戴　芬，劉洪偉，李　璐

（聊城市公安局，聊城252000）

?

電子取證技術(shù)的研究與應(yīng)用

戴芬，劉洪偉，李璐

（聊城市公安局，聊城252000）

摘要：隨著現(xiàn)代信息技術(shù)的快速發(fā)展，電子取證技術(shù)在打擊犯罪活動(dòng)中的作用日益凸顯，從電子證據(jù)特點(diǎn)、電子取證原則和方法入手，通過一具體案例對(duì)電子取證技術(shù)的注意事項(xiàng)以及如何取證進(jìn)行闡述。

關(guān)鍵詞：電子證據(jù)；取證技術(shù)；數(shù)據(jù)恢復(fù)

0　引言

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，計(jì)算機(jī)犯罪也日益威脅著個(gè)人、企業(yè)乃至國家的信息安全。2013年1月1日實(shí)施的《刑訴法》第四十八條，明確將“視聽資料、電子數(shù)據(jù)”作為刑事訴訟證據(jù)的種類之一后，電子證據(jù)的法律地位已得到認(rèn)可。因此在當(dāng)前的信息化社會(huì)環(huán)境下，開展電子證據(jù)的取證技術(shù)研究，對(duì)提高打擊成效、遏制犯罪活動(dòng)的蔓延勢頭具有非常重要的現(xiàn)實(shí)意義。

1　電子取證概述

1.1電子證據(jù)的概述

隨著信息化的發(fā)展，計(jì)算機(jī)和電子文件已成為傳遞信息、記錄事實(shí)的重要載體，一旦涉及計(jì)算機(jī)網(wǎng)絡(luò)的犯罪方法和行為就成為電子證據(jù)。電子證據(jù)是犯罪行為遺留在計(jì)算機(jī)、手機(jī)等各種電子設(shè)備中的客觀反映。

1.2電子證據(jù)的特點(diǎn)

電子證據(jù)與物證、書證等傳統(tǒng)證據(jù)一樣，具備客觀性、關(guān)聯(lián)性、合法性特征，除此之外還具有以下突出特點(diǎn)：

（1）數(shù)字化。電子證據(jù)是以數(shù)字或模擬信號(hào)的形式存儲(chǔ)的，以“0”和“1”表示通過排列組合來表示特定數(shù)值的數(shù)據(jù)，所以記錄方式的數(shù)字化和虛擬性是電子證據(jù)最根本的特點(diǎn)。

（2）多樣化。由亍多媒體技術(shù)的應(yīng)用，使電子證據(jù)綜合了文本、圖形、圖像、動(dòng)畫、音頻及視頻等多種媒體信息，幾乎涵蓋了所有傳統(tǒng)證據(jù)類型。

（3）易破壞性。電子證據(jù)在計(jì)算機(jī)中是用數(shù)字信號(hào)的方式存在，容易被修改、損壞或銷毀，無論是犯罪嫌疑人的有意行為還是無意識(shí)的操作失誤或者病毒感染、硬件故障、突然斷電等原因，都很可能破壞電子證據(jù)的原始狀態(tài)，甚至導(dǎo)致電子證據(jù)永久滅失。

1.3取證原則

（1）證據(jù)現(xiàn)場的勘查保護(hù)。在取證檢查中，保護(hù)目標(biāo)計(jì)算機(jī)系統(tǒng)，避免發(fā)生任何的改變、傷害、數(shù)據(jù)破壞或病毒感染。

（2）證據(jù)的提取和固定。提取和固定電子證據(jù)時(shí)，一個(gè)重要原則就是確保對(duì)目標(biāo)計(jì)算機(jī)中的原始數(shù)據(jù)不產(chǎn)生任何改動(dòng)和破壞，保證電子證據(jù)的真實(shí)性、完整性和安全性。

（3）證據(jù)的分析。對(duì)電子數(shù)據(jù)進(jìn)行分析以查找需要的電子證據(jù)。包括搜索目標(biāo)系統(tǒng)中雖有文件，全部（或盡可能）恢復(fù)發(fā)現(xiàn)的已刪除文件，分析在磁盤的特屬區(qū)中發(fā)現(xiàn)所有相關(guān)數(shù)據(jù)等。

2　電子取證具體方法

2.1取證時(shí)加強(qiáng)對(duì)移動(dòng)存儲(chǔ)介質(zhì)的取證

犯罪分子反偵察意識(shí)越來越強(qiáng)，如電腦裝有無影無蹤等自動(dòng)擦除軟件、TrueCrypt等虛擬容器軟件，使得無法恢復(fù)系統(tǒng)的使用痕跡，計(jì)算機(jī)數(shù)據(jù)的取證也變得越來越困難。但這些軟件基本是對(duì)電腦硬盤進(jìn)行擦除，對(duì)U盤等移動(dòng)存儲(chǔ)介質(zhì)可能會(huì)有遺漏，因此，加強(qiáng)對(duì)計(jì)算機(jī)上曾使用設(shè)備的痕跡分析，能夠在某些方面為取證人員找到新的證據(jù)線索，提供新的獲取電子證據(jù)的方式。

2.2要識(shí)別可疑簽名文件

嫌疑人通過修改存儲(chǔ)介質(zhì)中的文件的擴(kuò)展名來改變文件類型，如將zip、rar等壓縮文檔改為avi、mp3等格式，并將avi等類型的文件和其他真實(shí)的avi類型的文件存放在一起以便于偽裝，或者將其擴(kuò)展名修改為不常用的inf、int等類型的文件。如果對(duì)于avi等視頻類型的文件用視頻播放軟件無法正常打開，則很有可能是修改了簽名的文件，如果對(duì)于擴(kuò)展名為txt的文檔過大，也有可能是修改了簽名的文件。

2.3采用各種手段對(duì)加密文檔進(jìn)行密碼破解

嫌疑人如果使用TrueCrypt加密軟件進(jìn)行文件加密時(shí)，采用兩層或者更多層的加密方式，在加密文件中可能還存有加密文件或者鏡像文件等。我們把隱藏加密文件的外套“普通加密文件”解密出后，真正的受保護(hù)的信息則隱藏在隱藏卷中。這就需要我們采用各種手段來獲取密碼。

（1）如果能從嫌疑人口中獲取密碼將會(huì)提高破解效率，很多情況下，從嫌疑人口中獲取密碼會(huì)受阻，偵查人員還需要查找電子存儲(chǔ)設(shè)備表面、或附近記錄的重要信息，如各種口令、密碼、電話號(hào)碼等；還要認(rèn)真搜查嫌疑人家中存放的涉案電子存儲(chǔ)介質(zhì)、書籍、字條、筆記本、丟掉的打印文件等，查找書寫記錄的密碼串。

（2）一般嫌疑人記不住長長的字符串密碼，常將密碼隱藏在一些txt或word中，而這些txt或者word文檔有可能會(huì)被改變擴(kuò)展名來隱藏起來，這些存放密碼的文檔還可能會(huì)和加密文檔存放在同一個(gè)目錄下，所以重點(diǎn)加強(qiáng)對(duì)word或txt文檔的分析，對(duì)獲取密碼是非常有利的一個(gè)手段；

（3）重點(diǎn)加強(qiáng)對(duì)保存于同一目錄下的可疑簽名文件的分析，也會(huì)給加密文件的解密創(chuàng)造更多的機(jī)會(huì)。

2.4搜索目標(biāo)系統(tǒng)中的所有文件

全部（盡可能）恢復(fù)發(fā)現(xiàn)的已刪除文件，全部（盡可能）對(duì)受損的文件進(jìn)行修復(fù)。

文件刪除后，文件內(nèi)容的存儲(chǔ)空間沒有被重新分配，只是將文件的目錄項(xiàng)和表項(xiàng)作了修改，如果被刪除文件數(shù)據(jù)沒有被新的數(shù)據(jù)所覆蓋，就可以通過重新構(gòu)建文件的目錄項(xiàng)和表項(xiàng)將刪除的文件恢復(fù)過來，如果文件記錄被覆蓋或者有關(guān)文件存儲(chǔ)位置信息無法找到，可以根據(jù)文件類型對(duì)整個(gè)存儲(chǔ)介質(zhì)按簇進(jìn)行搜索來恢復(fù)指定文件類型的數(shù)據(jù)。

2.5計(jì)算機(jī)現(xiàn)場取證

（1）保護(hù)好現(xiàn)場

如果到達(dá)現(xiàn)場時(shí)，邪教組織成員的犯罪行為正在發(fā)生，偵查人員首先要保護(hù)好現(xiàn)場，禁止嫌疑人接觸電子設(shè)備，防止嫌疑人采用隱蔽手段故意破壞證據(jù)，如果電子設(shè)備（包括計(jì)算機(jī)、打印機(jī)等）已經(jīng)打開，不要立即關(guān)閉該電子設(shè)備，如果電子設(shè)備已經(jīng)關(guān)閉，不要打開該電子設(shè)備。

（2）固定易丟失證據(jù)

偵查人員必須意識(shí)到應(yīng)用程序當(dāng)前內(nèi)存中可能保留有重要的證據(jù)。例如打印程序中可能包含有用戶剛打印的信息等，關(guān)閉計(jì)算機(jī)后，這些信息將會(huì)丟失，因此偵查人員必須根據(jù)案件情況謹(jǐn)慎的評(píng)估提取這些信息的必要性。如果嫌疑人正在編輯電子文檔，不要直接保存該電子文檔，必須將該電子文檔另存到偵查人員自帶的存儲(chǔ)媒介，用相機(jī)拍攝計(jì)算機(jī)以及屏幕上顯示的內(nèi)容，同時(shí)記錄拍攝的時(shí)間?？截惿姘鸽娔X中的資料，同時(shí)計(jì)算資料的MD5值；整個(gè)取證過程用錄像機(jī)進(jìn)行錄像。

（3）全面了解案情，綜合運(yùn)用多種手段和技術(shù)，提高偵查能力

取證人員進(jìn)行取證時(shí)，首先要加強(qiáng)同辦案部門的溝通和交流，取證人員要全面了解掌握案情，并參與對(duì)案情有關(guān)的一切證據(jù)的搜查工作，為后期的破解工作奠定基礎(chǔ)；其次要綜合運(yùn)用各種手段和技術(shù)，采用軟件分析和人工分析相結(jié)合的方法，提高偵查取證能力。

3　結(jié)合實(shí)例談取證分析過程

3.1案情分析

2014年5月，某電子數(shù)據(jù)檢驗(yàn)鑒定中心受理了一起電子數(shù)據(jù)鑒定業(yè)務(wù)，簡要案情如下：2014年4月，干警在市場上發(fā)現(xiàn)大量邪教宣傳單，經(jīng)跟蹤調(diào)查，在某市某村村民郭某家中發(fā)現(xiàn)大量關(guān)于邪教的印刷品、制作違法物品的復(fù)印機(jī)等各種器材。同時(shí)，郭某正在運(yùn)行的筆記本電腦屏幕上也顯示有邪教相關(guān)內(nèi)容，由于辦案干警缺乏經(jīng)驗(yàn)，當(dāng)場把電腦關(guān)閉并帶走，導(dǎo)致電腦數(shù)據(jù)無法恢復(fù)。

3.2取證過程方法要點(diǎn)分析

通過取證大師的自動(dòng)取證發(fā)現(xiàn)，在該筆記本硬盤上有邪教特制的操作系統(tǒng)，并且有“TrueCrypt.exe”虛擬容器、“Wywz.ext”無影無蹤等軟件。該硬盤還安裝有軟件“自由門fg742r.exe”和“無界瀏覽U1304.exe”等“翻墻”軟件。通過對(duì)電腦硬盤的深度恢復(fù)和簽名恢復(fù)，在筆記本硬盤上沒有發(fā)現(xiàn)完整文件，有大量關(guān)于邪教的文字的碎片文件；在上網(wǎng)記錄里面，有“明慧網(wǎng)”上網(wǎng)記錄304條。

同時(shí)發(fā)現(xiàn)在硬盤上存在一可疑盤符“F”，但是無法對(duì)盤符內(nèi)容進(jìn)行操作，于是判斷此盤符可能是通過U盤制作的盤符。遂通知辦案干警與取證人員對(duì)家中進(jìn)行搜查，找到該U盤。取證人員對(duì)U盤進(jìn)行深度恢復(fù)和簽名恢復(fù)，發(fā)現(xiàn)大量可疑簽名文件。（文中僅列舉部分典型文件）

其中“Auturn.inf”,“disk.int”,“變形金剛.avi”均為壓縮文件，將其導(dǎo)出，并以壓縮文件格式打開?！耙娮C章節(jié). txt”為“手機(jī)視頻3GP”文件。

“Auturn.zip”壓縮包已經(jīng)損壞，經(jīng)過修復(fù)軟件修復(fù)后，解壓得到一些pdf文檔和壓縮文件，如圖所示：

圖1　Auturn.zip解壓后的文件

“見證章節(jié).txt”,已經(jīng)刪除，通過深度恢復(fù)和簽名恢復(fù)，導(dǎo)出“見證章節(jié).3GP”視頻文件，為涉及邪教組織的“講話錄像”文件。經(jīng)仔細(xì)分析“見證章節(jié).txt”，邏輯大小為194191396字節(jié)，物理大小194215936字節(jié)，一般txt文本文件不可能那么大，于是也可以分析出是可疑簽名文件。

在對(duì)U盤進(jìn)行深度恢復(fù)后，有擴(kuò)展名為doc的文檔無法用Office正常打開，經(jīng)過分析，發(fā)現(xiàn)此文檔文件頭為“00 00 00 00 00 00 00”，可以看出文件頭已經(jīng)被破壞，通過X-way軟件打開該doc文檔，并對(duì)文件頭進(jìn)行修改如下，“D0 CF 11 E0 A1 B1 1A E1”，修復(fù)后的doc文檔為邪教組織宣傳資料。

圖2　修復(fù)后的doc文檔

4　結(jié)語

我國電子取證研究尚處在起步階段，隨著智能手機(jī)、互聯(lián)網(wǎng)的迅速普及，犯罪案件出現(xiàn)網(wǎng)絡(luò)化特點(diǎn)，單一的靜態(tài)取證模式已經(jīng)不能滿足打擊犯罪的實(shí)戰(zhàn)需求，需要將動(dòng)態(tài)取證技術(shù)和靜態(tài)取證技術(shù)相結(jié)合，應(yīng)用到犯罪案件的電子取證過程中，這也是今后研究的重點(diǎn)和難點(diǎn)。

參考文獻(xiàn)：

[1]王金成,左昊.邪教組織犯罪案件偵查的思考[J].吉林公安高等專業(yè)學(xué)校學(xué)報(bào)，2003.

[2]劉建軍.淺談電子證據(jù)在公安工作中發(fā)展的若干對(duì)策.中國人民公安大學(xué).技術(shù)應(yīng)用.

[3]楊永川,蔣平,黃淑華.計(jì)算機(jī)犯罪偵查[M].北京：清華大學(xué)出版社，2007.

[4]文森.電子取證技術(shù)在毒品犯罪案件中的應(yīng)用研究[D].碩士論文蘭州理工大學(xué)，2014.

[5]常艷.偵查與電子技術(shù)取證[M].北京：群眾出版社.中國人民公安大學(xué)出版社，2010:331.

劉洪偉（1980-），男，山東聊城人，碩士，助理工程師，研究方向電子取證工作

李璐（1978-），女，山西靈丘人，本科，助理工程師，研究方向電子取證工作

Research and Application of Electronic Forensic Technology

DAI Fen，LIU Hong-wei，LI Lu
（Liaocheng Municipal Public Security Bureau，Liaocheng 252000）

Abstract：With the rapid development of modern information technology, the role of electronic forensics technology is growing in the crime fighting, therefore, describes considerations of the electronic forensics technology and how to obtain evidence in terms of electronic evidence characteristics, principles and methods through a concrete case.

Keywords：Electronic Evidence; Forensics Technology; Data Recovery

收稿日期：2016-01-12修稿日期：2016-03-19

作者簡介：book=75,ebook=76戴芬（1982-），女，山東菏澤人，碩士，助理工程師，研究方向電子取證工作

文章編號(hào)：1007-1423（2016）10-0072-04

DOI：10.3969/j.issn.1007-1423.2016.10.018