電子取證技術(shù)的研究與應用

戴　芬，劉洪偉，李　璐

（聊城市公安局，聊城252000）

?

電子取證技術(shù)的研究與應用

戴芬，劉洪偉，李璐

（聊城市公安局，聊城252000）

摘要：隨著現(xiàn)代信息技術(shù)的快速發(fā)展，電子取證技術(shù)在打擊犯罪活動中的作用日益凸顯，從電子證據(jù)特點、電子取證原則和方法入手，通過一具體案例對電子取證技術(shù)的注意事項以及如何取證進行闡述。

關(guān)鍵詞：電子證據(jù)；取證技術(shù)；數(shù)據(jù)恢復

0　引言

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，計算機犯罪也日益威脅著個人、企業(yè)乃至國家的信息安全。2013年1月1日實施的《刑訴法》第四十八條，明確將“視聽資料、電子數(shù)據(jù)”作為刑事訴訟證據(jù)的種類之一后，電子證據(jù)的法律地位已得到認可。因此在當前的信息化社會環(huán)境下，開展電子證據(jù)的取證技術(shù)研究，對提高打擊成效、遏制犯罪活動的蔓延勢頭具有非常重要的現(xiàn)實意義。

1　電子取證概述

1.1電子證據(jù)的概述

隨著信息化的發(fā)展，計算機和電子文件已成為傳遞信息、記錄事實的重要載體，一旦涉及計算機網(wǎng)絡的犯罪方法和行為就成為電子證據(jù)。電子證據(jù)是犯罪行為遺留在計算機、手機等各種電子設備中的客觀反映。

1.2電子證據(jù)的特點

電子證據(jù)與物證、書證等傳統(tǒng)證據(jù)一樣，具備客觀性、關(guān)聯(lián)性、合法性特征，除此之外還具有以下突出特點：

（1）數(shù)字化。電子證據(jù)是以數(shù)字或模擬信號的形式存儲的，以“0”和“1”表示通過排列組合來表示特定數(shù)值的數(shù)據(jù)，所以記錄方式的數(shù)字化和虛擬性是電子證據(jù)最根本的特點。

（2）多樣化。由亍多媒體技術(shù)的應用，使電子證據(jù)綜合了文本、圖形、圖像、動畫、音頻及視頻等多種媒體信息，幾乎涵蓋了所有傳統(tǒng)證據(jù)類型。

（3）易破壞性。電子證據(jù)在計算機中是用數(shù)字信號的方式存在，容易被修改、損壞或銷毀，無論是犯罪嫌疑人的有意行為還是無意識的操作失誤或者病毒感染、硬件故障、突然斷電等原因，都很可能破壞電子證據(jù)的原始狀態(tài)，甚至導致電子證據(jù)永久滅失。

1.3取證原則

（1）證據(jù)現(xiàn)場的勘查保護。在取證檢查中，保護目標計算機系統(tǒng)，避免發(fā)生任何的改變、傷害、數(shù)據(jù)破壞或病毒感染。

（2）證據(jù)的提取和固定。提取和固定電子證據(jù)時，一個重要原則就是確保對目標計算機中的原始數(shù)據(jù)不產(chǎn)生任何改動和破壞，保證電子證據(jù)的真實性、完整性和安全性。

（3）證據(jù)的分析。對電子數(shù)據(jù)進行分析以查找需要的電子證據(jù)。包括搜索目標系統(tǒng)中雖有文件，全部（或盡可能）恢復發(fā)現(xiàn)的已刪除文件，分析在磁盤的特屬區(qū)中發(fā)現(xiàn)所有相關(guān)數(shù)據(jù)等。

2　電子取證具體方法

2.1取證時加強對移動存儲介質(zhì)的取證

犯罪分子反偵察意識越來越強，如電腦裝有無影無蹤等自動擦除軟件、TrueCrypt等虛擬容器軟件，使得無法恢復系統(tǒng)的使用痕跡，計算機數(shù)據(jù)的取證也變得越來越困難。但這些軟件基本是對電腦硬盤進行擦除，對U盤等移動存儲介質(zhì)可能會有遺漏，因此，加強對計算機上曾使用設備的痕跡分析，能夠在某些方面為取證人員找到新的證據(jù)線索，提供新的獲取電子證據(jù)的方式。

2.2要識別可疑簽名文件

嫌疑人通過修改存儲介質(zhì)中的文件的擴展名來改變文件類型，如將zip、rar等壓縮文檔改為avi、mp3等格式，并將avi等類型的文件和其他真實的avi類型的文件存放在一起以便于偽裝，或者將其擴展名修改為不常用的inf、int等類型的文件。如果對于avi等視頻類型的文件用視頻播放軟件無法正常打開，則很有可能是修改了簽名的文件，如果對于擴展名為txt的文檔過大，也有可能是修改了簽名的文件。

2.3采用各種手段對加密文檔進行密碼破解

嫌疑人如果使用TrueCrypt加密軟件進行文件加密時，采用兩層或者更多層的加密方式，在加密文件中可能還存有加密文件或者鏡像文件等。我們把隱藏加密文件的外套“普通加密文件”解密出后，真正的受保護的信息則隱藏在隱藏卷中。這就需要我們采用各種手段來獲取密碼。

（1）如果能從嫌疑人口中獲取密碼將會提高破解效率，很多情況下，從嫌疑人口中獲取密碼會受阻，偵查人員還需要查找電子存儲設備表面、或附近記錄的重要信息，如各種口令、密碼、電話號碼等；還要認真搜查嫌疑人家中存放的涉案電子存儲介質(zhì)、書籍、字條、筆記本、丟掉的打印文件等，查找書寫記錄的密碼串。

（2）一般嫌疑人記不住長長的字符串密碼，常將密碼隱藏在一些txt或word中，而這些txt或者word文檔有可能會被改變擴展名來隱藏起來，這些存放密碼的文檔還可能會和加密文檔存放在同一個目錄下，所以重點加強對word或txt文檔的分析，對獲取密碼是非常有利的一個手段；

（3）重點加強對保存于同一目錄下的可疑簽名文件的分析，也會給加密文件的解密創(chuàng)造更多的機會。

2.4搜索目標系統(tǒng)中的所有文件

全部（盡可能）恢復發(fā)現(xiàn)的已刪除文件，全部（盡可能）對受損的文件進行修復。

文件刪除后，文件內(nèi)容的存儲空間沒有被重新分配，只是將文件的目錄項和表項作了修改，如果被刪除文件數(shù)據(jù)沒有被新的數(shù)據(jù)所覆蓋，就可以通過重新構(gòu)建文件的目錄項和表項將刪除的文件恢復過來，如果文件記錄被覆蓋或者有關(guān)文件存儲位置信息無法找到，可以根據(jù)文件類型對整個存儲介質(zhì)按簇進行搜索來恢復指定文件類型的數(shù)據(jù)。

2.5計算機現(xiàn)場取證

（1）保護好現(xiàn)場

如果到達現(xiàn)場時，邪教組織成員的犯罪行為正在發(fā)生，偵查人員首先要保護好現(xiàn)場，禁止嫌疑人接觸電子設備，防止嫌疑人采用隱蔽手段故意破壞證據(jù)，如果電子設備（包括計算機、打印機等）已經(jīng)打開，不要立即關(guān)閉該電子設備，如果電子設備已經(jīng)關(guān)閉，不要打開該電子設備。

（2）固定易丟失證據(jù)

偵查人員必須意識到應用程序當前內(nèi)存中可能保留有重要的證據(jù)。例如打印程序中可能包含有用戶剛打印的信息等，關(guān)閉計算機后，這些信息將會丟失，因此偵查人員必須根據(jù)案件情況謹慎的評估提取這些信息的必要性。如果嫌疑人正在編輯電子文檔，不要直接保存該電子文檔，必須將該電子文檔另存到偵查人員自帶的存儲媒介，用相機拍攝計算機以及屏幕上顯示的內(nèi)容，同時記錄拍攝的時間?？截惿姘鸽娔X中的資料，同時計算資料的MD5值；整個取證過程用錄像機進行錄像。

（3）全面了解案情，綜合運用多種手段和技術(shù)，提高偵查能力

取證人員進行取證時，首先要加強同辦案部門的溝通和交流，取證人員要全面了解掌握案情，并參與對案情有關(guān)的一切證據(jù)的搜查工作，為后期的破解工作奠定基礎；其次要綜合運用各種手段和技術(shù)，采用軟件分析和人工分析相結(jié)合的方法，提高偵查取證能力。

3　結(jié)合實例談取證分析過程

3.1案情分析

2014年5月，某電子數(shù)據(jù)檢驗鑒定中心受理了一起電子數(shù)據(jù)鑒定業(yè)務，簡要案情如下：2014年4月，干警在市場上發(fā)現(xiàn)大量邪教宣傳單，經(jīng)跟蹤調(diào)查，在某市某村村民郭某家中發(fā)現(xiàn)大量關(guān)于邪教的印刷品、制作違法物品的復印機等各種器材。同時，郭某正在運行的筆記本電腦屏幕上也顯示有邪教相關(guān)內(nèi)容，由于辦案干警缺乏經(jīng)驗，當場把電腦關(guān)閉并帶走，導致電腦數(shù)據(jù)無法恢復。

3.2取證過程方法要點分析

通過取證大師的自動取證發(fā)現(xiàn)，在該筆記本硬盤上有邪教特制的操作系統(tǒng)，并且有“TrueCrypt.exe”虛擬容器、“Wywz.ext”無影無蹤等軟件。該硬盤還安裝有軟件“自由門fg742r.exe”和“無界瀏覽U1304.exe”等“翻墻”軟件。通過對電腦硬盤的深度恢復和簽名恢復，在筆記本硬盤上沒有發(fā)現(xiàn)完整文件，有大量關(guān)于邪教的文字的碎片文件；在上網(wǎng)記錄里面，有“明慧網(wǎng)”上網(wǎng)記錄304條。

同時發(fā)現(xiàn)在硬盤上存在一可疑盤符“F”，但是無法對盤符內(nèi)容進行操作，于是判斷此盤符可能是通過U盤制作的盤符。遂通知辦案干警與取證人員對家中進行搜查，找到該U盤。取證人員對U盤進行深度恢復和簽名恢復，發(fā)現(xiàn)大量可疑簽名文件。（文中僅列舉部分典型文件）

其中“Auturn.inf”,“disk.int”,“變形金剛.avi”均為壓縮文件，將其導出，并以壓縮文件格式打開。“見證章節(jié). txt”為“手機視頻3GP”文件。

“Auturn.zip”壓縮包已經(jīng)損壞，經(jīng)過修復軟件修復后，解壓得到一些pdf文檔和壓縮文件，如圖所示：

圖1　Auturn.zip解壓后的文件

“見證章節(jié).txt”,已經(jīng)刪除，通過深度恢復和簽名恢復，導出“見證章節(jié).3GP”視頻文件，為涉及邪教組織的“講話錄像”文件。經(jīng)仔細分析“見證章節(jié).txt”，邏輯大小為194191396字節(jié)，物理大小194215936字節(jié)，一般txt文本文件不可能那么大，于是也可以分析出是可疑簽名文件。

在對U盤進行深度恢復后，有擴展名為doc的文檔無法用Office正常打開，經(jīng)過分析，發(fā)現(xiàn)此文檔文件頭為“00 00 00 00 00 00 00”，可以看出文件頭已經(jīng)被破壞，通過X-way軟件打開該doc文檔，并對文件頭進行修改如下，“D0 CF 11 E0 A1 B1 1A E1”，修復后的doc文檔為邪教組織宣傳資料。

圖2　修復后的doc文檔

4　結(jié)語

我國電子取證研究尚處在起步階段，隨著智能手機、互聯(lián)網(wǎng)的迅速普及，犯罪案件出現(xiàn)網(wǎng)絡化特點，單一的靜態(tài)取證模式已經(jīng)不能滿足打擊犯罪的實戰(zhàn)需求，需要將動態(tài)取證技術(shù)和靜態(tài)取證技術(shù)相結(jié)合，應用到犯罪案件的電子取證過程中，這也是今后研究的重點和難點。

參考文獻：

[1]王金成,左昊.邪教組織犯罪案件偵查的思考[J].吉林公安高等專業(yè)學校學報，2003.

[2]劉建軍.淺談電子證據(jù)在公安工作中發(fā)展的若干對策.中國人民公安大學.技術(shù)應用.

[3]楊永川,蔣平,黃淑華.計算機犯罪偵查[M].北京：清華大學出版社，2007.

[4]文森.電子取證技術(shù)在毒品犯罪案件中的應用研究[D].碩士論文蘭州理工大學，2014.

[5]常艷.偵查與電子技術(shù)取證[M].北京：群眾出版社.中國人民公安大學出版社，2010:331.

劉洪偉（1980-），男，山東聊城人，碩士，助理工程師，研究方向電子取證工作

李璐（1978-），女，山西靈丘人，本科，助理工程師，研究方向電子取證工作

Research and Application of Electronic Forensic Technology

DAI Fen，LIU Hong-wei，LI Lu
（Liaocheng Municipal Public Security Bureau，Liaocheng 252000）

Abstract：With the rapid development of modern information technology, the role of electronic forensics technology is growing in the crime fighting, therefore, describes considerations of the electronic forensics technology and how to obtain evidence in terms of electronic evidence characteristics, principles and methods through a concrete case.

Keywords：Electronic Evidence; Forensics Technology; Data Recovery

收稿日期：2016-01-12修稿日期：2016-03-19

作者簡介：book=75,ebook=76戴芬（1982-），女，山東菏澤人，碩士，助理工程師，研究方向電子取證工作

文章編號：1007-1423（2016）10-0072-04

DOI：10.3969/j.issn.1007-1423.2016.10.018