電子數據司法鑒定能力驗證的設計與分析
——以2021 年電子數據功能性鑒定為例

郭 弘，楊 愷，耿浦洋，李 巖，盧啟萌，凌 嶸，賈汝靜

（1.司法鑒定科學研究院 上海市司法鑒定專業技術服務平臺 司法部司法鑒定重點實驗室，上海200063；2.中國合格評定國家認可中心，北京 100062）

2014 年最高人民法院、最高人民檢察院、公安部發布的《關于辦理網絡犯罪案件適用刑事訴訟程序若干問題的意見》（公通字〔2014〕10 號）和 2016年最高人民法院、最高人民檢察院、公安部聯合發布的《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》（法發〔2016〕22 號）均明確了“對電子數據涉及的專門性問題難以確定的，由司法鑒定機構出具鑒定意見，或者由公安部指定的機構出具報告。” 電子數據鑒定作為司法程序中的重要環節，確保鑒定流程的規范性和鑒定意見的正確性，對于貫徹“以審判為中心”的刑事訴訟制度改革要求具有重要意義。

針對電子數據司法鑒定/法庭科學領域的機構和實驗室，能力驗證是一種有效的質量控制與改進手段。 通過能力驗證，機構能夠快速發現問題，并加以分析和整改，迅速提高參加項目的鑒定能力，從而有效促進技術能力和質量管理水平的提升。隨著相關部門對于司法鑒定/法庭科學領域的監管力度不斷加大以及行業自身的質量和管理意識的增強，參加能力驗證已成為該領域的發展趨勢。

本文通過梳理2021 年電子數據功能性鑒定能力驗證的結果，分析國內該領域行業及地域水平、參加機構的鑒定結果準確性以及當前鑒定方法和鑒定工具使用情況，進一步探討存在的問題并總結可采取的措施和未來發展的方向。

1 電子數據功能性鑒定能力驗證的策劃背景

在早期認證認可范圍的界定過程中，業界很多專家認為電子數據功能性鑒定屬于軟件測試的一部分，因此該項目一直未納入司法鑒定/法庭科學的認證認可范圍，在司法鑒定/法庭科學領域也沒有相應的能力驗證項目。2020 年6 月23 日，司法部根據訴訟需求和司法鑒定實踐，頒布實施了《聲像資料司法鑒定執業分類規定》（司規〔2020〕5 號），明確規定將電子數據功能性鑒定納入電子數據鑒定的四個執業類別。 2021 年，公安部聯合國家市場監管總局聯合發布《關于規范和推進公安機關鑒定機構資質認定工作的通知》（公刑偵〔2021〕4329 號），將電子數據相似性、功能性鑒定作為公安機關鑒定機構檢測實驗室電子數據鑒定的三個類別之一。 據此，電子數據功能性鑒定的地位在法規層面上得以明確。從事該鑒定項目的機構/實驗室有必要參加能力驗證以進行質量控制，確保提供科學、規范、準確的鑒定結果。

電子數據功能性鑒定涉及的知識面廣、技術難度高，目前國內外司法鑒定領域尚缺乏系統、有效的評價方法，亦缺乏進行比較、監督、規范的有效手段和途徑。 因此，本次能力驗證活動的目的是要探索適合在各機構/實驗室之間進行電子數據功能性鑒定能力考察和評價的科學、客觀的方法和途徑，并成為規范鑒定活動、提高鑒定能力的有效手段，以達到不同鑒定機構/實驗室間在對同一問題的鑒定獲得基本一致鑒定意見的目標，保障鑒定意見的一致性和可比性。

2 電子數據功能性鑒定能力驗證的方案設計

根據中國信通院發布的《新形勢下電信網絡詐騙治理研究報告（2020 年）》，近年來我國電信網絡詐騙日益呈現技術對抗性強、詐騙手法翻新快等新特點、新趨勢。 詐騙分子根據互聯網業務發展形勢，不斷將各類熱門網絡應用作為新型詐騙實施渠道，逐步將單一的電話詐騙擴展為跨平臺、跨網絡詐騙。 與此同時，我國計算機信息系統的病毒感染率和移動終端病毒感染率均呈現上升態勢。 在利益驅使下，犯罪分子投入到挖礦病毒與勒索病毒領域，為擴大傳播范圍、對抗安全產品的檢測，病毒持續更新迭代，導致病毒數量以及感染率的提升。 政府、醫療、教育、研究機構和制造業等重要行業的關鍵信息基礎設施逐漸成為勒索軟件的重點攻擊目標。因此，對此類犯罪的鑒定技術進行深入研究，對打擊網絡犯罪具有重要意義。

本次電子數據功能性鑒定能力驗證計劃的方案設計綜合了近年來新聞報道中常見的APP 詐騙和勒索病毒案件設計，背景為我國新冠疫苗接種期間發生的“非法獲取公民個人信息”和“網絡敲詐勒索”犯罪。 不法分子打著“新冠疫苗接種”的幌子，冒充疾控中心發布新冠疫苗接種信息，誘騙群眾安裝不明APP，從而收集大量公民個人信息，并針對性地發送勒索病毒實施網絡敲詐勒索。

本次能力驗證的檢材設計為辦案機關查扣的嫌疑人電腦硬盤鏡像、從阿里云提取的涉案APP 的分發平臺和業務管理后臺的服務器鏡像、從受害人手機中提取的涉案APP 應用以及從受害人電子郵箱中提取的含勒索病毒程序文件的涉案郵件。 案情中融入了“勒索病毒”“手機應用詐騙”等取證鑒定熱點。 根據前期調研，很多涉及詐騙APP 和破壞計算機信息系統案件鑒定的側重點是結合客戶端應用程序、服務器端網站，對程序功能和實現代碼進行綜合分析，而EXE 和APK 程序是最常見的檢驗對象。本次方案設計充分考慮了這些實戰需求，參加機構必須對 Python 腳本、EXE 程序、APP 應用和后臺網站等進行功能性檢驗鑒定。

3 電子數據功能性鑒定的注意事項

電子數據功能性鑒定應對送檢程序文件采用靜態分析和動態分析相結合的方式完成。 鑒定前，應根據所選用的分析方式搭建相應的分析環境，該分析環境應符合待檢應用程序的軟硬件兼容性要求。 采用靜態分析方式時，應在電子數據鑒定專用計算機操作系統中根據鑒定要求選擇安裝適當的程序開發工具、加殼檢測工具、脫殼工具和程序逆向分析工具等軟件。 采用動態分析方式時，應在電子數據鑒定專用計算機操作系統或者實驗移動終端、移動終端模擬器的移動終端操作系統中根據鑒定要求選擇安裝系統監控、存儲監控、內存數據獲取和分析工具、網絡數據流獲取分析工具等軟件。

鑒定過程中，靜態分析應根據待檢破壞性程序的具體情況進行分析，如待檢程序是否具有加殼、加密等防檢測分析的保護工具，可根據需要先去除保護工具。 必要時，可對待檢程序進行逆向分析，通過分析反編譯代碼獲知可執行程序的程序行為及其實現過程。 如有已知樣本的破壞性程序，可將待檢程序與破壞性程序樣本進行相似性比對。 此外，可使用殺毒軟件或殺毒引擎掃描待檢程序，以確定其是否具有已知惡意代碼的特征碼。 動態分析需要搭建模擬網絡環境，通過動態仿真系統運行待檢程序，對其行為進行監控并分析其特征。 此外，可使用系統提權、應用層掛鉤等方式對特定系統函數進行監控。 必要時，對程序下斷點進行動態調試。 以Android 平臺的應用為例，靜態分析包括對應用程序安裝包的基本信息分析、資源文件分析、代碼文件分析以及用戶數據分析，動態分析包括內存分析、存儲分析、網絡流量分析、功能測試和動態調試，具體如圖1 所示。 其中，基本信息分析包括程序版本信息、開發者及應用程序簽名信息、應用程序權限配置等。 資源文件分析包括對應用程序中所包含的資源索引、配置文件、對應的資源文件以及使用的第三方SDK 分析。 應注意，對于采用加殼等方式保護的應用程序，應使用對應的殼類型檢測工具和脫殼工具對應用程序進行脫殼，以獲得進一步分析的條件。 內存分析是對移動終端操作系統的運行內存（RAM）進行獲取，并分析其中應用程序相關數據的生成、變化和釋放情況。 存儲分析是分析應用程序對存儲區域進行的讀寫操作，包括其創建、訪問、修改、刪除的文件名稱、數量、頻次等信息。 網絡流量分析是獲取應用程序在安裝、運行、卸載過程中所發送和接收的網絡通信數據包，并分析其傳輸協議、地址、時間、內容等信息。

圖1 Android 應用鑒定技術路線示意圖

此外，應用程序功能性鑒定全過程的信息應完整、準確、全面地進行記錄，以保證檢驗結果的可重現性和可追溯性，記錄內容包括以下內容：（1）檢驗分析環境的搭建過程及其軟硬件配置信息；（2）檢驗使用的工具、工具輸出數據或使用工具的檢驗發現；（3）動態分析、靜態分析的項目及檢驗發現；（4）檢驗過程中的異常情況及可能產生的原因判斷。

4 參加機構反饋情況分析及存在的問題

4.1 參加機構情況匯總

本次能力驗證活動報名參加單位共209 家，來自全國30 個省、自治區和直轄市，其中返回結果179 家，未返回結果30 家。 179 家機構結果反饋情況及各評價等次分布結果見表1。

表1 反饋機構的結果總體分布情況

4.2 行業及地域分析

根據行業特點對反饋機構進行分類，本次參加電子數據功能性鑒定的機構類型分別為公安系統、檢察系統、科研院校（高校、研究所、醫院）和民營鑒定機構。 在這四類行業系統中，檢察系統所獲滿意率最高，滿意比例為100%，但是由于參加機構的數量較少，可能并不能反映實際的整體情況；其次是公安系統，滿意率超過80%，整體水平較高，這與公安系統經過大量案件的鍛煉和主管部門經常舉辦“大比武”等技術競賽有一定關系；再次是民營機構，滿意率超過65%，說明民營機構近年來整體水平有了顯著提升，這些進步可能與行業管理部門的嚴格要求有一定關系；最后為科研院校，滿意率不足60%，仍存在較大提升空間。 本文選取得分前30 位、后30 位的參加機構進行統計，行業分布如圖2 所示。 可以看出，技術實力最強的機構中以民營機構居多，這些機構很多依托于取證廠商，本身就具有一定的研發能力，因此水平比一般鑒定機構要高。

圖2 參加機構結果評價分布（上）及排名前/后30 位的參加機構行業分布（下）

通過統計各省獲得滿意參加機構的數量，獲得滿意機構數相對較高的省份（地區）為浙江、廣東、廣西、北京、重慶、上海，未獲得滿意機構數量較高的省份（地區）為福建、北京、上海。 總體來說，上海和北京的參加機構數量較多，機構能力有強有弱，而東北、中部、西部的參加機構數量較少，能力相對較弱。 由于有些省份（地區）參加機構過少，以上統計可能存在些許失真，但基本可以反映出該地區的技術發展水平。

4.3 結果正確性分析

本次能力驗證計劃要求參加機構對樣品中的電子數據進行全面提取、分析，并在此基礎上結合鑒定要求進行功能分析得到最終結果。 檢驗過程涉及固定保全、哈希值計算、仿真檢驗、數據搜索與提取、網站分發平臺分析、二維碼分析、Python 腳本分析、EXE 程序行為分析、EXE 程序逆向分析、APK應用的權限分析、APK 應用的代碼分析和網站代碼分析等多個技術點的綜合運用。 部分題目設計具有一定自由度， 如APK 應用上傳數據連接的服務器可以選擇逆向分析，也可以運行后抓包分析，參加機構可以采用更擅長的方式來展示技術能力。 這種形式既貼合鑒定實踐，又能夠較為全面地反映參加機構解決實際問題的綜合能力。

在發樣前， 作業指南中20 個鑒定要求均經過仔細斟酌確保沒有歧義和誤解。 從反饋結果來看，參加機構可以正確理解任務書中的鑒定要求，并正確理解反饋頁面的填寫要求。 鑒定要求均有對應的客觀結果作為參考答案，在本次能力驗證中除了答案外，得出答案的依據也要求一并反饋。 根據每題的特點將答案和依據分為若干個得分項。20 個鑒定要求問題所涉技術點中：第1、2 題考察了參加機構對于分發網站的理解及二維碼的分析；第3、4 題考察了參加機構對于Python 腳本和郵件發送過程的分析；第5～10 題考察了參加機構對EXE 程序的分析； 第11～17 題考察了參加機構對APK 應用的分析；第18、19 題考察了參加機構對于管理后臺網站的分析；第20 題考察了參加機構對于APK 應用與管理后臺結合的綜合分析能力。 根據參加機構的反饋情況，網站分發平臺分析、二維碼分析、Python 腳本分析、EXE 程序分析、APK 應用分析、網站代碼分析幾個技術點在區分參加機構的能力上作用較為顯著，得分情況見表2。

表2 參加機構的反饋得分情況

總體而言，本次能力驗證反映出參加機構對于電子數據功能性鑒定的一般技術要求基本掌握，但是涉及綜合分析，尤其是需要動態靜態結合分析時，技術能力相對較為薄弱。

4.4 使用鑒定方法的分析

方法是電子數據鑒定機構開展鑒定活動的基礎，也是認證認可中的重要考察內容。 在歷次能力驗證中均要求參加機構反饋所使用的方法，用以了解參加機構是否有選用恰當的方法并按照方法開展鑒定活動的意識。 在“依法治國”和“質量強國”的建設方略指引下，電子數據鑒定的標準化工作近年來發展迅速，已頒布了4 項國家標準、44 項公共安全行業標準（含4 項修訂）、5 項司法行政行業標準、13 項司法鑒定技術規范以及一些部門內部規范和團體標準，滿足了電子數據司法鑒定的迫切需要。

本次能力驗證的推薦方法為《電子物證數據搜索檢驗規程》（GB/T 29362—2012）、《電子物證文件一致性檢驗規程》（GB/T 29361—2012）、《數字化設備證據數據發現提取固定方法》（GA/T 756—2008）、《程序功能檢驗方法》（GA/T 757—2008）、《電子物證軟件功能檢驗技術規范》（GA/T 828—2009）、《法庭科學 計算機操作系統仿真檢驗技術規范》（GA/T 1480—2018）、《法庭科學 Android 系統應用程序功能檢驗方法》（GA/T 1571—2019）、《法庭科學 破壞性程序檢驗技術方法》（GA/T 1713—2020）、《破壞性程序檢驗操作規范》（SF/Z JD0403002—2015）和《軟件功能鑒定技術規范》（SF/Z JD0403004—2018）等。

GB/T 29362—2012 和 GA/T 756—2008 是以往能力驗證中采用較多的方法， 反饋結果中有廣泛應用；GA/T 1480—2018、GA/T 1571—2019、GA/T 1713—2020和SF/Z JD0403004—2018 由于是近幾年新發布的標準，很多參加機構未能及時采標和宣貫，并未選用上述方法。 此外，本次能力驗證主題要求參加機構必須列出涉及程序功能鑒定以及破壞性程序鑒定的方法。 從反饋結果來看，少數機構未使用涉及程序功能的鑒定方法，多數機構未使用涉及破壞性程序的鑒定方法，極少數機構使用了由于相應國標發布而廢止的鑒定方法《電子物證數據搜索檢驗技術規范》（GA/T 825—2009）和《電子物證數據恢復檢驗技術規范》（GA/T 826—2009）。

總體來看，歷年能力驗證中明確要求填寫鑒定方法的舉措發揮了一定的示范作用，大多數參加機構有采用標準方法的意識，但在具體方法的選用上仍存在一定困惑。 其中，一個較為突出的問題就是將與鑒定要求關聯性不大的方法都列出來，僅滿足了形式要求而不滿足實質要求。 另外一個突出問題是，使用了鑒定方法，但實際鑒定過程中并未按照鑒定方法操作。 例如，按照破壞性程序的檢驗方法，不能在工作環境運行破壞性程序，然而本次參加機構有不少未按照方法和作業指南的注意事項要求，直接在工作環境中運行了勒索病毒進行檢驗，導致檢驗電腦上的文件被加密。

4.5 使用鑒定工具的分析

“工欲善其事，必先利其器。” 對于電子數據鑒定工作，專業的鑒定工具是保障鑒定結果準確可靠的重要利器。 本次能力驗證通過考察參加機構選用的軟硬件工具，來評估其是否能應對新的鑒定需求。 由于能力驗證需要考察的是參加機構的技術能力，本次能力驗證計劃弱化了自動化分析工具的作用，多數題目無法通過工具的自動化處理得出答案，通過檢驗過程可以較好地體現對參加機構綜合能力的考察。 各個題目層層深入，基本覆蓋了電子數據功能性鑒定的常見檢驗要求。

電子數據功能性鑒定是綜合性的鑒定，技術涵蓋代碼分析、逆向分析與數據抓包分析等多個方面，因此使用的鑒定工具也種類繁多，主要的分支包括計算機系統分析類、操作系統仿真類、EXE 程序逆向類與移動終端APP 分析類工具等。本次能力驗證計劃要求參加機構反饋在解決每個問題中使用的鑒定工具。 大多數機構能夠按照參加能力驗證實際使用的工具進行反饋，但仍存在少部分參加機構實際使用的工具（依據中的截圖）與反饋不符的情況。 各參加機構反饋結果中使用鑒定工具（各種類型取前5 位）的情況詳見圖3。

圖3 參加機構使用鑒定工具情況

從參加機構反饋的工具使用統計結果可以發現，我國的電子數據鑒定產品市場經過十余年的快速發展，在各個領域都已有自主研發的電子數據鑒定產品，并且國產自主知識產權的產品已經在絕大多數電子數據鑒定市場上完全替代了國外產品。2020 年10 月， 美國商務部工業與安全局以國家安全為由，宣布對包括電子數據鑒定工具在內的六項對美國國家安全至關重要的“新興技術”實施多邊管制。 因此，加快電子數據鑒定產品的國產化進程，對解決被國外“卡脖子”的問題、推動行業技術水平發展具有重要意義。

5 建議與展望

根據本次能力驗證計劃的反饋結果，大多數參加機構的鑒定人員在電子數據功能性鑒定方面達到了相當高的水準，檢驗全面、分析合理、依據充分。 但也有一些參加機構的鑒定人員在電子數據功能性鑒定方面的能力存在較多不足，在方法的選用上顯得不夠專業，檢驗過程粗糙，留下了許多易被質疑的漏洞，反映出這些人員沒有基本掌握電子數據功能性鑒定的方法，極易導致鑒定結果的隨意性。 為此，相關部門及鑒定機構應進一步加強鑒定人員的監督及能力培養，通過培訓和考核來提高鑒定人員的鑒定能力，保證鑒定質量。

能力驗證的目的是評價分析參加機構的能力，從而幫助其規范鑒定活動、提高鑒定水平。 然而，本次能力驗證依舊存在參加機構串通和尋求外援的現象。 究其原因，主要因為參加機構對能力驗證的本質與宗旨理解不足，也存在監管機構或上級部門對于能力驗證結果的利用有失偏頗，導致能力驗證的作用功利化，部分能力未達到要求的機構，希望通過結果串通以取得好成績。 客觀上，現代通信技術和工具的應用，給能力驗證結果偽造和結果串通提供了極大的便利。 此外，由于利益驅使，還有機構違規向參加機構提供能力驗證項目的“參考答案”且有愈演愈烈的趨勢，導致參加機構結果串通和結果造假現象日益嚴重，使得僅通過能力驗證結果難以反映參加機構的真實鑒定水平能力。 因此，從管理上，建議主管部門制定相應的獎懲規則對尋求串通或代做的機構和提供代做服務謀求不當利益的機構進行針對處理；從技術上，建議能力驗證的實施參考公安“大比武”或者行業競賽的形式，線上或線下集中進行限時測評，采取適當措施斷絕“外援”，以反映參加機構的真實鑒定能力。

隨著以審判為中心的刑事訴訟制度不斷推進，可以預見，能力驗證工作在我國的電子數據鑒定領域的地位和影響力將不斷提升，有助于相關機構進一步提高技術能力、規范鑒定流程，對于提高證據的可采性，實現司法公正起到了積極的推動作用。同時，行之有效的能力驗證工作需要政府和行業等有關部門共同努力，群策群力，清晰把握當前的新形勢與新局面，對標國際前沿、國家戰略和行業特點，不斷總結經驗，有效完善和提升自我能力。