的，對(duì)待證事實(shí)和形成過程可以更加完整，直觀，生動(dòng)而清楚的反映出來。

3.虛擬化特點(diǎn)

幾乎全部信息在計(jì)算機(jī)內(nèi)部都具有數(shù)字化特點(diǎn)。實(shí)質(zhì)上，電子證據(jù)本身就是一些二進(jìn)制排列信息，主要按編碼規(guī)則處理而成，計(jì)算的機(jī)的某種功能主要利用二進(jìn)制編碼對(duì)系列化電脈沖信號(hào)進(jìn)行轉(zhuǎn)換而成，識(shí)別時(shí)很難通過肉眼來實(shí)現(xiàn)。

4.依賴性特點(diǎn)

電子證據(jù)必須依賴于高科技設(shè)備，在形成，提取，識(shí)別和存儲(chǔ)，傳輸和再現(xiàn)電子證據(jù)時(shí)都需要高科技設(shè)備。

二、取證的流程

一般調(diào)查電子證據(jù)包括五個(gè)基本流程：

1）在調(diào)查和取證之前，進(jìn)行辨認(rèn)和準(zhǔn)備；

2）收集相關(guān)證據(jù)；

3）采取復(fù)制或者鏡像的方式保全和固定證據(jù)；

4）分析和檢查證據(jù)；

5）證據(jù)報(bào)告。

三、電子取證

電子取證技術(shù)在調(diào)查電子數(shù)據(jù)過程當(dāng)中，恢復(fù)數(shù)據(jù)技術(shù)是經(jīng)常使用的技術(shù)，其中恢復(fù)數(shù)據(jù)的技術(shù)包括兩種，即介質(zhì)數(shù)據(jù)恢復(fù)，介質(zhì)物理故障修復(fù)。本文將在下述內(nèi)容中重點(diǎn)講解介質(zhì)數(shù)據(jù)恢復(fù)技術(shù)。

修復(fù)介質(zhì)物理故障：這種故障一般指CMOS對(duì)磁盤不識(shí)別； 經(jīng)常會(huì)出現(xiàn)磁頭撞擊的聲音，類似“咔嚓咔嚓”的聲音； 電機(jī)通電之后沒有聲音，也不運(yùn)轉(zhuǎn)；因磁頭出現(xiàn)錯(cuò)位，使數(shù)據(jù)的讀寫出現(xiàn)問題；經(jīng)常出現(xiàn)讀寫困難，格式式困難，死機(jī)和啟動(dòng)困難等問題； 有進(jìn)自檢可以通過，但此硬盤卻在“磁盤管理”中尋不到；計(jì)算機(jī)電路板的燒痕非常明顯等等。磁盤物理故障包括如下分類內(nèi)容：磁頭老化和燒壞、盤體出現(xiàn)問題，電機(jī)故障、零磁道損壞、盤片被劃，芯片斷線斷針等。固件損壞或者信息丟失等等。

恢復(fù)介質(zhì)數(shù)據(jù)技術(shù)：系統(tǒng)和硬盤出現(xiàn)故障；系統(tǒng)啟動(dòng)過程不正常、分區(qū)表和密碼及權(quán)限丟失、MBR和BOOT區(qū)丟失；誤操作故障、格式化和克隆誤操作、分區(qū)誤刪除、被病毒損壞、受黑客的攻擊、操作PQ、RAID失敗等等；Office系列Word、Excel、Access、PowerPoint文件Microsoft受到損失 、 修復(fù)SQL與Oracle數(shù)據(jù)庫文件、修復(fù)Foxbase/foxpro的dbf數(shù)據(jù)庫文件數(shù)據(jù)；對(duì)郵件Outlook Express dbx等文件進(jìn)行損壞，修復(fù)Outlook pst文件的內(nèi)容；修復(fù)受損的媒體文件MPEG、asf、RM等等等。

根據(jù)文件系統(tǒng)不同，可將介質(zhì)分成NTFS，F(xiàn)AT，HFS，EXT4等：根據(jù)介質(zhì)按種類的不同，可將介質(zhì)分為硬盤，U盤，SD卡、各種電子存儲(chǔ)卡等。

我們?cè)诤芏嗷謴?fù)數(shù)據(jù)的案例中發(fā)現(xiàn)，大多數(shù)數(shù)據(jù)的恢復(fù)需要采用介質(zhì)數(shù)據(jù)恢復(fù)技術(shù)，很少使用介質(zhì)物理故障修復(fù)技術(shù)。

其中格式化、刪除和覆蓋三種情況是介質(zhì)數(shù)據(jù)恢復(fù)中經(jīng)常使用的。

1）刪除操作：這種操作方法比較簡單，刪除某文件過程中，在文件的分配表中，系統(tǒng)只在文件前方標(biāo)明刪除標(biāo)志。代表此文件已進(jìn)行刪除操作，說明系統(tǒng)已釋放占用的空間，此空間可被其他文件使用。由此可知，如果我們誤刪除了某個(gè)文件 ，希望將數(shù)據(jù)恢復(fù)時(shí)，只要使用工具去掉刪除標(biāo)志就能夠?qū)崿F(xiàn)，可以恢復(fù)數(shù)據(jù)。但是并沒有新文件寫入系統(tǒng)，新的內(nèi)容也沒有覆蓋文件占用空間。

2）格式化操作：此操作方法和刪除操作比較接近，兩者都對(duì)文件的分配表進(jìn)行操作，但格式化操作僅僅把刪除標(biāo)志加至全部文件，或者直接清空文件分配表，系統(tǒng)表明無任何內(nèi)容存在于硬盤的分區(qū)上。而在數(shù)據(jù)區(qū)并未進(jìn)行格式化操作。盡管目錄消失，不過仍然有內(nèi)容。利用工具和數(shù)據(jù)恢復(fù)技術(shù)，可以及時(shí)恢復(fù)丟失的數(shù)據(jù)。

3）覆蓋操作：如果把刪除標(biāo)志記在某文件之后，將有新的文件寫入所占用的空間，新內(nèi)容很有可能被新文件覆蓋或者占用。

我們?cè)趯?shí)際的調(diào)查和取證時(shí)，類似的問題經(jīng)常會(huì)遇到，所以在恢復(fù)數(shù)據(jù)以前，應(yīng)當(dāng)進(jìn)行很多前提工作。比如，先要了解刪除的計(jì)算機(jī)數(shù)據(jù)屬于什么狀態(tài)。進(jìn)而針對(duì)不同的狀況進(jìn)行不同的調(diào)整工作。

現(xiàn)針對(duì)上述論點(diǎn)進(jìn)行以下實(shí)驗(yàn)，僅供參考；

實(shí)驗(yàn)環(huán)境：分別安裝兩臺(tái)計(jì)算機(jī)，系統(tǒng)為WINDOWS XP和7兩部分，對(duì)NTFS進(jìn)行分區(qū)，計(jì)算機(jī)中存儲(chǔ)著視頻，音頻和圖片，以及WORD文件。

實(shí)驗(yàn)?zāi)康模焊袷交僮飨到y(tǒng)為WINDOWS XP 和 WINDOWS 7兩種，并且比較數(shù)據(jù)的恢復(fù)狀況。

恢復(fù)軟件：即磁盤獵手diskhunter

恢復(fù)效果：能夠恢復(fù)全部數(shù)據(jù)的是XP系統(tǒng)。但全部數(shù)據(jù)都無法恢復(fù)的是WIN 7系統(tǒng)。

結(jié)論：通過上述實(shí)驗(yàn)結(jié)果可知，當(dāng)對(duì)兩種系統(tǒng)進(jìn)行快速格式化操作時(shí)，應(yīng)用了不同的技術(shù)方法和手段。實(shí)際在XP系統(tǒng)中，格式化就是刪除操作。而WIN 7操作系統(tǒng)中，格式化就是覆蓋操作。

綜上所述，如果我們對(duì)硬盤的基本原理能夠充分掌握，再恢復(fù)相關(guān)數(shù)據(jù)就更加容易了。

四、手機(jī)取證

伴隨不斷應(yīng)用和發(fā)展的電子技術(shù)，在人們的日常生活中，手機(jī)那些不斷翻新的功能也顯得非常重要，不過，手機(jī)也成為了一種新型的犯罪工具，非常值得人們警醒，通過手機(jī)進(jìn)行造謠，售假和詐騙等行為日益增多。所以，國家法律機(jī)構(gòu)針對(duì)此類手機(jī)犯罪案件，急需要采取新的技術(shù)手段，而手機(jī)取證就是其中一個(gè)非常關(guān)鍵的技術(shù)手段。提取存儲(chǔ)在手機(jī)中的內(nèi)存卡，SIM卡相關(guān)電子證據(jù)，如短信等，并且進(jìn)行提取、分析和保護(hù)。接受法庭證據(jù)的全過程就是對(duì)有價(jià)值的線索或者案件進(jìn)行整理。

在取證環(huán)境比較健全的情況下，利用科學(xué)合理的方法從相關(guān)設(shè)備和手機(jī)對(duì)數(shù)字證據(jù)進(jìn)行恢復(fù)，稱為手機(jī)取證。該技術(shù)學(xué)科是交叉性的，涉及多方面的知識(shí)，具體包括手機(jī)軟件和硬件知識(shí)，移動(dòng)通信和計(jì)算機(jī)知識(shí)，以及法律知識(shí)等等。由于涉及到的知識(shí)范圍很廣泛，從調(diào)查取證與研究人員的角度判斷，這種挑戰(zhàn)性都很高。我們利用手機(jī)進(jìn)行調(diào)查和取證的過程中，應(yīng)當(dāng)對(duì)以下四項(xiàng)基本原則嚴(yán)格遵守：

1）以手機(jī)中可移動(dòng)存儲(chǔ)介質(zhì)數(shù)據(jù)沒有變化，手機(jī)設(shè)備數(shù)據(jù)不改變?yōu)榛A(chǔ)，對(duì)可疑的物品進(jìn)行獲取。

2）將信息從手機(jī)設(shè)備以及外圍裝置的存儲(chǔ)器進(jìn)行鏡像獲取的過程，稱為提取數(shù)據(jù)。

3）檢查及分析前一時(shí)期提取的數(shù)據(jù)復(fù)本，稱為檢查分析。而取證工具主要指把SMS短消息，電話本，通話記錄等信息利用取證工具將數(shù)據(jù)恢復(fù)成可理解的形式。并對(duì)數(shù)據(jù)代表的意義與來源，即數(shù)據(jù)代表的全部信息進(jìn)行完整的描述，由取證專家或者調(diào)查人員深入研究和分析已經(jīng)恢復(fù)的信息，積極尋求有利的證據(jù)，對(duì)犯罪的過程進(jìn)行重建。

4）對(duì)取證時(shí)全部調(diào)查結(jié)論與操作流程進(jìn)行詳細(xì)摘要過程稱為報(bào)告展示，主要目標(biāo)為，將數(shù)字證據(jù)提供給司法訴訟。通過詳細(xì)記錄檢查結(jié)果，操作結(jié)果生成報(bào)告，所以，在管理方面，必須采取嚴(yán)格的校驗(yàn)和記錄方法，嚴(yán)格使用全部原始證據(jù)。由操作人員使用的工具，進(jìn)行的活動(dòng)序列以及提取的數(shù)字證屬性等組成報(bào)告的全部內(nèi)容，并對(duì)操作時(shí)間，采取信號(hào)屏蔽措施等等進(jìn)行標(biāo)注。

在實(shí)際手機(jī)調(diào)查取證過程中。根據(jù)手機(jī)種類不同，可以將手機(jī)分成兩個(gè)種類，即山寨和智能手機(jī)。利用智能手機(jī)取證更加方便。我們能夠非常容易的恢復(fù)和提取手機(jī)中數(shù)據(jù)。這些數(shù)據(jù)包括WIFI應(yīng)用情況、陌陌、阿里旺旺、聯(lián)系人和短信等等。

五、電子數(shù)據(jù)發(fā)展方向

將來計(jì)算機(jī)取證技術(shù)的發(fā)展方向如下所示：

（一）取證范圍更加廣泛，手機(jī)取證是將來的發(fā)展趨勢

目前計(jì)算機(jī)犯罪幾乎無處不在，不但包括臺(tái)式機(jī)，很多犯罪目標(biāo)還包括大理的便攜式計(jì)算機(jī)，移動(dòng)設(shè)備和手機(jī)等等。并且在不同各類的設(shè)備上分布著各種不同形式的犯罪證據(jù)，這些證據(jù)包括路由器，入侵檢測系統(tǒng)，計(jì)算機(jī)等等。應(yīng)當(dāng)根據(jù)不同的信息格式與硬件信息對(duì)取證工具進(jìn)行開發(fā)，進(jìn)而尋求相應(yīng)證據(jù)。未來每一個(gè)人都會(huì)用到手機(jī)。手機(jī)將來會(huì)取代電腦，實(shí)現(xiàn)移動(dòng)化辦公過程。

（二）標(biāo)準(zhǔn)化取證過程和工具

因?yàn)槿藗兎浅Ｖ匾曈?jì)算機(jī)的取證工作，針對(duì)該領(lǐng)域，不少機(jī)構(gòu)及組織都投入了大量的人力物力，比如Getslack、TCT、FTK、EnCase、DiskSearch32、DRIVESPY、DiskSig、FileCNVT、ForensiX等。不過，由于規(guī)范及標(biāo)準(zhǔn)并不統(tǒng)一，使用軟件的人員無法比較這些工具的可靠性和有效性。由此可知，將逐漸實(shí)現(xiàn)標(biāo)準(zhǔn)化的工具取證過程，使取證工作的可操作性與可靠性得到提升。

（三）中心存儲(chǔ)取證操作

因?yàn)楝F(xiàn)在硬盤的容量大大增加，使用取證工具分析單獨(dú)硬盤的數(shù)據(jù)比較復(fù)雜，并且會(huì)占據(jù)很多時(shí)間，為有效對(duì)此問題進(jìn)行解決。如今主要采取中心存儲(chǔ)和并行處理的方法，分析大容量介質(zhì)數(shù)據(jù)。

參考文獻(xiàn)：

[1] 張德森.電子物證真實(shí)性判斷與研究.廣東公安科技[J].2008，04.

[2] 趙雙峰，費(fèi)金龍.Windows NTFS下數(shù)據(jù)恢復(fù)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2008.

[3] 高志鵬，張志偉，孫云峰.WINHEX應(yīng)用與數(shù)據(jù)恢復(fù)開發(fā)秘籍.人民郵電出版社[M].2013.

[4] 戴士劍，涂彥暉.數(shù)據(jù)恢復(fù)技術(shù)[M].北京：電子工業(yè)出版社，2003.

作者簡介：

陳超（1985-），男，江蘇蘇州人，江蘇省蘇州市公安局吳中分局，本科，職稱：助理工程師；研究方向：電子物證檢驗(yàn)；

沈燕峰（1986-），男，江蘇蘇州人，江蘇省蘇州市公安局吳中分局，本科，助理工程師，研究方向：電子物證檢驗(yàn)。