現(xiàn)場(chǎng)勘驗(yàn)電子存儲(chǔ)介質(zhì)預(yù)檢指標(biāo)體系研究

韋同勝 高梓銘 崔元禎 郭妍

摘 ?要： 為適應(yīng)規(guī)范化勘查取證要求，加強(qiáng)現(xiàn)場(chǎng)提取至實(shí)驗(yàn)室送檢過程中對(duì)電子數(shù)據(jù)存儲(chǔ)介質(zhì)性狀的預(yù)判與掌握能力，加強(qiáng)物證原始性監(jiān)督，分別通過必要性、適用性、可行性的論證，提出加強(qiáng)現(xiàn)場(chǎng)預(yù)檢工作思路。從辨識(shí)屬性、健康屬性、數(shù)據(jù)屬性三個(gè)層次構(gòu)建預(yù)檢指標(biāo)體系，并根據(jù)介質(zhì)特性，從硬盤與Flash芯片存儲(chǔ)分別梳理出了現(xiàn)場(chǎng)勘驗(yàn)電子存儲(chǔ)介質(zhì)預(yù)檢指標(biāo)集。預(yù)檢指標(biāo)體系的建立必將促進(jìn)勘查取證工作的規(guī)范化。

關(guān)鍵詞： 規(guī)范化; 存儲(chǔ)介質(zhì); 預(yù)檢; 指標(biāo)體系

中圖分類號(hào)：TP306 ? ? ? ? ?文獻(xiàn)標(biāo)志碼：B ? ? 文章編號(hào)：1006-8228（2019）10-99-04

Abstract： In order to meet the requirements for the standardization of investigation and forensics， strengthen the anticipation and control of electronic data storage medium properties in the process of conveying evidence from the site to lab， as well as strengthen the supervision of the origin of material evidence， according to the necessity， applicability and feasibility demonstration， this paper puts forward the idea to strengthen the pre-inspection work on site and constructs the index system of pre-inspection from the three attributes of identification， health and data. On the basis of the medium characteristics， this paper also respectively sorts out the pre-inspection index set of electronic storage medium for investigation on site from the two aspects of the hard disk and Flash chip storage. The establishment of pre-inspection index system will promote the standardization of investigation and forensics work.

Key words： standardization; storage media; pre-inspection; index system

0 引言

現(xiàn)今用于儲(chǔ)存圖像、視頻、音頻、文件等資料的介質(zhì)越來越多。在現(xiàn)場(chǎng)進(jìn)行證據(jù)采集時(shí)，除需要執(zhí)法人員界定產(chǎn)品外型、類別外，還需要明確介質(zhì)的型號(hào)，容量，是否可以讀取，數(shù)據(jù)是否損壞等基本情況。在轟動(dòng)全國(guó)的“快播”案件中，辯訴方律師對(duì)證據(jù)的采集過程是否合法提出質(zhì)疑，辯訴方對(duì)起獲的服務(wù)器真實(shí)性、有效性也提出了懷疑。并針對(duì)證物采集后是否受到人為污染[1]，人為在硬盤服務(wù)器中加入視頻數(shù)據(jù)提出了疑問，質(zhì)疑證物的有效性。因此，提出一套適用于現(xiàn)場(chǎng)電子介質(zhì)快速檢測(cè)指標(biāo)體系，便于在公檢法機(jī)構(gòu)執(zhí)行扣押證據(jù)采集時(shí)候，對(duì)具有隱蔽性的介質(zhì)、數(shù)據(jù)狀態(tài)[2]進(jìn)行初查，明確所存電子數(shù)據(jù)的原始性狀[3]，是此次研究的目的。

1 電子存儲(chǔ)介質(zhì)預(yù)檢必要性

從我國(guó)的發(fā)展情況看，電子物證的勘驗(yàn)和提取發(fā)展非常迅速，涉案數(shù)呈不斷上升趨勢(shì)，各省市基本都有了專業(yè)的電子物證的勘驗(yàn)和提取機(jī)構(gòu)和鑒定人員。截止“十二五”末，全國(guó)隸屬刑偵部門的電子物證檢驗(yàn)鑒定機(jī)構(gòu)已有219個(gè)，根據(jù)建設(shè)要求及涉案檢材檢驗(yàn)、鑒定需求，專業(yè)實(shí)驗(yàn)室建設(shè)將連續(xù)多年保持高速發(fā)展，專業(yè)技術(shù)人才缺口也非常大，同時(shí)技術(shù)人員還多集中在省市兩級(jí)，縣區(qū)現(xiàn)勘一線普遍技術(shù)人員少，缺乏系統(tǒng)培訓(xùn)，急需通過技術(shù)裝備加強(qiáng)電子物證專業(yè)，使之發(fā)揮應(yīng)用的作用，但此項(xiàng)的研究基本處于剛剛起步階段。目前，我國(guó)在電子物證勘驗(yàn)提取的工作中，著重研究的方向是如何提取和分析所獲電子物證中的數(shù)據(jù)，也就是電子物證提取扣押后的階段，而忽略了在現(xiàn)場(chǎng)提取電子物證時(shí)，當(dāng)事人、見證人[4]在場(chǎng)情況下，對(duì)電子物證存儲(chǔ)載體做必要的檢驗(yàn)，明確存儲(chǔ)介質(zhì)是否可讀取，是否有物理或邏輯損壞，具體損壞的情況如何等，從而為下一階段的數(shù)據(jù)提取和分析提供充足的法律依據(jù)和保障。因此，在電子物證的勘驗(yàn)和提取工作中，只有同時(shí)做好以上兩個(gè)階段的專業(yè)工作，才能確保證據(jù)的真實(shí)性、合法性和完整性。

2 預(yù)檢指標(biāo)體系適用性

隨著電子信息技術(shù)發(fā)展，特別是物聯(lián)網(wǎng)時(shí)代的到來，生活中的電子儀器設(shè)備已從傳統(tǒng)的計(jì)算機(jī)、手機(jī)等常用類型發(fā)展成了包羅萬象各類集合，各類設(shè)備外形、標(biāo)準(zhǔn)、特性不一，但歸根結(jié)底主要為計(jì)算單元、存儲(chǔ)單位、IO接口等，其中存儲(chǔ)部分主要承擔(dān)數(shù)據(jù)、過程記錄功能，是電子物證獲取、分析的重點(diǎn)[5]，因此預(yù)檢指標(biāo)[6]體系也主要圍繞存儲(chǔ)部件建立。常見的獨(dú)立存儲(chǔ)介質(zhì)主要包括硬盤、U盤、SD/TF卡等，一體化存儲(chǔ)介質(zhì)主要為設(shè)備電路板上集成的存儲(chǔ)芯片。由于集成存儲(chǔ)芯片介質(zhì)通常物理特性穩(wěn)定，加之其嵌入式存儲(chǔ)數(shù)據(jù)通用性差，因此現(xiàn)在提出的預(yù)檢指標(biāo)體系主要針對(duì)獨(dú)立存儲(chǔ)介質(zhì)。

3 預(yù)檢指標(biāo)體系

預(yù)檢指標(biāo)體系應(yīng)包括三個(gè)層次，一是辨識(shí)屬性，主要是指設(shè)備出廠型號(hào)、參數(shù)等，它通常具有設(shè)備識(shí)別的作用。二是健康屬性，主要反映設(shè)備過往及當(dāng)前穩(wěn)定性、可靠性，明確檢材硬件狀態(tài)，便于有針對(duì)性送檢、預(yù)測(cè)風(fēng)險(xiǎn)、劃分物證流轉(zhuǎn)責(zé)任。三是數(shù)據(jù)屬性，這是檢材作為電子物證提取物最核心的部分，是反映事實(shí)的關(guān)鍵。

綜合考慮物理結(jié)構(gòu)、存儲(chǔ)原理，設(shè)備參數(shù)[7]特點(diǎn)，上述獨(dú)立存儲(chǔ)介質(zhì)大體可劃分為硬盤、FLASH芯片存儲(chǔ)兩大類分別建立預(yù)檢指標(biāo)體系。

3.1 硬盤類存儲(chǔ)預(yù)檢指標(biāo)體系

機(jī)械硬盤與固態(tài)硬盤雖在物理結(jié)構(gòu)、存儲(chǔ)原理上完成不同但兩者在設(shè)備參數(shù)集合上保持了延續(xù)性，因此可建立統(tǒng)一的測(cè)評(píng)指標(biāo)。在綜合參考主流硬盤常見檢測(cè)指標(biāo)的基礎(chǔ)上（見圖1），筆者歸納總結(jié)了硬盤類存儲(chǔ)預(yù)檢指標(biāo)集，其中健康屬性主要基于S.M.A.R.T[8]檢測(cè)實(shí)現(xiàn)。

當(dāng)然，并非所有品牌的硬盤都會(huì)有統(tǒng)一的S.M.A.R.T信息標(biāo)準(zhǔn)，所以為了統(tǒng)一判斷信息，筆者暫定了11項(xiàng)常見并具有代表意義的檢測(cè)項(xiàng)目作為健康屬性的主要構(gòu)成。具體包括：①底層數(shù)據(jù)讀取錯(cuò)誤率;②啟動(dòng)/停止計(jì)數(shù);③重映射扇區(qū)數(shù);④通電時(shí)間累計(jì);⑤主軸起旋重試次數(shù);⑥磁盤校準(zhǔn)重試次數(shù);⑦磁盤通電次數(shù);⑧溫度;⑨當(dāng)前等待中扇區(qū)數(shù);⑩ULTRA DMA奇偶校驗(yàn)錯(cuò)誤率;11寫錯(cuò)誤率（見圖2）。

3.2 芯片類存儲(chǔ)預(yù)檢指標(biāo)體系

由于Flash芯片存儲(chǔ)性能穩(wěn)定、可靠性強(qiáng)，且不支持SMART自檢測(cè)，因此對(duì)比硬盤類存儲(chǔ)，預(yù)檢指標(biāo)體系差異還是較為明顯的（見圖3）。①辨識(shí)屬性項(xiàng)目較多，設(shè)備、主控單元、存儲(chǔ)單元的軟硬件規(guī)格、版本都有明確細(xì)分。②健康屬性部分，比較普遍的檢測(cè)主要為讀取速度和壞塊數(shù)。③數(shù)據(jù)屬性部分，根據(jù)文件系統(tǒng)的不同，指標(biāo)中存在FAT與MFT相關(guān)指標(biāo)項(xiàng)（見圖4）。

4 現(xiàn)場(chǎng)預(yù)檢可行性

現(xiàn)場(chǎng)預(yù)檢工作開展除應(yīng)具備必要性外，還應(yīng)具備可行性。下面分別從技術(shù)可行性與現(xiàn)實(shí)可操作性進(jìn)行分析。①術(shù)可行性，通用硬盤檢測(cè)工具主要包括硬盤哨兵、HDDScan、HDDTUNE等，硬盤修復(fù)工具如PC3000、效率源、DFL等也都集成了硬盤檢測(cè)功能，都可以對(duì)硬盤的固件、版本、序列號(hào)、容量、以及硬盤健康狀況、不穩(wěn)定扇區(qū)數(shù)、重新映射扇區(qū)計(jì)數(shù)、讀寫錯(cuò)誤率[9]等SMART健康指標(biāo)進(jìn)行檢測(cè)。通用U盤檢測(cè)工ChipGenius、CheckUDisk等可以識(shí)別U盤等Flash存儲(chǔ)的主控芯片、設(shè)備ID、閃存識(shí)別號(hào)等。DISKGEN、DFL等也都支持硬盤、U盤等存儲(chǔ)數(shù)據(jù)目錄結(jié)構(gòu)統(tǒng)計(jì)與在線分析。生成MD5散列值的小工具更是十分方便獲得。綜上所述，現(xiàn)場(chǎng)開展電子物證存儲(chǔ)介質(zhì)預(yù)檢在技術(shù)上是成熟可行的，可供選擇的工具也十分豐富的。②現(xiàn)實(shí)可操作性，現(xiàn)場(chǎng)勘查時(shí)偵查人員、技術(shù)人員工作原本內(nèi)容已較為飽滿，特別是基層人手緊張，經(jīng)常是出了一個(gè)現(xiàn)場(chǎng)就要趕去下一個(gè)現(xiàn)場(chǎng)，因此是否可以在有限時(shí)間內(nèi)完成預(yù)檢工作，就是現(xiàn)場(chǎng)預(yù)檢能否順利推行的重要因素。為得到真實(shí)的數(shù)據(jù)，筆者通過實(shí)測(cè)并參考其他技術(shù)人員研究成果，得出執(zhí)行預(yù)檢的大體時(shí)間（見表1）。需要特別說明的是，由于計(jì)算能力、接口速度、檢測(cè)對(duì)象性能等因素差異，執(zhí)行扇區(qū)掃描、生成MD5所需時(shí)間差異是比較明顯的，加電檢測(cè)、S.M.A.R.T健康檢測(cè)、文件系統(tǒng)識(shí)別基本不受影響。

5 結(jié)論

通過分析可以看出，在現(xiàn)場(chǎng)對(duì)電子數(shù)據(jù)存儲(chǔ)介質(zhì)進(jìn)行預(yù)檢，掌握介質(zhì)健康狀態(tài)及數(shù)據(jù)基本情況，必要時(shí)進(jìn)行扇區(qū)快速掃描、生成散列值，對(duì)明確物證原始屬性、物證流轉(zhuǎn)責(zé)任、確保電子物證真實(shí)可信都有重要意義，在技術(shù)上、操作性上具備可行性。然而原有檢測(cè)工具都不是針對(duì)電子證據(jù)檢測(cè)設(shè)計(jì)的，無法保障對(duì)原始檢材的只讀要求，功能及設(shè)計(jì)上通常較為復(fù)雜，不適合基層操作人員快速上手。因此，要推行現(xiàn)場(chǎng)勘驗(yàn)電子存儲(chǔ)介質(zhì)預(yù)檢工作，還需要結(jié)合預(yù)檢指標(biāo)體系設(shè)計(jì)研發(fā)出適合的工具，并在推行過程中不斷優(yōu)化完善這一指標(biāo)體系，讓其在規(guī)范現(xiàn)場(chǎng)執(zhí)法與物證檢驗(yàn)鑒定中發(fā)揮更大作用。

參考文獻(xiàn)（References）：

[1] 鄒國(guó)強(qiáng).電子物證提取和檢驗(yàn)前的“污染”研究[J].信息網(wǎng)絡(luò)安全，2011.6：75-76

[2] 蔣天蔚，劉啟剛.“一長(zhǎng)四必”視閾下偵查人員犯罪現(xiàn)場(chǎng)勘查核心能力研究[J].河北公安警察職業(yè)學(xué)院學(xué)報(bào)，2018.3：18-22

[3] 戴士劍，李運(yùn)策，梅越.電子物證溯源性研究[J].信息網(wǎng)絡(luò)安全，2010.11：15-18

[4] 黃少石.現(xiàn)場(chǎng)勘查見證人模式的再思考——以俄羅斯體系為研究切入點(diǎn)[J].江西公安?？茖W(xué)校學(xué)報(bào)，2010.3：43-49

[5] 楊秀華，李浩.電子物證檢驗(yàn)工作模式探析[J].法制博覽，2017.23：142.

[6] 王永剛.對(duì)電子數(shù)據(jù)現(xiàn)場(chǎng)獲取存在問題的分析與探討[J]. 科技資訊，2013.26：25

[7] 舒月，張毅，劉鶴.固態(tài)硬盤與機(jī)械硬盤邏輯層數(shù)據(jù)恢復(fù)比較研究[J].保密科學(xué)技術(shù)，2018.7：20-25

[8] 宋云華.基于S.M.A.R.T.預(yù)測(cè)故障磁盤的研究[D].南京大學(xué)，2014.

[9] 工作.為PC硬盤做健康體檢[J].電腦知識(shí)與技術(shù)（經(jīng)驗(yàn)技巧），2009.3：80-81