电子数据鉴定

2025-01-16 10:00

有关电子数据鉴定

电子数据司法鉴定是一种提取、保全、检验分析电子数据证据的专门措施。也是一种审查和判断电子数据证据的专门措施。它主要包括电子数据证据内容一致性的认定、对各类电子设备或存储介质所存储数据内容的认定、对各类电子设备或存储介质已删除数据内容的认定、加密文件数据内容的认定、计算机程序功能或系统状况的认定、电子数据证据的真伪及形成过程的认定等。

步骤

电子证据的取证涉及对电子证据的保存、识别、提取、归档和解释，以作为证据或作为动机分析的依据。电子证据取证工作需要遵循一种明确的、严格定义的方法和程序，对于非同一般的事件又需要灵活机动的处理，不可墨守成规。

电子证据取证和其他类型传统证据的调查取证工作有所不同。传统的暴力案件现场需要拍照，搜寻证据、供比对的样本，并且需要控制样本以便和证物对照。电子证据的调查工作当中也存在类似的工作。但许多时候，调查人员需要对整个系统

取证的步骤是相对固定的，一定时期内不会随着计算机技术的量变而改变，除非计算机技术产生了质变。取证步骤可以概括为：

①在不对原有的证物进行任何损坏或改动的前提之下获取证据(Acquire)。

②证明所获取的证据和原有的数据是相同的(Authenticate)。

③在不改动数据的前提之下对其进行分析(Analyze)。

技术

依据电子证据的载体和来源，大体可划分为“基于单机和设备的电子证据”和“基于网络的电子证据”两种。

一、基于单机和设备的电子数据司法鉴定技术

单机取证技术是针对一台可能含有证据的非在线计算机等电子设备进行证据获取的技术，包括存储介质的证据保全技术、数据恢复技术、隐藏数据的再现技术、加密数据的解密技术和数据挖掘技术等。

1．证据保全技术。在对单机或设备进行电子数据司法鉴定时，必须进行证据保全，尽可能使用克隆数据而不使用原始检材进行分析。克隆就是对原始检材进行位对位的复制，原始检材中的内容不会丢失、遗漏，也不会被修改，包括被删除的文件、未分配空间、打印缓冲区、数据残留区和文件碎片等。常用的方法是将单机与设备中的存储介质取下，使用克隆设备进行的克隆备份。

不便克隆的检材可先通过只读设备与之连接，然后计算Hash值。Hash译作“散列”或“哈希”，是把任意长度的输入，通过散列算法变换成固定长度的输出，该输出就是散列值，被广泛用于加密和解密技术上。任何一个存储单元，比如说一个文件，无论是可执行程序、图像文件、临时文件或者其他任何类型的文件，也不管它体积多大，都有且只有一个独一无二的Hash值，并且如果这个文件被修改过，它的Hash值也将随之改变。因此，我们可以通过对比同一存储单元的Hash值，来校验这个存储单元是否被“篡改”过，即可以用来验证两个存储单元是否一致。

2．数据恢复技术。通过数据恢复技术，可以将被直接删除的数据及少量次数覆盖删除的数据，全部或部分还原出来。数据恢复技术并不能保证100%成功，其成功率与存储介质、存储原理、存储格式、是否覆盖以及覆盖次数密切相关。

3．加密解密技术和口令获取。取证在很多情况下都面临如何将加密的数据进行解密的问题。加密解密算法及工具很多，计算机取证中使用的密码破解技术和方法主要有：①密码破解技术。包括口令字典、重点猜测、穷举破解等技术。其中口令字典一般是基于软件的，而且已经有了多种字典可供使用。②口令搜索。包括物理搜索(在计算机四周搜查可能有口令的地方)、逻辑搜索(在文档或电子邮件中搜索明文的口令)和网络窃听(从网络中捕获明文口令)。③口令提取。许多Windows的口令都以明文的形式存储在注册表或其他指定的地方，我们可以从注册表中提取口令。④口令恢复。使用密钥恢复机制可以从高级管理员那里获得口令。

4．隐藏数据的再现技术。信息隐藏技术是保密通信技术的一种，它把需要隐藏的内容嵌入图像、音视频或其他类型的文件中，进行传输和存储，电子数据司法鉴定时，就需要将这些被隐藏起来的证据信息还原出来。主要的技术有隐藏信息检测与算法还原，即分析检材中的相关信息中是否含有隐藏信息以及将这些隐藏信息通过各种还原算法还原出来。

5．信息搜索与过滤技术。电子证据具有形式多样、载体丰富、位置隐蔽、结构复杂的特性，有重要价值的证据信息，往往分散和隐藏在浩瀚的无用数据之中，且相互之间又具有各种关联性，所以必须使用信息搜索、过滤和挖掘技术，快速定位电子证据。这方面的技术主要有数据搜索引擎技术、数据过滤技术、数据挖掘技术等。

6．逆向工程技术。逆向工程技术用于分析目标主机上可疑程序的行为，从而获取证据。逆向工程通常采用常用的反汇编工具与软件调试工具。

7．芯片数据提取技术。电子证据可能存储在各种办公或个人电子设备中，如传真机、复印机、无线路由器、手机等。该类设备中的芯片(如笔记本中的BIOS数据芯片、无线路由器芯片、手机内存芯片)都可能存储涉案的电子证据。芯片可分为易丢失数据型和不易丢失型芯片，包括RAM、ROM、Flash等各种类型。芯片数据提取的手段较少，取证难度较大。通常可采用不同类型的芯片编程器来进行数据提取，然后再利用工具软件或手工对提取的数据进行解析或解码。

二、基于网络的电子数据司法鉴定技术

所谓网络取证技术就是在网上跟踪犯罪分子或通过网络通信的数据信息资料获取证据的技术。包括IP地址和MAC地址的获取和识别技术、身份认证技术、电子邮件的取证和鉴定技术、网络侦听和监视技术、数据过滤技术、漏洞扫描技术等。应该说，在网络的犯罪13益猖獗的今天，网络取证技术在计算机取证技术中占有举足轻重的地位。

1．网络环境下的证据保全技术。由于鉴定对象与网络相连接，相关数据信息时刻都在改变。因此在网络环境下的鉴定，一定要注重证据的实时保全，随时导出、备份需要鉴定的信息，同时对这些备份信息进行Hash校验，以保证这些证据信息的客观真实性。

2．日志分析技术。在基于网络的电子数据司法鉴定中，通常使用日志分析技术，了解某时段的CPU负荷、IP来源、恶意访问、系统异常、用户操作记录和习惯等重要信息。

3．数据捕获技术。在诸如网络入侵一类的案件中，需要通过截获和分析入侵终端发出的或者被入侵主机发出的网络数据包，获得攻击源地址以及攻击的类型与方法。

4．现场重建技术。由于网络应用的综合性与复杂性，往往需要通过建立一个与案件网络环境类似的模拟试验环境，从而分析原理，理清过程，还原案件的真实原貌。常用的技术包括web数据库技术、远程连接与控制技术、网络攻击与防御技术等。

工具

(一)硬件工具

硬盘作为计算机最主要的信息存储介质，是计算机取证的重要获取内容，也是各种计算机取证工具的主要方向。随着存储技术的发展，硬盘的种类增加、容量加大。这在给普通用户增加更多便利的同时，给使用硬盘取证也带来更多困难。完整、彻底、精确的获取数据是对硬盘取证的基本要求。同时具有高速度、多功能、智能化以及广泛的适用性是对此类取证设备的发展要求。

1．硬盘取证设备。多数拷贝机以硬盘直接拷贝为主要方法，即将嫌疑人的硬盘取出直接与拷贝机连接实现硬盘数据的全面复制。一些新型的拷贝机除了直接拷贝还增加了SATA硬盘接口、SCSI硬盘接口、SAS硬盘接口、USB接口、PCMCIA接口，进一步增强了其适用范围。

2．取证勘查箱。由于电子证据取证涉及的信息存储介质种类很多，主要有软盘、硬盘、光盘、闪存、各种存储卡、ZIP、不同的掌上电脑及手机等。由此取证人员需要有一套适应面广、拷贝功能强、携带方便、使用灵活的移动取证平台以适应需要。

3．司法分析服务器。司法分析服务器是专门配置了多种只读接口的高性能、大容量的专用电子证据分析计算机，根据法证分析软件的要求及特点进行优化，能够充分提高证据分析、处理的效率。

(二)软件工具

不同的鉴定内容，需要单独或组合使用不同的鉴定软件工具，归纳起来主要分为以下几类。

1．综合取证分析软件。电子数据司法鉴定需要功能更强、自动化程度更高、同时更加精确、稳定和安全的软件工具，因此各类工具的综合与集成成为一种发展趋势。国外流行的综合取证分析平台有EnCase、FIX(Forensic Tool—kit)、X—Ways Forensic、ProDiscover等；国内具有自主知识产权的取证分析软件代表有取证大师(Forensics Master)。

2．数据恢复工具。这类工具专门用于恢复被删除的数据，如Final Data、Easy Recovery、R—Studio、Testdisk、Disk Genius(国产软件)等都是实用的数据恢复软件。此外近年在该领域，还有一些新兴的碎片文件重组工具，如AdroitPhoto Forensic(图片碎片重组及恢复)、AutoMDF(MS SQL数据库重组)等。此类工具并非纯粹利用文件系统元数据信息或文件签名等技术来进行数据恢复，而是深入分析文件内部结构，智能进行结构重组，实现文件最大程度的恢复。