羅文華　龍立名

（中國(guó)刑事警察學(xué)院　遼寧　沈陽(yáng)　110035）

從“快播涉黃案”看電子數(shù)據(jù)取證關(guān)鍵技術(shù)

羅文華龍立名

（中國(guó)刑事警察學(xué)院遼寧沈陽(yáng)110035）

梳理“快播涉黃案”庭審記錄中體現(xiàn)出的電子數(shù)據(jù)取證技術(shù)，關(guān)注控辯雙方爭(zhēng)議焦點(diǎn)，深刻剖析技術(shù)原理與方法，指明技術(shù)難點(diǎn)解決途徑，闡述技術(shù)熱點(diǎn)及發(fā)展趨勢(shì)，提煉規(guī)則規(guī)范和注意事項(xiàng)，為電子數(shù)據(jù)取證實(shí)踐提供頗具操作性的有益借鑒。

快播庭審電子數(shù)據(jù)取證用戶(hù)行為緩存機(jī)制Hash校驗(yàn)

1　引言

2016年1月7日至8日，“快播涉黃案”在北京市海淀區(qū)人民法院開(kāi)庭審理。公訴人以“傳播淫穢物品牟利罪”起訴深圳市快播科技有限公司及該公司的王欣、吳銘、張克東、牛文舉等人，辯護(hù)人則為被告進(jìn)行無(wú)罪辯護(hù)，雙方爭(zhēng)辯異常激烈。

作為2016年“互聯(lián)網(wǎng)開(kāi)年第一案”，快播案的庭審直播，引發(fā)了輿論極大的關(guān)注，呈現(xiàn)出技術(shù)、司法與輿情民意交織的多元局面。僅從電子數(shù)據(jù)取證角度而言，庭審現(xiàn)場(chǎng)辯方律師所表現(xiàn)出的專(zhuān)業(yè)水平就極大地震撼了像筆者這樣的一線(xiàn)取證人員。傳統(tǒng)印象中，律師一般只會(huì)針對(duì)程序問(wèn)題進(jìn)行質(zhì)疑。而在“快播”庭審中，據(jù)筆者的不完全統(tǒng)計(jì)，爭(zhēng)論的專(zhuān)業(yè)技術(shù)問(wèn)題就包括用戶(hù)行為重現(xiàn)、介質(zhì)特征標(biāo)識(shí)、緩存機(jī)制、Hash校驗(yàn)等一系列取證工作中的難點(diǎn)及熱點(diǎn)。電子數(shù)據(jù)取證在該案中起了至關(guān)重要的作用，直接影響著犯罪嫌疑人的定罪量刑。

2016年9月13日，北京市海淀區(qū)法院對(duì)“快播涉黃案”進(jìn)行公開(kāi)宣判，王欣被判有期徒刑3年6個(gè)月，快播公司被罰款1000萬(wàn)元。在“快播涉黃案”塵埃落定之際，筆者以“快播涉黃案”為抓手，嘗試就電子數(shù)據(jù)取證關(guān)鍵技術(shù)點(diǎn)的內(nèi)涵及外延予以深入剖析，以求為推動(dòng)電子數(shù)據(jù)取證行業(yè)的健康穩(wěn)定發(fā)展盡自己的綿薄之力。

2　從“快播涉黃案”看電子數(shù)據(jù)取證關(guān)鍵技術(shù)

2.1用戶(hù)行為重現(xiàn)

［公訴人］：出示鑒定意見(jiàn)書(shū)兩份。第一份北京信諾司法鑒定所鑒定意見(jiàn)書(shū)一。證明：北京信諾司法鑒定所在治安管理總隊(duì)淫穢物品審驗(yàn)室對(duì)扣押在案的4臺(tái)服務(wù)器進(jìn)行了鑒定，其中1臺(tái)服務(wù)器已經(jīng)損壞無(wú)法開(kāi)啟，其他3臺(tái)服務(wù)器2013年11月18日至2015年12月2日期間沒(méi)有任何QDATA格式的視頻文件拷入服務(wù)器。

［審判長(zhǎng)］：被告人有什么意見(jiàn)？

［王某］：這個(gè)鑒定沒(méi)有技術(shù)依據(jù)，通過(guò)修改系統(tǒng)時(shí)間就很容易實(shí)現(xiàn)［1］。

基于系統(tǒng)文件或用戶(hù)文件屬性及內(nèi)容的分析，重現(xiàn)用戶(hù)行為是電子數(shù)據(jù)取證中的常規(guī)操作環(huán)節(jié)之一。通過(guò)庭審記錄分析得出，北京信諾司法鑒定所依據(jù)文件創(chuàng)建時(shí)間判定特定時(shí)間段內(nèi)是否有文件生成，由于未在服務(wù)器中發(fā)現(xiàn)創(chuàng)建時(shí)間位于2013年11月18日至2015年12月2日區(qū)間內(nèi)的文件，于是便得出了該時(shí)間段內(nèi)“沒(méi)有任何QDATA格式的視頻文件拷入服務(wù)器”的結(jié)論。王某則對(duì)這個(gè)鑒定結(jié)論并不認(rèn)同，認(rèn)為“沒(méi)有技術(shù)依據(jù)”，只需將系統(tǒng)時(shí)間設(shè)置到2013年11月18日之前，之后創(chuàng)建的文件（包括被拷入文件），其創(chuàng)建時(shí)間就會(huì)均早于該特定時(shí)間點(diǎn)，然后再“神不知，鬼不覺(jué)”地重新調(diào)整系統(tǒng)時(shí)間回到正常狀態(tài)。

然而這種做法真能做到“神不知，鬼不覺(jué)”嗎？若想真實(shí)地再現(xiàn)用戶(hù)行為，單一行為點(diǎn)往往缺乏足夠的證明力，需要多行為點(diǎn)的交叉協(xié)作證明。偽造文件創(chuàng)建時(shí)間的關(guān)鍵在于系統(tǒng)時(shí)間的更改。因此，如果能夠進(jìn)一步挖掘出是否存在設(shè)置系統(tǒng)時(shí)間行為，就會(huì)極大地提升鑒定結(jié)論的可信程度。系統(tǒng)時(shí)間設(shè)置歸根結(jié)底是通過(guò)運(yùn)行控制面板中的“日期和時(shí)間”工具實(shí)現(xiàn)的，因此，可以考慮從可執(zhí)行文件運(yùn)行痕跡角度進(jìn)行挖掘。

傳統(tǒng)可執(zhí)行文件運(yùn)行痕跡主要依賴(lài)Prefetch文件夾獲得，然而“日期和時(shí)間”工具的特殊之處在于其運(yùn)行的是WindowsSystem32 imedate.cpl文件，而不是常規(guī)的exe文件。擴(kuò)展名為cpl的文件，其本質(zhì)是Windows可執(zhí)行性文件，但不屬于可以直接獨(dú)立運(yùn)行的文件，通常由shell32.dll打開(kāi)。Prefetch文件夾并不記錄此類(lèi)文件的運(yùn)行痕跡，因此，只能另辟蹊徑。

方法之一就是檢視timedate.cpl文件的訪(fǎng)問(wèn)時(shí)間（如圖1所示）。每次設(shè)置系統(tǒng)時(shí)間，都會(huì)使該文件的訪(fǎng)問(wèn)時(shí)間發(fā)生改變（創(chuàng)建時(shí)間與修改時(shí)間訪(fǎng)問(wèn)保持不變），更新成設(shè)置操作執(zhí)行的時(shí)刻（而非設(shè)置后的時(shí)間）。遺憾的是，Windows 7之后的操作系統(tǒng)在NTFS文件系統(tǒng)環(huán)境下并不自動(dòng)更新訪(fǎng)問(wèn)時(shí)間［2］，依據(jù)訪(fǎng)問(wèn)時(shí)間判斷文件的執(zhí)行不再有效。要將注冊(cè)表項(xiàng)HKLMSYSTEMCurrentControlSetControlFileSystem下的NtfsDisableLastAccessUpdata表鍵被設(shè)置為0后，系統(tǒng)才會(huì)自動(dòng)更新訪(fǎng)問(wèn)時(shí)間［3］。

圖1　系統(tǒng)時(shí)間設(shè)置操作帶來(lái)的timedate.cpl訪(fǎng)問(wèn)時(shí)間變化

注冊(cè)表項(xiàng)HKCUSoftwareMicrosoftWindowsCurre ntVersionExplorerUserAssit也包含有可執(zhí)行文件的運(yùn)行痕跡。與Prefetch文件夾不同的是，該表項(xiàng)不僅描述exe文件，還包括了lnk、cpl等類(lèi)型的文件。圖2顯示的是UserAssit｛75048700-EF1F-11D0-9888-0060 97DEACF9｝Count表項(xiàng)中的信息，由于該表項(xiàng)使用了Rot-13算法進(jìn)行加密，因此，無(wú)法直接讀取。

圖2　UserAssit表項(xiàng)下的可執(zhí)行文件痕跡

使用UserAssitView等工具可對(duì)UserAssit表項(xiàng)信息進(jìn)行解密還原，如圖3所示。其中，Item Name中的“UEME_RUNCPL：timedate.cpl”表示運(yùn)行的是“控制面板”中的“時(shí)間和日期”工具，Modified Time說(shuō)明最后一次設(shè)置時(shí)間是“2016-2-1 10：48：05”，ClassID說(shuō)明來(lái)源類(lèi)型為活動(dòng)桌面。

圖3　解密后的“時(shí)間和日期”工具運(yùn)行信息

但在Windows 7之后的視窗系統(tǒng)中UserAssit表項(xiàng)卻不再存儲(chǔ)系統(tǒng)工具的運(yùn)行痕跡，轉(zhuǎn)而利用事件日志中的“系統(tǒng)日志”進(jìn)行描述（Windows XP之前的版本事件日志默認(rèn)不記錄系統(tǒng)時(shí)間更改）。圖4描述的是系統(tǒng)日期由“2016-02-01”更改為“2016-02-02”這一事件，對(duì)應(yīng)事件ID為“1”，操作用戶(hù)為“Adminis trator”，計(jì)算機(jī)名稱(chēng)為“R-20141004XJOVG”。

圖4　系統(tǒng)日志中的系統(tǒng)時(shí)間更改記錄

2.2介質(zhì)特征標(biāo)識(shí)

［公訴人］：第二份北京信諾司法鑒定所鑒定意見(jiàn)書(shū)二。證明：北京信諾司法鑒定所在治安管理總隊(duì)淫穢物品審驗(yàn)室對(duì)扣押在案的4臺(tái)服務(wù)器進(jìn)行了鑒定，其中1臺(tái)服務(wù)器已經(jīng)損壞無(wú)法開(kāi)啟，經(jīng)鑒定IP地址×××.×××.×××.×××服務(wù)器內(nèi)視頻文件共計(jì)12094個(gè)，2013年11月18日至2015年12月2日期間創(chuàng)建文件10個(gè)，創(chuàng)建qdata文件0個(gè)、×××.×××.×××.×××服務(wù)器內(nèi)視頻文件共計(jì)18353個(gè)，2013年11月18日至2015年12月2日期間創(chuàng)建文件12個(gè)，創(chuàng)建qdata文件0個(gè)、×××.×××.×××.×××服務(wù)器內(nèi)視頻文件共計(jì)18446個(gè)，2013年11月18日至2015年12月2日期間創(chuàng)建文件0個(gè)，創(chuàng)建qdata文件0個(gè)。

［張某辯護(hù)人］：這個(gè)鑒定應(yīng)該做，但是應(yīng)該在公安機(jī)關(guān)調(diào)取服務(wù)器的時(shí)候就應(yīng)該做這個(gè)鑒定，鑒定4臺(tái)服務(wù)器的物理特征，以及視頻文件的特征，然后予以固定封存。

［王某辯護(hù)人］：電腦的IP地址是可以改的。硬盤(pán)是不可能改的。

［張某辯護(hù)人］：電腦的IP地址改起來(lái)是非常方便的［1］。

鑒定意見(jiàn)書(shū)中用IP地址指代服務(wù)器中的磁盤(pán)介質(zhì)可以說(shuō)犯了嚴(yán)重而低級(jí)的錯(cuò)誤。眾所周知，IP地址是Internet Protocol（互聯(lián)網(wǎng)協(xié)議）的縮寫(xiě)，是分配給Internet上計(jì)算機(jī)主機(jī)的編號(hào)。隨著網(wǎng)絡(luò)位置的改變，同一主機(jī)可以擁有不同的IP地址；同一IP地址也可以分配給不同的接入主機(jī)。因此，IP地址并不是介質(zhì)特征刻畫(huà)必需的要素，辯護(hù)律師對(duì)此進(jìn)行質(zhì)疑是有道理的。

現(xiàn)行的主流做法是以硬盤(pán)序列號(hào)作為特征標(biāo)識(shí)。圖5所示為貼于某硬盤(pán)背后的信息內(nèi)容。其中，S/N是英文Serial Number（序列號(hào)）的縮寫(xiě)，代表出廠編號(hào)，為消費(fèi)者售后使用，一般要寫(xiě)進(jìn)鑒定書(shū)或檢驗(yàn)報(bào)告以唯一確定磁盤(pán)介質(zhì)；P/N則為英文 Part Number（部件號(hào)） 的縮寫(xiě)，代表出廠批次，主要為工廠內(nèi)部自己使用。

圖5　硬盤(pán)介質(zhì)貼有的序列號(hào)信息

鑒于硬盤(pán)背后的膠貼有被撕掉更換的可能，可獲取內(nèi)置于介質(zhì)的序列號(hào)信息進(jìn)行進(jìn)一步確認(rèn)。使用DiskGenius（圖6）等磁盤(pán)管理類(lèi)工具除可獲取到磁盤(pán)接口類(lèi)型、序列號(hào)、磁盤(pán)型號(hào)外，柱面數(shù)、磁頭數(shù)、每道扇區(qū)數(shù)、總扇區(qū)數(shù)、總字節(jié)數(shù)、扇區(qū)大小、物理扇區(qū)大小、總?cè)萘康刃畔⒁惨徊⒊尸F(xiàn)，十分有助于后續(xù)取證工作的開(kāi)展。

圖6　使用磁盤(pán)管理類(lèi)工具獲取內(nèi)置的磁盤(pán)序列號(hào)

有資料稱(chēng)系統(tǒng)命令diskpart同樣具備獲取硬盤(pán)序列號(hào)的功能。在命令行窗口，通過(guò)執(zhí)行diskpart命令進(jìn)入控制臺(tái)，之后選擇磁盤(pán)所對(duì)應(yīng)的序號(hào)，再利用detail disk顯示出磁盤(pán)ID，如圖7。但實(shí)驗(yàn)發(fā)現(xiàn)，磁盤(pán)ID并不與S/N對(duì)應(yīng)，而多為P/N或R/N值，因此，在使用該命令描述介質(zhì)特征時(shí)務(wù)必特殊注意。

圖7　使用系統(tǒng)命令獲得硬盤(pán)介質(zhì)序列號(hào)

2.3緩存機(jī)制剖析

［公訴人］：公安機(jī)關(guān)起獲的服務(wù)器中有大量的淫穢視頻，你怎么解釋?zhuān)?/p>

［王某］：這個(gè)服務(wù)器是緩存服務(wù)器，是網(wǎng)民點(diǎn)播網(wǎng)絡(luò)視頻的時(shí)候自動(dòng)緩存的數(shù)據(jù)。這個(gè)在行業(yè)里是通用的做法，是為了提高服務(wù)質(zhì)量，比如讓用戶(hù)觀看時(shí)不卡頓。

……

［王某辯護(hù)人］：這4臺(tái)服務(wù)器的工作原理？

［王某］：是緩存服務(wù)器，在網(wǎng)絡(luò)中是提高服務(wù)質(zhì)量的作用。文件被發(fā)布后，用戶(hù)就可以在他的電腦上點(diǎn)播了，如果出現(xiàn)卡頓的情況，這個(gè)文件就會(huì)存到緩存服務(wù)器中。比如說(shuō)這個(gè)文件有10個(gè)人點(diǎn)播，出現(xiàn)卡頓，我們會(huì)認(rèn)為該視頻有人點(diǎn)播，就會(huì)緩存到服務(wù)器。被緩存的文件也許會(huì)被他人點(diǎn)播，也許不會(huì)被點(diǎn)播。緩存服務(wù)器不是快播的必要系統(tǒng)［1］。

服務(wù)器中緩存視頻的生成機(jī)制對(duì)于案件定性具有至關(guān)重要的意義，因此，控辯雙方多次圍繞這一話(huà)題進(jìn)行交鋒?？觳ッ嫦蛴脩?hù)最主要的產(chǎn)品是QVOD視頻播放器，該播放器的核心技術(shù)為P2P（Peer to Peer），此模式中不設(shè)中心主機(jī)服務(wù)器，每片數(shù)據(jù)都可能來(lái)自不同的用戶(hù)，這種共享下載模式打破了下載服務(wù)提供者與用戶(hù)的邊界，每一個(gè)用戶(hù)既是下載者，又是下載服務(wù)提供者。在用戶(hù)量足夠大的情況下，用戶(hù)之間互相共享的數(shù)據(jù)非常豐富，緩沖速度會(huì)非?？欤踔量梢赃呄逻叢?。因此，原本快播并不需要存放緩存視頻的中心服務(wù)器，但快播為了進(jìn)一步節(jié)省緩沖時(shí)間，縮短用戶(hù)等待過(guò)程，還是增設(shè)了緩存服務(wù)器。而恰恰就是在這4臺(tái)服務(wù)器中發(fā)現(xiàn)了大量的淫穢視頻，由此引發(fā)了諸多爭(zhēng)議。

緩存是信息系統(tǒng)常見(jiàn)的提高自身性能的方法之一。比如，我們最熟悉的用于存放IE瀏覽器緩存內(nèi)容的Temporary Internet Files文件夾。利用此文件夾可以還原用戶(hù)曾經(jīng)的網(wǎng)頁(yè)瀏覽內(nèi)容。此外，Windows XP會(huì)在每個(gè)文件夾中自動(dòng)生成thumbs.db（俗稱(chēng)拇指文件）用于存放文件（夾）縮略圖信息，以縮短縮略圖抽取及展示時(shí)間。圖8所示為使用Thumbnail Database Analysis工具解析出的縮略圖，在原文件被徹底刪除或破壞的情況下可以幫助了解原始內(nèi)容信息。

圖8　基于thumbs.db解析文件縮略圖信息

需要指出的是，Windows 7之后不再于每個(gè)文件夾中設(shè)置 thumbs.db，而是把縮略圖數(shù)據(jù)庫(kù)“thumbcache_xxxx.db”文件集中保存于 Users［user name］AppDataLocalMicrosoftWindowsExplorer中（如圖9），可以使用ThumbCacheViewer等工具進(jìn)行解碼。

圖9　Windows 7之后版本的縮略圖數(shù)據(jù)庫(kù)存放路徑

IconCache.db文件則是Windows出于節(jié)省文件圖標(biāo)抽取時(shí)間而設(shè)置的緩存文件［4］。操作系統(tǒng)將其存放在用戶(hù)文件夾下（圖10），用它保存所有系統(tǒng)圖標(biāo)及用戶(hù)瀏覽或操作過(guò)的文件圖標(biāo)。因此，基于該文件也能夠發(fā)現(xiàn)可執(zhí)行文件的操作痕跡（exe文件一般會(huì)擁有區(qū)別于其他程序的圖標(biāo)）。

圖10　用于緩存文件圖標(biāo)的IconCache.db文件

除了可以緩存內(nèi)容外，還可以緩存配置信息，以進(jìn)一步提升系統(tǒng)性能。比較典型的就是Prefetch文件夾，該文件夾使用擴(kuò)展名為pf的文件存放exe文件運(yùn)行時(shí)的內(nèi)存參數(shù)等信息，以提升對(duì)應(yīng)程序的運(yùn)行速度（圖11）。基于pf文件可解析出程序運(yùn)行的首次時(shí)間、末次時(shí)間、運(yùn)行次數(shù)等信息。

圖11　緩存配置信息的Prefetch文件夾

通過(guò)上述分析可知，如果某文件（夾）負(fù)責(zé)緩存特定類(lèi)型的信息，那么該文件（夾）一定會(huì)隨著特定信息的變化而更新。而公訴人提供的鑒定報(bào)告中提到視頻緩存服務(wù)器“從2013年11月18號(hào)到2015年12月2日期間創(chuàng)建文件0個(gè)，創(chuàng)建qdata文件0個(gè)”，時(shí)間跨度如此之長(zhǎng)卻未有任何新的緩存視頻產(chǎn)生，難怪辯方律師會(huì)認(rèn)為“這個(gè)結(jié)論恰恰說(shuō)明了服務(wù)器有人做過(guò)手腳”。

2.4Hash校驗(yàn)

［公訴人］：下面向法庭出示證明鑒定情況的證據(jù)一組。5.下面向法庭出示北京市公安局淫穢物品審查鑒定書(shū)。一并出示：淫穢視頻清單（Hash碼）。工作說(shuō)明兩份。證明：公安機(jī)關(guān)對(duì)第3次審驗(yàn)結(jié)果進(jìn)行了文件重復(fù)查找工作，經(jīng)查驗(yàn)，本次審驗(yàn)的29841個(gè)視頻文件無(wú)重復(fù)［1］。

公訴人出示的證據(jù)中含有淫穢視頻的清單，并附視頻文件的Hash碼，這樣操作既提供了驗(yàn)證視頻文件完整性的途徑，也可以通過(guò)Hash碼不同判斷視頻文件不重復(fù)（至少視頻內(nèi)容不完全相同）。

CRC32、MD5、SHA1曾經(jīng)是應(yīng)用比較廣泛的3種Hash算法。CRC32由于產(chǎn)生碰撞（散列值相同，但原始輸入不同）的幾率過(guò)大，需要綜合其他算法才能實(shí)現(xiàn)校驗(yàn)?zāi)康?；MD5散列長(zhǎng)度通常是128位，是文件校驗(yàn)應(yīng)用最廣泛的Hash算法。但目前MD5已變得越來(lái)越不安全。圖12所示的1和2兩個(gè)文件大小一致，但內(nèi)容共有6處不同。正常情況下，這兩個(gè)文件的MD5應(yīng)該不會(huì)相同。但由于這6處不同經(jīng)過(guò)了精心的設(shè)計(jì)，這兩個(gè)文件的MD5校驗(yàn)結(jié)果卻相同。

圖12　內(nèi)容不同但MD5散列值相同的兩個(gè)文件

使用Hash計(jì)算工具對(duì)1和2兩個(gè)文件分別依據(jù)MD5、SHA1、CRC32算法計(jì)算散列值，從圖13的計(jì)算結(jié)果可以看出，雖然這兩個(gè)文件的MD5校驗(yàn)結(jié)果一致，但CRC32和SHA1散列值卻并不相同。

圖13　使用Hash計(jì)算工具依據(jù)MD5、SHA1、CRC32計(jì)算散列

目前，已經(jīng)可以在網(wǎng)絡(luò)上免費(fèi)下載或購(gòu)買(mǎi)到智能生成MD5碰撞樣本的工具。圖14所示為采用“前綴構(gòu)造法”生成碰撞樣本的fastcoll工具［5］，該工具能夠以同一個(gè)給定的前綴文件“1”為基礎(chǔ)，在尾部添加不同的附加數(shù)據(jù)，得到兩個(gè)具有相同MD5的樣本“test1”和“test2”。而在2014年出現(xiàn)了可以由不同的前綴構(gòu)造相同MD5樣本的新技術(shù)，MD5已經(jīng)徹底不安全了。因此，建議在取證實(shí)踐中使用更安全的Hash算法（如MD5和SHA1雙校驗(yàn)）實(shí)現(xiàn)文件完整性校驗(yàn)。另外，鑒于光盤(pán)存儲(chǔ)數(shù)據(jù)原理及光驅(qū)設(shè)備的特殊性，未被修改的光盤(pán)也會(huì)產(chǎn)生MD5散列值不一致的情況，因此，對(duì)光盤(pán)中文件做Hash校驗(yàn)。

圖14　MD5碰撞樣本智能生成工具

3　結(jié)束語(yǔ)

可以預(yù)見(jiàn)，“快播涉黃案”的影響一定是積極而深遠(yuǎn)的。具體到電子數(shù)據(jù)取證領(lǐng)域，對(duì)取證人員的業(yè)務(wù)水平也提出了更高的要求。信息技術(shù)的變革深刻影響著電子數(shù)據(jù)取證的發(fā)展，鑒定工作已經(jīng)無(wú)法單純依靠傳統(tǒng)的數(shù)據(jù)搜索及數(shù)據(jù)恢復(fù)完成。像“快播”案件中出現(xiàn)的用戶(hù)操作行為、播放器功能、緩存服務(wù)器，都是近幾年新出現(xiàn)的取證分析對(duì)象。與此同時(shí)，一些曾經(jīng)非常重要的技術(shù)也隨著時(shí)間的推移正逐步淡出歷史舞臺(tái)（如MD5校驗(yàn)）。

以“快播涉黃案”為代表的新型網(wǎng)絡(luò)犯罪案例提醒我們“不進(jìn)則退，慢進(jìn)也退”。只有緊緊把握技術(shù)發(fā)展的脈搏，刻苦鉆研技術(shù)原理與方法，才能擔(dān)得起“電子數(shù)據(jù)取證”這副越來(lái)越重的擔(dān)子。

［1］騰訊科技.快播涉黃案庭審全程文字實(shí)錄［EB/OL］.（2016-01-08）［2016-01-09］.http：//tech.qq.co m/a/20160108/062986.htm.

［2］羅文華.從電子數(shù)據(jù)取證角度看Windows7操作系統(tǒng)新變化［J］.中國(guó)刑警學(xué)院學(xué)報(bào)，2015（4）：34-37.

［3］孫道寧.NTFS文件系統(tǒng)下基于多重時(shí)間信息解析文件操作行為［J］.中國(guó)刑警學(xué)院學(xué)報(bào)，2016（1）：47-49.

［4］段嚴(yán)兵.Windows操作系統(tǒng)環(huán)境下調(diào)查USB設(shè)備使用痕跡方法研究［J］.刑事技術(shù)，2015（2）：138-141.

［5］360白名單分析組.MD5碰撞的演化之路［EB/ OL］.（2016-01-20）［2016-01-09）］.http：//bobao.#/ learning/detail/2577.html.2016.

（責(zé)任編輯：于萍）

TP399

A

2095-7939（2016）03-0045-05

10.3969/j.issn.2095-7939.2016.03.009

2016-09-20

公安部技術(shù)研究計(jì)劃項(xiàng)目（編號(hào)：2015JSYJC04）。

羅文華（1977-），男，遼寧沈陽(yáng)人，中國(guó)刑事警察學(xué)院網(wǎng)絡(luò)犯罪偵查系教授，主要從事電子數(shù)據(jù)取證研究。