亞 森·艾則孜

(新疆警察學(xué)院 信息安全工程系，新疆 烏魯木齊 830011)

據(jù)統(tǒng)計，我國從首例計算機犯罪(1986年利用計算機貪污案件)被發(fā)現(xiàn)至今，涉及數(shù)字設(shè)備的犯罪無論從犯罪類型還是從發(fā)案率來看，都在逐年大幅度上升,國外有犯罪學(xué)家預(yù)言:“未來信息化社會犯罪的形式將主要是基于數(shù)字設(shè)備的信息化犯罪”[1]。因此，在不同數(shù)字設(shè)備中可能遺留一些與相關(guān)案件有關(guān)的電子證據(jù)。 面對不斷上升的犯罪信息化現(xiàn)象，電子數(shù)據(jù)司法鑒定成為鑒定案件中數(shù)字證據(jù)的有力手段。2012年修訂的刑事訴訟法和民事訴訟法中都明確規(guī)定電子數(shù)據(jù)屬于證據(jù)的一種。電子數(shù)據(jù)司法鑒定，是一門新興的、發(fā)展迅速的學(xué)科，它在打擊犯罪、案件審判、維護國家安全和社會和諧穩(wěn)定等方面發(fā)揮著重要的作用。

1 電子數(shù)據(jù)司法鑒定實驗課

目前，我國很多公安、政法院校的信息安全或刑事科學(xué)技術(shù)專業(yè)開設(shè)了電子數(shù)據(jù)司法鑒定課程，此課程已成為信息安全或刑事科學(xué)技術(shù)專業(yè)體系的核心課程之一。為適應(yīng)信息化時代的需求，需要深入研究該課程的問題，特別是研究實驗教學(xué)模式問題，將有利于學(xué)生提高電子數(shù)據(jù)司法鑒定的能力。

電子數(shù)據(jù)司法鑒定課程是一門跨學(xué)科的理工科綜合課程，極具實踐性。在開設(shè)該課程之前,學(xué)生必須學(xué)過計算機原理、數(shù)據(jù)結(jié)構(gòu)、數(shù)據(jù)庫、C語言程序設(shè)計、偵查學(xué)及法學(xué)等課程，已掌握基本理論知識和基本專業(yè)技能。同時電子數(shù)據(jù)司法鑒定課程也是實踐性很強的課程，實踐教育是創(chuàng)新人才培養(yǎng)體系的重要組成部分。實驗教學(xué)作為實踐教育的主要組成部分之一，對于提高學(xué)生的綜合素質(zhì)、培養(yǎng)學(xué)生的創(chuàng)新精神與實踐能力有著不可替代的作用[2]。

1.1 實驗教學(xué)性質(zhì)和存在問題

電子數(shù)據(jù)司法鑒定實驗教學(xué)是電子數(shù)據(jù)司法鑒定課程教學(xué)的重要環(huán)節(jié)，通過電子數(shù)據(jù)司法鑒定實驗教學(xué)使學(xué)生更好地理解和掌握電子數(shù)據(jù)司法鑒定的知識及技能，讓學(xué)生熟練地掌握正確的電子數(shù)據(jù)司法鑒定理念、流程及具體鑒定工具(軟件、硬件設(shè)備)的操作,提高對實際問題的分析、解決能力。很多公安院校普遍存在的實際問題如下：

(1) 實驗室的建設(shè)跟不上教育改革的步伐；

(2) 對電子數(shù)據(jù)司法鑒定課程實驗教學(xué)重視不夠，導(dǎo)致課程體系和內(nèi)容不合理；

(3) 解決具體問題并具有綜合性的實驗偏少，個別學(xué)校該課程實驗課沒有完整的教學(xué)大綱，實驗內(nèi)容缺乏針對性和實用性；

(4) 實驗教師缺乏實踐能力，業(yè)務(wù)能力參差不齊。

1.2 實驗教學(xué)要求和方法

(1) 實驗室是教師進行教學(xué)、科研的重要基地，也是學(xué)生理論聯(lián)系實際提高專業(yè)技能的重要場所，因此開設(shè)該課程的學(xué)校必須建立好充分滿足教學(xué)需要的電子數(shù)據(jù)司法鑒定實驗室。

(2) 為激發(fā)學(xué)生的學(xué)習(xí)興趣、調(diào)動學(xué)生的學(xué)習(xí)主動性，任課教師根據(jù)教學(xué)大綱及實驗室條件合理地設(shè)計好實驗大綱，實驗內(nèi)容的安排循序漸進，從簡單到綜合，從模擬的小型案例到具有代表性的實際案例[3]。

(3) 任課教師必須具備豐富的實踐經(jīng)驗，原則上擔(dān)任該課程實驗教學(xué)的教師必須具有國家電子數(shù)據(jù)司法鑒定資格，應(yīng)具備通過有針對性的實際案例感染學(xué)生、激發(fā)學(xué)生的學(xué)習(xí)興趣和能力[4]。

2 實驗教學(xué)改革

2.1 實驗教學(xué)環(huán)境要求

對目前很多公安、政法類院校在電子數(shù)據(jù)司法鑒定教學(xué)實驗室建設(shè)方面所遇到的種種問題，我們進行了深入、細致的研究，并結(jié)合當(dāng)前電子數(shù)據(jù)司法鑒定發(fā)展的現(xiàn)狀，有針對性地提出公安、政法類院校進行電子數(shù)據(jù)司法鑒定教學(xué)實驗室建設(shè)的出發(fā)點[5]。

(1) 電子數(shù)據(jù)司法鑒定教學(xué)實驗室所使用的設(shè)備是專門針對教學(xué)而開發(fā)的，與專業(yè)的取證設(shè)備相比，具有價格低廉、維護方便、使用簡單、適于教學(xué)等優(yōu)點，不需要很大的資金投入，可解決建設(shè)資金不足的問題。由于該實驗室只能為教學(xué)服務(wù)，不需要建設(shè)類似于電子數(shù)據(jù)司法鑒定中心實驗室一樣的高端實驗室，可以在現(xiàn)有的計算機多媒體教室的基礎(chǔ)上進行升級改造，充分提高現(xiàn)有實驗室的利用率，降低實驗室建設(shè)成本。實驗室所需軟件和硬件設(shè)備與專業(yè)的鑒定工具相比，應(yīng)具有價格合理、使用簡單、維護方便等特點[6]。

(2) 電子數(shù)據(jù)司法鑒定教學(xué)實驗室既能進行理論教學(xué)，也能進行實驗教學(xué)，真正做到邊學(xué)習(xí)邊實踐，教師不需要在理論教室和實驗室之間帶領(lǐng)學(xué)生來回奔波，實驗室也方便管理，解決了師資不足問題。

根據(jù)以上觀點，我院建立了電子數(shù)據(jù)司法鑒定實驗室，主要設(shè)備有FL-300實訓(xùn)系統(tǒng)、取證魔方、效率源、手機取證設(shè)備以及各類電子數(shù)據(jù)鑒定軟件工具等。

2.2 實驗教學(xué)內(nèi)容設(shè)計

2.2.1 學(xué)生能力要求

通過電子數(shù)據(jù)司法鑒定課程的實驗教學(xué)內(nèi)容，使學(xué)生能夠深化對課堂教學(xué)內(nèi)容的理解和掌握，熟悉和了解有關(guān)電子數(shù)據(jù)司法鑒定的相關(guān)技術(shù)方法及具體工具的使用方法和過程，初步掌握網(wǎng)絡(luò)犯罪與電子數(shù)據(jù)司法鑒定的基本理論、基本方法、基本技術(shù)及其在司法實踐中的應(yīng)用情況。為此,實驗內(nèi)容需要精心設(shè)計，要能夠增強學(xué)生對學(xué)習(xí)內(nèi)容的感性認識和實踐動手能力，從而為理論聯(lián)系實際以及運用于實際工作做好基本的技能準備。電子數(shù)據(jù)司法鑒定實驗教學(xué)必須反映具體電子數(shù)據(jù)司法鑒定工作內(nèi)容。目前電子數(shù)據(jù)司法鑒定業(yè)務(wù)具體內(nèi)容包括網(wǎng)站(網(wǎng)頁)內(nèi)容鑒定、郵件鑒定、軟件功能鑒定、軟件(電子設(shè)備)侵權(quán)問題鑒定、信息系統(tǒng)鑒定、文檔文本鑒定 、即時信息(聊天記錄)鑒定等。根據(jù)電子數(shù)據(jù)司法鑒定行業(yè)要求，學(xué)生通過本課程的學(xué)習(xí)，必須掌握以下基本能力:

(1) 各種不同編碼數(shù)據(jù)的分析能力；

(2) 現(xiàn)場勘查與電子數(shù)據(jù)的提取、固定與校驗?zāi)芰Γ?/p>

(3) 各種存儲介質(zhì)數(shù)據(jù)的恢復(fù)能力；

(4) 各類文檔結(jié)構(gòu)及其文檔特征的分析能力；

(5) 用戶行為鑒定能力；

(6) 惡意程序鑒定能力；

(7) 數(shù)據(jù)庫鑒定能力；

(8) 電子文檔與數(shù)據(jù)電文鑒定能力；

(9) 電子數(shù)據(jù)相似性司法鑒定能力；

(10) 手機證據(jù)鑒定能力；

(11) 電子數(shù)據(jù)鑒定報告的書寫能力。

2.2.2 實驗教學(xué)內(nèi)容

結(jié)合電子數(shù)據(jù)司法鑒定行業(yè)及電子數(shù)據(jù)司法鑒定員操作能力要求，實驗教學(xué)內(nèi)容主要包括：

(1) 二進制數(shù)據(jù)分析。在電子設(shè)備中所處理的各種語言文字信息都有編碼，主要有ASCII、Unicode、UTF-8、GB2312級BIG5等。電子數(shù)據(jù)司法鑒定提取、分析與處理的是計算機存儲介質(zhì)中的數(shù)據(jù)，因此，數(shù)據(jù)的機器表示是電子數(shù)據(jù)司法鑒定基礎(chǔ)中的基礎(chǔ)。通過本次實驗，學(xué)生理解字符信息在數(shù)字設(shè)備中的不同應(yīng)用程序里的各種字符編碼、代碼頁，懂得文件系統(tǒng)邏輯結(jié)構(gòu)，了解并掌握低層次的數(shù)據(jù)分析。本次實驗課所需的工具有Windows 造字程序、Debug、UltraEdit 和WinHex等。

(2) 易失性數(shù)據(jù)的收集。易失性數(shù)據(jù)是指系統(tǒng)運行過程在某一時刻的詳細狀態(tài)信息，包括用戶登入列表、登入日期時間、運行進程列表以及網(wǎng)絡(luò)連接列表等信息。因易失性數(shù)據(jù)具有隱蔽性、客觀性、脆弱易逝性等特點，獲取這些證據(jù)的緊急性最高，所以必須最先獲取，以免意外情況造成易失性數(shù)據(jù)的丟失。通過本次實驗，學(xué)生熟悉Windows等系統(tǒng)內(nèi)可獲取易失性數(shù)據(jù)的工具的功能以及使用方法和技巧。本次實驗課所需的工具有PS Tools、cmd.exe、net stat、ipconfig、md5sum、arp等[7]。

(3) 保全備份的制作。根據(jù)規(guī)范要求，鑒定分析工作必須在原始證據(jù)的副本上進行。原始證據(jù)的副本，一般可以分為幾種形式，如鏡像硬盤、證據(jù)文件等。證據(jù)文件是原始證據(jù)的精確副本，它是位對位的復(fù)制。通過本次實驗，學(xué)生理解什么是合法的電子數(shù)據(jù)司法鑒定備份文件，了解選用備份工具的要求，學(xué)會能在只讀環(huán)境下用電子數(shù)據(jù)司法鑒定復(fù)制工具對磁盤數(shù)據(jù)進行備份、查看映像備份文件的內(nèi)容、驗證數(shù)據(jù)完整性(計算hash值)等。本次實驗課所需的工具有Second Copy、File Genie 2000、Ghost、dd、EnCase、取證大師、只讀鎖、硬盤克隆工具DC-8000pro等[8]。

(4) 恢復(fù)已被刪除的數(shù)據(jù)。在對數(shù)字設(shè)備的應(yīng)用過程中，病毒的破壞、黑客的入侵、人為誤操作、人為惡意破壞、系統(tǒng)的不穩(wěn)定、存儲媒介的損壞等原因，都有可能使重要的數(shù)據(jù)丟失。為獲取原始數(shù)字證據(jù)，必要時需要進行數(shù)據(jù)恢復(fù)[9]。通過本次實驗，學(xué)生理解各種操作系統(tǒng)文件系統(tǒng)結(jié)構(gòu)及文件存取原理、各類文檔文件頭信息(特征碼)等，懂得數(shù)據(jù)恢復(fù)的可能性，了解并掌握常用的數(shù)據(jù)恢復(fù)軟件的使用方法和技能。本次實驗課所需的工具有Private Disk、XY-Forensic、Final Data 和Easy Recovery等。

(5) 數(shù)據(jù)的加密與解密。在信息時代，信息可以幫助團體或個人使他們受益，同樣，信息也可以用來對他們構(gòu)成威脅，造成破壞。在競爭激烈的大公司中，工業(yè)間諜經(jīng)常會獲取對方的情報。用戶經(jīng)常需要一種措施來保護自己的數(shù)據(jù)，防止被一些懷有不良用心的人看到或者破壞。因此，在客觀上就需要一種強有力的安全措施來保護機密數(shù)據(jù)不被竊取或篡改。在具體的電子數(shù)據(jù)司法鑒定工作過程中，鑒定人員肯定會遇到各種被加密過的文件，因此在該實驗課中必須安排數(shù)據(jù)加密與解密實驗內(nèi)容。通過本次實驗，使學(xué)生理解數(shù)據(jù)機密的原理，掌握常用的密碼破解技術(shù)，學(xué)會使用加密與解密工具。本次實驗課所需的工具有：FilesCrypter、Cmospwd、AOPR、GetIP、UZPC、CRACK、L0phtCrack5、WinPE啟動光盤、ImageHide等。

(6) 電子證據(jù)分析綜合實驗。電子數(shù)據(jù)司法鑒定工作對所獲得的證據(jù)進行分析，目的是從中找出合法的、有效的電子證據(jù)，以供日后提交證據(jù)之用。通過使用合法的專用工具進行分析，如果電子證據(jù)被發(fā)現(xiàn)時，應(yīng)將每件證據(jù)清晰、準確地記錄下來。進行此次實驗課時，教師必須設(shè)計出具有代表性的案例，要講清楚從案情分析考慮要找什么樣的證據(jù)、此證據(jù)與此案件的關(guān)聯(lián)關(guān)系、采用什么工具及技術(shù)方法、可能犯下的錯誤、注意事項、全程記錄到最終鑒定報告的出具等詳細過程[10]。通過本次實驗，使學(xué)生理解在綜合取證、分析環(huán)境中建立案例和保存證據(jù)鏈，了解并掌握電子數(shù)據(jù)司法鑒定的全過程，包括保護現(xiàn)場、獲取證據(jù)、保存證據(jù)、分析證據(jù)和提交證據(jù)等。本次實驗課所需的工具有FM取證大師、EnCase等。

(7) 手機取證。手機取證就是通過對存在手機內(nèi)存、SIM卡、閃存卡和移動運營商網(wǎng)絡(luò)以及短信服務(wù)提供商系統(tǒng)中的電子證據(jù)提取、保護、分析，最終找出與案件有關(guān)的、法庭可接受的證據(jù)的過程。進行此次實驗課時，教師首先解釋手機信息的類型及其存儲位置、手機取證原則及流程、排除干擾信號的方法等。通過本次實驗，使學(xué)生了解在安全環(huán)境中如何進行手機取證的流程，并熟練掌握使用專用手機取證工具來進行手機取證的技術(shù)方法。本次實驗課所需的工具有DC-4500手機取證套件。

3 結(jié)束語

在信息技術(shù)飛速發(fā)展的今天，對信息的依賴程度越來越高。在不同的案件中的相關(guān)電子證據(jù)獲取也面臨巨大的挑戰(zhàn)，這種現(xiàn)象對電子數(shù)據(jù)司法鑒定技術(shù)提出新的要求，因此要改變傳統(tǒng)的教學(xué)理念，尤其是在實驗教學(xué)上進行改革，而且教師要不斷提高自身的專業(yè)水平和素質(zhì)，加強對學(xué)生技能的有效提高，促進電子數(shù)據(jù)司法鑒定課程實驗教學(xué)質(zhì)量的提高。

[1] 王永全,齊曼.信息犯罪與計算機取證[M].北京：北京大學(xué)出版社,2010:344-350.

[2] 麥永浩.電子數(shù)據(jù)司法鑒定實務(wù)[M].北京：法律出版社,2011：1-15.

[3] 田運生,劉維華,王景春.綜合性設(shè)計性實驗項目建設(shè)的探索與實踐[J].實驗技術(shù)與管理,2012,29(2):126-129.

[4] 丁美榮.虛擬實驗與真實實驗整合的計算機網(wǎng)絡(luò)研究性實驗教學(xué)研究[J].實驗技術(shù)與管理,2011,28(5):163-166.

[5] 馬丁,高云飛，王永全，等.電子數(shù)據(jù)勘查取證與鑒定(系列書)[M].北京:中國人民公安大學(xué),2012:88-96.

[6] 林元乖.創(chuàng)新型計算機網(wǎng)絡(luò)實驗教學(xué)研究[J].實驗技術(shù)與管理,2010,27(12):174-177.

[7] Bill Nelson,Amelia Phillips,Fran Enfinger.計算機取證調(diào)查指南[M].重慶：重慶大學(xué)出版社,2009:218-226.

[8] 麥永浩,隆波,向大為,等.電子數(shù)據(jù)司法鑒定機構(gòu)儀器設(shè)備配置標準研究[J].中國司法鑒定，2012(1):90-92.

[9] 司法部司法鑒定科學(xué)技術(shù)研究所(上海法醫(yī)學(xué)重點實驗室).2012司法鑒定能力驗證鑒定文書評析[M].上海：科學(xué)出版社，2013：492-495.

[10] 霍憲丹，杜志淳，郭華，等.司法鑒定通論[M].北京：法律出版社，2013：318-322.