電子物證現場取證技術研究

楊 勇

湖南警察學院，湖南 長沙 410138

0 引言

我國自1978年實施改革開放政策以及在新世紀加入世界貿易組織（WTO）以來，我國在各個領域都取得了較為快速地發展。其中，偵查技術就發生了根本性的變化，偵查技術逐漸發展成為以信息技術為主體的專業的科學技術，通過融入信息技術，這就使得偵查的效率變得十分之高，各種犯罪行為也在信息技術這雙“慧眼”的監視下一個個被偵破，這也在很大程度上減少了犯罪行為的發生。因此，可以說電子物證現場取證技術是時代的進步，也是信息技術發展到一定階段的重要產物。本文主要對電子物證的現場取證技術的相關內容及重要組成部分進行了闡述，以及對電子物證取證及檢驗的重要意義以及作用進行了論述。具體的方法為主要是對歐美以及國內的有關電子物證現場取證技術方面的資料進行了研究，最終得出了電子物證現場取證及檢驗的涵義、取證對象、具體的方法以及特點等方面進行了介紹，進而得出這樣的結論：電子物證現場取證技術關乎到識別、發現、提取、保存、恢復以及分析鑒定等方面的科學技術，能夠為案件偵查提供必要的證據，從而增加了犯罪偵查的效率。

1 電子數據的預檢

在正式確定目標物證之前，要對其進行電子數據預檢，其主要目的就是為了對相關案件加以鎖定和發現，以及對整個的發生過程進行事先安排。由于電子數據具有很多特點，如易復制、易損壞以及易傳播等特點，現場調查取證的工作人員應該加強對證據安全的風險意識進行提高，以不斷提高電子數據的原始性以及完整性。

1.1 對手機的預檢

目前，手機主要分為3種類型，即GSM、CDMA和CDMA/GSM3種類型。對于數據的存儲一般使用的是SIM卡、手機本身帶有的內存以及擴展卡（或者稱為可以替換的存儲卡），此種存儲介質的一大特點就是保存了與案件有關的電子數據如通話記錄、信息、記事本、視頻信息等，而這些信息往往都與發生的案件有很大的聯系，因此這種渠道來獲取電子數據也是電子物證現場取證的一個重點內容。現場取證的工作人員能開啟手機對相關數據進行預檢，在對手機進行預檢時，應該注意應該對相關信號進行屏蔽，除了該案件需要對撥人電話或者發短信息的人實施跟蹤。這樣做的主要的原因就是手機處于一種全開放的在線工作狀態，這就可能會發生隨時將信息泄漏出去的現象，而且短信也可能會被刪除或是被泄漏出去，而這些被泄漏出去的信息往往和案件有很大的關系。因此，筆者認為，應該加強對手機信息加以保護，以避免手機信息的外泄而影響了案件的快速偵查。

1.2 對電子計算機設備中的電子數據進行預檢

現場的調查取證人員為了對運行中的檢驗設備以及設備中的電子數據進行預檢，一般都會按照常規的方式進行開機查閱，然后對系統中的相關文件加以瀏覽，那么這樣做的壞處就是很有可能對所儲存的電子數據的有關屬性進行了改變，電子數據的屬性改變了，就會帶來一定的風險。這些風險主要包括如下幾個方面：改變了系統中的文件時間屬性，對于Windows各個系統的影響是不同的，其中對于Windows98系統而言，會造成約為300個文件屬性的改變，對于Windows2000系統，一般會造成約為500個文件屬性發生改變，如果此案件要涉及到電腦開機時間的取證與檢驗，那么勢必會導致取證及檢驗的條件發生重要的扭變。因此，可以說現場取證調查工作人員不要對處于關機狀態下的設備中硬盤的電源，拔下硬盤數據線，將BIOS的引導設備修改為軟盤，阻斷被預檢的硬盤啟動系統，之后采用專用的系統啟動盤(如專用的Encase啟動盤)重新啟動系統。

2 涉案設備封存收繳時應該注意的幾個問題

2.1 涉案實體對象封存收繳

對于涉案實體對象封存收繳，是一種獲取物證十分重要的方式。當前時期下，涉案實體對象主要分為四個方面，即存儲的介質、文檔、電子設備及其他資料。其中，存儲介質主要有以下幾個方面，即硬盤、軟盤、U盤、光盤、磁帶以及各類存儲卡等，上述這些設備可以存儲相關的數據。電子設備主要包括PC機等、mp4、手機、數碼設備、集線器、路由器、磁帶機以及數據線等，這些設備可以對電子物證進行外在的反映。文檔以及其他資料主要包括計算的程序方面的內容以及各種設備的用戶手冊、打印的各類文檔資料等。上述設備主要是對電子數據進行記錄。

2.2 開機狀態的設備的封存收繳

對于開機狀態的設備而言，一般不能對其進行簡單的處理，大部分人都會將電源直接關閉進行收繳封存，如果按照這樣做的話，勢必會使得重要的數據受到破壞以及丟失，且對后續的數據分析以及取證檢驗增加更大的技術難度。例如一個正在運行的應用系統，將電源關閉之后，可能會造成兩個方面的不良后果：1）使得內存中處于動態運行的程序以及文件的相關數據大量丟失，這樣就會使得屏幕上所顯示的全部信息不能很好地重現；2）各種存儲介質中的相關數據即使能夠進行很好的克隆和備份，但是對于需要在實際運行中分析檢驗的專用系統，重新搭建系統運行環境，則很有可能會遇到系統啟動密碼，文件加密、應用系統運行時需要支持的各種工具軟件的安裝等。

3 電子物證現場取證的具體方法

當現場調查取證的工作人員在進行現場取證時，由于受到各種外界條件的影響以及限制，根本無法對正在運行的系統進行停止處理或者對設備封存收繳，尤其是在面對某些專用的應用系統，例如金融、醫療以及大型的網站等，對系統進行停止運行勢必會對被調查部門或者是用戶正常的工作秩序造成一定程度的影響或是傷害，它們會承受經濟上的巨大損失以及風險，但是對于現場調查取證的工作人員而言，對相關的電子數據實施靜態或是動態的分析，面對巨大的存儲數據，一是對其分析相當耗時；二是令人難以承受。所以，筆者認為，現場調查的工作人員應該選擇那些物理存儲介質中的電子數據，當前時期下，隨著信息技術以及其他各類技術的快速發展，對電子數據的獲取主要采用的技術方法是對物理存儲介質的實體鏡像以及邏輯進行復制。目前各國普遍使用的保存數據的方法為物理存儲介質的實體鏡像，同時它也是世界各個國家司法鑒定機構普遍認為最好的取證方式之一。物理存儲介質的實體鏡像，可以實現對整個物理存儲介質進行逐步的整體復制，對于在這個過程中所復制的目標數據不僅包括操作系統中可以進行訪問的正常數據文件，而且還包括了操作系統不能進行識別的已經被刪除的文件、文件碎片以及沒有進行磁盤空間分配等，在上述空間中可能包含了文件刪除之后沒有被覆蓋的大量殘余的信息，而這些數據一般與已經發生的案件具有十分密切的關系。所謂邏輯復制指的就是對物理存儲介質中的某個分區或是文件進行復制，這些文件以及分區，操作系統可以進行正常地訪問。

[1]尹春社.對電子數據現場獲取存在問題的分析與探討[J].刑事技術，2008(3).

[2]李盛，朱秀云，韓杰，等.電子物證檢驗中常用數據恢復工具對比研究[J].刑事技術，2008(4).

[3]王桂強.電子物證檢驗[J].刑事技術，2003(4).

[4]羅文華.信息上傳操作在客戶端主機中留有痕跡的檢驗[J].刑事技術，2010(1).

[5]徐茂.犯罪嫌疑人手機儲存信息在偵查破案中的價值芻議[J].鐵道警官高等專科學校學報，2008(6).