电子证据鉴定技术和规范研究
2010-03-11韩索华刘树金
何 月 ,韩索华 ,刘树金 ,赵 磊
(1.中国石油大学计算机科学与技术系 北京 102200;2.北京市昌平区人民检察院 北京 102200)
1 引言
进入21世纪,人类进入了信息化、网络化的时代,互联网的诞生和发展是现代社会的一场深刻革命,借助互联网这一平台,信息一体化给全球带来了前所未有的变化,各种各样的电子产品已经进入千家万户,成为人们参与社会活动时不可缺少的生活、工作、学习工具。电子产品在使大家深受裨益的同时,也伴随产生了利用各种电子设备和工具进行的各种违法犯罪活动。各类智能型犯罪,以计算机犯罪为代表,其中大多证据信息都以数字形式通过电子与通信产品、计算机或网络进行存储、传输和传播,从而出现了“数字证据”的概念。近年来,电子证据这一以高科技电子介质为载体的证据形式逐步进入了司法领域,司法实践中涉及电子证据(计算机证据、电子物证)的案件层出不穷,数量呈现大幅上升趋势,因此,面对种类繁多的电子数据载体,能为案件提供侦察方向和证据的情况将越来越多,作为为办案部门提供技术支持的技术部门,面临新的任务和挑战。笔者主要结合电子证据的载体种类繁多及其自身的显著特征,针对电子证据的检验鉴定的发展状况,从开展电子证据检验及专业建设及电子证据检验材料的提取与保存、电子证据检验的要求和作用、电子证据检验技术方法等方面入手,对电子证据的取证及检验方法进行深入探讨。
2 电子证据鉴定技术的发展状况
证据制度作为国家司法制度的组成部分,同国家和法律制度的整体一样,是随着社会经济基础的变化而变化的,同时也是与人类认识客观世界的能力的提高密切相关。
2.1 电子证据检验鉴定的国外研究现状
英美法系学者对电子证据的研究已有相当长的历史,其对电子证据的可采性与证明力以及收集、保全、出示、质疑与认定电子证据的规则已经形成了较为成熟的看法。在大陆法系国家,基于证据法不具有独立的地位等缘故,电子证据的研究尚未受到应有的重视。
2.2 电子证据检验鉴定的国内研究现状
我国情况与大陆法系国家相似,对电子证据的研究仍然相当肤浅,并且存在大量误区和混乱。然而,电子证据走进司法领域是不以人的意志为转移的必然趋势。因而,我们对电子证据进行研究,不仅为立法机关、司法机关提供了理论支持,而且拓展了我国证据法学研究领域,具有重大的理论意义和实践价值。
2.3 相关法律的制定情况
许多国家和地区对电子证据已制定出了一些相关的法律、法规和条例,提供了运用电子证据来证明客观事实的法律依据,如联合国贸法会于1996年通过的《电子商务示范法》,菲律宾《电子证据规则》,加拿大《1998年统一电子证据法》,印度《1999年信息技术法》,新加波《1998年电子交易法》,英国《1968年证据法》之电子证据部分,《1984年警察与刑事证据法》之电子证据部分,美国《1999年统一证据规则》之电子证据部分,美国《统一电子交易法》之电子证据部分,美国《统一计算机信息交易法》之电子证据部分,南非《1983年计算机证据法》等。
在我国司法实践中,许多法律法规增加了关于电子证据的条款:
· 《中华人民共和国合同法》的电子证据部分;
· 最高人民法院 《关于民事诉讼证据的若干规定》的电子证据部分;
· 最高人民检察院《人民检察院刑事诉讼规则》的电子证据部分;
· 最高人民检察院《关于检察机关侦查工作贯彻刑诉法若干问题的意见》的电子证据部分;
· 公安部《公安机关办理刑事案件程序规定》的电子证据部分;
· 上海市《国际贸易电子数据交换管理规定》;
· 上海市《电子商务价格管理暂行办法》(数字证书部分);
· 香港地区《电子交易条例》的电子证据部分等。
这些法规和条例为当前的各类案件的办理和诉讼工作提供了运用电子证据来证明客观事实的法律依据。
3 电子证据检验鉴定的概念、特点及检验对象
司法鉴定是指在诉讼活动中,鉴定人运用科学技术或者专门知识对诉讼涉及的专门性问题进行鉴别和判断,并提供鉴定意见的活动。
电子证据检验鉴定是指鉴定人运用计算机技术、物理学以及电子技术的原理和技术手段,对诉讼涉及到的电子数据进行恢复、鉴别和判断,并提供鉴定意见,以取得最具证明力的电子数据证据作为认定事实的依据。
电子证据检验鉴定的特点有:(1)需要检验鉴定的客体发展变化快,电子证据是以存储介质记录的内容来为案件提供相关的证据,但从物理性质上讲,随着科技的发展,涉及的存储介质也越来越多,这样,为围绕该类证据的提取,检验鉴定也在不断提出新的要求。(2)电子证据所涉及的物证与传统物证相比,具有形式多样、介质依赖、易破坏、时限性强的特点,鉴于电子证据的特点,电子证据检验鉴定不仅仅要重视结果的准确性和正确性,更加重要的因素是检验鉴定的程序必须符合相关的程序。(3)电子证据的检验鉴定必须由具有鉴定资格的专门技术人员进行,电子证据检验鉴定是司法鉴定的技术种类中一种,因此,围绕司法鉴定开展的全部活动应该遵循国家关于司法鉴定的相关规定。(4)电子证据的检验鉴定必须使用具有科学依据的专门仪器和技术手段进行。根据电子证据的特点,检验鉴定工作离不开专门的技术设备,而且,这样的设备必须具备相关资质和资证,否则,所开展的检验鉴定工作也是没有根据的。
电子证据是由电子信息技术应用而出现的各种能够证明案件真实情况的材料及其派生物。这里所述的“材料及其派生物”就是勘验和检查的对象,常见表现形式有:电子邮件、电子数据交换、网上聊天记录、网络博客、手机短信、电子签名、域名等。有学者根据电子证据在证明案件事实上作用的大小将其分为电子数据本身、附属信息证据和系统环境证据,从这个角度能够对检验对象有更清晰的把握。
目前,在社会上应用的计算机的存储介质多达40种(如图 1所示),主要包括:软盘、硬盘、光盘、磁带、流式带、不同类型和容量的活动硬盘、活动软盘等。主要为:3.5寸、2.5 寸、1.8 寸、IDE、SATA、SCSI等 7 种 不同规格硬盘;2种规格软盘;CD-ROM/CD-R/CD-RW/DVD/DVD-R/DVD-RW 6种类型光盘;128/230/640/1300 MB 4种规格MO光盘;ZIP 100/250/750 MB 3种规格大容量软盘;JAZ 1000/2000 MB 2种规格可扩充硬盘;CF/SM/MMC/SD等10种类型闪存卡;USB接口移动硬盘、FIREWARE 400/800接口移动硬盘、SCSI接口移动硬盘等。
其他类型的设备,包括手机机身、SIM卡、掌上电脑(PDA)、打印机、复印机、数码照相机、数字摄像机、传真机等。
4 电子证据检验材料的提取与保存
4.1 电子证据取证的基本过程
图1 存储介质种类
电子取证的基本过程是:到达现场后,检查机器当时的状态是否安全,是否有需要获取的实时证据,如正在运行的进程等。检查和获取实时证据之后关掉机器,然后,判断可否制作磁盘镜像。可以则制作镜像并回实验室继续取证直至提交证据为止;否则,检查不能制作镜像的原因(例如磁盘故障)。
(1)保护现场和现场勘查
封存目标计算机系统并避免发生任何的数据破坏或病毒感染,绘制计算机犯罪现场图、网络拓扑图等。在移动或拆卸任何设备之前都要拍照存档,为今后模拟和还原犯罪现场提供直接证据。
整个检查、取证过程必须是受到监督的,公安部《计算机犯罪现场勘验与电子证据检查规则》第9条规定:“对计算机犯罪现场进行勘验和对电子证据进行检查不得少于二人。现场勘验检查,应当邀请一至两名与案件无关的公民作见证人。公安司法人员不能充当见证人。”该规则第16条、第23条分别对现场勘验时提取数据、封存物品文件的过程、在线分析的关键步骤以及远程勘验过程中提取、生成电子证据等关键步骤规定了录像的要求。《人民检察院检察技术部门电子证据勘验程序规则 (试行)》(征求意见稿)第16条也规定:“数据内容勘验重要步骤应当全程录像,录像资料应当编号保存。”
要特别注意保证“证据的连续性”,即在证据被正式提交法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现的状态之间的任何变化。
(2)获取证据
证据的获取很难有固定的、一成不变的方法和模式。在理想状态下,任何一台需要分析的计算机都可以关掉电源,重新启动,做一个完整的镜像。这时,取证人员只需取下硬盘,进行各种操作即可。但是,这仅仅是个理想状态而已。电子取证领域最具争议的话题之一就是:在取证时究竟是让一台计算机继续运行还是立即拔掉电源,或者进行正常的管理关机过程。大多数取证人员为了使计算机停留在当前状态,采取立即拔掉电源的做法,但是这一做法会毁掉处于入侵过程中的相关数据,并且可能毁坏硬盘上的数据。这也正是事后取证难以解决的问题。最好的方法应该是针对现场的具体情况迅速做出判断,采取合适的方法获取数据。
4.2 取证工作面临的难题
第一,多数情况下,系统管理员发现网络遭到攻击和破坏后,由于急于确认攻击怎样出现并重建系统,往往破坏了证据。另外,用户也要克服对犯罪行为进行报告时的犹豫心态,不要因为担心损害企业声誉而对受到的网络攻击隐瞒不报。
第二,面对复杂、海量的数据,如何审查判断出与案件关联的、反映案件客观事实的电子证据。任何对应用系统或数据库的增删、收发电子邮件等行为所产生的数据都存储在数据库、缓存区或临时文件中,并和海量的其他数据混杂在一起。而且,计算机应用系统繁多,电子证据存储状态复杂、表现形式多样,所以,从海量的计算机数据中甄别出与案件有关联的、反映案件客观事实的证据是很有难度的。
第三,如何依照科学、规范的程序进行收集取证。很多组织和机构投入了大量的人力开发取证工具,例如FTK、EnCase等,但是这些取证工具没有统一的标准和规范,因而软件的使用者很难对工具的有效性和可靠性进行比较。要证明一种工具是精确可靠的并不是件简单的事。只有当有资质的机构认定这些工具是准确和可靠的,它们才能用来进行取证。
5 电子证据取证的发展与规范
5.1 电子证据取证的发展趋势
电子取证技术一方面会随着司法实践中的应用而不断完善;另一方面会随着黑客技术等计算机技术的发展而相应地出现新的对策。电子取证主要有以下几个发展趋势。
第一,取证工具和程序向标准化方向发展。由于电子取证本身的特点,如何根据中国的实际情况,采取科学规范的手段和方法,有效保证检验结果的科学性和规范性,是致关重要的事情。从目前国际国内开展电子取证的情况看,国外产品在电子取证规范化的检验程序方面,还没有适合中国国情的产品。
由于国外开展研发比较早,具有专门的研发队伍,所以在电子取证检验工具方面成果卓越,包括主流的大型分析工具 EnCase、FTK和X-WAYS,专业的数据恢复工具EasyRecovery、R-Studio、PhotoRecovery,容易失数据获取工具 F-Response、X-WAYS Capture,密码破解工具 PassWare等,这些软件工具功能强大。
第二,取证领域不断扩大。电子取证涉及磁盘分析、加密、图形和音频文件的研究、日志信息发觉、数据库技术、媒介的物理性质等多方面的知识。现在,很多工作依赖于人工实现,大大降低了取证速度和取证结果的可靠性。未来的取证软件会加入更多的自动发现和分析的功能,以更多的代替人工操作。
第三,由事后取证向实时取证发展。将电子取证结合到入侵监测等网络安全工具中,就像安装了监视器,能识别可疑活动,保存现场记录,迅速生成电子证据,减少调查的时间,降低对侦查人员的要求。
5.2 电子证据取证工作标准和规范
由加拿大、法国、德国、英国、意大利、日本、俄国和美国的相关研究人员组成的G8小组已制定了一系列有关数字取证的标准,并提出了数字取证操作过程的6条原则:
·必须应用标准的取证过程;
·捕获电子证据后,任何举措都不得改变证据;
·接触原始证据的人员应该得到相关培训;
·任何对电子证据进行捕获、访问、存储或转移的活动必须有完整记录;
·任何个人若拥有电子证据,那么他必须对其在该证据上的任何操作活动负责;
·任何负责捕获、访问、存储或转移电子证据的机构必须遵从上述原则。
5.3 电子证据取证工具标准和规范
美国国家标准和技术研究所 (national institute of standards and technology,NIST)的计算机取证工具测试计划(computer forensic tooLTEsting,CFTT)的目标就是通过开发通用的工具规范(Specification)、测试过程、测试标准、测试硬件和测试软件,建立用于测试数字取证软件的方法。该测试方法是基于一致性测试盒质量测试的国际方法,符合ISO/IEC 17025:1999(能力测试盒校准实验室)的一般要求。
CFTT采用的工具测试流程包括2个主要步骤。
(1)制定规范过程
·信息技术实验室(information technology laboratory,ITL)和有关法律部门制定工具类别规范,即对所选取证工具类型制定相关的要求、申明和案例测试文档。
· 将工具类别规范在网上公布,征求同行意见和社会评论。
·将相关的评论和反馈意见融入该规范。
·为该类型工具设计一个测试环境。
(2)工具测试过程
·ITL获得该测试工具。
·ITL审核工具文档。
·根据工具提供的特性,ITL选择相关的测试案例。
·ITL制定测试策略。
·ITL执行测试。
·ITL产生测试报告。
·同行审核该报告。
·其他人员审核该测试报告。
·ITL将结果发布到网上。
5.4 我国的标准化情况
目前,我国关于电子证据检验鉴定的行业标准有:全国刑事技术标准化技术委员会组织完成的 《电子物证数据搜索检验技术规范》(GA/T825-2009)、《电子物证数据恢复检验技术规范》(GA/T826-2009)、《电子物证文件一致性检验技术规范》(GA/T827-2009)、《电子物证软件功能检验技术规范》(GA/T828-2009)、《电子物证软件一致性检验技术规范》(GA/T829-2009)等,其公布实施可以说是我国电子证据鉴定标准化研究的阶段性成果,其中对送检的检材和样本进行惟一性编号,对送检的检材和样本进行拍照,启动杀毒软件对电子物证检验工作站系统进行杀毒等操作步骤都是保证检材原始性、真实性、完整性的重要操作标准。
6 电子证据检验的要求
6.1 电子证据检验应遵循的原则
电子证据具有隐蔽性、数量巨大的特点,可能与其他涉及个人隐私的数据呈交叉组合状态,特别是当计算机被多人使用或者处在网络系统中时。如果按照《刑事诉讼法》第114条“扣押物证、书证的范围”的规定对计算机进行扣押,难免侵犯他人的合法权益,甚至可能触犯刑法中关于计算机犯罪的相关规定。
一方面,为了更有效地收集证据,侦查人员应尽可能地扩大检查范围;另一方面,漠视公众的合法权益与现代法治精神相违背。为了兼顾打击犯罪与保护公众合法权益的平衡,在搜查、扣押、勘验、检查时应考虑以下原则。
(1)有限原则
与传统勘验、检查的物理限制不同,应从技术的角度限制检验范围,如计算机用户、制作者、登陆时段、电子邮箱、关键字等。
(2)必要性原则
结合以下几个要素判断有无扣押他人数据的必要性:犯罪嫌疑人涉嫌犯罪的内容,该电子数据作为证据的证明价值,电子数据受到篡改、删除的可能性以及该电子数据所有人的商业秘密和隐私的保护等。
(3)保密原则
因办案而知悉的电子数据要严格保密、防止外泄或者毁损等。尤其是对他人的或提供协助的网络服务商的信息,更要严格遵守保密原则。
另外,有必要对检验范围提出全新的规则,将检验电子证据的决定权限、实施方法、适用范围等内容纳入司法程序中。《人民检察院检察技术部门电子证据勘验程序规则(试行)》(征求意见稿)已经有了做出了有益的尝试:“勘验应当持有检察长签发的勘查证”,这里的“勘验”包括“场所勘验”、“存储介质或设备勘验”和“数据内容勘验”。关于检验活动的适用范围,案情的巨大差异造成检验对象的千差万别,因此还有待在长期的实践中积累出具有共性的标准。
6.2 非法证据排除规则在电子证据检验过程中的体现
非法证据排除规则用于调整电子证据是实现非法证据排除规则本身对“E”空间的保护而不是让非法侦查行为这一病区向无形的虚拟空间扩散的重要机制。
7 电子证据检验技术方法
以电子证据的来源为标准,电子取证技术可分为:单机取证技术、网络取证技术和相关设备取证技术。而以电子取证的过程为标准,电子取证技术可分为:电子证据的发现技术、固定技术、提取技术、分析技术和表达技术等。
(1)发现技术
分析当前计算机的类型、采用的操作系统,是否为多操作系统或有隐藏的分区;有无可疑外设;有无远程控制、木马程序及当前计算机系统的网络环境。注意开机、关机,避免正在运行的进程数据丢失或存在不可逆转的删除程序。
(2)提取技术
计算机证据的收集、提取工作对取证人员的业务素质有较高的要求,在提取过程中,要深入细致地对计算机中尚未清空的内存、残留的打印文档、硬盘的临时文件的可疑痕迹等进行查找分析。
·将主要犯罪事实连同显示器进行摄像、拍照。查找到相应证据后,应首先确定其在计算机中存放的位置并摄像、拍照,此后将证据显示在计算机显示器上,再进行摄像、拍照。
·将计算机证据进行文书化,用相应的应用程序打开文件,打印输出(可只打印有代表性的内容)。打印后标明提取时间、地点、机器、提取人及见证人。
·备份计算机证据,利用同规格的软盘、硬盘、光盘、MO盘等介质对提取的计算机证据进行复制备份,备份数目原则上应为两套。另外须加以注意的是备份时所使用的各类介质都必须经过系统格式化,以保证所使用的备份介质是空白的。
(3)固定技术
封存物证,如非必要,需断开网络连接。可移动存储介质的取证步骤可参照上述进行,但操作前注意应先进行写保护,并打封签字,避免可能的介质损坏或被修改,取证后封存。
(4)分析技术
采用专业搜索、动态过滤、信息排查等综合分析手段,充分挖掘检材中的内容证据和活动线索。对相关案件的关键信息进行关联性、身份角色、活动规律等综合分析,包括EnCase、FTK、X-WAYS等软件是目前电子取证综合检验广泛使用的产品。
8 如何开展电子证据检验及专业建设
第一,基于网络的虚拟性、隐蔽性以及电子证据的易改性等特点,证据不易收集、固定。第二,嫌疑人也极易变更,甚至毁灭证据。第三,专业侦查人员较少,一般的电子证据都是由普通侦查人员取证,也极大影响了电子证据的检验工作。这3个方面都是后续发展的方向。
检察机关应加快自有的计算机人才培养的力度。其中分两个层次:一个是应用层次的,加强侦查人员的网络专业技术培训,增强侦查取证能力。同时,加强检察机关、审判机关承办人员的网络专业技术培训,提高其起诉、审理网络犯罪的能力。第二是分析层次的,要求计算机专业人员能进行有效的电子证据的取证工作,能进行相关的破译、数据查找和数据恢复工作。
电子证据鉴定问题是由技术发展而引起的,随着计算机技术和通信技术的迅猛发展,必须不断地调整鉴定的方法、手段与程序才能适应技术的进步。
1 余彦峰.数字证据及其取证技术.网络安全技术及应用,2002(2)
2 陈俊.对电子商务征税的几点立法思考.法制日报,2001-09-30
3 吴晓玲.论电子商务中的电子证据.科技与法律,1999(2)
4 韩鹰.对电子证据的法律研究.中国律师2000年大会论文集,2000
5 董杜骄.论电子证据的法律地位.北京:中国经济出版社,2002
6 张嘉林.电子数据证据浅析.司法前沿,2003(2)
7 何家弘主编.电子证据法研究.北京:法律出版社,2002
8 张西安.论计算机证据的几个问题.人民法院报,2000-11-07
9 刘品新主编.电子取证的法律规制.北京:中国法制出版社,2010
