構建我國計算機仿真取證標準的思考

王俊

（中國人民公安大學，北京100038）

根據(jù)計算機取證狀態(tài)的不同，學界一般將計算機取證分為動態(tài)的在線取證和靜態(tài)的事后取證，由于動態(tài)在線取證的技術標準和法律認同問題久拖未決，為保證取證結果的法律認可和電子證據(jù)的易于采信，目前司法實踐中大多使用傳統(tǒng)的靜態(tài)取證。

傳統(tǒng)的靜態(tài)取證方式立足于對計算機相關存儲設備中的電子數(shù)據(jù)的離線解讀和分析，需要電子數(shù)據(jù)的既定寫存和較好的數(shù)據(jù)存儲環(huán)境。如果數(shù)據(jù)未能寫入相關存儲設備或取證條件不理想的情況下，靜態(tài)取證的效果將大打折扣。譬如，對運行中的計算機信息系統(tǒng)先實施關機操作再進行事后的靜態(tài)取證就會造成取證目標主機中一些重要的即時數(shù)據(jù)①所謂的即時數(shù)據(jù)是指只有在計算機系統(tǒng)運行的過程中可以被分析和獲取的電子數(shù)據(jù)，這些數(shù)據(jù)會隨著系統(tǒng)關機而滅失。諸如寄存器轉存數(shù)據(jù)、RAM數(shù)據(jù)、虛擬內(nèi)存數(shù)據(jù)、用戶實時操作軌跡、網(wǎng)絡即時通訊數(shù)據(jù)等都可視為即時數(shù)據(jù)范疇。的丟失。即時數(shù)據(jù)大多是明文數(shù)據(jù)，其中可能含有各種密文的解密口令、各類程序的操作運行記錄、虛擬內(nèi)存的寫入記錄、網(wǎng)絡即時通訊數(shù)據(jù)記錄等信息，這些信息最終并不會被寫入計算機系統(tǒng)的存儲設備中，其會隨著系統(tǒng)的運行終結而自行消失。在很多時候，獲得這些即時數(shù)據(jù)可以使取證事半功倍，因而其重要性也越來越受到司法機關的重視，但獲得這些數(shù)據(jù)需要取證的在線進行和動態(tài)的研判分析與收集保全，采用靜態(tài)事后取證無法滿足即時數(shù)據(jù)獲取的需要。

此外，靜態(tài)取證獲取的數(shù)據(jù)是計算機系統(tǒng)運行的各類結果數(shù)據(jù)，對于各類電子數(shù)據(jù)如何形成、獲取的各類電子數(shù)據(jù)間有何關聯(lián)、用戶事前進行了何種操作、數(shù)據(jù)變化的原因等問題若采用事后靜態(tài)取證的方法，從結果數(shù)據(jù)中很難推定這些數(shù)據(jù)產(chǎn)生、改變、滅失的原因。再有，靜態(tài)取證難以重現(xiàn)電子數(shù)據(jù)先在②取證實施前目標計算機系統(tǒng)的動態(tài)運行環(huán)境以及系統(tǒng)變量。運行環(huán)境，面對海量的電子數(shù)據(jù)，靜態(tài)取證的準確度、取證的效率受到很大影響。

為滿足取證動態(tài)分析的實際需要、彌補靜態(tài)事后取證之不足，近年來學界一直致力于滿足取證技術和取證法律雙重要求的動態(tài)取證方法的探尋。隨著計算機仿真技術、磁盤重新定向技術、Shadow等計算機技術的研究應用，計算機仿真（動態(tài)）取證應用的技術條件已經(jīng)具備。目前已開發(fā)出的 Power Shadow、PC Virtual、Virtual Box、VM Workstation等軟件工具已具備了應用于計算機取證的條件，我國計算機取證產(chǎn)品開發(fā)廠商也已研發(fā)成型 “ATT-3000動態(tài)仿真取證系統(tǒng)”、“盤石計算機仿真取證系統(tǒng)”等仿真取證設備。這些設備的應用在很大程度上促進了取證效率的提高，充實了計算機取證的結果。但也有學者對于仿真取證設備的可靠性提出質(zhì)疑，有學者提出目前仿真取證的技術標準、相關操作規(guī)范和程序要求缺失，如何保障計算機仿真取證的結果能夠獲得法律的認可？怎樣實現(xiàn)計算機仿真取證的規(guī)范化運作？計算機仿真取證能否保證結果的真實完整等，解決這些問題的關鍵就在于仿真取證規(guī)范化的盡快實現(xiàn)。

計算機仿真取證規(guī)范化的實現(xiàn)途徑與傳統(tǒng)靜態(tài)取證的要求相同，即“技法并行”，才能保證取證結果的有效和電子證據(jù)的客觀、完整、可信。因此，在計算機仿真取證應用技術條件成熟的同時，仿真取證的相應規(guī)范和標準也必須及時制定和完善。基于此目的，本文試從計算機仿真取證的法律規(guī)范設計角度出發(fā)，結合仿真取證的技術特點，尋求仿真取證規(guī)范的構建。

1 計算機仿真取證解讀

簡言之，計算機仿真取證是指在仿真模擬目標計算機系統(tǒng)的運行環(huán)境下實施的動態(tài)取證活動。系統(tǒng)仿真、系統(tǒng)原始環(huán)境的再現(xiàn)、數(shù)據(jù)寫保護、數(shù)據(jù)動態(tài)在線分析和保全是仿真取證的主要特點。所以歸結來講，計算機仿真取證是指運用計算機仿真技術實現(xiàn)對目標計算機系統(tǒng)的仿真模擬和環(huán)境再現(xiàn)，在系統(tǒng)寫保護狀態(tài)下實施的對目標系統(tǒng)中各類電子數(shù)據(jù)原有狀態(tài)的還原、操作軌跡的追蹤以及各種數(shù)據(jù)記錄的收集與保全活動。

1.1 仿真取證的原理與分類

計算機仿真取證主要是利用虛擬機技術、Shadow技術、重新定向等技術對目標計算機系統(tǒng)的操作系統(tǒng)內(nèi)核、硬件設備、用戶環(huán)境、各種網(wǎng)絡協(xié)議、應用程序、數(shù)據(jù)記錄等信息進行動態(tài)的仿真運行模擬，以在此基礎上構建出安全的、可供動態(tài)取證的操作環(huán)境[1]。

按照取證對象的不同，可將計算機仿真取證分為：基于原機的仿真、基于硬盤鏡像的仿真和基于硬盤鏡像文件的仿真?；谠瓩C的仿真是在擁有原始主機且系統(tǒng)處于寫保護狀態(tài)下的即時在線取證，其主要目的是動態(tài)獲取目標主機中的即時數(shù)據(jù)、程序運行數(shù)據(jù)、網(wǎng)絡通信信息以及攻擊、入侵行為的數(shù)據(jù)記錄；基于硬盤仿真取證是在借助虛擬機技術的基礎上對裝有操作系統(tǒng)的硬盤進行硬件的仿真重建，通過仿真加載原有系統(tǒng)設置，重建原有計算機系統(tǒng)運行的軟、硬件環(huán)境，進行原始電子數(shù)據(jù)的動態(tài)分析獲??；基于硬盤鏡像的仿真取證是在甄別鏡像文件中的原有系統(tǒng)配置信息的基礎上，實現(xiàn)原載系統(tǒng)的仿真啟動，以在線直觀、準確的判別、收集和保全所需的電子證據(jù)[2]。

1.2 仿真取證的效能

仿真取證是為彌補傳統(tǒng)靜態(tài)取證的不足、提高計算機取證的效率、充實取證的結果而設計的，所以仿真取證有傳統(tǒng)靜態(tài)取證所不具備的優(yōu)勢和功能。

1.2.1 仿真取證能獲取傳統(tǒng)靜態(tài)取證所無法獲得的“即時數(shù)據(jù)”

靜態(tài)取證多采取“二步式”做法，首先需要偵（調(diào)）查人員對原有計算機系統(tǒng)進行靜態(tài)的封存，之后再交由專業(yè)的電子數(shù)據(jù)鑒定人員做取證分析。如果對處于運行狀態(tài)下的目標計算機系統(tǒng)實施直接關機操作，這樣目標計算機系統(tǒng)中的“即時數(shù)據(jù)”就無法得以收集和保全。采用動態(tài)仿真的做法，可在系統(tǒng)寫保護的狀態(tài)下實現(xiàn)對目標主機中的“即時數(shù)據(jù)”③需要原系統(tǒng)處于運行狀態(tài)，在系統(tǒng)寫保護的情況下實施即時在線取證分析。的及時在線獲取，避免“即時數(shù)據(jù)”的滅失，為后續(xù)取證分析提供口令、文件和數(shù)據(jù)的支持。

1.2.2 仿真取證可以彌補傳統(tǒng)靜態(tài)取證 “網(wǎng)絡電子數(shù)據(jù)”獲取能力的不足

仿真取證的一大優(yōu)點就是其可以仿真模擬原有計算機系統(tǒng)的網(wǎng)絡運行環(huán)境和網(wǎng)絡通信協(xié)議，獲取原有系統(tǒng)中的各種網(wǎng)絡程序的賬號信息、電子證書數(shù)據(jù)、IE自動填寫表單數(shù)據(jù)。獲得這些數(shù)據(jù)可以實現(xiàn)對用戶的電子郵箱信息、聊天記錄、寄存于網(wǎng)絡存儲空間中的電子數(shù)據(jù)的解讀和分析；仿真取證具有“還原重現(xiàn)”原有系統(tǒng)運行軌跡的功能。傳統(tǒng)靜態(tài)取證只能對已存電子數(shù)據(jù)做事后的分析和解讀，無法解決目標系統(tǒng)原有運行軌跡記錄數(shù)據(jù)的收集和獲取，因此也就很難實現(xiàn)對目標系統(tǒng)原有運行軌跡的還原和再現(xiàn)。仿真取證則可通過仿真模擬，再現(xiàn)目標系統(tǒng)原有數(shù)據(jù)的生成、改動、存儲等數(shù)據(jù)運行的軌跡，重塑電子數(shù)據(jù)從生成到改動的操作記錄，實現(xiàn)數(shù)據(jù)的追溯還原。

1.3 仿真取證應用必須解決的問題

目前各國對計算機仿真取證的研究尚處在起步階段，由于仿真取證的相關標準缺失，仿真取證在應用的過程中在技術、法律、程序等方面受到很多拷問。仿真取證技術能否完全保障取證目標計算機系統(tǒng)中各種數(shù)據(jù)的原始性和可信性？仿真取證應遵循何種取證程序標準？仿真取證工具是否經(jīng)過檢測和認證？從保證電子證據(jù)的證據(jù)能力和證明力的角度思考，這些問題可集中歸為一點，即仿真取證結果的法律認可問題。為求得取證結果的法律認可，仿真取證的應用必須首先著眼相關標準和規(guī)范的制定。鑒于計算機取證必須滿足技術和法律的雙重要求，仿真取證規(guī)范的內(nèi)容在保障仿真取證技術容許性的基礎上必須與取證的法律要求相契合。因此仿真取證規(guī)范的制定應將重點放在取證法律規(guī)范、技術檢測認證規(guī)則④得益于硬盤重新定向技術、虛擬仿真技術、臨時存儲技術（Shadow）的成熟應用，現(xiàn)今計算機仿真技術的可行性問題已得到了解決，但基于仿真技術研發(fā)的各種仿真取證設備是否能應用于仿真取證活動目前還有待評判，因而仿真取證技術規(guī)范研究應重點著眼仿真取證工具的檢測和認證（評判）標準的制定。、程序標準等問題的解決上。

2 計算機仿真取證的法律標準

2.1 仿真取證規(guī)范化進程中的已決和未決法律問題

計算機仿真取證的法律標準包括兩大部分：仿真取證的法律依據(jù)和取證結果的法律認可。仿真取證的法律依據(jù)早在我國97年《刑法》中就已有明文規(guī)定。我國在97年《刑法》中增設了第285條（非法侵入計算機信息系統(tǒng)罪）、286條（破壞計算機信息系統(tǒng)罪）、287條（利用計算機實施傳統(tǒng)犯罪的規(guī)定）有關計算機犯罪的規(guī)定，標志著我國計算機犯罪取證正式法律依據(jù)的出臺。同時，在2009年出臺的《刑法》第七修正案中對第285條“非法侵入計算機信息系統(tǒng)罪”的適用范圍進行了擴大修訂，對于非法侵入“國家事務”、“國防建設”和“尖端科技領域”外的計算機信息系統(tǒng)，情節(jié)嚴重的行為，也要求給予刑事處罰，進一步擴大了計算機取證的適用范圍[3]。

仿真取證結果的法律認證問題亦包括兩個方面：電子證據(jù)的證據(jù)資格和證據(jù)能力問題。證據(jù)資格解決的是電子證據(jù)的法律地位問題，證據(jù)能力則是對電子證據(jù)認證的要求。審視我國法律體系不難發(fā)現(xiàn)，電子證據(jù)的證據(jù)資格問題目前還未得到妥善解決。首先，我國的三大訴訟法中僅規(guī)定了七類傳統(tǒng)證據(jù)形式，由于三大訴訟法制定時間較早，當時在我國尚未出現(xiàn)涉及電子證據(jù)的法律訴訟，所以在這些法律中并未設置電子證據(jù)的法律條文。其次，對于電子證據(jù)的歸屬問題目前尚不統(tǒng)一。最高人民法院《關于民事訴訟證據(jù)的若干規(guī)定》第二十二條規(guī)定：“調(diào)查人員調(diào)查收集計算機數(shù)據(jù)或者錄音、錄像等視聽資料的，應當要求被調(diào)查人提供有關資料的原始載體；”最高人民法院《關于行政訴訟證據(jù)若干問題的規(guī)定》第十二條規(guī)定：“根據(jù)行政訴訟法第三十一條第一款第（三）項的規(guī)定，當事人向人民法院提供計算機數(shù)據(jù)或者錄音、錄像等視聽資料”。從高法兩個有關電子證據(jù)的司法解釋看，司法機關是將電子證據(jù)作為視聽資料使用，但《中華人民共和國合同法》在解釋“書面”的語詞含義時將電子證據(jù)納入其中作為書證看待，二者之間明顯存在矛盾。

我國對于電子證據(jù)證據(jù)力的審查評判目前仍沿用著傳統(tǒng)證據(jù)審查采納的“三大原則”（客觀性、合法性和關聯(lián)性評判原則）。傳統(tǒng)證據(jù)審查采納的客觀性準則要求證據(jù)的真實和本位，呈堂出示的證據(jù)不受人為主觀的改變和修正，是符合案件事實的證據(jù)；合法性要求取證的主體、程序、方式合法，證據(jù)在內(nèi)容和形式上符合法律的規(guī)定；關聯(lián)性則是要求出示的證據(jù)必須與案件事實存在邏輯和法律的聯(lián)系，與案件無關的其他事實材料不能作為證據(jù)使用。上述證據(jù)的一般采納標準是依據(jù)傳統(tǒng)證據(jù)的特性而制定的，如果將其用于新型證據(jù)“電子證據(jù)”采納認證上則存在“兼容不佳”的問題。首先，客觀性與電子證據(jù)的“即時性”和“不可見性”兼容不佳。電子證據(jù)具有即時性和隱蔽性，較之于傳統(tǒng)證據(jù)，電子證據(jù)更易發(fā)生改變，造成其改變的決定因素在于電子證據(jù)存儲環(huán)境的不安全，而非電子證據(jù)本身。所以要求電子證據(jù)具備客觀性的前提條件就是保證其外在寄存環(huán)境的安全性，將客觀性要求建之于電子證據(jù)的審查標準不能保證電子證據(jù)本源的安全和可信。因而電子證據(jù)的證據(jù)采納標準應著眼“安全性”審查，而非“客觀性”的衡量；其次，“關聯(lián)性”標準與電子證據(jù)的“完整性”審查置位不當。決定電子證據(jù)是否具備證據(jù)能力、證據(jù)效力的大小的首要因素在于電子證據(jù)內(nèi)容是否完整，同時要看其存儲載體是否安全。電子證據(jù)的“完整性”決定著電子證據(jù)的“關聯(lián)性”，“關聯(lián)性”標準僅是對“完整性”要求的補強，如將“關聯(lián)性”作為審查電子證據(jù)采納的評判標準，有依據(jù)缺失之嫌。因此，審查采納電子證據(jù)應首先以“完整性”審查作為“關聯(lián)性”審查的依據(jù)，唯此才能保證電子證據(jù)內(nèi)容的可信和“關聯(lián)性”要求的具備。再次，電子證據(jù)“合法性”審查的先決條件不足。證據(jù)采納的“合法性”審查包含對證據(jù)形式的審查，我國目前的證據(jù)法體系中并未完全承認電子證據(jù)的法定證據(jù)地位，這在證據(jù)資格審查階段就已經(jīng)否決了電子證據(jù)的法律效力，因此也就無從提及電子證據(jù)的“合法性”的審查評判。

2.2 未決問題的解決方案

通過上述分析可以發(fā)現(xiàn)，仿真取證法律標準的構建應重點著眼電子證據(jù)證據(jù)地位的明確和電子證據(jù)可采性規(guī)則的建立，設計包括仿真取證在內(nèi)的各種計算機取證活動結果法律認可的方法和標準。

2.2.1 電子證據(jù)證據(jù)地位的明確

緣于我國證據(jù)法采用法定證據(jù)列舉的形式，因此應在證據(jù)法中增加電子證據(jù)的法律條文，至于是否將電子證據(jù)列為一種新型證據(jù)類型，筆者持肯定態(tài)度。因為將電子證據(jù)視為物證、書證或視聽資料證據(jù)都無法涵蓋電子證據(jù)的內(nèi)涵和外延。將電子證據(jù)列為物證使用違背電子證據(jù)的“不可見”特性，物證是以其外在特征、狀態(tài)來證明案件事實的，而電子證據(jù)則是以其不可直接顯現(xiàn)的內(nèi)容用作證據(jù)的，其不具備物證的屬性；將電子證據(jù)作為書證使用也不符合電子證據(jù)的特性，書證的內(nèi)容是能夠直觀再現(xiàn)的文字、符號、圖標，且其內(nèi)容較為穩(wěn)定，通常被作為直接證據(jù)使用，而電子證據(jù)的內(nèi)容不能直接顯示，且容易發(fā)生變化，一般只能被用作間接證據(jù)，所以二者不能簡單等同。電子證據(jù)不可作為視聽資料使用，是因為電子證據(jù)既包括可以視聽的證據(jù)內(nèi)容，也包括不可視聽的諸如電子文本（文檔）記錄、程序代碼、數(shù)字符號等電磁數(shù)據(jù)內(nèi)容。此外，電子證據(jù)呈現(xiàn)方式較之于視聽資料類證據(jù)呈三維多媒體化，而非單一的視、聽形式，其外延大于視聽資料的外延范圍，因而電子證據(jù)亦不能歸為視聽資料使用。鑒于上述電子證據(jù)有別于傳統(tǒng)證據(jù)的特有屬性，應將電子證據(jù)單列作為一種新型證據(jù)在證據(jù)法中予以規(guī)定。

2.2.2 電子證據(jù)審查采納標準的建立

鑒于電子證據(jù)有別于傳統(tǒng)證據(jù)的特殊之處，美國、加拿大、菲律賓等國對于電子證據(jù)已單獨設立了相應的審查采納標準。以美國為例，美國建立了電子證據(jù)采納的 “業(yè)務記錄例外規(guī)則”、“最佳證據(jù)規(guī)則”、“電子證據(jù)可靠性的評判標準”，同時其《聯(lián)邦證據(jù)規(guī)則》第702條[4]對于“專家證人”出庭作證也給出了5條標準?！皹I(yè)務記錄例外”規(guī)則規(guī)定：“如果向法院呈交的電子證據(jù)符合相應案例所確立的采信標準⑤通過United States v.Cestnik，36 F.3d 904，909-10（10th Cir.1994）；United States v.Moore，923 F.2d 910，914（1st Cir.1991）；U-nited States v.Briscoe，896 F.2d 1476，1494（7th Cir.1990）；United States v.Catabran，836 F.2d 53，457（9th Cir.1988）；Capital Marine Supply v.M/V Roland Thomas II，719 F.2d 104，106（5th Cir.1983）案件的審理，美國聯(lián)邦法院最終確立了電子證據(jù)的采信規(guī)則。只要符合以上案例所確定的規(guī)則，法院將對提交的電子證據(jù)予以采信。同時，該規(guī)則對于“業(yè)務”術語的定義也給出了說明，“業(yè)務”包括商務、社會事業(yè)機構、協(xié)會、職業(yè)、專業(yè)，凡此種種，無論是否以盈利為目的。，法院將以‘業(yè)務記錄’的形式對其予以認可；”美國的最佳證據(jù)規(guī)則規(guī)定：“如果數(shù)據(jù)存儲在計算機或與計算機類似的裝置中，且這些數(shù)據(jù)能夠被準確讀取，那么這些數(shù)據(jù)的準確打印輸出記錄總是能夠滿足最佳證據(jù)規(guī)則要求的。”最佳證據(jù)規(guī)則的這一規(guī)定對電子證據(jù)的效力做出了解釋，只要是能準確記錄和反映案件事實并能正確獲取的電子證據(jù)，其法律效力就可以得到認可[5]，其優(yōu)點在于用準確記錄展示的方法解決了電子證據(jù)的原始性證明問題。關于電子證據(jù)的可靠性評判，美國則要求在取證的過程中建立取證安全保障體系⑥在United States v.Glasser，773 F.2d 1553，1559（11th Cir.1985）一案中，法院確立了如下規(guī)則：法庭認可計算機打印輸出記錄的先決條件是取證當時必須要構建安全保障體系，否則電子證據(jù)將不被采信。，如果整個取證過程有完整的安全保障措施，取證所獲取的電子證據(jù)就是可信的。此外，美國聯(lián)邦證據(jù)規(guī)則第702條對于取證人員出庭作證提供 “專家證言”也設置了相應的標準。其對專家證言可否采信設置了5條衡量標準：（1）審查專家證人所使用的理論和技術是否已通過專業(yè)認證；（2）審查這些理論和技術是否得到同行認可，是否被公開使用；（3）審查專家證人所使用的技術是否存在已知的錯誤率；（4）審查這些理論和技術的應用是否遵循相關標準；（5）審查專家證人所使用的理論和技術是否被社會所廣泛接受。只有滿足上述標準的要求，“電子證據(jù)鑒定 （取證）”結論才能被法庭采納和認可[6]。

加拿大在其《統(tǒng)一電子證據(jù)法》中規(guī)定了電子證據(jù)的運用、認證規(guī)則和完整性假定規(guī)則，其中完整性假定標準要求必須有證據(jù)證明取證過程中目標計算機系統(tǒng)運行正常、取證須由與案件無利害關系的人操作。同時，《統(tǒng)一電子證據(jù)法》[7]中還要求法庭在審查采納電子證據(jù)的過程中考慮電子數(shù)據(jù)的來源、數(shù)據(jù)的性質(zhì)和數(shù)據(jù)存儲的目的。

《菲律賓電子證據(jù)規(guī)則》中設置了最佳證據(jù)規(guī)則，其中規(guī)定了“電子文檔原件標準”和“拷貝等于原件”標準。如果電子文檔通過其打印稿或通過其他手段可只讀輸出并能準確反映數(shù)據(jù)的內(nèi)容，此時可視該電子文檔為最佳證據(jù)規(guī)則下的原件；如果文檔存在兩個以上的拷貝件，且內(nèi)容和原件一致，該拷貝件和原件具有同等效力。此外，在該規(guī)則中首次規(guī)定了“瞬息電子證據(jù)”，如果瞬息電子證據(jù)產(chǎn)生、傳輸過程有當事人或在場人員證明，該瞬息電子數(shù)據(jù)記錄就可視為證據(jù)使用[8]。

分析以上國外電子證據(jù)審查采納的相關規(guī)則可以發(fā)現(xiàn)，這些規(guī)則采用了不同于傳統(tǒng)證據(jù)審查的標準，審查的重點在于電子證據(jù)存儲環(huán)境的安全性和可追溯性，同時也注重電子證據(jù)內(nèi)容完整性的審查。有鑒于此，我國電子證據(jù)審查采納標準應單獨制定區(qū)別于傳統(tǒng)證據(jù)的審查采納標準，在電子證據(jù)安全性審查、內(nèi)容完整性審查、來源可追溯性審查的框架下設計具體的衡量標準。

2.2.2.1 電子證據(jù)安全性審查

主要應包括：（1）電子證據(jù)取證過程是否制定了安全保障措施、這些措施是否可行；（2）取證活動的關鍵時刻電子證據(jù)的存儲環(huán)境是否收到影響，是否引發(fā)了電子證據(jù)內(nèi)容的改變；（3）取證技術是否可行，這些技術是否有已知的錯誤率，錯誤率是否影響取證結果的唯一性；（4）取證所使用的軟硬件工具是否具備準確識別、收集、保全電子證據(jù)的能力，是否經(jīng)過專業(yè)機構檢測（已使用的仿真取證工具是否在業(yè)內(nèi)被同行普遍認可）；（5）取證機構專業(yè)能力水平的審查，取證實驗室是否經(jīng)過國家認證認可監(jiān)督管理委員等部門授權的檢測認證機構的認可；（6）取證人員的審查。審查取證人員是否有司法機構統(tǒng)一頒發(fā)的取證（鑒定）資格證書；（7）取證結束到電子證據(jù)呈堂展示階段電子證據(jù)的安全性審查。審查在此階段電子證據(jù)的安全保障措施是否到位，保管方法是否可行。

2.2.2.2 電子證據(jù)內(nèi)容完整性審查

主要應包括：（1）取證結果的電子數(shù)據(jù)記錄和紙質(zhì)記錄內(nèi)容是否一致；（2）電子證據(jù)的內(nèi)容是否準確反映了案件的某一事實，是否能夠解釋某一活動、行為的邏輯和法律聯(lián)系；（3）電子證據(jù)各副本記錄記載的數(shù)據(jù)內(nèi)容是否相同；（4）取證活動整個階段數(shù)字水印（時間戳、數(shù)字摘要）是否連續(xù)，數(shù)字摘要的數(shù)值是否同一；（5）恢復的電子證據(jù)的內(nèi)容是否可以顯示，無法顯示的是否有其他證據(jù)佐證。

2.2.2.3 電子證據(jù)來源的可追溯性審查

來源的可追溯性審查主要是為查證電子證據(jù)是否準確反映案件事實而服務，是取證過程連續(xù)性和電子證據(jù)可靠性的一條重要衡量標準，依據(jù)“可追溯性”的語詞含義、結合取證過程連續(xù)性要求和司法推知的原理，電子證據(jù)來源的可追溯性審查的內(nèi)容應涵蓋：（1）審查取證活動各階段是否能關聯(lián)印證，是否能夠逆向求證；（2）審查電子證據(jù)的調(diào)取位置是否與其原始存儲位置一致；（3）審查電子證據(jù)存儲介質(zhì)中的原始記錄和呈堂數(shù)據(jù)記錄的內(nèi)容是否同一；（4）審查呈堂的取證結果是否出自原始存儲載體，在現(xiàn)有技術條件下出示的電子證據(jù)是否能被認知；（5）審查原始電子數(shù)據(jù)遭受破壞后，取證人員調(diào)取該數(shù)據(jù)的殘存記錄是否能準確反映原有電子數(shù)據(jù)的內(nèi)容。

此外，對于電子證據(jù)審查還應配套建立傳聞證據(jù)有限排除規(guī)則、最佳證據(jù)規(guī)則、補強證據(jù)規(guī)則，同時從取證、舉證、質(zhì)證、采證整個司法證明過程著手建立相應的標準。

3 計算機仿真取證技術標準

計算機仿真取證作為一類新型的動態(tài)取證技術，其借助虛擬仿真技術實現(xiàn)了對計算機系統(tǒng)的動態(tài)模擬，取證人員可以對目標主機進行啟動在線分析，彌補了傳統(tǒng)靜態(tài)取證網(wǎng)絡電子證據(jù)獲取能力的不足，但仿真取證的風險也進一步增加。分析“仿真”一詞就可看出仿真取證的重要特性就是要實現(xiàn)對裝有操作系統(tǒng)的待檢磁盤中原有系統(tǒng)環(huán)境的真實化模擬和重現(xiàn)，而計算機信息系統(tǒng)環(huán)境的仿真模擬靠人工無法實現(xiàn)，需要借助相應的仿真工具。因此，仿真取證技術標準應以仿真取證工具為著眼點，依據(jù)計算機仿真虛擬技術的功能特點，建構仿真取證工具的通用標準、設計標準和檢測認可標準。

3.1 仿真取證工具的通用標準

現(xiàn)有取證工具主要基于虛擬機技術和Shadow⑦Shadow技術（影子系統(tǒng)）是一種系統(tǒng)虛擬寫保護技術，只有在有原始主機存在的情況下才能被使用，其僅僅是對原系統(tǒng)數(shù)據(jù)進行保全和隔離的技術。由于不常用到，在此就不做詳細介紹。等技術而研發(fā)和設計，其中以虛擬機技術最為常用。其優(yōu)點是可以仿真模擬系統(tǒng)運行環(huán)境，并能提供程序的仿真操作和計算機信息系統(tǒng)網(wǎng)絡通訊協(xié)議的仿真模擬，便于取證人員進行虛擬在線操作。此外，虛擬機技術還能提供多類型操作系統(tǒng)的同機在線取證。因此，基于此技術研發(fā)的取證工具首先應具備虛擬機工具的優(yōu)點和特性。其次，仿真取證工具通用要求還應包含對仿真取證工具優(yōu)點的釋明；再次，取證工具的選用問題也應納入通用要求中，以為取證機構正確選用達標的取證工具提供指引。具體來講，通用標準的內(nèi)容應包含：

3.1.1 仿真取證工具應具備的法律和取證要求

基于虛擬機技術、Shadow技術以及其他仿真技術研發(fā)的仿真取證工具應保障取證結果的準確、真實、完整，有利于提高取證的效率。

3.1.2 仿真取證工具的設計要求

仿真取證在功能設計的范圍內(nèi)，不得因自身瑕疵（錯誤應能避免或排除）造成待檢驗設備中電子數(shù)據(jù)內(nèi)容的丟失或破壞。

3.1.3 仿真取證設備適用的環(huán)境

即仿真取證設備支持的磁盤類型和支持的操作系統(tǒng)類型。

3.1.4 仿真取證工具的準入要求

仿真取證工具在使用之前應經(jīng)過專業(yè)檢測認證機構的檢測和認可。取證機構選用仿真取證工具時也應選用經(jīng)過檢測和認可的工具。

3.2 仿真取證工具的功能設計標準

根據(jù)數(shù)字取證研究工作組 （Digital Forensics Research Workshop，DFRWS）提出的取證框架，電子證據(jù)的取證技術包括：數(shù)據(jù)識別、數(shù)據(jù)獲取、數(shù)據(jù)檢查、數(shù)據(jù)分析、數(shù)據(jù)保全、數(shù)據(jù)呈堂六大類技術。這六大類技術涵蓋了現(xiàn)今計算機取證所使用的主要技術，現(xiàn)有取證設備的研發(fā)和設計也是以此為據(jù)的。仿真取證工具雖是當前新出現(xiàn)的取證技術，但其技術基點還在該六大技術之中，其“仿真”技術僅是一種數(shù)據(jù)保全還原技術。依據(jù)DFRWS的框架并結合現(xiàn)有取證的實際需求，仿真取證工具的功能設計范圍應涉及：系統(tǒng)仿真、數(shù)據(jù)識別、數(shù)據(jù)獲取、數(shù)據(jù)恢復、數(shù)據(jù)解密、數(shù)據(jù)保全、數(shù)據(jù)的自動分類歸檔七個方面[9]。為保證仿真取證活動的連續(xù)性，系統(tǒng)仿真功能，數(shù)據(jù)的識別、獲取、保全功能所有的仿真取證工具都應要求具備。由于其他三類功能可用其他工具替代，屬于取證工具的“高級”功能，因此不宜硬性要求所有的仿真工具具備。在此基礎上，可將仿真取證工具功能設計細分為：

3.2.1 系統(tǒng)仿真功能的設計標準

仿真取證工具應能仿真模擬不少于一種操作系統(tǒng)，且應能準確識別各種操作系統(tǒng)的版本，模擬取證對象系統(tǒng)的硬件設備、用戶配置、運行環(huán)境、網(wǎng)絡協(xié)議、程序運行。

3.2.2 仿真取證平臺建構功能

仿真取證工具應能準確識別待檢硬盤或硬盤鏡像中的操作系統(tǒng)內(nèi)核、用戶權限配置，突破取證對象系統(tǒng)的訪問控制和權限控制機制，構建仿真取證的基礎平臺。

3.2.3 仿真取證工具的數(shù)據(jù)獲取要求

仿真取證工具應能自動獲取系統(tǒng)中各類已存密碼，捕獲用戶網(wǎng)絡通訊程序口令⑧具體包括：瀏覽器自動完成表單記錄、上網(wǎng)（含無線網(wǎng)絡）賬號、郵件客戶端口令、FTP已存登陸密碼、即時聊天工具的已存登陸密碼、網(wǎng)絡游戲已存密碼、網(wǎng)絡互動點播程序的已存密碼、其他網(wǎng)絡交互程序已存密碼等。及其運行的數(shù)據(jù)記錄。

3.2.4 仿真取證工具的兼容運行要求

仿真取證工具應能兼容常見的網(wǎng)絡服務平臺、常見的辦公軟件、開發(fā)工具軟件、數(shù)據(jù)庫軟件、病毒和木馬程序以及其他常見應用軟件。

3.2.5 仿真取證工具的保全要求

仿真取證工具應保證仿真設備和待檢設備間的只讀隔離，并具備取證操作的實時記錄和數(shù)據(jù)效驗功能。

3.2.6 仿真取證工具的安全標準

仿真取證工具應保證取證過程中數(shù)據(jù)調(diào)取、在線分析的安全性及數(shù)據(jù)存儲環(huán)境的原始性，同時應保障取證活動不受病毒、木馬程序和惡意軟件的影響。

3.2.7 仿真取證工具的接口設計標準

應遵循國際通行的PC類產(chǎn)品接口設計標準，并具備接口拓展和轉換的功能。

3.3 仿真取證工具的檢測和認證標準

仿真取證工具檢測和認證標準的內(nèi)容包括：檢測認證主體的設立、檢測認證程序、檢測認證的項目內(nèi)容、研發(fā)機構參加檢測認證的要求四個方面。根據(jù)《中華人民共和國標準化法》、《中華人民共和國認證認可要求》，實驗室和檢查機構的設置需經(jīng)過國務院認證認可監(jiān)督管理委員會認可。對其資質(zhì)的評定目前在我國主要由國家認監(jiān)委和中國合格評定國家認可委員會（CNAS）負責。我國目前并未將計算機取證工具檢測和認證列入檢測名錄中，而且在經(jīng)正式批準設立的檢測機構中，現(xiàn)有機構均不具備計算機取證工具檢測和認證的資質(zhì)，仿真取證工具的檢測與認證遲遲未能開展。有鑒于此，筆者認為構建仿真取證的檢測和認證標準首先就應解決仿真取證工具檢測認證 “主體”不明的問題。

至于仿真取證檢測程序和具體要求，我國國家質(zhì)量監(jiān)督檢驗檢疫總局在2008年5月8日發(fā)布了《GB/ T 27025-2008/ISO/IEC 17025：2005檢測和校準實驗室能力的通用要求》[10]，已從管理控制、技術要求方面詳細規(guī)定了各檢測和校準實驗室從事專業(yè)檢測和認證的要求。

仿真取證工具的檢測項目內(nèi)容包括：仿真取證工具的功能設計、取證工具各項功能的能力驗證、仿真取證工具錯誤率的檢測、取證工具的構造設計等項目。

研發(fā)機構參與檢測認證的要求涉及：遞交檢測的程序、遞交材料的內(nèi)容、強制通過檢測認證的時限、原仿真取證工具更新和功能更新后的再檢測、仿真取證未通過檢測和認證的懲罰措施等內(nèi)容。

基于以上分析，仿真取證的檢測和認證標準內(nèi)容應涵蓋：

3.3.1 仿真取證工具檢測認證的主體⑨美國國家標準和技術研究所（National Institute of Standards and Technology，NIST）早已開展了計算機取證工具的檢測和認證，并制訂了計算機取證工具測試計劃（Computer Forensic Tool Testing，CFTT）進行通用工具規(guī)范、測試過程、測試標準、測試軟硬件的研究。

應盡快設置包括仿真取證在內(nèi)的取證工具檢測和認證機構[11]，設置的批準機構應由國家認監(jiān)委負責，經(jīng)其授權各相關機構也應有權批準設立第三方的取證工具檢測和認證機構。檢測和認證機構能力驗證可由國家認監(jiān)委、司法部等部門協(xié)商解決。

3.3.2 檢測程序標準的內(nèi)容規(guī)定

依據(jù)“ISO-17025”標準從質(zhì)量控制、機構管理、操作流程規(guī)范、檢測技術規(guī)范、文書規(guī)范層面設置相應的標準。

3.3.3 檢測內(nèi)容要求

首先，應對仿真取證工具說明材料中給出的功能進行真實性檢測；其次，規(guī)定仿真取證工具錯誤率的檢測；再次，應要求對取證工具安全性進行檢測；最后，應對仿真取證工具的接口和結構設計是否符合標準進行檢測。

3.3.4 研發(fā)機構參與檢測的要求

（1）提交材料的要求。應要求各研發(fā)機構將其所開發(fā)的取證產(chǎn)品和相關設計材料一并遞交認證；（2）應要求參加檢測認證的必須在規(guī)定時限（次數(shù)）內(nèi)通過；（3）對于未經(jīng)過檢測和認證的仿真取證工具應禁止其準入；（4）功能更新后的仿真取證工具檢測要求。對于功能更新后的仿真取證工具應要求研發(fā)機構將原有產(chǎn)品和更新改進后的產(chǎn)品一并送交檢測認證。

4 計算機仿真取證程序標準

計算機取證程序是否合法直接影響著取證活動結果的法律效力，是取證標準內(nèi)容設計的又一重點問題。計算機取證程序標準包括取證過程標準、取證方式、方法標準等，目前取證技術已經(jīng)走向成熟、取證方法也有行業(yè)內(nèi)規(guī)范，唯獨取證的操作過程目前學界和實務界尚未達成統(tǒng)一意見。因此，在取證程序標準建構部分，筆者將重點對仿真取證過程的標準化設計進行解析。

計算機取證從20世紀80年代開始至今，發(fā)生了兩大轉變：從注重取證技術研究到取證法律規(guī)范的研究為先的轉變與注重取證工具的研發(fā)到取證程序規(guī)范日益受到重視的轉變。分析其中的原因可以得出，取證程序的合法性審查問題是引發(fā)計算機取證研究理念轉變的一個重要因素。據(jù)國外專業(yè)機構統(tǒng)計，計算機取證結果不被法庭采信大多是由于取證程序不合法導致的。在20世紀90年代初，在涉及計算機取證的案件中，只有不足5%的案件取證結果被法庭所采信，一大原因就是由于取證程序不規(guī)范所致。因此，在當時國外學者的研究重點從取證工具的研發(fā)轉向了取證程序合法性問題的研究，其中以取證過程的標準化研究較為典型。受研究理念轉變的影響，在90年代中后期相繼出現(xiàn)了諸如美國司法部的電子犯罪現(xiàn)場勘查模型、事件響應過程模型、抽象化的取證程序模型、集成型的取證過程模型、增強型的取證過程模型等較有代表性的取證過程模型。其中集成型的過程模型將取證分為傳統(tǒng)物證的犯罪現(xiàn)場勘查和計算機犯罪現(xiàn)場勘查兩部分[12]；增強型取證過程模型則將計算機取證分作“第一犯罪現(xiàn)場”和“第二犯罪現(xiàn)場”的取證，同時也注重取證各步驟之間的相互聯(lián)系和印證[13]。

分析上述幾大取證過程模型，其共性在于都遵循取證準備、證據(jù)收集、證據(jù)分析、證據(jù)檢查的操作流程依次進行；不同之處在于各取證過程模型設計針對的情況不同，其中有適用于網(wǎng)絡取證的事件響應程序模型，也有適用于靜態(tài)取證的取證過程模型。此外，各取證過程模型的步驟多寡、內(nèi)容詳盡程度也有很大區(qū)別。

傳統(tǒng)取證的操作流程標準不能用于仿真取證。首先，傳統(tǒng)取證過程模型是基于靜態(tài)取證和網(wǎng)絡取證設計的，而仿真取證重點在于“系統(tǒng)動態(tài)仿真”，二者設計的目的不同；其次，傳統(tǒng)取證過程模型之間目前仍存在爭議，且業(yè)界也沒有認可任何現(xiàn)有的取證過程標準；再次，傳統(tǒng)取證過程步驟缺少“系統(tǒng)仿真啟動”的步驟設計。鑒于上述原因考慮，仿真取證過程標準（模型）的設計也應有別于傳統(tǒng)取證遵循的步驟標準⑩另行設計仿真取證過程標準并不否決傳統(tǒng)取證過程的步驟設計，傳統(tǒng)取證過程標準的內(nèi)容可以作為仿真取證過程標準內(nèi)容的參照。?；趯ΜF(xiàn)有仿真取證工具功能的分析和待檢對象類型的考量，仿真取證過程標準應在保證動態(tài)分析安全性的情況下，針對不同的待檢設備，構思不同的操作流程。具體過程如圖簡示：

仿真取證流程圖示

從上圖可以看出，仿真取證分為基于原始系統(tǒng)的仿真、基于硬盤鏡像的仿真和基于硬盤的仿真三類，因此仿真取證的過程設計也應一分為三：

4.1 基于原始主機的仿真取證過程：

（1）取證的準備。準備取證所需的環(huán)境和工具。

（2）原始主機的只讀保護。在有原始主機的情況下利用shadows技術對待取證主機系統(tǒng)進行只讀隔離。

（3）數(shù)據(jù)收集。即取證人員在線對待檢對象中的電子數(shù)據(jù)進行動態(tài)研判分析和收集。

（4）證據(jù)保全。將在線分析取證獲取的電子證據(jù)采用合理方法（數(shù)字摘要、攝像、打印、文字記錄）進行保全。

（5）回顧檢查。仔細檢查取證過程有無疏漏，收集先前可能未獲取到的電子證據(jù)。

（6）證據(jù)歸檔。對電子證據(jù)進行分類存儲和保管。

4.2 基于硬盤的仿真取證過程

（1）取證的準備。準備取證器材、設備，創(chuàng)造安全的取證環(huán)境，為硬盤的虛擬仿真啟動制定安全保障策略。

（2）硬盤的仿真啟動。對裝載有操作系統(tǒng)的硬盤機進行仿真啟動，模擬重現(xiàn)待取證硬盤的硬件配置、裝置的操作系統(tǒng)的運行環(huán)境、用戶配置、網(wǎng)絡通訊環(huán)境以及系統(tǒng)應用程序的運行環(huán)境。

（3）在線分析和檢查。在線分析檢查待檢磁盤中的網(wǎng)絡賬號、操作系統(tǒng)登陸口令、IE自動完成表單、已存郵件客戶端密碼、FTP已存登錄口令、電子證書、即時通訊軟件數(shù)據(jù)記錄、系統(tǒng)中應用軟件的操作記錄以及其他系統(tǒng)運行的歷史痕跡數(shù)據(jù)。

（4）數(shù)據(jù)的保全。與基于原始主機的仿真取證要求相同。

（5）分析報告的制作。在線動態(tài)分析數(shù)據(jù)過程進行時和完成后，同步制作取證報告。

4.3 基于硬盤鏡像的仿真過程與基于硬盤的仿真取證過程

基于硬盤鏡像文件的仿真取證需要在只讀隔離的情況下將鏡像文件拷貝入空白硬盤或仿真取證工具中，借助虛擬機技術進行動態(tài)分析。而基于硬盤的仿真取證則可以直接在待檢平臺上進行。所以，基于硬盤鏡像的仿真過程與基于硬盤的仿真取證過程在仿真啟動的方式（步驟2）存在差異，鏡像文件在仿真前應先進行拷貝。除此之外二者其余操作過程相同。

以上仿真取證過程內(nèi)容的設計借鑒了現(xiàn)有幾種取證過程模型的內(nèi)容，并結合仿真取證的自身特點而設計。本文在仿真取證過程的步驟設計中并未對計算機犯罪現(xiàn)場進行“第一現(xiàn)場”和“第二現(xiàn)場”的區(qū)分，是因為動態(tài)仿真取證往往很難做到對“第一現(xiàn)場”中電子數(shù)據(jù)的同步獲取，且遠程獲取的“第一現(xiàn)場”中的電子數(shù)據(jù)的安全性也很難保證，在現(xiàn)有的技術條件和法律框架下無法被法庭所采納和認可，因此對該問題未加解釋。此外，由于前文在在電子證據(jù)審查采納標準設計部分對取證各階段的關聯(lián)印證要求進行了說明，且在此無法將該要求精確置于某一具體的操作步驟中，所以在設計仿真取證過程的具體內(nèi)容時未再行說明取證各階段的關聯(lián)印證要求。

5 結語

仿真取證是近年來新出現(xiàn)的一種取證技術，目前我國涉及計算機仿真取證的技術、法律和程序標準目前還處于空白狀態(tài)，這不利于仿真取證在司法實踐中的應用，更不利于發(fā)揮仿真取證的技術優(yōu)勢，為此應盡快出臺相應的法規(guī)和標準對阻滯計算機仿真取證應用的電子證據(jù)地位問題、電子證據(jù)的可采性問題加以明晰，并配套建立取證工具的檢測認可規(guī)范和仿真取證操作的程序規(guī)范，從法律、技術和程序三個方面構建完整的計算機仿真取證規(guī)范體系，以解決仿真取證的準入、司法應用和仿真取證結果的法律效力問題。

[1]Senior Special Agent Ernest Baca United States Customs Service Office of Investigations，Resident Agent in Charge.Using Linux VMware and SMART to Create a Virtual Computer to Recreate a Suspect’s Computer[EB/OL].（2002-04-01）[2009-10-01]http：//www.infosecwriters.com/text_resources/andrewr -osen/SMARTForensics.pdf.

[2]D.Bem，E.Huebner.Computer Forensic Analysis in a Virtual Environment[EB/OL].（2007-01-01）[2009-10-01]http：//www.utica.edu/-academic/institutes/ecii/publications/articles /1C349F35-C73B-DB8A-926F9F46623A1842.pdf.

[3]中華人民共和國刑法修正案（七）[E].2009-2-28.

[4]Daniel J.Ryan,Gal Shpantzer.Legal Aspects of Digital Forensics[EB/OL].（2006-02-01）[2009-10-01]http：//www.danjryan.com.

[5]Orin S.Kerr.Computer Records and the Federal Rules of Evidence[EB/OL].(2001-03-01)[2009-10-01]http://www. seeingthetruth.com.

[6]Wall C,Paroff J.Cracking the Computer Forensics Mystery [J].Otah Bar Journal,2004，17（7）：10-14.

[7]蔣平，黃舒華，楊莉莉.數(shù)字取證[M].北京：清華大學出版社，2007：246.

[8]蔣平，黃舒華，楊莉莉.數(shù)字取證[M].北京：清華大學出版社，2007：250-252.

[9]Palmer G.Road Map for Digital Forensic Research[J].Technical Report 2001，（6）：15-20.

[10]GB/T 27025-2008/ISO/IEC 17025：2005檢測和校準實驗室能力的通用要求[S].

[11]Whitcomb C M.A.Historical Perspective of Digital Evidence：A forensic Scientists’View[J].International Journal of Digital Evidence，2002，（1）：5-7.

[12]Carrier B，Spafford EH.Getting Physical with the Investigative Process[J].International Journal of Digital Evidence，2003，（2）：2.

[13]Venansius Baryamureeba，F(xiàn)lorence Tushabe.The Enhanced Digital Investigation Process Model[EB/OL].（2004-05-27）[2009-10-01]http://www.dfrws.org/bios/day1/Tushabe_EIDIP. pdf.