馬國富，王子賢，王揆鵬

（1.中央司法警官學院 信息管理系，河北 保定 071000；2.中央司法警官學院 現(xiàn)代教育中心，河北 保定 071000；3.中央司法警官學院 科研處，河北 保定 071000）

目前，各種電子犯罪案件和相關(guān)的經(jīng)濟、民事糾紛案件急劇上升，給國家和社會帶來不可估量的嚴重后果和巨大的經(jīng)濟損失，而打擊犯罪的關(guān)鍵在于獲得充分、可靠和具有法律效力的證據(jù).2012年3月14日，第十一屆全國人民代表大會第五次會議通過決定，對《中華人民共和國刑事訴訟法》做出修改.修改后的新《中華人民共和國刑事訴訟法》中，電子數(shù)據(jù)作為獨立證據(jù)得到了明確，具體內(nèi)容如下：十三、將第四十二條改為第四十八條，修改為：“可以用于證明案件事實的材料，都是證據(jù).證據(jù)包括：物證＼書證＼證人證言＼被害人陳述＼犯罪嫌疑人、被告人供述和辯解＼鑒定意見＼勘驗、檢查、辨認、偵查實驗等筆錄＼視聽資料、電子數(shù)據(jù)”.盡管從法律上確定了電子數(shù)據(jù)作為獨立證據(jù)的地位，但是中國電子數(shù)據(jù)取證與司法鑒定的規(guī)范化操作流程并沒有確定，而在實際受理案件中，電子證據(jù)一般需要通過司法鑒定才能成為訴訟的直接證據(jù).目前，中國還沒有一套完整的、有利于法律實務操作的電子數(shù)據(jù)司法鑒定規(guī)范，使電子數(shù)據(jù)司法鑒定的公正性、權(quán)威性、中立性受到質(zhì)疑.因此借鑒外國已有的電子數(shù)據(jù)司法鑒定標準和實踐經(jīng)驗，從法律和技術(shù)2個層面相結(jié)合，建立基于證據(jù)鏈和證據(jù)監(jiān)督鏈的電子司法鑒定模型，規(guī)范電子數(shù)據(jù)司法鑒定全過程，對提高電子數(shù)據(jù)的法律效力是至關(guān)重要的.

1 現(xiàn)有的電子取證模型

在中國現(xiàn)行的法律實務中，電子數(shù)據(jù)一般經(jīng)過鑒定機構(gòu)鑒定后，提交法庭經(jīng)過法庭“質(zhì)證”被采信才能成為定案證據(jù).文獻［1］將司法鑒定定義為在訴訟活動中鑒定人運用科技技術(shù)或者專門知識對訴訟涉及的專門性問題進行鑒別和判斷并提供鑒定意見的活動.文獻［2］將電子司法鑒定定義為司法鑒定人對依法收集的電子數(shù)據(jù)進行分析研究、鑒別其類型特點，找出它們與案件事實之間的客觀聯(lián)系，確定其證明力的司法鑒定技術(shù).電子司法鑒定不僅要鑒定證據(jù)的"原件"特性，更要鑒別案件相關(guān)信息，保證電子數(shù)據(jù)的客觀性、關(guān)聯(lián)性、合法性的實現(xiàn).電子數(shù)據(jù)取證與司法鑒定的全過程都必須遵循嚴格的操作規(guī)范和法律要求，并接受嚴格的監(jiān)督，否則將影響電子證據(jù)的法律效力.因此人們開始對計算機取證流程及取證標準進行研究，并提出了許多種取證模型，包括基于過程計算機取證模型、綜合計算機取證模型、增強的計算機取證模型、層次計算機模型、分布式計算機取證模型等.

基于過程計算機取證模型［1］主要包括基本過程模型（basic process model）、事件響應過程模型（incident response process model）、法 律 執(zhí) 行 過 程 模 型（law enforcement process model）、過 程 抽 象 模 型（abstract process model）和其他過程模型等.過程模型的優(yōu)點在于取證流程按事件發(fā)生的順序進行組織，符合人們傳統(tǒng)認知規(guī)律；缺點在于當由于工作需要對取證進行回溯時，過程模型的適應性將大大降低，同時，在模型的整個取證過程中無時間約束，也缺乏有效的監(jiān)督，從而影響取證過程的法律效力.綜合計算機取證模型，吸取了過程模型的缺點，允許在調(diào)查階段進行回溯，但該模型僅解決了犯罪現(xiàn)場調(diào)查階段的重疊問題.為此有人提出了增強的計算機取證模型，該模型將取證分為準備、部署、反饋、實施、總結(jié)5個步驟，通過在取證全程中增加反饋保證了電子數(shù)據(jù)取證的一致性和關(guān)聯(lián)性.層次計算機取證模型將取證分為證據(jù)發(fā)現(xiàn)、固定、提取、分析、表述5個階段，該模型突出了法律約束，但取證操作流程模糊，法律事務操作性差.分布式計算機取證模型［3］中，沒有對取證的全程進行監(jiān)督，也沒有時間約束，電子數(shù)據(jù)的法律效力很難證明.目前現(xiàn)有的電子取證模型主要從技術(shù)角度對取證過程進行研究，并且主要用于公安系統(tǒng)，證據(jù)要想被采用，必須在法庭上進行質(zhì)證.隨著刑事訴訟法中電子數(shù)據(jù)作為獨立證據(jù)地位的確立，電子數(shù)據(jù)同樣面臨質(zhì)證問題，而要想確保電子數(shù)據(jù)作為證據(jù)的法律效力，就必須借助中立的第3方對電子數(shù)據(jù)進行鑒定，因此對現(xiàn)有的電子取證模型進行修改，將取證模型中的技術(shù)性和法律實務相結(jié)合，建立電子司法鑒定模型將對電子數(shù)據(jù)作為證據(jù)的使用起到很多的推動作用.

2 基于證據(jù)鏈和證據(jù)監(jiān)督鏈的電子司法鑒定模型

本文將證據(jù)環(huán)和證據(jù)鏈應用于電子取證和司法鑒定，提出一種基于證據(jù)鏈和監(jiān)督鏈的電子司法鑒定模型.證據(jù)環(huán)用來實現(xiàn)多源電子數(shù)據(jù)的互相印證，從而保證電子數(shù)據(jù)的原始性、客觀性、關(guān)聯(lián)性；證據(jù)鏈用來保證電子數(shù)據(jù)的真實性和完整性；電子數(shù)據(jù)的可信固定和證據(jù)監(jiān)督鏈用來保證電子數(shù)據(jù)的合法性和法律效力.該模型將理論和司法實務操作相結(jié)合，將電子數(shù)據(jù)鑒定模型的技術(shù)性和電子數(shù)據(jù)鑒定程序的法律性相結(jié)合，既可用于刑事、民事和行政訴訟領域也可用于企業(yè)內(nèi)部電子取證以及其他電子化犯罪領域以外的需求.

2.1 證據(jù)環(huán)

單一的證據(jù)往往不足以證明犯罪，電子司法鑒定的效果也不明顯，多個證據(jù)的相互支持協(xié)作使得鑒定更具法律效力.證據(jù)環(huán)是一種橫向分析方法，主要是根據(jù)關(guān)聯(lián)規(guī)則算法對某一個時間段內(nèi)的多源證據(jù)數(shù)據(jù)中的時間、用戶、設備等信息進行橫向分析，挖掘各證據(jù)類之間的關(guān)聯(lián)，使得多源證據(jù)之間能夠互相印證對方，環(huán)環(huán)相扣，進而形成證據(jù)環(huán)，保證證據(jù)的客觀性和關(guān)聯(lián)性.關(guān)聯(lián)規(guī)則算法涉及犯罪行為的相似度關(guān)聯(lián)、時間上的關(guān)聯(lián)、多源證據(jù)數(shù)據(jù)之間的關(guān)聯(lián).證據(jù)環(huán)是對多源證據(jù)的關(guān)聯(lián)性及其在空間上交叉性的體現(xiàn)，如圖1所示.

圖1 證據(jù)環(huán)Fig.1 Evidence ring

2.2 證據(jù)鏈和證據(jù)監(jiān)督鏈

由于司法事務實踐工作的需要，電子司法鑒定過程中各階段之間存在交叉反復工作以及進行回溯的實際情況，鑒定需要建立證據(jù)鏈，可以說鑒定的整個過程就是證據(jù)鏈形成的過程，在證據(jù)鏈形成的過程中，鑒定策略會根據(jù)鑒定需求的變化而變化，可以說證據(jù)鏈是證據(jù)縱向分析過程的體現(xiàn).文獻［4］提出了可信取證的理念，在此基礎上結(jié)合時間戳技術(shù)，提出了可信時間戳技術(shù)，通過在鑒定模型的不同階段附加可信時間戳和不同的證據(jù)屬性，形成基于可信時間戳的可信證據(jù)鏈，保證證據(jù)的客觀性、連續(xù)性和一致性；實施法律約束，在鑒定模型的不同階段使用不同的法律屬性，附加不同的約束條件，進行鑒定過程中的全程監(jiān)督，形成基于可信時間戳同步的可信證據(jù)監(jiān)督鏈，保證證據(jù)的合法性和可采用性.基于可信時間戳、鑒定策略和約束條件、可信證據(jù)監(jiān)督的三維可信電子證據(jù)鏈和證據(jù)監(jiān)督鏈模型如圖2所示.

圖2 三維可信電子證據(jù)鏈和證據(jù)監(jiān)督鏈模型Fig.2 A model based on three－dimensional trusted electronic evidence chain and evidence supervision chain

2.3 基于證據(jù)鏈和證據(jù)監(jiān)督鏈的電子證據(jù)司法鑒定模型

基于證據(jù)鏈和證據(jù)監(jiān)督鏈的電子證據(jù)司法鑒定模型如圖3所示，主要包括鑒定準備、證據(jù)的固定保全、證據(jù)的分析與鑒定、證據(jù)監(jiān)督、鑒定意見和證據(jù)呈堂等階段.

2.3.1 鑒定準備

司法鑒定準備主要包括司法鑒定人員的資質(zhì)準備、得到認可的電子鑒定工具、接受司法鑒定的委托、基于法律規(guī)則的鑒定知識庫、犯罪行為案例庫、時間戳服務中心、從政法CA 獲取授權(quán)的認證證書以及證據(jù)存儲中心的建立等準備工作.基于法律規(guī)則的鑒定知識庫、犯罪行為案例庫可以隨著實際的變化而變化.證據(jù)監(jiān)督保證鑒定準備階段符合法律要求，同時在必要時可以進行回溯，調(diào)整或更新鑒定準備內(nèi)容.為了提高權(quán)威性和法律量刑的統(tǒng)一性，建立國家政法CA，各相關(guān)機構(gòu)成為其認證成員，獲得證書用于相互認證，同時建立證據(jù)存儲中心，從政法CA 獲取授權(quán)證書用于和執(zhí)法機關(guān)互相認證，進行證據(jù)的存儲和提取，進而保證證據(jù)監(jiān)督本身的法律效力.

圖3 基于證據(jù)鏈和證據(jù)監(jiān)督鏈的電子證據(jù)司法鑒定模型Fig.3 A electronic judicial identification model based on electronic evidence chain and evidence supervision chain

2.3.2 電子數(shù)據(jù)的可信固定

可信固定［5］，即在不破壞電子數(shù)據(jù)靜態(tài)屬性的前提下或者為了能保證電子證據(jù)靜態(tài)屬性的可信性而采取的固定手段或方法.本文通過基于可信時間戳的多人數(shù)字簽名來實現(xiàn)對委托方提交的原始數(shù)據(jù)進行可信固定，避免數(shù)字證書在有效期過期后，無法驗證數(shù)字簽名的有效性問題.擬取證或鑒定的計算機或存儲介質(zhì)統(tǒng)稱為目標機M，多人數(shù)字簽名參與方包括簽名者S（委托鑒定人或犯罪嫌疑人）、證實者C（第3方司法鑒定機構(gòu)）、驗證者V（公檢法等相關(guān)職能部門）.可信時間戳服務中心（trusted time stamp authority，簡稱TTSA）是由權(quán)威、可信的國家授時中心（中國唯一權(quán)威時間服務機構(gòu)）時間戳服務中心（TSA）頒發(fā)的證明電子文件產(chǎn)生時間及內(nèi)容未被篡改和偽造的具有法律效力的電子憑證.多人數(shù)字簽名參與方通過基于智能終端的在線實時證書申請中心獲取U 盾證書用于簽名和加密，基于可信時間戳的電子數(shù)據(jù)可信固定流程見圖4所示.

圖4 電子數(shù)據(jù)可信固定流程Fig.4 Electronic data trusted fix process

1）利用SHA 算法對目標機進行Hash計算，生成哈希摘要SHA（M）.

2）首先利用基于智能終端的在線實時證書申請中心，鑒定委托方（犯罪嫌疑人）通過提交身份信息獲得基于RSA 的U 盾證書，然后利用證書中的私鑰TTSA（SKs）對哈希摘要進行簽名.

3）第3方司法鑒定機構(gòu)利用從基于智能終端的在線實時證書申請中心申請的U 盾證書中的RSA 公鑰TTSA（PKc）對（2）中生成的簽名進行加密，實現(xiàn)基于可信時間戳的多人電子數(shù)據(jù)可信固定.

2.3.3 證據(jù)分析與鑒定

1）對委托方提交的原始數(shù)據(jù)進行真實性、完整性、合法性和關(guān)聯(lián)性的分析判定，鑒定證據(jù)的“原件”特性，鑒別案件的相關(guān)信息.因電子證據(jù)具有隱蔽性、無形性的特點，需轉(zhuǎn)換為人們所能感知的狀態(tài)來加以分析，其中轉(zhuǎn)換的真實、可靠性是審查其證據(jù)關(guān)聯(lián)性的基礎和重點，也是與傳統(tǒng)證據(jù)關(guān)聯(lián)性審查的不同之處.

2）可信時間戳的生成及驗證由可信時間戳服務中心（TTSA）負責實施，具體生成及驗證流程參照文獻［6］.

3）在附加可信時間戳和證據(jù)監(jiān)督的前提下，依據(jù)鑒定需求而確定的鑒定策略對原始數(shù)據(jù)進行證據(jù)的提取和分析，必要時進行數(shù)據(jù)恢復.

4）對同一時間段內(nèi)的多源證據(jù)數(shù)據(jù)進行語義分析形成證據(jù)環(huán)，計算證據(jù)環(huán)上每個證據(jù)的關(guān)聯(lián)度，依據(jù)關(guān)聯(lián)規(guī)則算法合成證據(jù)，利用U 盾證書中的RSA 私鑰TTSA（SKc）并附加從可信時間戳服務中心（TTSA）獲取的可信時間戳來對電子證據(jù)進行數(shù)字簽名，保證證據(jù)的完整性，從而形成證據(jù)鏈中的一個證據(jù).

5）將實施簽名的證據(jù)按照XML的格式提交給證據(jù)存儲中心，為保證取證機構(gòu)和證據(jù)存儲中心的合法性，基于政法CA 的授權(quán)對提交雙方實施雙向認證.

2.3.4 證據(jù)監(jiān)督

對鑒定過程的全程監(jiān)督主要通過其他方委派的專家監(jiān)督、電子司法鑒定流程監(jiān)管軟件及視頻監(jiān)控等多種方法來實施.證據(jù)監(jiān)督可以實現(xiàn)鑒定過程的全程回放；也可以實現(xiàn)鑒定結(jié)果在另外鑒定人員的操作下的重現(xiàn)，同時也對證據(jù)存儲中心進行監(jiān)督，保證證據(jù)是合法的，沒有對原始數(shù)據(jù)進行偽造和篡改；證據(jù)監(jiān)督還通過從政法CA 獲取證書，和那些具有取證與鑒定資質(zhì)的執(zhí)法機構(gòu)進行授權(quán)和認證.

2.3.5 鑒定意見

總結(jié)鑒定的全過程，把對進行鑒定的電子數(shù)據(jù)按照電子數(shù)據(jù)司法鑒定文書格式出具司法鑒定意見，主要包括：委托方、委托日期、委托鑒定事項、送鑒材料、鑒定日期、在場人員、鑒定地點、司法鑒定人、鑒定摘要、鑒定過程、鑒定分析、鑒定意見、司法鑒定人簽名或者蓋章、《司法鑒定人執(zhí)業(yè)證》證號、（司法鑒定機構(gòu)司法鑒定專用章）等相關(guān)信息.同時更新基于法律規(guī)則的鑒定知識庫和犯罪行為案例庫.

2.3.6 證據(jù)呈堂

把鑒定全過程形成的證據(jù)鏈和證據(jù)監(jiān)督鏈以法庭認可的司法鑒定意見提交給法庭.

2.4 模型的特點

與其他取證與鑒定模型相比較，該模型具有如下特點：

1）增加了證據(jù)監(jiān)督.該模型在分析現(xiàn)有模型優(yōu)缺點的基礎上，對現(xiàn)有模型進行修改，通過其他方委派的專家監(jiān)督、電子司法鑒定流程監(jiān)管軟件及視頻監(jiān)控等多種方法來實施鑒定的全過程監(jiān)督，形成證據(jù)監(jiān)督鏈，并提交法庭，可以通過回放的形式重現(xiàn)鑒定過程，證明證據(jù)的合法性、完整性和客觀性.通過將鑒定全程和證據(jù)監(jiān)督相結(jié)合形成網(wǎng)狀關(guān)系，解決了法律與技術(shù)恰當融合以及證據(jù)的可采用性的問題.

2）增加了可信時間戳.隨著犯罪技術(shù)手段的不斷升級和更新，鑒定技術(shù)策略也應與之相適應的變化.通過將從TTSA 獲取的可信時間戳附加于鑒定全過程，將時間線融入到證據(jù)中，保證了證據(jù)的連續(xù)性、一致性、不可否認和抗抵賴性.

3）引入證據(jù)環(huán)和證據(jù)鏈.對同一時間段內(nèi)的多源證據(jù)進行語義分析，形成證據(jù)環(huán)，實現(xiàn)證據(jù)之間的相互印證，保證了證據(jù)的關(guān)聯(lián)性.根據(jù)證據(jù)的關(guān)聯(lián)度，采用關(guān)聯(lián)規(guī)則算法合成證據(jù).將鑒定全過程實施線性流程管控，進而形成證據(jù)鏈，保證證據(jù)在時間上的連續(xù)性和空間上的交叉性.

4）增加授權(quán)和認證機制.通過建立國家級政法CA 實現(xiàn)鑒定全過程中相關(guān)機構(gòu)之間的互信和互認問題，也保證了證據(jù)監(jiān)督鏈本身的安全和法律效應.

5）增加了鑒定知識庫和犯罪行為案例庫.基于法律規(guī)則的鑒定知識庫、犯罪行為案例庫和證據(jù)存儲中心采用通用的XML格式進行通信，鑒定知識庫的建立及使用有利于提高鑒定的效果，而犯罪行為案例庫有利于提高證據(jù)的可采用性.

3 實例分析

3.1 證據(jù)鏈的構(gòu)建

下面對文獻［7－8］中所描述的熊貓燒香病毒取證與司法鑒定案件進行實例分析.在對提供的鑒定材料進行電子數(shù)據(jù)的可信固定后，按照三維可信電子證據(jù)鏈和證據(jù)監(jiān)督鏈模型構(gòu)造證據(jù)鏈如下：

軟件開發(fā)環(huán)境環(huán)→犯罪嫌疑人制作計算機病毒的興趣、能力和素質(zhì)環(huán)→犯罪嫌疑人利益獲取環(huán)，在多種證據(jù)環(huán)的基礎上，構(gòu)建犯罪嫌疑人電子犯罪取證與司法鑒定證據(jù)鏈.

3.2 證據(jù)環(huán)的構(gòu)建

1）軟件開發(fā)環(huán)境環(huán).在犯罪嫌疑人的移動硬盤分區(qū)一中找到Delphi7，Vmware，ICQ 等軟件，上述3個工具中Delphi7是Windows平臺下著名的快速應用程序開發(fā)工具，是一個集成開發(fā)環(huán)境，可用于開發(fā)、調(diào)試計算機病毒程序；Vmware是一個虛擬PC軟件，可在1臺計算機上同時運行多個操作系統(tǒng)，就像標準Windows應用程序切換那樣方便，并且在基于Vmware運行的操作系統(tǒng)中進行的任何操作都不會影響宿主操作系統(tǒng)，當然計算機病毒程序也可以在這些基于Vmware的操作系統(tǒng)中運行，而不會感染病毒制作者自己的電腦；ICQ 是一個經(jīng)典實用的可執(zhí)行程序圖標更改小工具，當然也可以將可執(zhí)行程序圖標修改為“熊貓燒香”圖標.通過上述對3個工具軟件之間功能的介紹，發(fā)現(xiàn)這3個工具軟件互相協(xié)作、相互關(guān)聯(lián)，構(gòu)成了計算機病毒軟件的開發(fā)環(huán)境環(huán).

2）嫌疑人能力素質(zhì)鑒定環(huán).在嫌疑人硬盤分區(qū)的／Source Code／Delphi／My＿Work＼漢男生進程監(jiān)控＼目錄下發(fā)現(xiàn)2個子目錄，分別是“code”和“傳染”，在“code”子目錄下發(fā)現(xiàn)了“熊貓燒香”病毒的源程序代碼文件（熊貓燒香病毒又名武漢男生）；而在“傳染”子目錄下發(fā)現(xiàn)了系列版本的“熊貓燒香”病毒的多個源程序代碼文件，通過在只讀方式下對該系列文件的修改時間進行檢索，發(fā)現(xiàn)它們的修改時間按時間先后順序排列為：2006年10月16日、2006年10月25日、2006年11月7日、2006年11月8日、2006年11月25日、2006年11月30日、2006年12月1日，在只讀模式下利用源代碼比較工具對這些源代碼按多種模式進行內(nèi)容、功能方面的對比，結(jié)果發(fā)現(xiàn)這些源代碼文件內(nèi)容大體相同，而功能逐漸完善，這也說明了病毒軟件開發(fā)者對源代碼進行改進提高的客觀事實.當然在硬盤的其他扇區(qū)中還發(fā)現(xiàn)了大量與計算機病毒編寫相關(guān)的信息：在硬盤Favorite子目錄下發(fā)現(xiàn)了黑客、木馬、病毒技術(shù)的網(wǎng)站鏈接；在其他目錄下還發(fā)現(xiàn)了“灰鴿子遠程管理”等大量黑客軟件的使用說明書、大量用C、VB等語言編寫的具有通用病毒和木馬功能的源代碼文件及可執(zhí)行程序.上述網(wǎng)站鏈接、黑客工具軟件使用說明書、通用病毒和木馬功能的源代碼及可執(zhí)行程序、“熊貓燒香病毒”系列源代碼之間互相關(guān)聯(lián)，構(gòu)成了犯罪嫌疑人“熊貓燒香病毒”開發(fā)能力素質(zhì)環(huán)，同時按時間順序排列的“熊貓燒香病毒”源代碼自身也構(gòu)成了時間環(huán).

3）嫌疑人利益獲取環(huán).在硬盤MyHacker＼?？次恼拢苜~單子目錄下，發(fā)現(xiàn)了從2005年1月至2006年7月之間的記賬金額信息，總計約40萬元；利用取證軟件提取了犯罪嫌疑人的QQ 聊天記錄，通過對聊天記錄按關(guān)鍵時間段進行數(shù)據(jù)挖掘，發(fā)現(xiàn)許多網(wǎng)絡聯(lián)系者知道嫌疑人在什么，并對病毒提出了特定的功能，為此雙方還進行了價格協(xié)商；在小俊的文檔中，發(fā)現(xiàn)了許多計算機和網(wǎng)絡游戲的登錄賬號和口令.通過上述對電子數(shù)據(jù)的分析與鑒定，可以得出作者并非簡單的出于學習、興趣愛好才制作該木馬程序，而是為了獲取經(jīng)濟利益，由此構(gòu)成犯罪嫌疑人利益獲取環(huán).

4 結(jié)論

在分析現(xiàn)有取證模型的基礎上，首先提出了一個三維可信電子證據(jù)鏈和證據(jù)監(jiān)督鏈模型，然后提出了一個基于該證據(jù)鏈和證據(jù)監(jiān)督鏈的電子證據(jù)司法鑒定模型，模型通過電子數(shù)據(jù)可信固定流程實現(xiàn)電子數(shù)據(jù)的可信固定；通過增加鑒定監(jiān)督實施時間約束（可信時間戳）和法律約束來保證證據(jù)的客觀性、合法性和可采用性；通過引入證據(jù)環(huán)和證據(jù)鏈來保證證據(jù)的完整性、關(guān)聯(lián)性、連續(xù)性和一致性；通過增加基于政法CA 的授權(quán)和認證機制來實現(xiàn)取證相關(guān)機構(gòu)和法庭之間證據(jù)的互信和互認的問題，并保證證據(jù)監(jiān)督本身的法律效應.該模型不僅可用于電子司法鑒定和電子犯罪取證中獲取電子證據(jù)，也可用于企業(yè)中獲取員工犯錯的證據(jù)，并用于指導司法實踐事務和理論研究.隨著計算機網(wǎng)絡飛應用的迅猛發(fā)展，產(chǎn)生了云計算，對應的網(wǎng)絡犯罪率急劇上升，為此研究基于云取證流程［9］模型成為下一步的研究方向.

［1］ 麥永浩，孫國梓，許榕生，等.計算機取證與司法鑒定［M］.北京：清華大學出版社，2009.

［2］ 郭秋香，朱金義.電子數(shù)據(jù)鑒定體系建設構(gòu)想［J］.中國司法鑒定，2010，49（2）：57－60.GUO Qiuxiang，ZHU Jinyi.The construction of the electronic data examination system［J］.Chinese Journal of ForensicSciences，2010，49（2）：57－60.

［3］ 周敏，龔箭.分布式計算機取證模型研究［J］.微電子學與計算機，2012，29（2）：40－43.ZHOU Min，GONG Jian.Study on the distributed computer forensics model［J］.Microelectronics ＆Computer，2012，29（2）：40－43.

［4］ 林清秀.電子數(shù)據(jù)可信取證的形式化方法研究［D］.南京：南京郵電大學，2009.LIN Qingxiu.Research on the formalism of trusted forensics on digital data［D］.Nanjing：Nanjing University of Posts ＆Telecommunications，2009.

［5］ 孫國梓，耿偉明，陳丹偉，等.電子數(shù)據(jù)取證的可信固定方法［J］.北京工業(yè)大學學報，2010，36（5）：621－626.SUN Guozi，GENG Weiming，CHEN Danwei，et al.One trusted fix method of digital data forensics［J］.Journal of Beijing University of Technology，2010，36（5）：621－626.

［6］ 常朝穩(wěn)，陳俊峰，秦晰.不可靠網(wǎng)絡環(huán)境下的數(shù)字時間戳服務研究［J］.計算機應用，2012，32（1）：60－65.CHANG Chaowen，CHEN Junfeng，QIN Xi.Research of digital time－stamping service in unreliable networks［J］.Journal of Computer Applications，2012，32（1）：60－65.

［7］ 向大為，麥永浩.“熊貓燒香”案件的分析鑒定［J］.警察技術(shù)，2009，112（1）：32－35.XIANG Dawei，MAI Yonghao.Analysis and identification of the“Panda”case［J］.Police Technology，2009，112（1）：32－35.

［8］ 麥永浩，向大為.“熊貓燒香”病毒取證鑒定技術(shù)研究［J］.信息網(wǎng)絡安全，2010，112（4）：44－46.MAI Yonghao，XIANG Dawei.Research on identification techniques of“panda”virus［J］.Netinfo Security，2010，112（4）：44－46.

［9］ 吳紹兵.云計算環(huán)境下的電子證據(jù)取證關(guān)鍵技術(shù)研究［J］.計算機科學，2012，39（11）：139－144.WU Shaobing.Research of key technologies of electronic evidence forensics based on cloud Computing Environment［J］.Computer Science，2012，39（11）：139－144.