淺談案件偵辦中手機(jī)電子數(shù)據(jù)取證現(xiàn)狀及解決措施

◆張波

淺談案件偵辦中手機(jī)電子數(shù)據(jù)取證現(xiàn)狀及解決措施

◆張波

（常州市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì) 江蘇 213000）

伴隨互聯(lián)網(wǎng)、人工智能、電子產(chǎn)品不斷發(fā)展，人們生活水平不斷變化，同時(shí)，其對于司法實(shí)踐，電子數(shù)據(jù)起著重要的作用，特別是在對犯罪事實(shí)、犯罪認(rèn)定過程中具有極大的價(jià)值。對于傳統(tǒng)取證方式來說，電子數(shù)據(jù)當(dāng)前發(fā)展尚未完善，目前應(yīng)用仍然相對薄弱，主要體現(xiàn)為：基層偵查人員掌握知識不足，缺乏對于原始儲存介質(zhì)提取的重視，互聯(lián)網(wǎng)企業(yè)在對司法機(jī)關(guān)取證過程具有相對消極的態(tài)度。對于以上問題的解決，除對相關(guān)法律進(jìn)行完善，還應(yīng)通過對基層偵查人員專業(yè)化素質(zhì)提升層面、促進(jìn)專業(yè)電子數(shù)據(jù)取證人才庫、專家輔助人機(jī)制，對互聯(lián)網(wǎng)企業(yè)協(xié)同司法機(jī)關(guān)的義務(wù)與責(zé)任進(jìn)行相應(yīng)的明確，以此對存在的問題進(jìn)行解決。

案件偵辦；電子數(shù)據(jù)；電子取證

1 引言

手機(jī)取證主要對存儲文件、APP、云應(yīng)用相關(guān)電子數(shù)據(jù)進(jìn)行保護(hù)與分析，對具有價(jià)值性的案件線索進(jìn)行整理，以此為犯罪事實(shí)提供證據(jù)，證明犯罪嫌疑人觸犯法律的事實(shí)情況。當(dāng)前，在犯罪行為中，同手機(jī)相關(guān)的主要包括三類犯罪：第一類是在犯罪行為過程中將手機(jī)作為相應(yīng)聯(lián)絡(luò)工具；第二類將手機(jī)當(dāng)做對于犯罪證據(jù)進(jìn)行儲存的工具；第三類利用手機(jī)進(jìn)行短信詐騙、短信騷擾、病毒軟件傳播等，實(shí)施有關(guān)犯罪活動[1]。因此，對于手機(jī)電子取證的研究，打擊犯罪活動，其對于社會具有極大的穩(wěn)定性保障，充分保證人民的利益。

2 手機(jī)電子證據(jù)在案件偵辦工作中的作用

（1）嫌疑人手機(jī)APK取證的作用

嫌疑人手機(jī)信息主要可用于對嫌疑人進(jìn)行真實(shí)身份的確定，對其進(jìn)行有效證據(jù)的提供。當(dāng)前來看，犯罪對流竄性、團(tuán)伙性、職能化、職業(yè)化等相應(yīng)特征進(jìn)行體現(xiàn)[2]。犯罪分子在案件完成之后進(jìn)行逃走，并對自己真實(shí)身份進(jìn)行隱藏。所以，公安人員對其抓獲的過程，在確定其真實(shí)身份過程有著重要的作用。而在進(jìn)行信息識別過程中，對相關(guān)獲取途徑的利用則變得極為重要。對于偵破工作來說，APK取證主要包括APK反編譯及APK抓包取證，可及時(shí)有效的獲取犯罪信息，APK反編譯其實(shí)質(zhì)為zip 包，主要有AndroidManifest.xml 文件、classes.dex 文件和 res 文件夾。APK 利用相應(yīng)反編譯軟件 AndroidKillerV1.3.1 對全局配置文件、java 代碼smali 代碼、資源文件夾等可進(jìn)行有效的獲取。

而APK抓包取證主要有代理型抓包、監(jiān)聽型抓包。網(wǎng)絡(luò)數(shù)據(jù)抓包及分析技術(shù)，主要為利用偵查試驗(yàn)環(huán)境搭建、數(shù)據(jù)包抓取及過濾、數(shù)據(jù)分析及研判、關(guān)鍵信息繼續(xù)追蹤相應(yīng)步驟，對非法 APP/軟件/設(shè)備工作原理及流程、犯罪手法、服務(wù)器接口URL、服務(wù)器數(shù)量、服務(wù)器IP地址、其所在地、用戶或受害者所在地等相應(yīng)情報(bào)信息進(jìn)行熟知，以此實(shí)現(xiàn)對犯罪嫌疑人的查獲。

偵查人員、相關(guān)檢驗(yàn)鑒定人員對提示性語言、關(guān)鍵詞搜索定位代碼等可進(jìn)行有效利用，分析支付接口（商戶 APPID、手機(jī)號）、后臺服務(wù)器IP、制作者信息，實(shí)現(xiàn)相應(yīng)信息參考。

（2）嫌疑人手機(jī)上的數(shù)據(jù)恢復(fù)的作用

在進(jìn)行手機(jī)取證過程中，其主要?jiǎng)t是對手機(jī)信息儲備設(shè)備相關(guān)信息進(jìn)行恢復(fù)與獲取，對于當(dāng)前智能手機(jī)，其手機(jī)數(shù)據(jù)恢復(fù)和取證數(shù)據(jù)主要包括微信、QQ、小程序等聊天與應(yīng)用軟件。

微信數(shù)據(jù)信息擁有文字、圖片、語音、視頻等多種存儲形式，關(guān)鍵、有效的數(shù)據(jù)會成為微信證據(jù)的主要來源。對于這些數(shù)據(jù)的記錄和收集的不同方法，是取證的主要內(nèi)容。

對于手機(jī)微信取證實(shí)驗(yàn)來說，對更多類型數(shù)據(jù)及證據(jù)進(jìn)行提取，固定和保全證據(jù)，把握當(dāng)前大數(shù)據(jù)及人工智能發(fā)展，對犯罪的動向進(jìn)行掌握，利用手機(jī)微信相應(yīng)取證技術(shù)對法律制度進(jìn)行不斷升級與完善，對電子取證發(fā)展方向進(jìn)行探查，對偵查工作的質(zhì)量及效率進(jìn)行全面性的提升。

（3）嫌疑人手機(jī)上云應(yīng)用數(shù)據(jù)的作用

在犯罪嫌疑人手機(jī)云應(yīng)用中可對破案的關(guān)鍵信息進(jìn)行獲取，偵查人員對此類信息進(jìn)行審查利用，可極大的促進(jìn)破案偵查工作。在云環(huán)境背景下數(shù)據(jù)依靠相應(yīng)的網(wǎng)絡(luò)服務(wù)器進(jìn)行處理完成，同時(shí)其也需對客戶端軟件和瀏覽器的利用，所以，在手機(jī)中本地客戶端會有部分痕跡數(shù)據(jù)留下，（包括賬號、緩存數(shù)據(jù)、瀏覽歷史、系統(tǒng)日志、cookie、移動終端上的圖片、SQLITE數(shù)據(jù)、瀏覽器、恢復(fù)數(shù)據(jù)信息等），偵查人員在對客戶端存儲殘留區(qū)、未分配簇、緩沖區(qū)進(jìn)行掃描過程中，對相關(guān)文件進(jìn)行結(jié)合，對關(guān)鍵詞進(jìn)行有效設(shè)置，以此來最大程度對本地殘留數(shù)據(jù)進(jìn)行提取，按照其相應(yīng)的殘留數(shù)據(jù)，可對案件嫌疑人相關(guān)信息進(jìn)行獲得，更方便對下一步取證分析活動的開展。比如對于部分跨國電子郵件網(wǎng)絡(luò)詐騙案來說，郵箱服務(wù)器主要是在國外，其在對郵箱服務(wù)器數(shù)據(jù)進(jìn)行直接取證過程中存在部分困難，利用取證客戶端對其含詐騙郵件網(wǎng)頁緩存及cookie等信息可進(jìn)行有效的獲取。通過對云應(yīng)用數(shù)據(jù)的進(jìn)一步偵查與分析，可更好地獲取相應(yīng)犯罪嫌疑人的作案信息。

3 案件偵辦中手機(jī)電子數(shù)據(jù)取證現(xiàn)狀

（1）缺乏針對電子數(shù)據(jù)取證的程序規(guī)定

電子數(shù)據(jù)體現(xiàn)出一定特殊性，在對其進(jìn)行制定過程，需對書證、物證等取證程序進(jìn)行制定。當(dāng)前，對于電子數(shù)據(jù)取證具有一定的涉及的程序相對較少，主要包括部分刑訴法法條、司法解釋等，在數(shù)量較少的同時(shí)，其缺乏一定的系統(tǒng)性，針對性也不強(qiáng)。因?yàn)樯鲜龇煞ㄒ?guī)在電子數(shù)據(jù)取證方面具有一定程序與原則，其對取證的及時(shí)性、合法性有著極大影響。

（2）部分偵查人員電子數(shù)據(jù)證據(jù)意識不強(qiáng)

在實(shí)踐過程，部分偵查人員具有一定的傳統(tǒng)觀念，在電子數(shù)據(jù)取證過程其相對更為陌生，在對電子數(shù)據(jù)重要性、取證程序、技術(shù)手段等相應(yīng)方面缺乏一定掌握，進(jìn)行偵查過程對于電子數(shù)據(jù)證據(jù)無法及時(shí)有效使用，因而他們更加重視書證、物證相對傳統(tǒng)證據(jù)，導(dǎo)致其無法有效且正確認(rèn)識新型電子設(shè)備、網(wǎng)絡(luò)、電子數(shù)據(jù)。

（3）電子數(shù)據(jù)取證時(shí)，偵查部門和技術(shù)部門尚未形成合力

在基層檢察院之中，技術(shù)人員一般為技術(shù)科，其與技術(shù)人員所在部門不同，一般情況下同步錄音錄像、搜查過程才能有一定的接觸，平時(shí)過程其相應(yīng)基礎(chǔ)較少，很少有相互配合機(jī)會，因此其默契度不足[4]。對于外出取證來說，取證前偵查人員通常并不會對技術(shù)人員進(jìn)行案情的透露，因此所造成的取證效率相對不足，使得數(shù)據(jù)在一定程度流失。取證過程技術(shù)人員對于案情缺乏相應(yīng)了解，不能有效確定電子設(shè)備，對于應(yīng)查找的網(wǎng)絡(luò)賬號、電腦文件保存等情況掌握不足。在進(jìn)行取證后，技術(shù)人員在對數(shù)據(jù)恢復(fù)提取過程缺乏對電子介質(zhì)的了解，以及對于數(shù)據(jù)的篩選不足。

4 案件偵辦中手機(jī)電子數(shù)據(jù)取證解決對策

（1）嚴(yán)格遵守現(xiàn)有的程序規(guī)定，制定有針對性的程序規(guī)定

對于電子數(shù)據(jù)取證來說，結(jié)合相應(yīng)法律落實(shí)其取證與執(zhí)行要求，扣押相應(yīng)的電子設(shè)備后，技術(shù)人員需進(jìn)一步讀取其數(shù)據(jù)，進(jìn)行落實(shí)與執(zhí)行，對其不應(yīng)進(jìn)行擅自查看，二是對電子取證程序應(yīng)進(jìn)行明確規(guī)定，使技術(shù)人員可實(shí)現(xiàn)合理取證，保證電子數(shù)據(jù)在合法數(shù)據(jù)適用方面的合理性。各地在不斷創(chuàng)新電子數(shù)據(jù)取證程序，檢察院對其進(jìn)行統(tǒng)一具有法律效力規(guī)范的制定，實(shí)現(xiàn)電子數(shù)據(jù)取證在使用過程的高效性。

（2）提高偵查人員的電子數(shù)據(jù)證據(jù)意識和能力

一是對電子取證的作用進(jìn)行宣傳，加強(qiáng)偵查人員對其的重視。加強(qiáng)對案例的使用，提升偵查人員自身興趣。二是對偵查人員展開相應(yīng)的培訓(xùn)，使其電子取證更為規(guī)范。強(qiáng)化規(guī)范執(zhí)法，保證電子取證過程證據(jù)的真實(shí)性，促進(jìn)電子數(shù)據(jù)在收集、固定、篩選過程依法進(jìn)行。三是加強(qiáng)偵查人員在電子數(shù)據(jù)取證方面的應(yīng)用。在進(jìn)行電子取證過程需要一定的偵查、證據(jù)、技術(shù)等知識，對偵查員能力進(jìn)行提高。

（3）加強(qiáng)偵查人員與技術(shù)人員的溝通

一是不斷加強(qiáng)交流與溝通。偵查人員對技術(shù)人員進(jìn)行邀請，使其對先進(jìn)的科技及取證知識進(jìn)行講解，技術(shù)人員對偵查人員進(jìn)行邀請，培訓(xùn)其基本知識，促進(jìn)了解與信任。二是進(jìn)行取證時(shí)，偵查人員簡要講解相應(yīng)案情，進(jìn)行外出取證過程，偵查人員應(yīng)將基本犯罪者情況告知技術(shù)人員，做好充足的外出準(zhǔn)備工作[5]。三是在電子數(shù)據(jù)取證過程，技術(shù)人員對偵查人員進(jìn)行邀請，調(diào)查其電子數(shù)據(jù)證據(jù)。在完成相應(yīng)分析，對取證分析展開有關(guān)偵查報(bào)告分析，明確隱藏、刪除電子數(shù)據(jù)提取相應(yīng)內(nèi)容，促進(jìn)取證效率的提升。

5 結(jié)語

綜上來看，伴隨移動數(shù)據(jù)通訊技術(shù)不斷的成熟與完善，手機(jī)在人們生活中將發(fā)揮更大的作用。對手機(jī)進(jìn)行犯罪電子證據(jù)的提取是案件偵查中證據(jù)提取的重要技術(shù)。對于案件偵查來說，手機(jī)取證將逐漸成為新的工作常態(tài)，其一定產(chǎn)生較多技術(shù)問題。對于很多刑事案件的偵辦而言，其手機(jī)電子數(shù)據(jù)取證存在一定問題，需要更多技術(shù)人員收集與整理相應(yīng)信息，對解決方法進(jìn)行尋找，由此對公安機(jī)關(guān)案件偵破進(jìn)行技術(shù)的提供與支持。

[1]趙夢霞. 淺析偵查工作中電子數(shù)據(jù)取證研究[J]. 數(shù)碼設(shè)計(jì)（下），2019，000（003）：182.

[2]閆家意. 淺析大數(shù)據(jù)分析在涉網(wǎng)案件電子數(shù)據(jù)取證中的價(jià)值[J]. 法制博覽，2020（21）.

[3]梁其航. 電子數(shù)據(jù)取證在偵查中的應(yīng)用探究[J]. 數(shù)碼設(shè)計(jì)（上），2019，000（002）：10-11.

[4]宣城市公安局課題研究組. 大數(shù)據(jù)思維下公安偵查取證方式研究——以電子數(shù)據(jù)取證為視角[J]. 安徽警官職業(yè)學(xué)院學(xué)報(bào)，2019，018（003）：54-59.

[5]佚名. 公安機(jī)關(guān)辦理刑事案件電子數(shù)據(jù)取證規(guī)則[J]. 中華人民共和國公安部公報(bào)，2019（1）：8-14.