◆付順順

淺談電子數(shù)據(jù)偵查實(shí)驗(yàn)

◆付順順

（安徽公安職業(yè)學(xué)院 安徽 230031）

隨著信息技術(shù)與人們生活結(jié)合愈加緊密，電子數(shù)據(jù)取證成為刑事偵查活動(dòng)中必不可少的工作環(huán)節(jié)。同時(shí)，電子數(shù)據(jù)的無形性、易破壞性等特點(diǎn)為取證帶來很大的挑戰(zhàn)。偵查實(shí)驗(yàn)作為兼具法律性和科學(xué)性的偵查措施，能在一定程度上解決電子數(shù)據(jù)在法庭科學(xué)中應(yīng)用的難題。本文對(duì)電子數(shù)據(jù)偵查實(shí)驗(yàn)基本特點(diǎn)、方法、流程和內(nèi)容等方面進(jìn)行探討，具有重要的司法實(shí)踐意義。

電子數(shù)據(jù)；電子數(shù)據(jù)取證；偵查實(shí)驗(yàn)

2012年3月14日，十一屆全國(guó)人大第五次會(huì)議表決通過了關(guān)于修改《中華人民共和國(guó)刑事訴訟法》的決定。偵查實(shí)驗(yàn)筆錄與電子數(shù)據(jù)正式成為我國(guó)法定證據(jù)類型。隨著犯罪類型向新型化、科技化發(fā)展，兩種證據(jù)類型在當(dāng)前刑事訴訟活動(dòng)中出現(xiàn)的頻率越來越高。

雖然，越來越多能夠證明案件事實(shí)的材料以電子數(shù)據(jù)的形式呈現(xiàn)，但是，從扣押的原始存儲(chǔ)介質(zhì)或提取的電子數(shù)據(jù)中分析得到的與案件相關(guān)的電子數(shù)據(jù)，在某些特定情形中往往不能獨(dú)立的證明某個(gè)具體犯罪行為發(fā)生，因?yàn)樗赡苁且欢纬绦蛟创a、一段利用程序漏洞實(shí)施攻擊的描述等，需要依托特定的軟、硬件和網(wǎng)絡(luò)環(huán)境執(zhí)行以后才能判斷電子數(shù)據(jù)的作用[1]。偵查實(shí)驗(yàn)作為揭示客觀規(guī)律或現(xiàn)象之間因果聯(lián)系及其發(fā)展變化規(guī)律的一項(xiàng)偵查措施，可以在一定程度上彌補(bǔ)電子數(shù)據(jù)作為證據(jù)時(shí)的缺陷。為了更好地將偵查實(shí)驗(yàn)措施與電子數(shù)據(jù)取證結(jié)合在一起，相關(guān)部門積極出臺(tái)了一些規(guī)定。2016年9月9日，最高人民法院、最高人民檢察院、公安部頒布了《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》，其中，第16條規(guī)定：“對(duì)扣押的原始存儲(chǔ)介質(zhì)或者提取的電子數(shù)據(jù)，可以通過恢復(fù)、破解、統(tǒng)計(jì)、關(guān)聯(lián)、比對(duì)等方式進(jìn)行檢查。必要時(shí)，可以進(jìn)行偵查實(shí)驗(yàn)。”2019年1月2日，公安部頒布了《公安機(jī)關(guān)辦理刑事案件電子數(shù)據(jù)取證規(guī)則》（以下簡(jiǎn)稱《規(guī)則》），其中，第五十條、五十一條、五十二條、五十三條和五十四條內(nèi)容涉及偵查實(shí)驗(yàn)在電子數(shù)據(jù)取證的應(yīng)用，從一條增加到現(xiàn)在的五條，可見電子數(shù)據(jù)偵查實(shí)驗(yàn)在刑事案件偵查中的作用正在不斷上升。

1 電子數(shù)據(jù)偵查實(shí)驗(yàn)概述

《刑事訴訟法》第133條第1款規(guī)定：“為了查明案情，在必要的時(shí)候，經(jīng)縣級(jí)以上公安機(jī)關(guān)負(fù)責(zé)人批準(zhǔn)，可以進(jìn)行偵查實(shí)驗(yàn)?！彪娮訑?shù)據(jù)偵查實(shí)驗(yàn)作為偵查實(shí)驗(yàn)措施在電子數(shù)據(jù)取證領(lǐng)域中的具體應(yīng)用，兼具電子數(shù)據(jù)取證和偵查實(shí)驗(yàn)的雙重特性。

1.1 電子數(shù)據(jù)偵查實(shí)驗(yàn)的概念

電子數(shù)據(jù)偵查實(shí)驗(yàn)就是在刑事訴訟活動(dòng)中，偵查人員參照案件的原有條件，還原或者模擬案件發(fā)生時(shí)的軟、硬件和網(wǎng)絡(luò)環(huán)境，采用驗(yàn)證型或設(shè)計(jì)型的演示方法，揭示電子數(shù)據(jù)以及相關(guān)設(shè)備與某些現(xiàn)象之間的因果聯(lián)系及其發(fā)展變化規(guī)律的一項(xiàng)偵查措施[2-4]。

1.2 電子數(shù)據(jù)偵查實(shí)驗(yàn)的特點(diǎn)

電子數(shù)據(jù)偵查實(shí)驗(yàn)作為偵查實(shí)驗(yàn)在電子數(shù)據(jù)取證的領(lǐng)域的具體應(yīng)用，既需要滿足電子數(shù)據(jù)取證的特征也需要滿足偵查實(shí)驗(yàn)的特征，因此，綜合兩方面的考慮，電子數(shù)據(jù)偵查實(shí)驗(yàn)具有以下特點(diǎn)[5]：

（1）階段性。電子數(shù)據(jù)偵查實(shí)驗(yàn)本質(zhì)上是一種偵查行為，通常情況下偵查實(shí)驗(yàn)活動(dòng)在刑事案件的偵查階段進(jìn)行，同時(shí)也不是任何案件，都能隨意適用這一制度來達(dá)到查明案件事實(shí)的目的。所以，一般而言電子數(shù)據(jù)偵查實(shí)驗(yàn)只有在偵查階段實(shí)施，只有例外情況下才可以在審查起訴階段和審判階段進(jìn)行。

（2）針對(duì)性。我國(guó)刑事訴訟法規(guī)定，為了查明案件事實(shí)，必要時(shí)可以進(jìn)行偵查實(shí)驗(yàn)活動(dòng)。也就是說，電子數(shù)據(jù)偵查實(shí)驗(yàn)不同于其他法定偵查措施，僅針某些特殊案件的偵查發(fā)生作用和產(chǎn)生意義。在偵查實(shí)踐過程中，偵查機(jī)關(guān)會(huì)根據(jù)具體案情的需求，有選擇性地決定是否采用偵查實(shí)驗(yàn)這一偵查措施來參與案件的偵破。

（3）驗(yàn)證性。電子數(shù)據(jù)偵查實(shí)驗(yàn)是通過實(shí)驗(yàn)驗(yàn)證在特定條件下電子設(shè)備以及電子數(shù)據(jù)發(fā)生的某種變化是否發(fā)生、是否可能發(fā)生以及如何發(fā)生，即通過實(shí)驗(yàn)驗(yàn)證事實(shí)與排除犯罪。

（4）模擬性。電子數(shù)據(jù)偵查實(shí)驗(yàn)采取模擬的方法，通過獲取的案發(fā)過程中已知事實(shí)，模擬相關(guān)技術(shù)或者網(wǎng)絡(luò)行為對(duì)電子設(shè)備中電子數(shù)據(jù)的影響，最大限度地還原未知的案件事實(shí)，探究某些因素之間的因果關(guān)系。由于是通過模擬的方式進(jìn)行的，因此模擬與還原的準(zhǔn)確度越高，偵查實(shí)驗(yàn)的結(jié)論越具有說服力。

（5）專業(yè)性。由于當(dāng)前技術(shù)發(fā)展迅速，電子設(shè)備更新?lián)Q代極快。電子數(shù)據(jù)偵查實(shí)驗(yàn)作為一項(xiàng)在電子數(shù)據(jù)領(lǐng)域的偵查措施，在模擬案件情況時(shí)，會(huì)涉及大量的新技術(shù)、新手段以及刑事偵查知識(shí)。因此，電子數(shù)據(jù)偵查實(shí)驗(yàn)不僅要求主持偵查實(shí)驗(yàn)的偵查人員具有專業(yè)的知識(shí)背景，同時(shí)還要求整個(gè)實(shí)驗(yàn)過程的專業(yè)性。當(dāng)然，在整個(gè)過程中，遇到偵查機(jī)關(guān)內(nèi)部人員無法解決技術(shù)問題時(shí)，還可以聘請(qǐng)相關(guān)專家參加實(shí)驗(yàn)。

1.3 相關(guān)技術(shù)

1.3.1虛擬機(jī)技術(shù)

虛擬機(jī)利用虛擬化技術(shù)，將虛擬機(jī)中間層添加到宿主計(jì)算機(jī)系統(tǒng)與虛擬機(jī)系統(tǒng)之間，模擬實(shí)現(xiàn)處理器，內(nèi)存管理單元，輸入輸出系統(tǒng)等計(jì)算機(jī)必備系統(tǒng)。對(duì)于用戶，不需要增加硬件，就可以虛擬出一臺(tái)功能完善的計(jì)算機(jī)，從應(yīng)用程序的角度看，應(yīng)用程序都在某一特定的指令體系或者操作系統(tǒng)上運(yùn)行，根本感知不到是運(yùn)行在虛擬機(jī)上還是一天實(shí)體計(jì)算機(jī)上[6]。目前主流的虛擬機(jī)技術(shù)廠商有VMware，hyper-v、VirtualBox等。

1.3.2信息安全技術(shù)

人們的安全意識(shí)在不斷提高，電子設(shè)備以及電子數(shù)據(jù)都會(huì)有一定的安全措施在進(jìn)行防護(hù)。所以說，在進(jìn)行電子數(shù)據(jù)偵查實(shí)驗(yàn)時(shí)，不僅會(huì)涉及一些安全防范技術(shù)的使用，同時(shí)也會(huì)涉及入侵技術(shù)的使用[7]。具體可以進(jìn)行如下分類：

安全防范技術(shù)：入侵檢測(cè)技術(shù)、防病毒技術(shù)、防火墻、審計(jì)系統(tǒng)、漏洞掃描技術(shù)、加密技術(shù)、身份鑒定和認(rèn)證技術(shù)、沙箱技術(shù)、蜜罐技術(shù)等。

入侵技術(shù)：惡意代碼、SQL注入（http頭注入，cookie注入，get注入，post注入，布爾型-level盲注，繞waf防火墻注入）、暴庫(kù)、目錄遍歷、社會(huì)工程學(xué)、xss跨站腳本攻擊、基于各種框架的遠(yuǎn)程命令執(zhí)行漏洞、信息泄露、csrf漏洞、支付漏洞、邏輯漏洞等。

1.3.3數(shù)據(jù)獲取技術(shù)

電子數(shù)據(jù)偵查實(shí)驗(yàn)作為模擬電子數(shù)據(jù)相關(guān)情形的實(shí)驗(yàn)，需要收集大量的數(shù)據(jù)且需要不斷更新，比如，Web服務(wù)器上無時(shí)無刻不在產(chǎn)生的事件響應(yīng)記錄，以及操作系統(tǒng)中不斷變化的信息。通常來說，需要獲取的數(shù)據(jù)包括但不限于以下內(nèi)容：操作系統(tǒng)內(nèi)存信息；進(jìn)程信息；系統(tǒng)日志；入侵檢測(cè)系統(tǒng)、防火墻、反病毒軟件日志；系統(tǒng)的審計(jì)記錄；網(wǎng)絡(luò)監(jiān)控流量；操作系統(tǒng)和數(shù)據(jù)庫(kù)的臨時(shí)文件或隱藏文件；數(shù)據(jù)庫(kù)的操作記錄；硬盤驅(qū)動(dòng)的交換分區(qū)、slack區(qū)和空閑區(qū)；軟件設(shè)置等等。

1.3.4數(shù)據(jù)分析技術(shù)

電子數(shù)據(jù)偵查實(shí)驗(yàn)的關(guān)鍵是如何從收集到的海量數(shù)據(jù)中挖掘出有效信息。根據(jù)數(shù)據(jù)分析可以確定犯罪實(shí)施的過程，包括對(duì)電子設(shè)備以及電子數(shù)據(jù)的訪問時(shí)間、訪問方式；對(duì)電子數(shù)據(jù)的修改、增加、刪除等。電子數(shù)據(jù)偵查實(shí)驗(yàn)是事前就進(jìn)行實(shí)時(shí)數(shù)據(jù)獲取，即使是犯罪嫌疑人對(duì)原始數(shù)據(jù)進(jìn)行更改、刪除，通過對(duì)實(shí)驗(yàn)得到的數(shù)據(jù)進(jìn)行分析也可以認(rèn)定案件事實(shí)。具體包括關(guān)聯(lián)分析、模式匹配等技術(shù)。

1.3.5保全技術(shù)

在得到相關(guān)實(shí)驗(yàn)結(jié)果后，就要對(duì)結(jié)果進(jìn)行保全，以防止內(nèi)部或外部非法人員的篡改和刪除?？梢圆捎脭?shù)字簽名技術(shù)，通過消息摘要、數(shù)字簽名和時(shí)間戳結(jié)果的真實(shí)性加以確認(rèn)。

2 電子數(shù)據(jù)偵查實(shí)驗(yàn)流程

程序法定作為刑事訴訟法的“帝王原則”，是現(xiàn)代訴訟法的基礎(chǔ)?？梢哉f，“沒有程序（法）即無實(shí)體（法）?！币虼?，在進(jìn)行電子數(shù)據(jù)偵查實(shí)驗(yàn)的過程中必須遵守憲法和法律的規(guī)定，嚴(yán)格按照法定的條件和程序，不得違背法定程序，做到有計(jì)劃、按步驟、有組織地開展實(shí)驗(yàn)。電子數(shù)據(jù)偵查實(shí)驗(yàn)的流程分為啟動(dòng)、實(shí)施、結(jié)果固定三個(gè)階段[8]。

2.1 電子數(shù)據(jù)偵查實(shí)驗(yàn)的啟動(dòng)

2.1.1審批

電子數(shù)據(jù)偵查實(shí)驗(yàn)作為偵查實(shí)驗(yàn)在電子數(shù)據(jù)取證領(lǐng)域的具體應(yīng)用，該項(xiàng)活動(dòng)的審批主體當(dāng)然的要符合一般偵查實(shí)驗(yàn)的要求。公安機(jī)關(guān)依據(jù)我國(guó)《刑事訴訟法》和《公安機(jī)關(guān)辦理刑事案件程序規(guī)定》等，制定的《規(guī)則》中明確規(guī)定縣級(jí)以上公安機(jī)關(guān)負(fù)責(zé)人是電子數(shù)據(jù)偵查實(shí)驗(yàn)的批準(zhǔn)主體。當(dāng)然，最高人民檢察院通過《人民檢察院刑事訴訟規(guī)則》賦予了檢察機(jī)關(guān)偵查實(shí)驗(yàn)權(quán)，根據(jù)實(shí)際需要縣級(jí)公安機(jī)關(guān)負(fù)責(zé)人和檢察院檢察長(zhǎng)可以作為該項(xiàng)偵查活動(dòng)的審批主體。因此，偵查人員應(yīng)按照相關(guān)法律文書格式，制作呈請(qǐng)報(bào)告書，交由相關(guān)批準(zhǔn)主體進(jìn)行該項(xiàng)活動(dòng)的審批。

2.1.2準(zhǔn)備

電子數(shù)據(jù)偵查實(shí)驗(yàn)作為一項(xiàng)十分復(fù)雜的偵查活動(dòng)，需要在實(shí)驗(yàn)正式實(shí)施前，切實(shí)做好此次實(shí)驗(yàn)的相關(guān)準(zhǔn)備工作，這樣才能保證實(shí)驗(yàn)的順利進(jìn)行，取得符合客觀真實(shí)情況的實(shí)驗(yàn)結(jié)果，達(dá)到實(shí)驗(yàn)預(yù)期目的。具體包括以下幾個(gè)部分：確定此次實(shí)驗(yàn)的目的，開展實(shí)驗(yàn)的時(shí)間、地點(diǎn)，相應(yīng)的電子設(shè)備、數(shù)據(jù)以及其他實(shí)驗(yàn)物品，實(shí)驗(yàn)參加人員以及分工，需要模擬的場(chǎng)景，實(shí)驗(yàn)的內(nèi)容、順序、方法，實(shí)驗(yàn)的警戒工作以及其他注意事項(xiàng)。

2.2 電子數(shù)據(jù)偵查實(shí)驗(yàn)的實(shí)施

實(shí)施是整個(gè)實(shí)驗(yàn)過程的關(guān)鍵環(huán)節(jié)，是實(shí)驗(yàn)結(jié)果得以固定并用于刑事訴訟的重要保障。參考一般偵查實(shí)驗(yàn)的實(shí)施安排，電子數(shù)據(jù)偵查實(shí)驗(yàn)中的實(shí)施分為以下幾個(gè)部分：

（1）相關(guān)實(shí)驗(yàn)設(shè)施的安裝調(diào)試，建立實(shí)驗(yàn)環(huán)境。注意檢查電子設(shè)備以及軟件的穩(wěn)定性和安全性，以保證偵查實(shí)驗(yàn)的質(zhì)量、實(shí)驗(yàn)結(jié)果可靠。

具體包括：安裝實(shí)驗(yàn)所需的虛擬機(jī)、程序運(yùn)行環(huán)境；配置實(shí)驗(yàn)所需的網(wǎng)絡(luò)環(huán)境，如局域網(wǎng)配置、端口設(shè)置、VPN設(shè)置等；部署需要驗(yàn)證的偵查實(shí)驗(yàn)的主體，如被入侵的網(wǎng)站、被破解的軟件系統(tǒng)等；安裝取證工具，如流量監(jiān)控軟件、抓包工具、內(nèi)存數(shù)據(jù)dump工具等相關(guān)取證軟件。

（2）對(duì)具備保全條件的檢材及樣本進(jìn)行備份保全、編號(hào)。由于電子數(shù)據(jù)具有易破壞性，在實(shí)驗(yàn)過程中，一些操作可能會(huì)修改電子數(shù)據(jù)的內(nèi)容。因此，需要對(duì)相應(yīng)的檢材及樣本進(jìn)行保全。

（3）進(jìn)行調(diào)試性實(shí)驗(yàn)。對(duì)實(shí)驗(yàn)的條件、設(shè)備等進(jìn)行實(shí)踐性檢驗(yàn)，通過調(diào)試有助于偵查人員對(duì)實(shí)驗(yàn)設(shè)計(jì)進(jìn)行某些修正和補(bǔ)充，充分估計(jì)完成實(shí)驗(yàn)的復(fù)雜程度和干擾因素，以便采取相應(yīng)的措施，保證實(shí)驗(yàn)的順利進(jìn)行。

（4）實(shí)驗(yàn)操作與數(shù)據(jù)采集。符合案件事實(shí)的操作是保證實(shí)驗(yàn)結(jié)果可靠的重要因素，整個(gè)操作應(yīng)該嚴(yán)格按照實(shí)驗(yàn)方案執(zhí)行。同時(shí)，偵查實(shí)驗(yàn)結(jié)果是實(shí)驗(yàn)條件相互作用產(chǎn)生的，是一個(gè)動(dòng)態(tài)的過程，待證信息可能出現(xiàn)在過程中的一瞬間，也可能產(chǎn)生于一次完整的實(shí)驗(yàn)最終階段需要在實(shí)驗(yàn)剛一開始就做好錄音錄像工作。綜上，在這個(gè)過程中具體做法包括以下幾點(diǎn)：系統(tǒng)與網(wǎng)絡(luò)監(jiān)控，進(jìn)程監(jiān)控，排除混淆因素，記錄樣本的執(zhí)行狀況。

（5）設(shè)置相關(guān)配置，重新執(zhí)行。根據(jù)《規(guī)則》中第五十二條的規(guī)定，有條件的，電子數(shù)據(jù)偵查實(shí)驗(yàn)應(yīng)當(dāng)進(jìn)行二次以上。

（6）分析評(píng)估實(shí)驗(yàn)結(jié)果。實(shí)驗(yàn)結(jié)果是消除案（事）件中不確定信息的重要參照源，對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行評(píng)估，是整個(gè)實(shí)驗(yàn)的必經(jīng)環(huán)節(jié)。一要檢查實(shí)驗(yàn)的組織實(shí)施是否正確。實(shí)驗(yàn)的基本條件是否與被檢事實(shí)和現(xiàn)象發(fā)生時(shí)的條件相符合；進(jìn)行了幾次實(shí)驗(yàn)等。二要檢查實(shí)驗(yàn)是否嚴(yán)格按照規(guī)則進(jìn)行，參加實(shí)驗(yàn)的人是否有具備完成其實(shí)驗(yàn)任務(wù)的基本素質(zhì)；有無因相關(guān)設(shè)備或者軟件品質(zhì)問題影響實(shí)驗(yàn)結(jié)果正確性的現(xiàn)象等。三要注意實(shí)驗(yàn)結(jié)果是否具有充分的實(shí)驗(yàn)事實(shí)依據(jù)。

2.3 電子數(shù)據(jù)偵查實(shí)驗(yàn)結(jié)果的固定

偵查實(shí)驗(yàn)筆錄是一種既能證實(shí)犯罪又能排除嫌疑的重要證據(jù)，在偵查破案和刑事訴訟中都具有重要意義和作用。因此，實(shí)驗(yàn)過程中需做好記錄，而且應(yīng)涵蓋整個(gè)實(shí)驗(yàn)過程，包括：開始的日期和時(shí)間、主持人、偵查員、見證人、實(shí)驗(yàn)?zāi)康?、原始檢材及樣本的完整性狀況、保全備份處理情況、電子設(shè)備以及軟件、網(wǎng)絡(luò)狀態(tài)等環(huán)境信息、樣本的執(zhí)行狀況和實(shí)驗(yàn)結(jié)論。

3 電子數(shù)據(jù)偵查實(shí)驗(yàn)內(nèi)容

根據(jù)《規(guī)則》第50條規(guī)定，將電子數(shù)據(jù)偵查實(shí)驗(yàn)分為四類，下文將對(duì)這幾種情形詳細(xì)論述。

3.1 驗(yàn)證一定條件下電子設(shè)備發(fā)生的某種異?；蛘唠娮訑?shù)據(jù)發(fā)生的某種變化

通常來說電子設(shè)備采用二進(jìn)制編碼，雖然，當(dāng)前的電子設(shè)備能保證在符合正常操作情況下的持續(xù)穩(wěn)定運(yùn)行，但是，只要有一點(diǎn)偏差，就會(huì)產(chǎn)生信息錯(cuò)誤，導(dǎo)致設(shè)備異常，比如死機(jī)、關(guān)機(jī)、復(fù)位等。同理，電子數(shù)據(jù)的底層也是二進(jìn)制編碼，當(dāng)這些編碼發(fā)生改變的時(shí)候，電子數(shù)據(jù)也會(huì)發(fā)生改變。電子數(shù)據(jù)偵查實(shí)驗(yàn)就是通過實(shí)驗(yàn)的方式探究當(dāng)根據(jù)案發(fā)現(xiàn)場(chǎng)的條件發(fā)生，對(duì)某部分二進(jìn)制編碼進(jìn)行干擾，查看電子設(shè)備的異常或者電子數(shù)據(jù)的改變情況。通常這種干擾來自入侵行為，比如入侵者通過使用惡意代碼對(duì)電子設(shè)備的某些參數(shù)配置進(jìn)行修改，這種惡意操作就可能導(dǎo)致電子設(shè)備的異常。所以，在此種類型下，需要驗(yàn)證的就是惡意操作導(dǎo)致電子設(shè)備和電子數(shù)據(jù)穩(wěn)定運(yùn)轉(zhuǎn)的環(huán)境被破壞后會(huì)發(fā)生的異?；蛘咦兓?，具體的可以是：修改系統(tǒng)配置修改或者刪除某些注冊(cè)表和系統(tǒng)文件、關(guān)掉某些系統(tǒng)進(jìn)程、卸載某些設(shè)備驅(qū)動(dòng)、更改網(wǎng)絡(luò)配置等，查看電子設(shè)備與電子數(shù)據(jù)的狀態(tài)；格式化硬盤、改寫文件分配表和目錄區(qū)、覆蓋文件、占據(jù)磁盤引導(dǎo)扇區(qū)等情況下，查看電子設(shè)備與電子數(shù)據(jù)的狀態(tài)。

3.2 驗(yàn)證在一定時(shí)間內(nèi)能否完成對(duì)電子數(shù)據(jù)的某種操作行為

由于電子數(shù)據(jù)具有無形性、易破壞、易傳播、易復(fù)制等特點(diǎn)，導(dǎo)致電子數(shù)據(jù)的操作行為在某些情況下容易發(fā)生且難以被發(fā)現(xiàn)。因此，需要在驗(yàn)證一定時(shí)間內(nèi)能否完成對(duì)電子數(shù)據(jù)的操作行為。本文從以下兩種情況下討論。

3.2.1針對(duì)單機(jī)環(huán)境下的電子數(shù)據(jù)操作

在單機(jī)環(huán)境下，涉及的電子數(shù)據(jù)操作行為可以分為查看、復(fù)制、增加、刪除、修改等。

（1）查看。當(dāng)前單機(jī)系統(tǒng)中的電子數(shù)據(jù)規(guī)模在不斷增大，在特定時(shí)間內(nèi)檢索出感興趣的內(nèi)容也是對(duì)操作人員的能力的考驗(yàn)，而且，隨著人們的安全意識(shí)的提高，很多人在存儲(chǔ)機(jī)密信息時(shí)，會(huì)采用一些技術(shù)保護(hù)內(nèi)容不被未授權(quán)的查看，比如文檔加密等，這種情況下查看電子數(shù)據(jù)，通常會(huì)涉及密碼破解技術(shù)，一般來說在未通過社會(huì)工程學(xué)的方法掌握充足信息的時(shí)候進(jìn)行密碼破解需要花費(fèi)及其長(zhǎng)的時(shí)間。因此，需要驗(yàn)證能否在一定時(shí)間內(nèi)查看到某些電子數(shù)據(jù)。

（2）復(fù)制。雖然易復(fù)制性是電子數(shù)據(jù)的突出特點(diǎn)，但是，受限于存儲(chǔ)介質(zhì)存儲(chǔ)速度以及當(dāng)前電子數(shù)據(jù)的體量，在缺乏專業(yè)設(shè)備時(shí)，如硬盤復(fù)制機(jī)，想要復(fù)制大規(guī)模的電子數(shù)據(jù)同樣需要花費(fèi)很長(zhǎng)時(shí)間。因此，需要驗(yàn)證能否在一定時(shí)間內(nèi)復(fù)制完成某些電子數(shù)據(jù)。

（3）增加。增加分可以分為新建文件和在原有文件中追加內(nèi)容。首先，在新建文件這種情況下，需要結(jié)合新增電子數(shù)據(jù)文件的內(nèi)容完整度來判斷單位時(shí)間內(nèi)能否。其次，在原有文件中追加內(nèi)容，此時(shí)就不僅需要驗(yàn)證在一定時(shí)間內(nèi)能否找到特定的文件，而且需要驗(yàn)證能否完成增加的操作。

（4）刪除。刪除電子數(shù)據(jù)時(shí)，在檢索到相應(yīng)的電子數(shù)據(jù)文件，才能刪除。因此，不僅需要驗(yàn)證在一定時(shí)間內(nèi)能否找到特定的文件，而且需要驗(yàn)證能否完成刪除的操作。

（5）修改。修改電子數(shù)據(jù)的操作行為，需要能查看到已有的電子數(shù)據(jù)后，才可能對(duì)電子數(shù)據(jù)部分或全部?jī)?nèi)容進(jìn)行修改操作。因此，不僅需要驗(yàn)證在一定時(shí)間內(nèi)能否找到特定的文件并且打開，而且需要驗(yàn)證能否完成修改的操作。

3.2.2針對(duì)網(wǎng)絡(luò)環(huán)境下的電子數(shù)據(jù)操作

網(wǎng)絡(luò)環(huán)境下的電子數(shù)據(jù)可以分為兩類，一類是存儲(chǔ)于服務(wù)器中的靜態(tài)數(shù)據(jù)，另一類是在網(wǎng)絡(luò)傳輸?shù)膭?dòng)態(tài)數(shù)據(jù)。針對(duì)存儲(chǔ)于服務(wù)器中的靜態(tài)數(shù)據(jù)的操作行為，在通過網(wǎng)絡(luò)滲透拿到服務(wù)器的相應(yīng)權(quán)限以后，幾乎等同于在單機(jī)環(huán)境中的操作，在此不過多贅述。針對(duì)在網(wǎng)絡(luò)傳輸?shù)膭?dòng)態(tài)數(shù)據(jù)的操作行為，即在客戶端與服務(wù)器端進(jìn)行數(shù)據(jù)交互過程中的實(shí)時(shí)操作，這種操作需要進(jìn)行網(wǎng)絡(luò)流量劫持，通常在實(shí)現(xiàn)這種功能之后可以對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行IP數(shù)據(jù)報(bào)文中的某些字段進(jìn)行增加、修改、刪除等操作，當(dāng)然由于網(wǎng)絡(luò)傳輸數(shù)據(jù)的動(dòng)態(tài)特性，需要驗(yàn)證在還原案件相關(guān)條件下，嫌疑人是否有能力及時(shí)完成這種字節(jié)流級(jí)的操作。

3.3 驗(yàn)證在某種條件下使用特定軟件、硬件能否完成某種特定行為、造成特定后果

隨著網(wǎng)絡(luò)黑產(chǎn)的規(guī)模不斷擴(kuò)大，當(dāng)前網(wǎng)民獲得黑客工具極其便利，只需利用網(wǎng)上提供的工具，就可以輕易實(shí)施分布式拒絕服務(wù)攻擊、釣魚網(wǎng)站誘騙等攻擊行為。所以，電子數(shù)據(jù)偵查實(shí)驗(yàn)其中一項(xiàng)重要內(nèi)容就是驗(yàn)證在還原案件發(fā)生時(shí)被攻擊方的所有安全措施情況下，嫌疑人使用的軟件或者硬件能否造成某些后果。具體的可以包括：驗(yàn)證能否在未授權(quán)的情況下訪問或破壞系統(tǒng)、控制計(jì)算機(jī)信息系統(tǒng)、破壞系統(tǒng)功能、加密電子數(shù)據(jù)、解密電子數(shù)據(jù)。

3.4 確定一定條件下某種計(jì)算機(jī)信息系統(tǒng)應(yīng)用或者網(wǎng)絡(luò)行為能否修改、刪除特定的電子數(shù)據(jù)

在這個(gè)數(shù)據(jù)就是財(cái)富的時(shí)代，通常情況下的網(wǎng)絡(luò)惡意行為是為了破壞或得到某些電子數(shù)據(jù)，如2018年的華住集團(tuán)數(shù)據(jù)竊取案。所以，電子數(shù)據(jù)偵查實(shí)驗(yàn)需要驗(yàn)證在還原目標(biāo)系統(tǒng)被入侵狀態(tài)下，模擬嫌疑人的網(wǎng)絡(luò)行為或者使用的特定系統(tǒng)，是否可以對(duì)電子數(shù)據(jù)進(jìn)行刪除或者修改的操作。具體的可以包括：驗(yàn)證能否刪除、修改入侵之后的痕跡信息，比如程序日志、安全日志、系統(tǒng)日志、DNS服務(wù)器日志、FTP日志、WWW日志等等；驗(yàn)證能否與特定應(yīng)用的數(shù)據(jù)庫(kù)進(jìn)行連接，并刪除、修改相應(yīng)的數(shù)據(jù)。

4 結(jié)語

電子數(shù)據(jù)偵查實(shí)驗(yàn)作為偵查實(shí)驗(yàn)的特定應(yīng)用領(lǐng)域，在未來刑事案件偵查過程的作用會(huì)越來越重要。本文基于結(jié)合有關(guān)法律規(guī)定，探討了電子數(shù)據(jù)偵查實(shí)驗(yàn)的特點(diǎn)、程序、相關(guān)技術(shù)、以及主要內(nèi)容，具有重要的司法實(shí)踐意義。新技術(shù)的不斷發(fā)展，必然會(huì)影響電子數(shù)據(jù)偵查實(shí)驗(yàn)。因此，下一步將探討如何將這些理論技術(shù)應(yīng)用于電子數(shù)據(jù)偵查實(shí)驗(yàn)。

[1]鄒繼蕓，高敔恒.網(wǎng)絡(luò)犯罪中偵查實(shí)驗(yàn)方法的探討[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（4）.

[2]王清琪.論偵查實(shí)驗(yàn)制度[D].湖南師范大學(xué)，2018.

[3]周加海，喻海松.《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》的理解與適用[J].人民司法（應(yīng)用），2017（28）：31-38.

[4]李浩.偵查實(shí)驗(yàn)制度研究[D].上海大學(xué)，2015.

[5]蒲泓全，郭艷芬，衛(wèi)邦國(guó).電子取證應(yīng)用研究綜述[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2019，28（01）：10-16.

[6]劉浩陽(yáng).電子數(shù)據(jù)取證[M].清華大學(xué)出版社，2015.

[7]張志華.基于滲透測(cè)試的網(wǎng)絡(luò)安全漏洞實(shí)時(shí)偵測(cè)技術(shù)[J]. 科學(xué)技術(shù)與工程，2018，18（20）：302-307.

[8]程霄飛.偵查實(shí)驗(yàn)批準(zhǔn)程序初探[J].山西省政法管理干部學(xué)院學(xué)報(bào)，2016，29（2）.

安徽公安職業(yè)學(xué)院校內(nèi)重點(diǎn)項(xiàng)目（XN2018ZDB63）。