郭 弘，杨 恺，耿浦洋，李 岩，卢启萌，凌 嵘，贾汝静

（1.司法鉴定科学研究院 上海市司法鉴定专业技术服务平台 司法部司法鉴定重点实验室，上海200063；2.中国合格评定国家认可中心，北京 100062）

2014 年最高人民法院、最高人民检察院、公安部发布的《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》（公通字〔2014〕10 号）和 2016年最高人民法院、最高人民检察院、公安部联合发布的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》（法发〔2016〕22 号）均明确了“对电子数据涉及的专门性问题难以确定的，由司法鉴定机构出具鉴定意见，或者由公安部指定的机构出具报告。” 电子数据鉴定作为司法程序中的重要环节，确保鉴定流程的规范性和鉴定意见的正确性，对于贯彻“以审判为中心”的刑事诉讼制度改革要求具有重要意义。

针对电子数据司法鉴定/法庭科学领域的机构和实验室，能力验证是一种有效的质量控制与改进手段。 通过能力验证，机构能够快速发现问题，并加以分析和整改，迅速提高参加项目的鉴定能力，从而有效促进技术能力和质量管理水平的提升。随着相关部门对于司法鉴定/法庭科学领域的监管力度不断加大以及行业自身的质量和管理意识的增强，参加能力验证已成为该领域的发展趋势。

本文通过梳理2021 年电子数据功能性鉴定能力验证的结果，分析国内该领域行业及地域水平、参加机构的鉴定结果准确性以及当前鉴定方法和鉴定工具使用情况，进一步探讨存在的问题并总结可采取的措施和未来发展的方向。

1 电子数据功能性鉴定能力验证的策划背景

在早期认证认可范围的界定过程中，业界很多专家认为电子数据功能性鉴定属于软件测试的一部分，因此该项目一直未纳入司法鉴定/法庭科学的认证认可范围，在司法鉴定/法庭科学领域也没有相应的能力验证项目。2020 年6 月23 日，司法部根据诉讼需求和司法鉴定实践，颁布实施了《声像资料司法鉴定执业分类规定》（司规〔2020〕5 号），明确规定将电子数据功能性鉴定纳入电子数据鉴定的四个执业类别。 2021 年，公安部联合国家市场监管总局联合发布《关于规范和推进公安机关鉴定机构资质认定工作的通知》（公刑侦〔2021〕4329 号），将电子数据相似性、功能性鉴定作为公安机关鉴定机构检测实验室电子数据鉴定的三个类别之一。 据此，电子数据功能性鉴定的地位在法规层面上得以明确。从事该鉴定项目的机构/实验室有必要参加能力验证以进行质量控制，确保提供科学、规范、准确的鉴定结果。

电子数据功能性鉴定涉及的知识面广、技术难度高，目前国内外司法鉴定领域尚缺乏系统、有效的评价方法，亦缺乏进行比较、监督、规范的有效手段和途径。 因此，本次能力验证活动的目的是要探索适合在各机构/实验室之间进行电子数据功能性鉴定能力考察和评价的科学、客观的方法和途径，并成为规范鉴定活动、提高鉴定能力的有效手段，以达到不同鉴定机构/实验室间在对同一问题的鉴定获得基本一致鉴定意见的目标，保障鉴定意见的一致性和可比性。

2 电子数据功能性鉴定能力验证的方案设计

根据中国信通院发布的《新形势下电信网络诈骗治理研究报告（2020 年）》，近年来我国电信网络诈骗日益呈现技术对抗性强、诈骗手法翻新快等新特点、新趋势。 诈骗分子根据互联网业务发展形势，不断将各类热门网络应用作为新型诈骗实施渠道，逐步将单一的电话诈骗扩展为跨平台、跨网络诈骗。 与此同时，我国计算机信息系统的病毒感染率和移动终端病毒感染率均呈现上升态势。 在利益驱使下，犯罪分子投入到挖矿病毒与勒索病毒领域，为扩大传播范围、对抗安全产品的检测，病毒持续更新迭代，导致病毒数量以及感染率的提升。 政府、医疗、教育、研究机构和制造业等重要行业的关键信息基础设施逐渐成为勒索软件的重点攻击目标。因此，对此类犯罪的鉴定技术进行深入研究，对打击网络犯罪具有重要意义。

本次电子数据功能性鉴定能力验证计划的方案设计综合了近年来新闻报道中常见的APP 诈骗和勒索病毒案件设计，背景为我国新冠疫苗接种期间发生的“非法获取公民个人信息”和“网络敲诈勒索”犯罪。 不法分子打着“新冠疫苗接种”的幌子，冒充疾控中心发布新冠疫苗接种信息，诱骗群众安装不明APP，从而收集大量公民个人信息，并针对性地发送勒索病毒实施网络敲诈勒索。

本次能力验证的检材设计为办案机关查扣的嫌疑人电脑硬盘镜像、从阿里云提取的涉案APP 的分发平台和业务管理后台的服务器镜像、从受害人手机中提取的涉案APP 应用以及从受害人电子邮箱中提取的含勒索病毒程序文件的涉案邮件。 案情中融入了“勒索病毒”“手机应用诈骗”等取证鉴定热点。 根据前期调研，很多涉及诈骗APP 和破坏计算机信息系统案件鉴定的侧重点是结合客户端应用程序、服务器端网站，对程序功能和实现代码进行综合分析，而EXE 和APK 程序是最常见的检验对象。本次方案设计充分考虑了这些实战需求，参加机构必须对 Python 脚本、EXE 程序、APP 应用和后台网站等进行功能性检验鉴定。

3 电子数据功能性鉴定的注意事项

电子数据功能性鉴定应对送检程序文件采用静态分析和动态分析相结合的方式完成。 鉴定前，应根据所选用的分析方式搭建相应的分析环境，该分析环境应符合待检应用程序的软硬件兼容性要求。 采用静态分析方式时，应在电子数据鉴定专用计算机操作系统中根据鉴定要求选择安装适当的程序开发工具、加壳检测工具、脱壳工具和程序逆向分析工具等软件。 采用动态分析方式时，应在电子数据鉴定专用计算机操作系统或者实验移动终端、移动终端模拟器的移动终端操作系统中根据鉴定要求选择安装系统监控、存储监控、内存数据获取和分析工具、网络数据流获取分析工具等软件。

鉴定过程中，静态分析应根据待检破坏性程序的具体情况进行分析，如待检程序是否具有加壳、加密等防检测分析的保护工具，可根据需要先去除保护工具。 必要时，可对待检程序进行逆向分析，通过分析反编译代码获知可执行程序的程序行为及其实现过程。 如有已知样本的破坏性程序，可将待检程序与破坏性程序样本进行相似性比对。 此外，可使用杀毒软件或杀毒引擎扫描待检程序，以确定其是否具有已知恶意代码的特征码。 动态分析需要搭建模拟网络环境，通过动态仿真系统运行待检程序，对其行为进行监控并分析其特征。 此外，可使用系统提权、应用层挂钩等方式对特定系统函数进行监控。 必要时，对程序下断点进行动态调试。 以Android 平台的应用为例，静态分析包括对应用程序安装包的基本信息分析、资源文件分析、代码文件分析以及用户数据分析，动态分析包括内存分析、存储分析、网络流量分析、功能测试和动态调试，具体如图1 所示。 其中，基本信息分析包括程序版本信息、开发者及应用程序签名信息、应用程序权限配置等。 资源文件分析包括对应用程序中所包含的资源索引、配置文件、对应的资源文件以及使用的第三方SDK 分析。 应注意，对于采用加壳等方式保护的应用程序，应使用对应的壳类型检测工具和脱壳工具对应用程序进行脱壳，以获得进一步分析的条件。 内存分析是对移动终端操作系统的运行内存（RAM）进行获取，并分析其中应用程序相关数据的生成、变化和释放情况。 存储分析是分析应用程序对存储区域进行的读写操作，包括其创建、访问、修改、删除的文件名称、数量、频次等信息。 网络流量分析是获取应用程序在安装、运行、卸载过程中所发送和接收的网络通信数据包，并分析其传输协议、地址、时间、内容等信息。

图1 Android 应用鉴定技术路线示意图

此外，应用程序功能性鉴定全过程的信息应完整、准确、全面地进行记录，以保证检验结果的可重现性和可追溯性，记录内容包括以下内容：（1）检验分析环境的搭建过程及其软硬件配置信息；（2）检验使用的工具、工具输出数据或使用工具的检验发现；（3）动态分析、静态分析的项目及检验发现；（4）检验过程中的异常情况及可能产生的原因判断。

4 参加机构反馈情况分析及存在的问题

4.1 参加机构情况汇总

本次能力验证活动报名参加单位共209 家，来自全国30 个省、自治区和直辖市，其中返回结果179 家，未返回结果30 家。 179 家机构结果反馈情况及各评价等次分布结果见表1。

表1 反馈机构的结果总体分布情况

4.2 行业及地域分析

根据行业特点对反馈机构进行分类，本次参加电子数据功能性鉴定的机构类型分别为公安系统、检察系统、科研院校（高校、研究所、医院）和民营鉴定机构。 在这四类行业系统中，检察系统所获满意率最高，满意比例为100%，但是由于参加机构的数量较少，可能并不能反映实际的整体情况；其次是公安系统，满意率超过80%，整体水平较高，这与公安系统经过大量案件的锻炼和主管部门经常举办“大比武”等技术竞赛有一定关系；再次是民营机构，满意率超过65%，说明民营机构近年来整体水平有了显著提升，这些进步可能与行业管理部门的严格要求有一定关系；最后为科研院校，满意率不足60%，仍存在较大提升空间。 本文选取得分前30 位、后30 位的参加机构进行统计，行业分布如图2 所示。 可以看出，技术实力最强的机构中以民营机构居多，这些机构很多依托于取证厂商，本身就具有一定的研发能力，因此水平比一般鉴定机构要高。

图2 参加机构结果评价分布（上）及排名前/后30 位的参加机构行业分布（下）

通过统计各省获得满意参加机构的数量，获得满意机构数相对较高的省份（地区）为浙江、广东、广西、北京、重庆、上海，未获得满意机构数量较高的省份（地区）为福建、北京、上海。 总体来说，上海和北京的参加机构数量较多，机构能力有强有弱，而东北、中部、西部的参加机构数量较少，能力相对较弱。 由于有些省份（地区）参加机构过少，以上统计可能存在些许失真，但基本可以反映出该地区的技术发展水平。

4.3 结果正确性分析

本次能力验证计划要求参加机构对样品中的电子数据进行全面提取、分析，并在此基础上结合鉴定要求进行功能分析得到最终结果。 检验过程涉及固定保全、哈希值计算、仿真检验、数据搜索与提取、网站分发平台分析、二维码分析、Python 脚本分析、EXE 程序行为分析、EXE 程序逆向分析、APK应用的权限分析、APK 应用的代码分析和网站代码分析等多个技术点的综合运用。 部分题目设计具有一定自由度， 如APK 应用上传数据连接的服务器可以选择逆向分析，也可以运行后抓包分析，参加机构可以采用更擅长的方式来展示技术能力。 这种形式既贴合鉴定实践，又能够较为全面地反映参加机构解决实际问题的综合能力。

在发样前， 作业指南中20 个鉴定要求均经过仔细斟酌确保没有歧义和误解。 从反馈结果来看，参加机构可以正确理解任务书中的鉴定要求，并正确理解反馈页面的填写要求。 鉴定要求均有对应的客观结果作为参考答案，在本次能力验证中除了答案外，得出答案的依据也要求一并反馈。 根据每题的特点将答案和依据分为若干个得分项。20 个鉴定要求问题所涉技术点中：第1、2 题考察了参加机构对于分发网站的理解及二维码的分析；第3、4 题考察了参加机构对于Python 脚本和邮件发送过程的分析；第5～10 题考察了参加机构对EXE 程序的分析； 第11～17 题考察了参加机构对APK 应用的分析；第18、19 题考察了参加机构对于管理后台网站的分析；第20 题考察了参加机构对于APK 应用与管理后台结合的综合分析能力。 根据参加机构的反馈情况，网站分发平台分析、二维码分析、Python 脚本分析、EXE 程序分析、APK 应用分析、网站代码分析几个技术点在区分参加机构的能力上作用较为显著，得分情况见表2。

表2 参加机构的反馈得分情况

总体而言，本次能力验证反映出参加机构对于电子数据功能性鉴定的一般技术要求基本掌握，但是涉及综合分析，尤其是需要动态静态结合分析时，技术能力相对较为薄弱。

4.4 使用鉴定方法的分析

方法是电子数据鉴定机构开展鉴定活动的基础，也是认证认可中的重要考察内容。 在历次能力验证中均要求参加机构反馈所使用的方法，用以了解参加机构是否有选用恰当的方法并按照方法开展鉴定活动的意识。 在“依法治国”和“质量强国”的建设方略指引下，电子数据鉴定的标准化工作近年来发展迅速，已颁布了4 项国家标准、44 项公共安全行业标准（含4 项修订）、5 项司法行政行业标准、13 项司法鉴定技术规范以及一些部门内部规范和团体标准，满足了电子数据司法鉴定的迫切需要。

本次能力验证的推荐方法为《电子物证数据搜索检验规程》（GB/T 29362—2012）、《电子物证文件一致性检验规程》（GB/T 29361—2012）、《数字化设备证据数据发现提取固定方法》（GA/T 756—2008）、《程序功能检验方法》（GA/T 757—2008）、《电子物证软件功能检验技术规范》（GA/T 828—2009）、《法庭科学 计算机操作系统仿真检验技术规范》（GA/T 1480—2018）、《法庭科学 Android 系统应用程序功能检验方法》（GA/T 1571—2019）、《法庭科学 破坏性程序检验技术方法》（GA/T 1713—2020）、《破坏性程序检验操作规范》（SF/Z JD0403002—2015）和《软件功能鉴定技术规范》（SF/Z JD0403004—2018）等。

GB/T 29362—2012 和 GA/T 756—2008 是以往能力验证中采用较多的方法， 反馈结果中有广泛应用；GA/T 1480—2018、GA/T 1571—2019、GA/T 1713—2020和SF/Z JD0403004—2018 由于是近几年新发布的标准，很多参加机构未能及时采标和宣贯，并未选用上述方法。 此外，本次能力验证主题要求参加机构必须列出涉及程序功能鉴定以及破坏性程序鉴定的方法。 从反馈结果来看，少数机构未使用涉及程序功能的鉴定方法，多数机构未使用涉及破坏性程序的鉴定方法，极少数机构使用了由于相应国标发布而废止的鉴定方法《电子物证数据搜索检验技术规范》（GA/T 825—2009）和《电子物证数据恢复检验技术规范》（GA/T 826—2009）。

总体来看，历年能力验证中明确要求填写鉴定方法的举措发挥了一定的示范作用，大多数参加机构有采用标准方法的意识，但在具体方法的选用上仍存在一定困惑。 其中，一个较为突出的问题就是将与鉴定要求关联性不大的方法都列出来，仅满足了形式要求而不满足实质要求。 另外一个突出问题是，使用了鉴定方法，但实际鉴定过程中并未按照鉴定方法操作。 例如，按照破坏性程序的检验方法，不能在工作环境运行破坏性程序，然而本次参加机构有不少未按照方法和作业指南的注意事项要求，直接在工作环境中运行了勒索病毒进行检验，导致检验电脑上的文件被加密。

4.5 使用鉴定工具的分析

“工欲善其事，必先利其器。” 对于电子数据鉴定工作，专业的鉴定工具是保障鉴定结果准确可靠的重要利器。 本次能力验证通过考察参加机构选用的软硬件工具，来评估其是否能应对新的鉴定需求。 由于能力验证需要考察的是参加机构的技术能力，本次能力验证计划弱化了自动化分析工具的作用，多数题目无法通过工具的自动化处理得出答案，通过检验过程可以较好地体现对参加机构综合能力的考察。 各个题目层层深入，基本覆盖了电子数据功能性鉴定的常见检验要求。

电子数据功能性鉴定是综合性的鉴定，技术涵盖代码分析、逆向分析与数据抓包分析等多个方面，因此使用的鉴定工具也种类繁多，主要的分支包括计算机系统分析类、操作系统仿真类、EXE 程序逆向类与移动终端APP 分析类工具等。本次能力验证计划要求参加机构反馈在解决每个问题中使用的鉴定工具。 大多数机构能够按照参加能力验证实际使用的工具进行反馈，但仍存在少部分参加机构实际使用的工具（依据中的截图）与反馈不符的情况。 各参加机构反馈结果中使用鉴定工具（各种类型取前5 位）的情况详见图3。

图3 参加机构使用鉴定工具情况

从参加机构反馈的工具使用统计结果可以发现，我国的电子数据鉴定产品市场经过十余年的快速发展，在各个领域都已有自主研发的电子数据鉴定产品，并且国产自主知识产权的产品已经在绝大多数电子数据鉴定市场上完全替代了国外产品。2020 年10 月， 美国商务部工业与安全局以国家安全为由，宣布对包括电子数据鉴定工具在内的六项对美国国家安全至关重要的“新兴技术”实施多边管制。 因此，加快电子数据鉴定产品的国产化进程，对解决被国外“卡脖子”的问题、推动行业技术水平发展具有重要意义。

5 建议与展望

根据本次能力验证计划的反馈结果，大多数参加机构的鉴定人员在电子数据功能性鉴定方面达到了相当高的水准，检验全面、分析合理、依据充分。 但也有一些参加机构的鉴定人员在电子数据功能性鉴定方面的能力存在较多不足，在方法的选用上显得不够专业，检验过程粗糙，留下了许多易被质疑的漏洞，反映出这些人员没有基本掌握电子数据功能性鉴定的方法，极易导致鉴定结果的随意性。 为此，相关部门及鉴定机构应进一步加强鉴定人员的监督及能力培养，通过培训和考核来提高鉴定人员的鉴定能力，保证鉴定质量。

能力验证的目的是评价分析参加机构的能力，从而帮助其规范鉴定活动、提高鉴定水平。 然而，本次能力验证依旧存在参加机构串通和寻求外援的现象。 究其原因，主要因为参加机构对能力验证的本质与宗旨理解不足，也存在监管机构或上级部门对于能力验证结果的利用有失偏颇，导致能力验证的作用功利化，部分能力未达到要求的机构，希望通过结果串通以取得好成绩。 客观上，现代通信技术和工具的应用，给能力验证结果伪造和结果串通提供了极大的便利。 此外，由于利益驱使，还有机构违规向参加机构提供能力验证项目的“参考答案”且有愈演愈烈的趋势，导致参加机构结果串通和结果造假现象日益严重，使得仅通过能力验证结果难以反映参加机构的真实鉴定水平能力。 因此，从管理上，建议主管部门制定相应的奖惩规则对寻求串通或代做的机构和提供代做服务谋求不当利益的机构进行针对处理；从技术上，建议能力验证的实施参考公安“大比武”或者行业竞赛的形式，线上或线下集中进行限时测评，采取适当措施断绝“外援”，以反映参加机构的真实鉴定能力。

随着以审判为中心的刑事诉讼制度不断推进，可以预见，能力验证工作在我国的电子数据鉴定领域的地位和影响力将不断提升，有助于相关机构进一步提高技术能力、规范鉴定流程，对于提高证据的可采性，实现司法公正起到了积极的推动作用。同时，行之有效的能力验证工作需要政府和行业等有关部门共同努力，群策群力，清晰把握当前的新形势与新局面，对标国际前沿、国家战略和行业特点，不断总结经验，有效完善和提升自我能力。