淺談電子證據與數字取證

吳文博，劉依卓

（國家無線電監測中心哈爾濱監測站，黑龍江 哈爾濱 150010）

1 電子證據與計算機取證概述

電子證據是案件發生過程中形成的，以數字化形式存儲、處理、傳輸的，能夠證明案件事實的數據[1]。這里的電子證據是我國法律中眾多證據種類中的一種，主要包括網絡平臺發布的信息、網絡應用服務的通信信息、用戶注冊信息、電子交易記錄、通信記錄、登錄日志以及文檔、圖片、各類電子形式的音視頻等電子文件[2]。通常在計算機網絡犯罪中，會存在著大量的電子證據，這些電子證據的收集、挖掘與分析對于打擊網絡犯罪、維護網絡空間安全具有重要意義。

計算機取證是計算機領域和法學領域的一門交叉科學，被用來解決大量的計算機犯罪和事故，包括網絡入侵、盜用知識產權和網絡欺騙等[3]問題。簡而言之，計算機取證就是針對計算機網絡犯罪所進行的電子數據的獲取、保存、分析與展示，而電子數據的獲取與鑒定過程通常包括證據保全、證據獲取、證據恢復與證據分析等[4]。計算機取證對于打擊計算機網絡犯罪具有重要作用，通過數字取證工具挖掘出犯罪嫌疑人的犯罪“痕跡”，并將這些電子數據作為證據在法庭上進行可視化“展示”，才能將犯罪嫌疑人定罪、量刑。

2 計算機取證的原則與取證工具分類

計算機取證應遵循以下基本原則[5-6]：時效性原則，即要求電子數據的獲取具有一定的時效性；過程合法性原則，即電子數據在取得的過程中是合法的，所得到的電子數據是真實的、有效的、完整的，整個取證活動是依法依規進行的；妥善保管原則，即電子數據應予以妥善保存，方便進行試驗和展示，一方面電子數據的存儲應滿足一定的環境要求，另一方面電子數據應進行備份保存；嚴格過程管理原則，即電子數據的移交、保管、驗證、展示的過程中都需要進行嚴格的管理和記錄，保證電子數據未被人為篡改，以保證證據的完整性和真實性。

根據取證工具用途的不同，可將取證工具分為磁盤和數據采集工具、文件查看工具、文件分析工具、登記冊分析工具、互聯網分析工具、電子郵件分析工具、移動設備分析工具、網絡取證工具等多種數字取證工具。

3 數字取證工具及其應用

（1）在線取證工具：在線取證工具一般可在嫌疑人的計算機上直接運行，并可自動獲取內存、運行表等相關數據，也可通過取證軟件獲取硬盤的完整鏡像。

（2）保護接口硬件：保護接口硬件通過計算機的火線或者USB接口獲取硬盤鏡像和分析文件使用的所有保護接口，確保證據數據以只讀的方式讀取到證據分析設備中[7]。

（3）數據擦除設備：數據擦除設備可以對不需要保留的的各種存儲介質和涉密數據進行數據清潔，從而使存儲介質可以重新使用。

（4）手機取證系統：可以針對移動運營商、SD和SIM卡中的數據，以及智能操作系統和App應用中的數據進行收集、挖掘和分析。

（5）數據恢復工具：數據恢復工具可將已刪除文件恢復，對不同程度上的損壞數據進行恢復，以及將不可見區域的數據進行呈現。

（6）密碼破譯工具：密碼破譯工具可以對加密的文件進行破解。如ElcomSoft可對計算機系統密碼以及智能手機加密文件進行破解，而Passware軟件運用CPU+GPU進行運算，可以大幅度提高破解速度。

（7）專用計算機取證工具：專用計算機取證工具能夠為執法部門提供專業的數據收集并進行分析、可視化展示的數字取證綜合性軟件，其結論可以進行展示并被司法機關所認可。

4 數字取證的挑戰

（1）數字取證人員的能力要求。數字取證本身具有很強的專業性和交叉性，對數字取證工作人員的專業性提出了較高的要求。數字取證人員不僅要具有一定的計算機技術水平，并且需要熟練使用各類專業化的數字取證工具，還應對網絡安全領域相關法律法規有所涉獵。數字取證是一項專業的取證過程，不了解或不具有數字取證能力的人進行取證，不僅難以從海量數據中挖掘出具有價值的證據，還容易對電子數據造成破壞，使其喪失證明力。

（2）數字取證缺少相應的通用標準。由于計算機犯罪往往是跨區域犯罪，這也為數字取證的國際合作帶來了巨大的困難。不同國家或地區具有不同的法律和文化制度，而對于數字取證來說也難以建立統一的取證流程。建立通用的數字取證標準，一方面可以規范數字取證流程、提高數字取證效率；另一方面也可以促進跨區域打擊網絡犯罪合作。

（3）新型計算機技術的發展以及智能設備的普及。各類新型計算機技術如大數據、云計算、區塊鏈以及人們生活由PC端向移動端轉移，也給電子取證帶來了諸多新的挑戰。首先，大數據時代數據往往都存放在數據中心，數字取證的過程中既要保證數據的時效性和完整性，同時也要保證在數字取證的過程中不耽誤數字中心中其他數據的調用，高效地從海量數據中挖掘出具有價值的電子數據，本身具有一定的難度。其次，智能設備的普及，加快了人們的工作和生活從PC端向移動端的轉移，這也意味著數字取證人員不僅要熟悉傳統計算機系統的取證方法，還要熟悉安卓、蘋果等移動系統的取證方法；而絕大多數操作系統都是非開源系統，且操作系統的更新較為頻繁，這無疑增加了取證人員獲取系統日志的難度。

（4）數字取證與隱私保護。現如今，計算機網絡、個人計算機、智能手機已經成為我們生活中不可缺少的重要部分，我們日常的工作、學習、娛樂、社交甚至是網絡購物、金融交易都可以通過手機在網絡上進行。數字取證需要在海量數據中挖掘出有價值的證據并進行深度分析，而這些海量數據中也可能包含一些涉及個人隱私的信息。從保護個人隱私的角度上看，數字取證可能會導致個人隱私信息的泄露。

（5）犯罪嫌疑人反偵察意識以及相應反偵察技術的提升。盡管國家對于網絡犯罪的打擊力度不斷增強，但是犯罪嫌疑人的反偵察意識也在不斷提升，他們也學會了利用各種新型反偵察技術，銷毀證據、隱藏蹤跡、逃避打擊。有些人會使用數據擦除軟件隱藏蹤跡；有些人將敏感信息嵌入到圖片、視頻等類型的文件中，以突破網絡封鎖；還有些人則利用后門、木馬等繞開系統日志或者對系統日志進行銷毀。

5 結束語

在當今“互聯網+”的時代背景下，計算機網絡犯罪案件頻發，這使得相關案件電子證據的獲得、存儲以及使用變得尤為重要。數據取證工具的應用，對于打擊計算機網絡犯罪、維護網絡空間秩序具有重要意義。一方面使用專業的數字取證工具能夠很好地進行數據的收集、恢復、挖掘和分析；另一方面專業數字取證工具能夠從大量的電子數據中快速地挖掘出具有價值的證據并有效減少出錯的可能性，最后利用數字取證工具所形成的電子證據更容易在庭審上展示。與此同時，盡管數字取證對于打擊網絡犯罪維護網絡空間安全具有重要意義，但是當前數字取證仍面臨著諸多問題和挑戰；取證人員能力的不足、取證標準的不完善、新技術、新產品所帶來的新問題以及數字取證的倫理道德問題，都給數字取證的發展帶來了巨大的挑戰，也需要我們予以充分應對。