網絡詐騙電子數據取證技術研究

季晨瑜

摘要：隨著互聯網技術的飛速發展，網絡詐騙案件迅速增加，犯罪手法隱蔽且多樣，給電子數據取證鑒定帶來諸多難題，該文從計算機取證和手機取證兩方面，詳細分析了國內外主流的電子數據取證軟硬件裝備的技術特點及應用情況，就電子數據取證技術應用于網絡詐騙犯罪偵查面臨的難題進行了分析，并提出了相應的解決方案。

關鍵詞：網絡詐騙；電子數據；取證鑒定

中圖分類號：TP393 ? ? ? ?文獻標識碼：A

文章編號：1009-3044（2022）29-0067-04

隨著計算機與互聯網技術的飛速發展，人們對計算機和網絡技術的依賴性日益嚴重，互聯網技術給人們的日常生活帶來便利的同時也為犯罪分子提供了可乘之機，網絡詐騙案件迅速增加。網絡詐騙成功率高，犯罪手法隱蔽且多樣，不受距離的限制，涉及領域廣泛，造成的損失十分嚴重。電子數據取證技術伴隨網絡犯罪應運而生，包括計算機及所有與數字技術相關的取證技術。本文主要闡述網絡詐騙相關電子取證技術的相關研究。

1 網絡詐騙

網絡詐騙，包括交友詐騙、信貸類詐騙、冒充客服、公職人員詐騙、刷單詐騙等。網絡詐騙通?？缇巢僮?，給打擊詐騙和追回贓款造成了困難。網絡詐騙通常涉及虛假網站、手機、聊天軟件（QQ、微信）、新型網絡支付應用（支付寶）等新興科技手段。網絡詐騙團伙的潛在電子證據源主要包括：計算機、語音網關、移動存儲介質（移動硬盤、U盤、光盤、SD卡等）、手機、銀行卡、服務器、網絡電話運行支撐系統等。與傳統犯罪不同，網絡詐騙的案發場地是在互聯網這種虛擬化的平臺上，數據量大、信息流動頻繁，需要運用先進的電子取證技術對計算機犯罪行為進行解剖，搜尋罪犯及其犯罪證據，進而打擊網絡犯罪。

2 相關取證技術

2.1 計算機取證技術

網絡詐騙的實施離不開計算機和互聯網，計算機會存儲用戶在各類平臺上發布的信息、網絡中通信類信息、用戶行為痕跡信息和各類保存的電子文檔等。在受害人將其個人信息告訴網絡詐騙分子之后，網絡詐騙分子登錄受害人的網上銀行賬戶，登錄賬戶時便會留下訪問記錄、痕跡、足跡。而且每一個電腦都有其唯一的IP地址，IP地址定位便在定位犯罪嫌疑人中發揮了關鍵性作用，因此計算機取證在網絡詐騙案件中起著重要作用。

目前常用的計算機取證技術包括數字時間取證、Windows取證、Mac OS取證、聊天應用取證、移動終端取證、密碼破解、硬件修復、Office文件取證、數字圖像取證、數據庫取證、系統環境仿真取證等。

（1）計算機取證硬件設備

硬盤復制、只讀、取證分析等是電子數據取證過程中常用的手段。目前國內的計算機取證設備有Data Copy King多功能復制擦除檢測一體機、Data Compass數據指南針司法取證專版等。

Data Copy King（DCK）是融合了硬盤高速拷貝、數據高速復制、安全擦除和故障自動檢測的多功能一體設備。DCK硬盤復制機不僅硬盤復制速度快，同時還具備數據快速銷毀功能以及硬盤檢測、Log日志記錄生成、只讀口設計等，可自動發現解鎖HPA、DCO隱藏數據區，在確保取證數據全面客觀的情況下，將嫌疑硬盤中的數據完整復制到目標硬盤。

Data Compass司法取證專版是一款高度智能化的專業電子物證恢復、獲取設備，它將大量先進技術完美集成于其中，對于目標電子物證快速固定、獲取、分析及人為刪除、人為格式化、人為軟件破壞電子證據等情況均能實現電子物證獲取，廣泛用于犯罪現場計算機及相關存儲的電子物證勘驗取證、文證審查、檢驗鑒定[1]。

（2）計算機取證分析軟件

常用計算機取證軟件有美國Guidance Software公司的EnCase、美國Access Data公司的FTK，還有德國X-Ways的X-Ways Forensics，中國美亞柏科 “取證大師”等。

EnCase是一款應用廣泛的多功能取證平臺，擁有強大的腳本功能，可增強取證分析的針對性，根據個案需求進行二次開發，但需要取證人員擁有一定的腳本編寫技術，是政府執法機構常用的取證工具，也被廣泛地運用于司法、軍隊、公司監察等部門。相比之下，FTK操作簡單，可以調查個人電腦、網絡和手機，搜索速度比其他工具快。可以對取證結果集中匯總進行查看，相當直觀，無須過多的培訓即可實現數據分析目的。X-Ways Forensics是一款計算機綜合取證分析工具，與其他競爭產品相比，X-Ways Forensics具有設備輕巧、成本低廉、運行高效等優勢，可運行在Windows版本上。

計算機在線法庭科學證據提取器（Computer Online Forensic Evidence Extractor， COFEE）是Microsoft專為計算機取證專家開發設計的一款工具包，用于從Windows系統收集證據。COFEE包含了超過150個信息收集、密碼破解、網絡嗅探等工具。而且它的分析速度也非?？欤蟾旁?0分鐘就可以完成對目標系統的完整分析。Open Computer Forensics Architecture（OCFA）是由荷蘭國家警察局負責開發的分布式開源計算機取證框架，主要用于自動化數據取證過程。SIFT是SANS推出的一個多用途的取證操作系統，SIFT以VMware虛擬映像的形式發布，包含數字取證分析所有必需的工具。

取證大師（Forensics Master）是國內最具有代表性的計算機取證工具，由廈門市美亞柏科信息股份有限公司自主研發而成。取證大師提供電子數據證據固定、分析、報告生成等取證功能，該軟件可獨立使用，也可以內嵌于其他綜合取證設備，應用于現場勘驗及計算機取證實驗室的檢驗鑒定等不同應用場景，目前已成為公安機關、司法機關、行政執法單位、電子數據司法鑒定中心以及國內大中型企業必備的分析系統。

2.2 手機取證技術

智能化時代的到來使得人們的衣食住行越來越依賴手機，智能手機存儲著銀行卡、通訊錄、照片等大量隱私，成為網絡犯罪分子的主要工具。所以手機取證也是網絡詐騙電子取證的重要組成部分。智能手機取證，是指獲取、分析并固定智能手機的SIM卡、手機存儲卡以及移動網絡運營商數據中存儲的信息的過程。

（1）手機取證硬件

UFED是以色列Cellebrite研發的最新手機司法取證設備，支持對各種品牌、型號的手機、GPS和移動設備進行物理鏡像獲取、邏輯提取和文件系統獲取，包括已經刪除的數據和密碼，可應用于近95%的山寨機。支持對黑莓所有操作系統的實時解密和解析以及對iOS各版本系統的用戶密碼獲取，兼容越獄和非越獄各版本系統。Secure View是手機取證市場上唯一能提供獲取、分析（處理）和報告3個具體調查流程的產品。其優勢在于技術支持、數據管理和報告制作等方面，并且Secure View可獲取超過10000多種類型手機的聯系人信息、通話記錄、短信以及其他類型的數據。

國內電子數據取證裝備主要有廈門美亞柏科研發的DC-8811取證魔方和大連睿海信息科技有限公司RH-6900手機取證分析儀。DC-8811取證魔方是具備全面勘查取證能力的便攜式裝備，特點在于一鍵式智能取證模式。同時標配萬兆網卡，可以快速完成現場計算機、手機、視頻的快速勘查，還可對接大屏或投影儀應用于實驗室的固定、分析、仿真等取證分析工作。RH-6900的優勢在于支持國產非智能手機的取證分析，支持硬件狀態正常的手機免拆機、數據線連接提取方式，同樣支持JTAG技術提取和芯片讀取技術提取數據。

（2）手機取證軟件

普通的不加密備份取證、加密備份取證和邏輯鏡像取證3種不同的取證方法在IOS系統涉案設備的取證中使用最多。通過多次驗證和研究發現，蘋果手機IOS系統邏輯鏡像提取的數據量是最大的，其次是加密備份解析，再次是不加密備份[2]。

安卓智能手機取證至今沒有一個統一的標準，傳統的取證方法多是從系統中獲取數據，然后由鑒定人進行手工分析和提取。目前我國在對安卓智能手機系統進行取證時多是在線取證、Recovery 模式取證和芯片級取證[3]。

瑞典XRY Complete完整版是MSAB公司開發的一體化手機取證系統，XRY的軟件應用在windows系統中運行，并且符合司法調查人員的所有模式要求，用戶界面簡單友好，使其成為司法手機取證的首要選擇。

Oxygen Forensic手機取證軟件是世界領先的移動設備數據提取和檢驗軟件之一。Oxygen Forensic是一款全方位的取證分析軟件，包括XRY、BitPIM等。XRY是一個便攜式取證盒，用于手機內存轉儲和數據采集，可以方便地完成手機數據的分析、采集及查看。BitPIM是一款電話管理軟件，可以查看電話簿、日歷、壁紙、鈴聲等數據。Oxygen Forensic能不經過手機設備屏幕鎖，直接定位備份密碼，從加密的應用程序中提取數據并恢復已刪除信息。

3 網絡詐騙犯罪電子數據取證技術面臨的難題及解決措施

網絡詐騙犯罪電子取證過程主要包括電子證據的調取和分析，網絡詐騙犯罪電子痕跡存在于整個犯罪過程中，電子痕跡包含了客體的特征信息。在提取過程中，需要保障信息痕跡的完整性，將儲存信息、處理信息和計算環境提取出來，并整理成相應的數據鏈。電子取證需遵循合法性、及時性、全面性、無損害性原則，實際情況中網絡詐騙犯罪電子數據取證技術面臨著不少難題?，F就從證據留痕、固定及去偽存真三個方面進行闡述。

（1）留痕

網絡詐騙犯罪留下的痕跡是網絡詐騙犯罪偵查證據收集的切入口，該證據可以在調查嫌疑人信息的同時為調查人員提供有用的信息。例如從嫌疑人的計算機中恢復緩存、歷史記錄、cookies和下載列表等數據后，可以知道嫌疑人訪問的網站、訪問的時間和頻率。但很多犯罪分子對網絡留痕已經有所防備，會使用各種匿名網絡或匿名引擎如Tor、Freenet、DuckDuckGo和Invisible Internet Project以及傳統社交網站的替代品如Bit message、Diaspora來刻意隱匿或消除自己的犯罪痕跡。此外詐騙人員還會利用跳板主機、局域網、虛假IP地址、僵尸網絡來隱藏自身，因此各種網絡痕跡追蹤軟件應運而生。網絡攻擊源追蹤技術主要有在數據包中打標記、在數據流中加入流水印、日志記錄、滲透測試等方法[4]。一些取證軟件也可以追蹤網絡痕跡，例如COFEE就可以用來探查目標電腦的信息痕跡?；赪in Hex和Disk Imager的集成計算機取證軟件X-Ways Forensics也可以找到其他取證軟件會錯過的已刪除文件和搜索結果。

（2）固定

電子數據存在易失性和時效性，內存數據在關機時會丟失，已刪除的內容會被反復地擦寫利用，電子證據幾乎無時無刻不在變化，因此需要對數據及時進行固定，以保證獲得的數據的完整性和真實性。固定證據是否確鑿、全面，能否形成完整的證據鏈，往往對案件的成敗起決定性作用。

保全固定證據一般包括扣押電子數據的原始儲存介質，及時封存，并切斷電源，屏蔽信號以保證其完整性，對于不能扣押的存儲設備可以通過Encase軟件、鏡像、硬盤等將原始儲存介質備份下來，輔以拍照錄像和記錄[5]。在實際案例中，具體證據固定方法的選擇取決于案件背景、取證難易程度、證據重要性等綜合因素。要在取證前確定好取證步驟，盡可能多方位地取證，使證據之間相互印證，形成完整數據鏈條。

與傳統犯罪數據相比，電子數據形式多樣且具有脆弱性，因此對于專業技術有更高的要求。近年來，區塊鏈取證平臺已經運行，電子數據區塊鏈通過分布式記賬、數字簽名、哈希運算等算法和程序來防止入鏈電子數據被修改或者替換，在電子數據的固定、保存和提取方面具有優勢。廈門美亞柏科公司研發的存證云“公證+司法鑒定”電子證據綜合服務平臺就是基于區塊鏈技術的電子數據固定設備，實現電子證據采集、固定、應用一站式服務。同時基于 Hyperledger Fabric的概念，Sathyaprakasan等提出使用區塊鏈技術維護監管鏈以保持證據完整性[6]。然而區塊鏈存證也存在局限性，僅能保障入鏈電子數據的實質真實性，無法保障電子數據本身的真實性和入鏈之前電子數據的真實性[7-8]。唐昕淼等提出數字摘要技術（Digital Digest）通過對任意長度的數字信息生成消息摘要計算，產生信息的“指紋”數量，確保數據未被修改，用于保證信息的完整性[9]。為了及時固定違法犯罪行為留下的痕跡，IBM i2情報分析系統等可視化分析環境已被用于電子數據取證。

除了選擇合適的證據固定方法外，證據固定過程的合法性和嚴謹性也很重要。不少偵查人員缺乏正確的數據固定理念，人為破壞現場導致數據缺損，影響后續的案件辦理。為保證電子數據在收集、保存、檢查和轉移等過程中的準確性和可靠性，取證鑒定機構在提取電子數據的過程中需要建立規范的文檔、使用廣為認可的設備和材料、使用具有資質認定的取證人員等。對于網絡犯罪，調查取證應盡可能提前定位，尤其是網絡取證和遠程取證活動。否則，一旦詐騙分子提前銷毀證據，辦案人員極有可能無功而返。

（3）去偽存真

有效電子數據自身的體量巨大且雜亂無章，往往潛藏于海量數據之中，如何在全面分析的基礎上進行數據挖掘和整合，將關聯的信息從海量的數據中提取出來并審查其真實性，對于快速進行溯源取證尤為重要。為此，有研究者[10]提議采用Last-on-Scene（LoS）算法來提高可追溯性并縮小數字取證調查員的工作范圍以及數字取證分析的復雜性。計算機動態取證技術是重要的取證技術，常被用于獲取實時信息數據，有研究提出將數據挖掘技術與動態取證技術相結合，以解決動態取證技術無法完成大量實時更新的數據取證問題，更加完整、準確、智能地提取有效信息[9]。Singh G[11]設計新的通用圖像操作檢測網絡（An effective General-purpose Image Manipulation Detection Network， GIMD-Net），利用局部密集連接和全局殘差學習，通過使用穩健的殘差密集塊 （RDB） 進行更好地分類，可以識別圖像的真實性和處理歷史。

此外犯罪分子會利用物聯網卡、VPN代理等方式來隱匿身份，加密、刪除或篡改電子證據。隨著各種加密技術的發展和社會各界對個人隱私保護的普遍重視，電子數據取證的難度也越來越大，特別是對涉及的加密文件進行解密。由于破解難度太大，取證成本過高等問題，給網絡犯罪偵查取證的工作帶來一定的難度。例如WhatsApp的“為所有人刪除”功能，使用戶能夠從兩端（發送者和接收者）刪除消息，導致網絡犯罪調查過程復雜化[12]。前文提到的Encase、Final Forensics、X-way Forensics 等都可以用來提取有效信息。例如，Encase可以幫助調查人員構建腳本進行詳細有效的分析。Kim H使用EnCase分析PowerPoint中隱藏信息的類型，找出隱寫技術隱藏的信息[13]。Final Forensics通過不同層次掃描證據，還原文件的真實屬性。X-way Forensics 是一款功能強大的工具，它支持十六進制代碼，幫助偵查人員手動恢復被刪除的數據[14]。Magnet Axiom具有從智能手機、計算機和云中恢復數據的功能，還可以在一個案例文件中檢查所有來源的證據。國內一些取證技術如搜索及修復數據、日志運行等與發達國家相比水平還比較低，許多偵查取證工作還需要借助其他的專業軟件來進行。數據獲取、恢復、保存技術以及基于數據挖掘的海量數據取證技術有待進一步研究，急需開發符合中國本土需求的高速取證分析軟件。

目前，人工取證承擔了絕大部分工作，工作人員在取證中表現出的專業性會對取證結果產生直接影響，這就要求偵查人員對相關信息具有較高的敏感性。與此同時，單個數據所代表的信息量非常小，需要工作人員具有一定的數據處理和分析能力，結合其他通聯數據形成系統化的數據信息。但針對計算機取證人員的培養仍然較為滯后，有關工作人員技術存在計算機技能不高、技術不熟練等問題，難以滿足社會實際發展需求，需要不斷促進相關人員素質的提升，實現對專業性人才隊伍的組建。

參考文獻：

[1] 張鶴.電子數據取證勘查調研綜述[J].電腦知識與技術，2020，16（28）：34-38.

[2] 劉枧，邱平，蘇順華.蘋果手機IOS系統3種取證方法測評對比研究[J].中國人民公安大學學報（自然科學版），2020，26（4）：62-67.

[3] 王前.Android智能手機的取證有效方法探究[J].信息技術與信息化，2020（7）：216-218.

[4] 姜建國，王繼志，孔斌，等.網絡攻擊源追蹤技術研究綜述[J].信息安全學報，2018，3（1）：111-131.

[5] 馬立軍.刑事案件中的電子證據相關問題探討[J].法制博覽，2021（21）：63-64.

[6] Sathyaprakasan R，Govindan P，Alvi S，et al.An implementation of blockchain technology in forensic evidence management[C]//2021 International Conference on Computational Intelligence and Knowledge Economy （ICCIKE）2021：208-212.

[7] 謝登科.電子數據區塊鏈存證的法律本質與適用邊界[J].蘭州學刊，2021（12）：5-15.

[8] Patil S，Kadam S，Katti J.Security enhancement of forensic evidences using blockchain[C]//2021 Third International Conference on Intelligent Communication Technologies and Virtual Mobile Networks （ICICV），2021：263-268.

[9] 唐昕淼.數據挖掘在計算機動態取證技術中的應用分析[J].信息通信，2020，33（3）：160-161.

[10] Harbawi M，Varol A.An improved digital evidence acquisition model for the Internet of Things forensic I：a theoretical framework[C]//2017 5th International Symposium on Digital Forensic and Security （ISDFS），2017：1-6.

[11] Singh G，Goyal P.GIMD-Net：an effective General-purpose Image Manipulation Detection Network，even under anti-forensic attacks[C]//2021 International Joint Conference on Neural Networks （IJCNN），2021：1-8.

[12] Mirza M M，Salamh F E，Karabiyik U.An android case study on technical anti-forensic challenges of WhatsApp application[C]//2020 8th International Symposium on Digital Forensics and Security （ISDFS），2020：1-6.

[13] Kim H，Bruce N，Park S，et al.EnCase forensic technology for decrypting stenography algorithm applied in the PowerPoint file[C]//2016 18th International Conference on Advanced Communication Technology （ICACT），2016：1.

[14] Wu Y B，Xiang D W，Gao J M，et al.Research on investigation and evidence collection of cybercrime Cases[J].Journal of Physics：Conference Series，2019，1176：042064.

【通聯編輯：代影】