電子數(shù)據(jù)司法鑒定課程實(shí)驗(yàn)教學(xué)研究

亞 森·艾則孜

(新疆警察學(xué)院 信息安全工程系，新疆 烏魯木齊 830011)

據(jù)統(tǒng)計(jì)，我國從首例計(jì)算機(jī)犯罪(1986年利用計(jì)算機(jī)貪污案件)被發(fā)現(xiàn)至今，涉及數(shù)字設(shè)備的犯罪無論從犯罪類型還是從發(fā)案率來看，都在逐年大幅度上升,國外有犯罪學(xué)家預(yù)言:“未來信息化社會(huì)犯罪的形式將主要是基于數(shù)字設(shè)備的信息化犯罪”[1]。因此，在不同數(shù)字設(shè)備中可能遺留一些與相關(guān)案件有關(guān)的電子證據(jù)。 面對(duì)不斷上升的犯罪信息化現(xiàn)象，電子數(shù)據(jù)司法鑒定成為鑒定案件中數(shù)字證據(jù)的有力手段。2012年修訂的刑事訴訟法和民事訴訟法中都明確規(guī)定電子數(shù)據(jù)屬于證據(jù)的一種。電子數(shù)據(jù)司法鑒定，是一門新興的、發(fā)展迅速的學(xué)科，它在打擊犯罪、案件審判、維護(hù)國家安全和社會(huì)和諧穩(wěn)定等方面發(fā)揮著重要的作用。

1 電子數(shù)據(jù)司法鑒定實(shí)驗(yàn)課

目前，我國很多公安、政法院校的信息安全或刑事科學(xué)技術(shù)專業(yè)開設(shè)了電子數(shù)據(jù)司法鑒定課程，此課程已成為信息安全或刑事科學(xué)技術(shù)專業(yè)體系的核心課程之一。為適應(yīng)信息化時(shí)代的需求，需要深入研究該課程的問題，特別是研究實(shí)驗(yàn)教學(xué)模式問題，將有利于學(xué)生提高電子數(shù)據(jù)司法鑒定的能力。

電子數(shù)據(jù)司法鑒定課程是一門跨學(xué)科的理工科綜合課程，極具實(shí)踐性。在開設(shè)該課程之前,學(xué)生必須學(xué)過計(jì)算機(jī)原理、數(shù)據(jù)結(jié)構(gòu)、數(shù)據(jù)庫、C語言程序設(shè)計(jì)、偵查學(xué)及法學(xué)等課程，已掌握基本理論知識(shí)和基本專業(yè)技能。同時(shí)電子數(shù)據(jù)司法鑒定課程也是實(shí)踐性很強(qiáng)的課程，實(shí)踐教育是創(chuàng)新人才培養(yǎng)體系的重要組成部分。實(shí)驗(yàn)教學(xué)作為實(shí)踐教育的主要組成部分之一，對(duì)于提高學(xué)生的綜合素質(zhì)、培養(yǎng)學(xué)生的創(chuàng)新精神與實(shí)踐能力有著不可替代的作用[2]。

1.1 實(shí)驗(yàn)教學(xué)性質(zhì)和存在問題

電子數(shù)據(jù)司法鑒定實(shí)驗(yàn)教學(xué)是電子數(shù)據(jù)司法鑒定課程教學(xué)的重要環(huán)節(jié)，通過電子數(shù)據(jù)司法鑒定實(shí)驗(yàn)教學(xué)使學(xué)生更好地理解和掌握電子數(shù)據(jù)司法鑒定的知識(shí)及技能，讓學(xué)生熟練地掌握正確的電子數(shù)據(jù)司法鑒定理念、流程及具體鑒定工具(軟件、硬件設(shè)備)的操作,提高對(duì)實(shí)際問題的分析、解決能力。很多公安院校普遍存在的實(shí)際問題如下：

(1) 實(shí)驗(yàn)室的建設(shè)跟不上教育改革的步伐；

(2) 對(duì)電子數(shù)據(jù)司法鑒定課程實(shí)驗(yàn)教學(xué)重視不夠，導(dǎo)致課程體系和內(nèi)容不合理；

(3) 解決具體問題并具有綜合性的實(shí)驗(yàn)偏少，個(gè)別學(xué)校該課程實(shí)驗(yàn)課沒有完整的教學(xué)大綱，實(shí)驗(yàn)內(nèi)容缺乏針對(duì)性和實(shí)用性；

(4) 實(shí)驗(yàn)教師缺乏實(shí)踐能力，業(yè)務(wù)能力參差不齊。

1.2 實(shí)驗(yàn)教學(xué)要求和方法

(1) 實(shí)驗(yàn)室是教師進(jìn)行教學(xué)、科研的重要基地，也是學(xué)生理論聯(lián)系實(shí)際提高專業(yè)技能的重要場所，因此開設(shè)該課程的學(xué)校必須建立好充分滿足教學(xué)需要的電子數(shù)據(jù)司法鑒定實(shí)驗(yàn)室。

(2) 為激發(fā)學(xué)生的學(xué)習(xí)興趣、調(diào)動(dòng)學(xué)生的學(xué)習(xí)主動(dòng)性，任課教師根據(jù)教學(xué)大綱及實(shí)驗(yàn)室條件合理地設(shè)計(jì)好實(shí)驗(yàn)大綱，實(shí)驗(yàn)內(nèi)容的安排循序漸進(jìn)，從簡單到綜合，從模擬的小型案例到具有代表性的實(shí)際案例[3]。

(3) 任課教師必須具備豐富的實(shí)踐經(jīng)驗(yàn)，原則上擔(dān)任該課程實(shí)驗(yàn)教學(xué)的教師必須具有國家電子數(shù)據(jù)司法鑒定資格，應(yīng)具備通過有針對(duì)性的實(shí)際案例感染學(xué)生、激發(fā)學(xué)生的學(xué)習(xí)興趣和能力[4]。

2 實(shí)驗(yàn)教學(xué)改革

2.1 實(shí)驗(yàn)教學(xué)環(huán)境要求

對(duì)目前很多公安、政法類院校在電子數(shù)據(jù)司法鑒定教學(xué)實(shí)驗(yàn)室建設(shè)方面所遇到的種種問題，我們進(jìn)行了深入、細(xì)致的研究，并結(jié)合當(dāng)前電子數(shù)據(jù)司法鑒定發(fā)展的現(xiàn)狀，有針對(duì)性地提出公安、政法類院校進(jìn)行電子數(shù)據(jù)司法鑒定教學(xué)實(shí)驗(yàn)室建設(shè)的出發(fā)點(diǎn)[5]。

(1) 電子數(shù)據(jù)司法鑒定教學(xué)實(shí)驗(yàn)室所使用的設(shè)備是專門針對(duì)教學(xué)而開發(fā)的，與專業(yè)的取證設(shè)備相比，具有價(jià)格低廉、維護(hù)方便、使用簡單、適于教學(xué)等優(yōu)點(diǎn)，不需要很大的資金投入，可解決建設(shè)資金不足的問題。由于該實(shí)驗(yàn)室只能為教學(xué)服務(wù)，不需要建設(shè)類似于電子數(shù)據(jù)司法鑒定中心實(shí)驗(yàn)室一樣的高端實(shí)驗(yàn)室，可以在現(xiàn)有的計(jì)算機(jī)多媒體教室的基礎(chǔ)上進(jìn)行升級(jí)改造，充分提高現(xiàn)有實(shí)驗(yàn)室的利用率，降低實(shí)驗(yàn)室建設(shè)成本。實(shí)驗(yàn)室所需軟件和硬件設(shè)備與專業(yè)的鑒定工具相比，應(yīng)具有價(jià)格合理、使用簡單、維護(hù)方便等特點(diǎn)[6]。

(2) 電子數(shù)據(jù)司法鑒定教學(xué)實(shí)驗(yàn)室既能進(jìn)行理論教學(xué)，也能進(jìn)行實(shí)驗(yàn)教學(xué)，真正做到邊學(xué)習(xí)邊實(shí)踐，教師不需要在理論教室和實(shí)驗(yàn)室之間帶領(lǐng)學(xué)生來回奔波，實(shí)驗(yàn)室也方便管理，解決了師資不足問題。

根據(jù)以上觀點(diǎn)，我院建立了電子數(shù)據(jù)司法鑒定實(shí)驗(yàn)室，主要設(shè)備有FL-300實(shí)訓(xùn)系統(tǒng)、取證魔方、效率源、手機(jī)取證設(shè)備以及各類電子數(shù)據(jù)鑒定軟件工具等。

2.2 實(shí)驗(yàn)教學(xué)內(nèi)容設(shè)計(jì)

2.2.1 學(xué)生能力要求

通過電子數(shù)據(jù)司法鑒定課程的實(shí)驗(yàn)教學(xué)內(nèi)容，使學(xué)生能夠深化對(duì)課堂教學(xué)內(nèi)容的理解和掌握，熟悉和了解有關(guān)電子數(shù)據(jù)司法鑒定的相關(guān)技術(shù)方法及具體工具的使用方法和過程，初步掌握網(wǎng)絡(luò)犯罪與電子數(shù)據(jù)司法鑒定的基本理論、基本方法、基本技術(shù)及其在司法實(shí)踐中的應(yīng)用情況。為此,實(shí)驗(yàn)內(nèi)容需要精心設(shè)計(jì)，要能夠增強(qiáng)學(xué)生對(duì)學(xué)習(xí)內(nèi)容的感性認(rèn)識(shí)和實(shí)踐動(dòng)手能力，從而為理論聯(lián)系實(shí)際以及運(yùn)用于實(shí)際工作做好基本的技能準(zhǔn)備。電子數(shù)據(jù)司法鑒定實(shí)驗(yàn)教學(xué)必須反映具體電子數(shù)據(jù)司法鑒定工作內(nèi)容。目前電子數(shù)據(jù)司法鑒定業(yè)務(wù)具體內(nèi)容包括網(wǎng)站(網(wǎng)頁)內(nèi)容鑒定、郵件鑒定、軟件功能鑒定、軟件(電子設(shè)備)侵權(quán)問題鑒定、信息系統(tǒng)鑒定、文檔文本鑒定 、即時(shí)信息(聊天記錄)鑒定等。根據(jù)電子數(shù)據(jù)司法鑒定行業(yè)要求，學(xué)生通過本課程的學(xué)習(xí)，必須掌握以下基本能力:

(1) 各種不同編碼數(shù)據(jù)的分析能力；

(2) 現(xiàn)場勘查與電子數(shù)據(jù)的提取、固定與校驗(yàn)?zāi)芰Γ?/p>

(3) 各種存儲(chǔ)介質(zhì)數(shù)據(jù)的恢復(fù)能力；

(4) 各類文檔結(jié)構(gòu)及其文檔特征的分析能力；

(5) 用戶行為鑒定能力；

(6) 惡意程序鑒定能力；

(7) 數(shù)據(jù)庫鑒定能力；

(8) 電子文檔與數(shù)據(jù)電文鑒定能力；

(9) 電子數(shù)據(jù)相似性司法鑒定能力；

(10) 手機(jī)證據(jù)鑒定能力；

(11) 電子數(shù)據(jù)鑒定報(bào)告的書寫能力。

2.2.2 實(shí)驗(yàn)教學(xué)內(nèi)容

結(jié)合電子數(shù)據(jù)司法鑒定行業(yè)及電子數(shù)據(jù)司法鑒定員操作能力要求，實(shí)驗(yàn)教學(xué)內(nèi)容主要包括：

(1) 二進(jìn)制數(shù)據(jù)分析。在電子設(shè)備中所處理的各種語言文字信息都有編碼，主要有ASCII、Unicode、UTF-8、GB2312級(jí)BIG5等。電子數(shù)據(jù)司法鑒定提取、分析與處理的是計(jì)算機(jī)存儲(chǔ)介質(zhì)中的數(shù)據(jù)，因此，數(shù)據(jù)的機(jī)器表示是電子數(shù)據(jù)司法鑒定基礎(chǔ)中的基礎(chǔ)。通過本次實(shí)驗(yàn)，學(xué)生理解字符信息在數(shù)字設(shè)備中的不同應(yīng)用程序里的各種字符編碼、代碼頁，懂得文件系統(tǒng)邏輯結(jié)構(gòu)，了解并掌握低層次的數(shù)據(jù)分析。本次實(shí)驗(yàn)課所需的工具有Windows 造字程序、Debug、UltraEdit 和WinHex等。

(2) 易失性數(shù)據(jù)的收集。易失性數(shù)據(jù)是指系統(tǒng)運(yùn)行過程在某一時(shí)刻的詳細(xì)狀態(tài)信息，包括用戶登入列表、登入日期時(shí)間、運(yùn)行進(jìn)程列表以及網(wǎng)絡(luò)連接列表等信息。因易失性數(shù)據(jù)具有隱蔽性、客觀性、脆弱易逝性等特點(diǎn)，獲取這些證據(jù)的緊急性最高，所以必須最先獲取，以免意外情況造成易失性數(shù)據(jù)的丟失。通過本次實(shí)驗(yàn)，學(xué)生熟悉Windows等系統(tǒng)內(nèi)可獲取易失性數(shù)據(jù)的工具的功能以及使用方法和技巧。本次實(shí)驗(yàn)課所需的工具有PS Tools、cmd.exe、net stat、ipconfig、md5sum、arp等[7]。

(3) 保全備份的制作。根據(jù)規(guī)范要求，鑒定分析工作必須在原始證據(jù)的副本上進(jìn)行。原始證據(jù)的副本，一般可以分為幾種形式，如鏡像硬盤、證據(jù)文件等。證據(jù)文件是原始證據(jù)的精確副本，它是位對(duì)位的復(fù)制。通過本次實(shí)驗(yàn)，學(xué)生理解什么是合法的電子數(shù)據(jù)司法鑒定備份文件，了解選用備份工具的要求，學(xué)會(huì)能在只讀環(huán)境下用電子數(shù)據(jù)司法鑒定復(fù)制工具對(duì)磁盤數(shù)據(jù)進(jìn)行備份、查看映像備份文件的內(nèi)容、驗(yàn)證數(shù)據(jù)完整性(計(jì)算hash值)等。本次實(shí)驗(yàn)課所需的工具有Second Copy、File Genie 2000、Ghost、dd、EnCase、取證大師、只讀鎖、硬盤克隆工具DC-8000pro等[8]。

(4) 恢復(fù)已被刪除的數(shù)據(jù)。在對(duì)數(shù)字設(shè)備的應(yīng)用過程中，病毒的破壞、黑客的入侵、人為誤操作、人為惡意破壞、系統(tǒng)的不穩(wěn)定、存儲(chǔ)媒介的損壞等原因，都有可能使重要的數(shù)據(jù)丟失。為獲取原始數(shù)字證據(jù)，必要時(shí)需要進(jìn)行數(shù)據(jù)恢復(fù)[9]。通過本次實(shí)驗(yàn)，學(xué)生理解各種操作系統(tǒng)文件系統(tǒng)結(jié)構(gòu)及文件存取原理、各類文檔文件頭信息(特征碼)等，懂得數(shù)據(jù)恢復(fù)的可能性，了解并掌握常用的數(shù)據(jù)恢復(fù)軟件的使用方法和技能。本次實(shí)驗(yàn)課所需的工具有Private Disk、XY-Forensic、Final Data 和Easy Recovery等。

(5) 數(shù)據(jù)的加密與解密。在信息時(shí)代，信息可以幫助團(tuán)體或個(gè)人使他們受益，同樣，信息也可以用來對(duì)他們構(gòu)成威脅，造成破壞。在競爭激烈的大公司中，工業(yè)間諜經(jīng)常會(huì)獲取對(duì)方的情報(bào)。用戶經(jīng)常需要一種措施來保護(hù)自己的數(shù)據(jù)，防止被一些懷有不良用心的人看到或者破壞。因此，在客觀上就需要一種強(qiáng)有力的安全措施來保護(hù)機(jī)密數(shù)據(jù)不被竊取或篡改。在具體的電子數(shù)據(jù)司法鑒定工作過程中，鑒定人員肯定會(huì)遇到各種被加密過的文件，因此在該實(shí)驗(yàn)課中必須安排數(shù)據(jù)加密與解密實(shí)驗(yàn)內(nèi)容。通過本次實(shí)驗(yàn)，使學(xué)生理解數(shù)據(jù)機(jī)密的原理，掌握常用的密碼破解技術(shù)，學(xué)會(huì)使用加密與解密工具。本次實(shí)驗(yàn)課所需的工具有：FilesCrypter、Cmospwd、AOPR、GetIP、UZPC、CRACK、L0phtCrack5、WinPE啟動(dòng)光盤、ImageHide等。

(6) 電子證據(jù)分析綜合實(shí)驗(yàn)。電子數(shù)據(jù)司法鑒定工作對(duì)所獲得的證據(jù)進(jìn)行分析，目的是從中找出合法的、有效的電子證據(jù)，以供日后提交證據(jù)之用。通過使用合法的專用工具進(jìn)行分析，如果電子證據(jù)被發(fā)現(xiàn)時(shí)，應(yīng)將每件證據(jù)清晰、準(zhǔn)確地記錄下來。進(jìn)行此次實(shí)驗(yàn)課時(shí)，教師必須設(shè)計(jì)出具有代表性的案例，要講清楚從案情分析考慮要找什么樣的證據(jù)、此證據(jù)與此案件的關(guān)聯(lián)關(guān)系、采用什么工具及技術(shù)方法、可能犯下的錯(cuò)誤、注意事項(xiàng)、全程記錄到最終鑒定報(bào)告的出具等詳細(xì)過程[10]。通過本次實(shí)驗(yàn)，使學(xué)生理解在綜合取證、分析環(huán)境中建立案例和保存證據(jù)鏈，了解并掌握電子數(shù)據(jù)司法鑒定的全過程，包括保護(hù)現(xiàn)場、獲取證據(jù)、保存證據(jù)、分析證據(jù)和提交證據(jù)等。本次實(shí)驗(yàn)課所需的工具有FM取證大師、EnCase等。

(7) 手機(jī)取證。手機(jī)取證就是通過對(duì)存在手機(jī)內(nèi)存、SIM卡、閃存卡和移動(dòng)運(yùn)營商網(wǎng)絡(luò)以及短信服務(wù)提供商系統(tǒng)中的電子證據(jù)提取、保護(hù)、分析，最終找出與案件有關(guān)的、法庭可接受的證據(jù)的過程。進(jìn)行此次實(shí)驗(yàn)課時(shí)，教師首先解釋手機(jī)信息的類型及其存儲(chǔ)位置、手機(jī)取證原則及流程、排除干擾信號(hào)的方法等。通過本次實(shí)驗(yàn)，使學(xué)生了解在安全環(huán)境中如何進(jìn)行手機(jī)取證的流程，并熟練掌握使用專用手機(jī)取證工具來進(jìn)行手機(jī)取證的技術(shù)方法。本次實(shí)驗(yàn)課所需的工具有DC-4500手機(jī)取證套件。

3 結(jié)束語

在信息技術(shù)飛速發(fā)展的今天，對(duì)信息的依賴程度越來越高。在不同的案件中的相關(guān)電子證據(jù)獲取也面臨巨大的挑戰(zhàn)，這種現(xiàn)象對(duì)電子數(shù)據(jù)司法鑒定技術(shù)提出新的要求，因此要改變傳統(tǒng)的教學(xué)理念，尤其是在實(shí)驗(yàn)教學(xué)上進(jìn)行改革，而且教師要不斷提高自身的專業(yè)水平和素質(zhì)，加強(qiáng)對(duì)學(xué)生技能的有效提高，促進(jìn)電子數(shù)據(jù)司法鑒定課程實(shí)驗(yàn)教學(xué)質(zhì)量的提高。

[1] 王永全,齊曼.信息犯罪與計(jì)算機(jī)取證[M].北京：北京大學(xué)出版社,2010:344-350.

[2] 麥永浩.電子數(shù)據(jù)司法鑒定實(shí)務(wù)[M].北京：法律出版社,2011：1-15.

[3] 田運(yùn)生,劉維華,王景春.綜合性設(shè)計(jì)性實(shí)驗(yàn)項(xiàng)目建設(shè)的探索與實(shí)踐[J].實(shí)驗(yàn)技術(shù)與管理,2012,29(2):126-129.

[4] 丁美榮.虛擬實(shí)驗(yàn)與真實(shí)實(shí)驗(yàn)整合的計(jì)算機(jī)網(wǎng)絡(luò)研究性實(shí)驗(yàn)教學(xué)研究[J].實(shí)驗(yàn)技術(shù)與管理,2011,28(5):163-166.

[5] 馬丁,高云飛，王永全，等.電子數(shù)據(jù)勘查取證與鑒定(系列書)[M].北京:中國人民公安大學(xué),2012:88-96.

[6] 林元乖.創(chuàng)新型計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)教學(xué)研究[J].實(shí)驗(yàn)技術(shù)與管理,2010,27(12):174-177.

[7] Bill Nelson,Amelia Phillips,Fran Enfinger.計(jì)算機(jī)取證調(diào)查指南[M].重慶：重慶大學(xué)出版社,2009:218-226.

[8] 麥永浩,隆波,向大為,等.電子數(shù)據(jù)司法鑒定機(jī)構(gòu)儀器設(shè)備配置標(biāo)準(zhǔn)研究[J].中國司法鑒定，2012(1):90-92.

[9] 司法部司法鑒定科學(xué)技術(shù)研究所(上海法醫(yī)學(xué)重點(diǎn)實(shí)驗(yàn)室).2012司法鑒定能力驗(yàn)證鑒定文書評(píng)析[M].上海：科學(xué)出版社，2013：492-495.

[10] 霍憲丹，杜志淳，郭華，等.司法鑒定通論[M].北京：法律出版社，2013：318-322.