案例-任務驅動教學法在電子物證檢驗中的應用

高洪濤

中國刑事警察學院 遼寧 110035

0 引言

隨著打擊計算機犯罪活動的進一步深入，需要培養更多高素質的電子物證技術人員。近幾年來，一些公安院校陸續開設了電子物證檢驗課程。電子物證檢驗課程是一門新興的綜合交叉學科，是培養學員進行電子物證的獲取、分析和鑒定工作的。電子物證檢驗課程強調理論與實踐并重，學員要在學好理論課程的同時，具有較強的實踐動手能力。

1 傳統教學模式的剖析

近年來，雖然教學手段從“粉筆+黑板”改變為了“計算機+大屏幕投影”，但是教學方式還大多沿用傳統的教學模式。同時，雖然采用多媒體技術可以將內容生動、形象逼真、聲音動聽的文本、圖像、聲音、視頻和數據等信息一起傳輸給學員，但由于信息量的加大，反而使學習更無從下手，學員一旦遇到實際問題可能會束手無策，從而束縛了思維發展，不利于培養創造性人才。

電子物證檢驗的傳統教學方法是以知識點為主線來展開，按照教材的模塊順序授課，先基礎、后應用。首先介紹電子物證、計算機司法檢驗等相關概念，然后提出電子物證檢驗的基本過程檢驗前所需掌握的相關知識及準備工作，接著介紹常用電子物證檢驗工具和Windows、Unix/Linux系統的檢驗方法，最后對典型案例進行分析。因為電子物證檢驗課程的知識點的分布是網絡型的而不是線性的，并沒有嚴格的學習次序，所以學員對它的知識體系較難把握。

在實踐環節的教學中，教師先進行操作，然后由學員自己練習。尤其是在電子物證檢驗工具內容的教學中，由于檢驗工具的操作步驟繁多，針對不同案例的操作組合不同，學員很容易混淆，導致學習興趣降低，教學時效低，最終導致理論與實踐脫節。

因此，在電子物證檢驗的教學中采用傳統教學方法和教學模式已不能滿足時代的需求和學員的需要。尋找一種理論聯系實際，能夠解決教學過程中存在的“重知識，輕實踐”的矛盾，培養學員根據實際問題進行動手能力的教學方法和教學模式勢在必行。案例教學和任務驅動式教學都是極具發展潛力的教學方法，能很好解決理論與實踐的銜接。

2 案例-任務驅動教學法

案例教學法是一種以案例為基礎的教學法，用實際案例來進行教學，案例教學側重于對學員綜合能力的培養，有助于提高學員對所學知識的綜合運用能力。案例教學提供一個近乎真實的場景，縮短了教學與實踐之間的差距。案例教學中的案例通常是選取完整的實例，較為完整地敘述實例的起因、問題和處理過程。在學員掌握一定基礎理論知識的基礎上，教師有目的、有選擇地把司法實踐中的客觀實際提供給學員，提出案例分析和解決問題的諸多方法，讓學員對教師所提供的具體事實和原始材料進行思考、分析、研究、提出解決問題的方法，解決問題的種種方法都可以提出來并進行試驗，對比各種方法的優缺點，最終得出正確的結果，從而培養學員的綜合運用能力。

任務驅動教學法就是教師把教學內容設計成一個或多個具體的任務，讓學員在完成這些任務的過程中來達到教學目標。由教師根據當前教學主題設計并提出任務，針對提出的任務，采取演示或講解等方式，給出完成任務的思路、方法，然后引導學員邊學邊練，完成相應的學習任務。任務驅動教學不再以知識點作為線索，而是以任務為線索，其教學內容由多個精心設計的任務來組成。在完成任務的過程中，學員掌握相關教學內容和學會學習，教師由權威的知識傳授者變成了教學的引導者、組織者和評價者。這種方法適用于培養學員分析問題、解決問題的能力和創新能力。

案例教學法和任務驅動式教學法都強調在學習過程中學員的主動性。案例教學法是呈現案例，由教師分析、講解案例中的知識點并提示學員對案例進行功能拓展。案例教學法的關鍵是根據課程的內容和特點選取恰當的案例，同時在案例的討論中學習和理解相關的知識并由此拓展到新的知識內容中。而任務驅動式教學法是以任務為主線、教師為主導、學員為主體的教學方法。就是教師的教學活動與學員的學習過程都圍繞著一個具體目標，通過對學習資源的積極主動應用，進行自主探索和互動協作學習，并在完成既定任務的同時又產生新的任務。任務驅動式教學法的關鍵是完成任務的動態過程。

由以上分析可以考慮將兩種教學方法的優勢相結合，同時汲取傳統教學模式的優點，形成案例-任務驅動教學模式。在此教學模式下，在選取和呈現案例程序時遵循案例教學的特點和方法，充分體現出案例的作用；在學習進行中強調任務的實現過程，在有針對性地完成任務的同時讓學員得到能力的鍛煉。

3 案例-任務驅動教學過程

（1）案例準備

教師要依課程教學內容選擇案例，選用的案例應與教學內容有密切的聯系。選用的案例能反映同類案例的一般特征，能起到舉一反三、觸類旁通的作用。選用的案例還要有一定難度，使學員有思考的余地。教師要仔細分析案例材料，找出案例中的關鍵性問題和解決問題的思路。

（2）講解案例

給每位學員提供證據文件和相應的背景資料。通過多媒體手段將案例展示出來并進行適當講解，講解案例應用背景，提出問題，明確本次課的教學目標。

（3）分析任務

應重點把握好任務的切分和層次推進問題。根據提出的問題引導學員進行思考，將案例分解并設計成一個個相對獨立、簡單的任務，分解的任務在功能上要保持一定的完整性，且各任務之間具有一定的漸進性、擴展性，存在一定的先后關系，層層推進。

（4）任務探究

在這一過程中，學員是完成任務的主體，教師起著引導作用。學員要分析、討論任務，自主探究，完成任務，同時學習和掌握相應的知識，提高動手能力和綜合分析能力。教師要把握總體教學目標，使任務的完成與教學目標的實現統一起來。根據學員學習層次的不同，教師還要做到因材施教。對基礎差的學員多一些指導，使他們能順利完成基礎層的任務，樹立自信；對優秀的學員，要鼓勵他們去完成更高目標層次的任務，進行“發現性”學習。

（5）總結評價

雖然學員完成了任務，但還不夠完善，要幫助學員進行知識的歸納與總結，加深對新知識的理解，建立起已學知識間的聯系，完成知識構建。任務評價要注意客觀性，以表揚鼓勵為主，使學員體驗到完成任務的成就感。

4 具體教學實例：走私案件的電子物證檢驗

（1）案例展示

在2010年2月的打擊走私行動中，某海關查獲一批手機，調查得知這批貨物的主人為一名叫“阿強”的男子，警方隨即抓獲該男子并查封電腦一臺。要求從電腦中查找相關證據。

（2）檢驗前的準備

為了避免證據的誤損壞，在檢驗前要用磁盤鏡像工具獲取原始檢材的精確備份。鏡像工具可以使用如 SafeBack、SnapBack、EnCase和X-Ways等。為了保全證據的完整性，需要使用數字簽名和時間戳技術，以證明從操作開始到取證過程結束證據沒有被修改過。保全工具可使用 Md5sum、 EnCase、X-Ways等，并將證據文件的hash值和生成時間等信息記錄下來。接下來的任務才是對電子物證檢材進行分析。

（3）案例分析

若嫌疑人使用過該電腦，則必然會留下操作痕跡，根據提取的內容可以反映出犯罪嫌疑人的活動情況。電腦中的基本信息是否存在與走私貨物相關的信息呢？需要調查哪些基本信息呢？怎么查找被刪除文件里面的內容呢？若文件的擴展名被更改了，如何識別這些文件的真實類型呢？在分析此案例中，從問題的提出到問題的解決，一步一步將學員引入到終點，使學員對電子物證檢驗過程中所使用的基本方法、基本過程和使用的工具有進一步理解。

（4）基本信息分析

首先要求學員提取電腦的基本信息，這部分信息包括：操作系統信息、用戶操作痕跡、即時通訊、電子郵件、常用文件等，使用取證大師(Forensic Master)的自動取證功能來提取基本信息比較方便和全面。然后讓學員對找到的信息進行分析。同學們會發現QQ聊天記錄中有比較明顯的線索，要求學員對聊天記錄做進一步分析。

（5）聊天記錄分析

聊天記錄中與案情相關的內容如表1所示。

表1 相關的聊天記錄

從 QQ聊天記錄中可分析出：嫌疑人把貨物清單通過Email進行傳送，并可能會使用QQ號或電話號碼作為密碼。因此，下一個任務是對電子郵件賬號進行分析。

（6）電子郵件賬號分析

電子郵件賬號中與案情相關的信息如表 2、表 3、表 4所示。

表2 收件箱列表

表3 發件箱列表

表4 已發郵件列表

從郵件列表信息中可分析出：嫌疑人使用的郵箱為qia119@163.com。因此，下一個任務是對該電子郵件賬號進行分析。

（7）賬號qia119@163.com分析

因為在完整的郵件文件中未發現相關線索，所以需要對殘缺郵件做進一步分析。這部分工作需要使用 EnCase工具的關鍵字搜索功能。可通過設置關鍵字 qia119@163.com來查找殘缺郵件信息。從未分配簇中發現相關的殘缺郵件信息如圖1所示。

圖1 相關殘缺郵件碎片

從郵件碎片中可分析出：嫌疑人使用郵箱 qia119@163. com 發送了一個文件：table.doc。因此，下一個任務是對table.doc文件進行分析。

（8）文件table.doc分析

通過對table.doc進行過濾，未發現該文件。需要學員用數據恢復軟件恢復被刪除文件。可以選擇 Easy Recovery、Final Data等恢復軟件，也可以使用EnCase、X-Ways等軟件中的關鍵字搜索功能來搜索相關文件碎片。從未分配簇中發現相關信息如圖2所示。

圖2 與table.doc字符串相關碎片

從table.doc字符串相關碎片中可分析出：嫌疑人在word中新建了一個.doc文檔，經過編輯，先后以文件名table.doc和cvb.doc保存。因此，下一個任務是對文件cvb.doc進行分析。

（9）文件cvb.doc分析

對硬盤中的文件進行過濾，未發現文件cvb.doc，卻發現未知文件類型的文件cvb.isd。為了獲得該文件的文件類型，需要使用文件簽名功能進行驗證，得知該文件的類型為Compound Document File，如圖3所示，即可能為.doc類型文件。

將cvb.isd復制到檢驗工作站，重命名為cvb.doc，使用word嘗試打開，發現該文件是加密的。下一個任務是對該文件進行密碼破解。

（10）文件cvb.doc的密碼破解

一般情況下，可以使用 Advanced Office Password Recovery等Word密碼解除軟件進行密碼破解，但是耗費的時間較長。有沒有更好的辦法呢？聯想到聊天記錄中的相關內容可知，該文件可能使用嫌疑人的QQ號碼或電話號碼作為密碼。經試驗，成功破解該文件讀取到文件內容，如表 5所示，內容正是所查獲的走私手機的品牌、型號和數量，因此獲得了嫌疑人走私手機的有力證據。

表5 走私貨物清單

（11）任務評價

找到需要的證據后，學員要對獲得的證據進行固定并整理資料，寫出完整的分析報告。教師要對整個教學過程進行評價，幫助學員進行知識的歸納與總結，加深學員對新知識的理解。

5 總結

電子物證檢驗課程作為一門相對較新的課程，在利用案例-任務驅動這一教學模式時要根據教學目標，對教學案例、課程任務進行科學的設計與合理的組織，確保方法運用得合理。但其教學方式還存在相當大的探索空間，在很多方面還有待于擴充和完善，如：

（1）案例-任務驅動教學適用于復雜知識、專業知識的教學。簡單知識的學習，反而會花費更多的時間。

（2）案例的形成過程往往花費較大，時間消耗過多。

（3）案例-任務驅動教學方法以學員的積極參與為前提，以教師的有效組織為保證，而要做到這些方面的有機結合往往較為困難，有時會產生耗費時間較多而教學效率較低。

（4）案例-任務驅動教學一般既要讓學員了解過程，更要讓他們領會內容，這兩者常難以兼顧。

[1]宋秀麗,陳龍,鄧紅耀.計算機取證課程實驗教學探討[J].實驗室研究與探索.2007.

[2]生桂勇.計算機專業案例教學法初探[J].電腦知識與技術. 2008.

[3]郭外萍.“案例+任務驅動”在計算機教學中的應用[J].電腦知識與技術.2006.