電子數(shù)據(jù)檢驗(yàn)技術(shù)在辦理疑難案件中的應(yīng)用研究

顏亮 王洋

2012年之前，我國(guó)法律規(guī)定的證據(jù)的形式只有物證、書證，證人證言，被害人陳述，犯罪嫌疑人、被告人供述和辯解，鑒定結(jié)論，勘驗(yàn)、檢查筆錄，視聽資料等7種。隨著科學(xué)技術(shù)和信息化的發(fā)展，電子數(shù)據(jù)逐步進(jìn)入人們的生活，也越來越多地出現(xiàn)在司法實(shí)踐中。2012年先后修正通過的《中華人民共和國(guó)刑事訴訟法》和《中華人民共和國(guó)民事訴訟法》，把電子數(shù)據(jù)作為一種重要的訴訟證據(jù)形式寫到法律中，明確了電子數(shù)據(jù)的地位。最高人民法院、最高人民檢察院、公安部《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》明確，“電子數(shù)據(jù)是案件發(fā)生過程中形成的，以數(shù)字化形式存儲(chǔ)、處理、傳輸?shù)?，能夠證明案件事實(shí)的數(shù)據(jù)?！苯陙?，涉及電子數(shù)據(jù)的案件在快速增加，電子數(shù)據(jù)檢驗(yàn)在案件偵查、訴訟中的地位和作用越來越重要。本文通過一起疑難案件辦理，對(duì)電子數(shù)據(jù)檢驗(yàn)技術(shù)有關(guān)難點(diǎn)問題進(jìn)行探析。

一、案件難點(diǎn)

犯罪嫌疑人李某使用個(gè)人優(yōu)盤儲(chǔ)存了大量單位內(nèi)部文件資料，且不如實(shí)交待具體來源。該案中，作為證據(jù)，電子數(shù)據(jù)的真實(shí)性和完整性至關(guān)重要，取證過程主要有3個(gè)難點(diǎn)：

1.相同文件比對(duì)難。李某個(gè)人優(yōu)盤中存有word、PowerPoint、pdf、rar、zip、jpeg、excel等數(shù)千份有效文件，其在工作中能夠接觸到的辦公電子設(shè)備眾多，偵查機(jī)關(guān)需要查明李某個(gè)人優(yōu)盤中的文件分別來自哪臺(tái)電子設(shè)備。但是辦公電子設(shè)備中數(shù)據(jù)量巨大，經(jīng)數(shù)據(jù)恢復(fù)，發(fā)現(xiàn)提取數(shù)十萬(wàn)份電子數(shù)據(jù)文件，難點(diǎn)在于面對(duì)海量數(shù)據(jù)，如何與李某個(gè)人優(yōu)盤中文件進(jìn)行一致性比對(duì)？

2.加密文件破解難。李某個(gè)人優(yōu)盤中存有加密文件，且拒不交代文件密碼。難點(diǎn)在于如何查明加密文件中是否存有單位內(nèi)部文件？是否存有涉案關(guān)鍵信息？

3.加密硬盤取證難。李某接觸到的辦公電子設(shè)備中有加密計(jì)算機(jī)，通過專用密鑰使用專門算法對(duì)部分硬盤分區(qū)進(jìn)行加密，如何對(duì)加密硬盤數(shù)據(jù)進(jìn)行取證分析成為難點(diǎn)。

二、檢驗(yàn)方法

為保證電子數(shù)據(jù)能夠作為證據(jù)使用，要依據(jù)國(guó)家標(biāo)準(zhǔn)GB/T 29360-2012《電子物證數(shù)據(jù)恢復(fù)檢驗(yàn)規(guī)程》對(duì)電子數(shù)據(jù)的規(guī)范性、真實(shí)性、有效性，進(jìn)行檢驗(yàn)，全程錄像備查。按照檢驗(yàn)規(guī)程，首先進(jìn)行檢材數(shù)據(jù)固定，由于電子數(shù)據(jù)易于修改、易被破壞，為保護(hù)其完整性，要使用高速硬盤復(fù)制系統(tǒng)，對(duì)案件涉及到的計(jì)算機(jī)硬盤進(jìn)行位對(duì)位復(fù)制，生成檢材副本;使用電子證據(jù)只讀設(shè)備，將涉案優(yōu)盤連接到電子物證專業(yè)取證設(shè)備，生成全盤鏡像文件，后續(xù)的電子數(shù)據(jù)檢驗(yàn)均通過電子證據(jù)只讀設(shè)備在檢材副本和鏡像文件上進(jìn)行。該案檢驗(yàn)中有3個(gè)關(guān)鍵環(huán)節(jié)：

1.專用算法比對(duì)相同文件。哈希值（Hash）采用不可逆單項(xiàng)函數(shù)，通過哈希算法將任意長(zhǎng)度的二進(jìn)制值映射為固定長(zhǎng)度的較小二進(jìn)制值，是一段數(shù)據(jù)唯一且極其緊湊的數(shù)值表現(xiàn)形式，有MD4、MD5、SHA1、SHA256、SHA512等算法。只要是存在任意長(zhǎng)度的二進(jìn)制值數(shù)據(jù)都可以計(jì)算哈希值，包括各種類型電子數(shù)據(jù)文件、硬盤分區(qū)或硬盤、光盤等。當(dāng)電子數(shù)據(jù)文件內(nèi)容完全一致時(shí)，哈希值也相同，而且文件的哈希值只與文件內(nèi)容有關(guān)，與文件名稱、擴(kuò)展名等屬性無(wú)關(guān)，哈希值就相當(dāng)于文件的“電子DNA”。利用電子數(shù)據(jù)文件哈希值的唯一性特點(diǎn)，可以快速準(zhǔn)確比較兩個(gè)文件內(nèi)容是否相同。同時(shí)，還可以利用哈希值進(jìn)行電子數(shù)據(jù)保全，一旦數(shù)據(jù)內(nèi)容改變，可以通過前后哈希值比較檢驗(yàn)出來。

本案中，可以使用Encase、FTK、X-Ways、取證大師等電子物證專業(yè)取證軟件進(jìn)行哈希值計(jì)算。首先，對(duì)硬盤、優(yōu)盤、克隆硬盤、鏡像文件等檢材和檢材副本進(jìn)行哈希值計(jì)算，對(duì)數(shù)據(jù)進(jìn)行固定，防止數(shù)據(jù)修改破壞。然后，利用哈希值特性進(jìn)行電子數(shù)據(jù)文件批量校驗(yàn)比對(duì)，以確定文件來源，具體步驟是：①先將優(yōu)盤鏡像文件中的數(shù)千份有效文件篩選出來，全部進(jìn)行哈希值計(jì)算，建立比對(duì)目標(biāo)文件哈希庫(kù)。②將李某能夠接觸到的辦公電子設(shè)備檢材副本，以每個(gè)檢材副本為單位篩選出有效文件全部進(jìn)行哈希值計(jì)算，分別建立檢材副本比對(duì)源文件哈希庫(kù)。其中，rar、zip等壓縮文件解壓后計(jì)算哈希值，并納入相應(yīng)哈希庫(kù)。③將目標(biāo)文件哈希庫(kù)和源文件哈希庫(kù)進(jìn)行哈希值比對(duì)，逐一找到李某個(gè)人優(yōu)盤中文件的來源出處，至此，文件一致性比對(duì)難題迎刃而解。

2.綜合手段破解加密文件。檢材中有一名為“×××”的rar壓縮文件，該壓縮文件加密，但其中多份文件名未加密，從文件名可判斷與本案有密切關(guān)聯(lián)。WinRAR壓縮文件使用AES加密，由于AES算法是對(duì)稱的，解密的過程是加密過程的逆運(yùn)算，但解密時(shí)AES算法過程與加密時(shí)采用的不一樣，解密的關(guān)鍵仍然在于原密碼，因此WinRAR加密文件破解沒有捷徑。本案中，通過使用Passware Kit Forensic、Advanced RAR Password Recovery等密碼恢復(fù)工具，針對(duì)犯罪嫌疑人李某工作生活習(xí)慣設(shè)置密碼字典庫(kù)和字母、數(shù)字、符號(hào)、長(zhǎng)度等要素，以“密碼字典+暴力破解”的方式進(jìn)行密碼破解，在數(shù)小時(shí)內(nèi)將該加密文件解密，獲取了涉案關(guān)鍵信息。

3.創(chuàng)新思路檢驗(yàn)加密硬盤。對(duì)加密計(jì)算機(jī)硬盤進(jìn)行拆卸，位對(duì)位復(fù)制生成檢材副本，再將該檢材副本硬盤裝入原計(jì)算機(jī)，并接入對(duì)應(yīng)密鑰，發(fā)現(xiàn)計(jì)算機(jī)開機(jī)后檢測(cè)不到密鑰，加密硬盤文件系統(tǒng)顯示為RAW、空白硬盤，由此判斷該計(jì)算機(jī)系統(tǒng)內(nèi)硬盤分區(qū)加密工具只支持源盤數(shù)據(jù)解密，不能讀取復(fù)制盤內(nèi)加密數(shù)據(jù)。從檢驗(yàn)實(shí)踐看，針對(duì)該類型硬盤分區(qū)加密數(shù)據(jù)檢驗(yàn)，只能對(duì)源盤進(jìn)行操作，遂將檢材源盤、密鑰接入檢材計(jì)算機(jī)，同時(shí)再外接一塊經(jīng)數(shù)據(jù)擦除過的全新硬盤作為數(shù)據(jù)拷貝檢材副本，將檢材源盤內(nèi)數(shù)據(jù)恢復(fù)復(fù)制到數(shù)據(jù)拷貝檢材副本硬盤上，后續(xù)哈希值計(jì)算比對(duì)、關(guān)鍵詞搜索等檢驗(yàn)工作均在數(shù)據(jù)拷貝檢材副本硬盤上進(jìn)行。

三、結(jié)語(yǔ)

電子數(shù)據(jù)檢驗(yàn)技術(shù)與現(xiàn)代電子信息技術(shù)、互聯(lián)網(wǎng)技術(shù)等密切相關(guān)，電子數(shù)據(jù)跟傳統(tǒng)證據(jù)相比，既有其作為證據(jù)對(duì)法律屬性的嚴(yán)格要求，包括數(shù)據(jù)生成、傳輸、收集和檢驗(yàn)方法、程序等規(guī)范，也有其專業(yè)屬性，包括形態(tài)多種多樣、種類復(fù)雜繁多、易變易毀及專業(yè)性強(qiáng)、科技含量高等，需要電子數(shù)據(jù)檢驗(yàn)人員掌握相應(yīng)知識(shí)、技能和具備軟硬件條件，綜合運(yùn)用和嘗試多種方法手段，不斷研究破解各類疑難問題。