文|夏 榮

環(huán)境犯罪作為一類新型的犯罪，面臨取證難問題。環(huán)境污染案件具有其區(qū)別于一般犯罪的特點，較為突出的表現(xiàn)在有很強的技術性和專業(yè)性，這決定了環(huán)境犯罪偵察取證具有自身獨特的側重點，各地政法機關也為此做了大量卓有成效的工作，例如無錫法檢聯(lián)合發(fā)布了《關于充分發(fā)揮司法職能作用為堅決打好污染防治攻堅戰(zhàn)提供有力保障的意見》,在原環(huán)境保護部統(tǒng)一指揮下，上海、石家莊等地因地制宜，紛紛開展無人機、大氣防控等技術措施，著力破解環(huán)境污染案件發(fā)現(xiàn)晚、取證難的難題。在環(huán)境保護案件的電子數(shù)據(jù)檢驗鑒定取證方面，隨著SSD固態(tài)硬盤被廣泛使用，尤其是具備RAID功能的SSD硬盤，這種固態(tài)硬盤在讀寫速度和可靠性上提高了很多，但正因為這種SSD硬盤支持RAID，導致增加電子數(shù)據(jù)取證難度，不當?shù)牟僮鲿е聰?shù)據(jù)的丟失。

工作背景

在近期一起環(huán)境保護案件中，犯罪嫌疑人使用一款Acer超薄筆記本，內含一個128L3M SSD的SSD固態(tài)硬盤,需要對整個硬盤做鏡像供證據(jù)固定和分析用。在拆卸SSD硬盤后用傳統(tǒng)的轉接口和設備進行硬盤復制時發(fā)現(xiàn)只能識別到一個64G的硬盤。用只讀接口連接取證分析軟件和系統(tǒng)管理查看硬盤分區(qū)信息，系統(tǒng)會報I/O讀錯誤，無法進行完整有效的證據(jù)固定和分析。

背景分析

SSD固態(tài)硬盤種類繁多，但不管SSD采用何種存儲芯片和主控芯片，在電子數(shù)據(jù)取證中我們最關心的是SSD硬盤的物理數(shù)據(jù)接口和通信接口協(xié)議，因為物理數(shù)據(jù)接口決定了SSD硬盤是否能夠物理連接到取證平臺或復制機上，通訊協(xié)議決定了數(shù)據(jù)是否能相互傳輸。目前SSD硬盤主要有以下幾種接口：

SATA接口。該接口是電子數(shù)據(jù)取證中常見的接口，也是傳統(tǒng)的機械硬盤常用的接口。目前最常見SATA接口是SATA3,物理規(guī)范上SATA接口都是一樣。最新的SATA標準是SATA4接口，但還未廣泛使用在硬盤和主板中；

PCI-E接口。PCI-Express是最新的總線和接口標準，它原來的名稱為“3GIO”，是由英特爾在2001年提出的，很明顯英特爾的意思是它代表著下一代I/O接口標準。PCIe屬于高速串行點對點雙通道高帶寬傳輸，所連接的設備分配獨享通道帶寬，不共享總線帶寬，主要支持主動電源管理、錯誤報告、端對端的可靠性傳輸、熱插拔以及服務質量(QOS)等功能。PCIe交由PCI-SIG（PCI特殊興趣組織）認證發(fā)布后才改名為“PCI-Express”，簡稱“PCI-E”；

MINI PCI-E接口。MINI PCI-E 是基于PCI-E總線的接口，MINI PCI 是基于 PCI 總線的接口,兩種接口在電氣性能上不同，外形不同，不可混用，且每種接口都有相對應的元器件，弄錯了是插不上的。MINI PCI-E插槽(52Pin),MINI PCI-E連接器廣泛用筆記本電腦主板,如E-PC、Netbook及無線網(wǎng)卡、固態(tài)硬盤等設備；

MSATA接口。MSATA(MINI-SATA)是迷你版本SATA接口，外形和電子介面與MINI PCI-E完全相同，但電子信號不同，兩者互不兼容。MSATA是SATA協(xié)會(Serial ATA International Organization;SATA-IO)開發(fā)的新的MINI-SATA(MSATA)接口控制器的產(chǎn)品規(guī)范，新的控制器可以讓 SATA技術整合在小尺寸的裝置上。同時MSATA將提供跟SATA接口標準一樣的速度和可靠度，提供小尺寸CE產(chǎn)品(如Notebooks/Netbook)的系統(tǒng)開發(fā)商和制造商更高效能和符合經(jīng)濟效益的儲存方案。

這里要重點提到的就是MSATA接口和mPCIe接口，這2個接口主要用在筆記本電腦的固態(tài)硬盤上，而上述檢材中正是這種接口。MSATA接口與MINI PCI-E接口的外觀相同，并且物理引腳相容，但并不能直接互通使用,這給不少電子數(shù)據(jù)檢驗鑒定人員帶來了疑惑。

MSATA的接口外觀上雖然與MINI PCI-E完全一樣，但是數(shù)據(jù)信號需要連接到SATA控制器，而非PCI-E控制器上，二者因此不能兼容。大多數(shù)主板的此類接口只能使用其中一種功能。要實現(xiàn)一個接口同時兼容MSATA與MINI PCI-E，需要使用PCI-Express/SATA路由芯片來解決。這個芯片本質上就是一個雙向多路復用器.MSATA和MINI PCI-E接口有著相同的外形和類似的引腳分配，CBTL02042通過第43針腳來識別當前插入到插槽中的是MSATA設備還是MINI PCI-E設備，MINI PCI-E設備的第43針被定義為no connect未連接，而MSATA的第43針定義是GND地線。識別設備類型后，路由芯片就能夠將接口導通到對應的通道，從而實現(xiàn)了一個接口兼容MSATA與MINI PCI-E兩種設備的目的。

因此在電子數(shù)據(jù)檢驗鑒定和現(xiàn)場取證中，需要有MSATA與MINI PCI-E接口轉接到SATA硬盤的轉接卡，以便和目前普遍的取證工具中用到的SATA接口兼容。目前市場中也有同時兼容MSATA和MINI PCI-E接口轉接到SATA接口的轉接卡，其原理如上所述。

但是，即使采用同時兼容MSATA和MINI PCI-E接口轉接到SATA接口的轉接卡來復制128L3M SSD的SSD固態(tài)硬盤，也只能識別到其中的64G數(shù)據(jù)。這是因為128L3M SSD SSD等系列固態(tài)硬盤是公司用于提供給ACER系列超薄筆記本電腦的專用硬盤，據(jù)ACER官網(wǎng)介紹，該硬盤有正反兩塊SSD硬盤組成，使用2組MarveⅡ的SATA Ⅲ連接到系統(tǒng)控制器，采用RAID0組成一塊128G的SSD硬盤，連續(xù)寫入速率為600 MB/s的讀取速度，甚至幾乎是1000MB/s。普通的主板和轉接卡只能識別到其中的一組SSD，必須用如ACER的專用主板才能識別到2塊SSD硬盤。

除此之外，只是識別到2組SSD硬盤還不行，即使用專用接口復制出單獨的2組SSD硬盤數(shù)據(jù)鏡像還是訪問不了邏輯數(shù)據(jù)，必須用RAID0重組才能還原出真實的文件系統(tǒng)和文件。

解決方法

通過上述對128L3M等雙主控SSD的研究發(fā)現(xiàn)，我們采用傳統(tǒng)的拆硬盤用復制機等證據(jù)固定的設備來進行完整鏡像是不可行的，而且在拆下SSD硬盤后“據(jù)說”有掉RAID0參數(shù)的可能性。建議針對這種類型的機器和硬盤采用如下方法進行證據(jù)固定：

用免拆機現(xiàn)場證據(jù)固定系統(tǒng)。就是采用如安乾數(shù)碼現(xiàn)場取證系統(tǒng)中的USB啟動盤或光盤啟動該類筆記本電腦，利用筆記本自身的主板接口訪問2組SSD硬盤，并分別做完整鏡像。然后再用RAID0重組系統(tǒng)還原文件系統(tǒng)和文件。

優(yōu)點：不啟動嫌疑機的操作系統(tǒng)，不會改變原始存儲介質的數(shù)據(jù)；缺點：需要對該類機器的BIOS設置熟悉，并且RAID0重組有失敗的風險。

用在線取證系統(tǒng)。就是直接啟動嫌疑機的操作系統(tǒng)，在嫌疑機的操作系統(tǒng)中采用硬盤鏡像工具鏡像整個RAID0硬盤。

優(yōu)點：鏡像出來的硬盤鏡像是真實的文件系統(tǒng)和文件，不需要RAID0重組，操作方便簡單；缺點：在嫌疑機上操作可能會破壞原始證據(jù)，同時需要操作系統(tǒng)的訪問密碼。

在雙主控硬盤轉接卡出現(xiàn)之前，針對如ACER S7等筆記本和128L3M SSD等雙主控硬盤目前不能拆硬盤用復制機等方法進行鏡像，只能利用筆記本自身主板的硬盤接口適配器來進行證據(jù)固定。

良好的生態(tài)環(huán)境，是最公平的公共產(chǎn)品，也是最普惠的民生福祉。各級政法機關加大對生態(tài)環(huán)境違法犯罪活動打擊取證力度，需要多措并舉，在取證的方方面面加強實踐創(chuàng)新、理論創(chuàng)新、技術創(chuàng)新，切實提高環(huán)境保護案件的打擊取證能力，彰顯司法的公信力。