王俊

（中国人民公安大学，北京100038）

根据计算机取证状态的不同，学界一般将计算机取证分为动态的在线取证和静态的事后取证，由于动态在线取证的技术标准和法律认同问题久拖未决，为保证取证结果的法律认可和电子证据的易于采信，目前司法实践中大多使用传统的静态取证。

传统的静态取证方式立足于对计算机相关存储设备中的电子数据的离线解读和分析，需要电子数据的既定写存和较好的数据存储环境。如果数据未能写入相关存储设备或取证条件不理想的情况下，静态取证的效果将大打折扣。譬如，对运行中的计算机信息系统先实施关机操作再进行事后的静态取证就会造成取证目标主机中一些重要的即时数据①所谓的即时数据是指只有在计算机系统运行的过程中可以被分析和获取的电子数据，这些数据会随着系统关机而灭失。诸如寄存器转存数据、RAM数据、虚拟内存数据、用户实时操作轨迹、网络即时通讯数据等都可视为即时数据范畴。的丢失。即时数据大多是明文数据，其中可能含有各种密文的解密口令、各类程序的操作运行记录、虚拟内存的写入记录、网络即时通讯数据记录等信息，这些信息最终并不会被写入计算机系统的存储设备中，其会随着系统的运行终结而自行消失。在很多时候，获得这些即时数据可以使取证事半功倍，因而其重要性也越来越受到司法机关的重视，但获得这些数据需要取证的在线进行和动态的研判分析与收集保全，采用静态事后取证无法满足即时数据获取的需要。

此外，静态取证获取的数据是计算机系统运行的各类结果数据，对于各类电子数据如何形成、获取的各类电子数据间有何关联、用户事前进行了何种操作、数据变化的原因等问题若采用事后静态取证的方法，从结果数据中很难推定这些数据产生、改变、灭失的原因。再有，静态取证难以重现电子数据先在②取证实施前目标计算机系统的动态运行环境以及系统变量。运行环境，面对海量的电子数据，静态取证的准确度、取证的效率受到很大影响。

为满足取证动态分析的实际需要、弥补静态事后取证之不足，近年来学界一直致力于满足取证技术和取证法律双重要求的动态取证方法的探寻。随着计算机仿真技术、磁盘重新定向技术、Shadow等计算机技术的研究应用，计算机仿真（动态）取证应用的技术条件已经具备。目前已开发出的 Power Shadow、PC Virtual、Virtual Box、VM Workstation等软件工具已具备了应用于计算机取证的条件，我国计算机取证产品开发厂商也已研发成型 “ATT-3000动态仿真取证系统”、“盘石计算机仿真取证系统”等仿真取证设备。这些设备的应用在很大程度上促进了取证效率的提高，充实了计算机取证的结果。但也有学者对于仿真取证设备的可靠性提出质疑，有学者提出目前仿真取证的技术标准、相关操作规范和程序要求缺失，如何保障计算机仿真取证的结果能够获得法律的认可？怎样实现计算机仿真取证的规范化运作？计算机仿真取证能否保证结果的真实完整等，解决这些问题的关键就在于仿真取证规范化的尽快实现。

计算机仿真取证规范化的实现途径与传统静态取证的要求相同，即“技法并行”，才能保证取证结果的有效和电子证据的客观、完整、可信。因此，在计算机仿真取证应用技术条件成熟的同时，仿真取证的相应规范和标准也必须及时制定和完善。基于此目的，本文试从计算机仿真取证的法律规范设计角度出发，结合仿真取证的技术特点，寻求仿真取证规范的构建。

1 计算机仿真取证解读

简言之，计算机仿真取证是指在仿真模拟目标计算机系统的运行环境下实施的动态取证活动。系统仿真、系统原始环境的再现、数据写保护、数据动态在线分析和保全是仿真取证的主要特点。所以归结来讲，计算机仿真取证是指运用计算机仿真技术实现对目标计算机系统的仿真模拟和环境再现，在系统写保护状态下实施的对目标系统中各类电子数据原有状态的还原、操作轨迹的追踪以及各种数据记录的收集与保全活动。

1.1 仿真取证的原理与分类

计算机仿真取证主要是利用虚拟机技术、Shadow技术、重新定向等技术对目标计算机系统的操作系统内核、硬件设备、用户环境、各种网络协议、应用程序、数据记录等信息进行动态的仿真运行模拟，以在此基础上构建出安全的、可供动态取证的操作环境[1]。

按照取证对象的不同，可将计算机仿真取证分为：基于原机的仿真、基于硬盘镜像的仿真和基于硬盘镜像文件的仿真。基于原机的仿真是在拥有原始主机且系统处于写保护状态下的即时在线取证，其主要目的是动态获取目标主机中的即时数据、程序运行数据、网络通信信息以及攻击、入侵行为的数据记录；基于硬盘仿真取证是在借助虚拟机技术的基础上对装有操作系统的硬盘进行硬件的仿真重建，通过仿真加载原有系统设置，重建原有计算机系统运行的软、硬件环境，进行原始电子数据的动态分析获取；基于硬盘镜像的仿真取证是在甄别镜像文件中的原有系统配置信息的基础上，实现原载系统的仿真启动，以在线直观、准确的判别、收集和保全所需的电子证据[2]。

1.2 仿真取证的效能

仿真取证是为弥补传统静态取证的不足、提高计算机取证的效率、充实取证的结果而设计的，所以仿真取证有传统静态取证所不具备的优势和功能。

1.2.1 仿真取证能获取传统静态取证所无法获得的“即时数据”

静态取证多采取“二步式”做法，首先需要侦（调）查人员对原有计算机系统进行静态的封存，之后再交由专业的电子数据鉴定人员做取证分析。如果对处于运行状态下的目标计算机系统实施直接关机操作，这样目标计算机系统中的“即时数据”就无法得以收集和保全。采用动态仿真的做法，可在系统写保护的状态下实现对目标主机中的“即时数据”③需要原系统处于运行状态，在系统写保护的情况下实施即时在线取证分析。的及时在线获取，避免“即时数据”的灭失，为后续取证分析提供口令、文件和数据的支持。

1.2.2 仿真取证可以弥补传统静态取证 “网络电子数据”获取能力的不足

仿真取证的一大优点就是其可以仿真模拟原有计算机系统的网络运行环境和网络通信协议，获取原有系统中的各种网络程序的账号信息、电子证书数据、IE自动填写表单数据。获得这些数据可以实现对用户的电子邮箱信息、聊天记录、寄存于网络存储空间中的电子数据的解读和分析；仿真取证具有“还原重现”原有系统运行轨迹的功能。传统静态取证只能对已存电子数据做事后的分析和解读，无法解决目标系统原有运行轨迹记录数据的收集和获取，因此也就很难实现对目标系统原有运行轨迹的还原和再现。仿真取证则可通过仿真模拟，再现目标系统原有数据的生成、改动、存储等数据运行的轨迹，重塑电子数据从生成到改动的操作记录，实现数据的追溯还原。

1.3 仿真取证应用必须解决的问题

目前各国对计算机仿真取证的研究尚处在起步阶段，由于仿真取证的相关标准缺失，仿真取证在应用的过程中在技术、法律、程序等方面受到很多拷问。仿真取证技术能否完全保障取证目标计算机系统中各种数据的原始性和可信性？仿真取证应遵循何种取证程序标准？仿真取证工具是否经过检测和认证？从保证电子证据的证据能力和证明力的角度思考，这些问题可集中归为一点，即仿真取证结果的法律认可问题。为求得取证结果的法律认可，仿真取证的应用必须首先着眼相关标准和规范的制定。鉴于计算机取证必须满足技术和法律的双重要求，仿真取证规范的内容在保障仿真取证技术容许性的基础上必须与取证的法律要求相契合。因此仿真取证规范的制定应将重点放在取证法律规范、技术检测认证规则④得益于硬盘重新定向技术、虚拟仿真技术、临时存储技术（Shadow）的成熟应用，现今计算机仿真技术的可行性问题已得到了解决，但基于仿真技术研发的各种仿真取证设备是否能应用于仿真取证活动目前还有待评判，因而仿真取证技术规范研究应重点着眼仿真取证工具的检测和认证（评判）标准的制定。、程序标准等问题的解决上。

2 计算机仿真取证的法律标准

2.1 仿真取证规范化进程中的已决和未决法律问题

计算机仿真取证的法律标准包括两大部分：仿真取证的法律依据和取证结果的法律认可。仿真取证的法律依据早在我国97年《刑法》中就已有明文规定。我国在97年《刑法》中增设了第285条（非法侵入计算机信息系统罪）、286条（破坏计算机信息系统罪）、287条（利用计算机实施传统犯罪的规定）有关计算机犯罪的规定，标志着我国计算机犯罪取证正式法律依据的出台。同时，在2009年出台的《刑法》第七修正案中对第285条“非法侵入计算机信息系统罪”的适用范围进行了扩大修订，对于非法侵入“国家事务”、“国防建设”和“尖端科技领域”外的计算机信息系统，情节严重的行为，也要求给予刑事处罚，进一步扩大了计算机取证的适用范围[3]。

仿真取证结果的法律认证问题亦包括两个方面：电子证据的证据资格和证据能力问题。证据资格解决的是电子证据的法律地位问题，证据能力则是对电子证据认证的要求。审视我国法律体系不难发现，电子证据的证据资格问题目前还未得到妥善解决。首先，我国的三大诉讼法中仅规定了七类传统证据形式，由于三大诉讼法制定时间较早，当时在我国尚未出现涉及电子证据的法律诉讼，所以在这些法律中并未设置电子证据的法律条文。其次，对于电子证据的归属问题目前尚不统一。最高人民法院《关于民事诉讼证据的若干规定》第二十二条规定：“调查人员调查收集计算机数据或者录音、录像等视听资料的，应当要求被调查人提供有关资料的原始载体；”最高人民法院《关于行政诉讼证据若干问题的规定》第十二条规定：“根据行政诉讼法第三十一条第一款第（三）项的规定，当事人向人民法院提供计算机数据或者录音、录像等视听资料”。从高法两个有关电子证据的司法解释看，司法机关是将电子证据作为视听资料使用，但《中华人民共和国合同法》在解释“书面”的语词含义时将电子证据纳入其中作为书证看待，二者之间明显存在矛盾。

我国对于电子证据证据力的审查评判目前仍沿用着传统证据审查采纳的“三大原则”（客观性、合法性和关联性评判原则）。传统证据审查采纳的客观性准则要求证据的真实和本位，呈堂出示的证据不受人为主观的改变和修正，是符合案件事实的证据；合法性要求取证的主体、程序、方式合法，证据在内容和形式上符合法律的规定；关联性则是要求出示的证据必须与案件事实存在逻辑和法律的联系，与案件无关的其他事实材料不能作为证据使用。上述证据的一般采纳标准是依据传统证据的特性而制定的，如果将其用于新型证据“电子证据”采纳认证上则存在“兼容不佳”的问题。首先，客观性与电子证据的“即时性”和“不可见性”兼容不佳。电子证据具有即时性和隐蔽性，较之于传统证据，电子证据更易发生改变，造成其改变的决定因素在于电子证据存储环境的不安全，而非电子证据本身。所以要求电子证据具备客观性的前提条件就是保证其外在寄存环境的安全性，将客观性要求建之于电子证据的审查标准不能保证电子证据本源的安全和可信。因而电子证据的证据采纳标准应着眼“安全性”审查，而非“客观性”的衡量；其次，“关联性”标准与电子证据的“完整性”审查置位不当。决定电子证据是否具备证据能力、证据效力的大小的首要因素在于电子证据内容是否完整，同时要看其存储载体是否安全。电子证据的“完整性”决定着电子证据的“关联性”，“关联性”标准仅是对“完整性”要求的补强，如将“关联性”作为审查电子证据采纳的评判标准，有依据缺失之嫌。因此，审查采纳电子证据应首先以“完整性”审查作为“关联性”审查的依据，唯此才能保证电子证据内容的可信和“关联性”要求的具备。再次，电子证据“合法性”审查的先决条件不足。证据采纳的“合法性”审查包含对证据形式的审查，我国目前的证据法体系中并未完全承认电子证据的法定证据地位，这在证据资格审查阶段就已经否决了电子证据的法律效力，因此也就无从提及电子证据的“合法性”的审查评判。

2.2 未决问题的解决方案

通过上述分析可以发现，仿真取证法律标准的构建应重点着眼电子证据证据地位的明确和电子证据可采性规则的建立，设计包括仿真取证在内的各种计算机取证活动结果法律认可的方法和标准。

2.2.1 电子证据证据地位的明确

缘于我国证据法采用法定证据列举的形式，因此应在证据法中增加电子证据的法律条文，至于是否将电子证据列为一种新型证据类型，笔者持肯定态度。因为将电子证据视为物证、书证或视听资料证据都无法涵盖电子证据的内涵和外延。将电子证据列为物证使用违背电子证据的“不可见”特性，物证是以其外在特征、状态来证明案件事实的，而电子证据则是以其不可直接显现的内容用作证据的，其不具备物证的属性；将电子证据作为书证使用也不符合电子证据的特性，书证的内容是能够直观再现的文字、符号、图标，且其内容较为稳定，通常被作为直接证据使用，而电子证据的内容不能直接显示，且容易发生变化，一般只能被用作间接证据，所以二者不能简单等同。电子证据不可作为视听资料使用，是因为电子证据既包括可以视听的证据内容，也包括不可视听的诸如电子文本（文档）记录、程序代码、数字符号等电磁数据内容。此外，电子证据呈现方式较之于视听资料类证据呈三维多媒体化，而非单一的视、听形式，其外延大于视听资料的外延范围，因而电子证据亦不能归为视听资料使用。鉴于上述电子证据有别于传统证据的特有属性，应将电子证据单列作为一种新型证据在证据法中予以规定。

2.2.2 电子证据审查采纳标准的建立

鉴于电子证据有别于传统证据的特殊之处，美国、加拿大、菲律宾等国对于电子证据已单独设立了相应的审查采纳标准。以美国为例，美国建立了电子证据采纳的 “业务记录例外规则”、“最佳证据规则”、“电子证据可靠性的评判标准”，同时其《联邦证据规则》第702条[4]对于“专家证人”出庭作证也给出了5条标准。“业务记录例外”规则规定：“如果向法院呈交的电子证据符合相应案例所确立的采信标准⑤通过United States v.Cestnik，36 F.3d 904，909-10（10th Cir.1994）；United States v.Moore，923 F.2d 910，914（1st Cir.1991）；U-nited States v.Briscoe，896 F.2d 1476，1494（7th Cir.1990）；United States v.Catabran，836 F.2d 53，457（9th Cir.1988）；Capital Marine Supply v.M/V Roland Thomas II，719 F.2d 104，106（5th Cir.1983）案件的审理，美国联邦法院最终确立了电子证据的采信规则。只要符合以上案例所确定的规则，法院将对提交的电子证据予以采信。同时，该规则对于“业务”术语的定义也给出了说明，“业务”包括商务、社会事业机构、协会、职业、专业，凡此种种，无论是否以盈利为目的。，法院将以‘业务记录’的形式对其予以认可；”美国的最佳证据规则规定：“如果数据存储在计算机或与计算机类似的装置中，且这些数据能够被准确读取，那么这些数据的准确打印输出记录总是能够满足最佳证据规则要求的。”最佳证据规则的这一规定对电子证据的效力做出了解释，只要是能准确记录和反映案件事实并能正确获取的电子证据，其法律效力就可以得到认可[5]，其优点在于用准确记录展示的方法解决了电子证据的原始性证明问题。关于电子证据的可靠性评判，美国则要求在取证的过程中建立取证安全保障体系⑥在United States v.Glasser，773 F.2d 1553，1559（11th Cir.1985）一案中，法院确立了如下规则：法庭认可计算机打印输出记录的先决条件是取证当时必须要构建安全保障体系，否则电子证据将不被采信。，如果整个取证过程有完整的安全保障措施，取证所获取的电子证据就是可信的。此外，美国联邦证据规则第702条对于取证人员出庭作证提供 “专家证言”也设置了相应的标准。其对专家证言可否采信设置了5条衡量标准：（1）审查专家证人所使用的理论和技术是否已通过专业认证；（2）审查这些理论和技术是否得到同行认可，是否被公开使用；（3）审查专家证人所使用的技术是否存在已知的错误率；（4）审查这些理论和技术的应用是否遵循相关标准；（5）审查专家证人所使用的理论和技术是否被社会所广泛接受。只有满足上述标准的要求，“电子证据鉴定 （取证）”结论才能被法庭采纳和认可[6]。

加拿大在其《统一电子证据法》中规定了电子证据的运用、认证规则和完整性假定规则，其中完整性假定标准要求必须有证据证明取证过程中目标计算机系统运行正常、取证须由与案件无利害关系的人操作。同时，《统一电子证据法》[7]中还要求法庭在审查采纳电子证据的过程中考虑电子数据的来源、数据的性质和数据存储的目的。

《菲律宾电子证据规则》中设置了最佳证据规则，其中规定了“电子文档原件标准”和“拷贝等于原件”标准。如果电子文档通过其打印稿或通过其他手段可只读输出并能准确反映数据的内容，此时可视该电子文档为最佳证据规则下的原件；如果文档存在两个以上的拷贝件，且内容和原件一致，该拷贝件和原件具有同等效力。此外，在该规则中首次规定了“瞬息电子证据”，如果瞬息电子证据产生、传输过程有当事人或在场人员证明，该瞬息电子数据记录就可视为证据使用[8]。

分析以上国外电子证据审查采纳的相关规则可以发现，这些规则采用了不同于传统证据审查的标准，审查的重点在于电子证据存储环境的安全性和可追溯性，同时也注重电子证据内容完整性的审查。有鉴于此，我国电子证据审查采纳标准应单独制定区别于传统证据的审查采纳标准，在电子证据安全性审查、内容完整性审查、来源可追溯性审查的框架下设计具体的衡量标准。

2.2.2.1 电子证据安全性审查

主要应包括：（1）电子证据取证过程是否制定了安全保障措施、这些措施是否可行；（2）取证活动的关键时刻电子证据的存储环境是否收到影响，是否引发了电子证据内容的改变；（3）取证技术是否可行，这些技术是否有已知的错误率，错误率是否影响取证结果的唯一性；（4）取证所使用的软硬件工具是否具备准确识别、收集、保全电子证据的能力，是否经过专业机构检测（已使用的仿真取证工具是否在业内被同行普遍认可）；（5）取证机构专业能力水平的审查，取证实验室是否经过国家认证认可监督管理委员等部门授权的检测认证机构的认可；（6）取证人员的审查。审查取证人员是否有司法机构统一颁发的取证（鉴定）资格证书；（7）取证结束到电子证据呈堂展示阶段电子证据的安全性审查。审查在此阶段电子证据的安全保障措施是否到位，保管方法是否可行。

2.2.2.2 电子证据内容完整性审查

主要应包括：（1）取证结果的电子数据记录和纸质记录内容是否一致；（2）电子证据的内容是否准确反映了案件的某一事实，是否能够解释某一活动、行为的逻辑和法律联系；（3）电子证据各副本记录记载的数据内容是否相同；（4）取证活动整个阶段数字水印（时间戳、数字摘要）是否连续，数字摘要的数值是否同一；（5）恢复的电子证据的内容是否可以显示，无法显示的是否有其他证据佐证。

2.2.2.3 电子证据来源的可追溯性审查

来源的可追溯性审查主要是为查证电子证据是否准确反映案件事实而服务，是取证过程连续性和电子证据可靠性的一条重要衡量标准，依据“可追溯性”的语词含义、结合取证过程连续性要求和司法推知的原理，电子证据来源的可追溯性审查的内容应涵盖：（1）审查取证活动各阶段是否能关联印证，是否能够逆向求证；（2）审查电子证据的调取位置是否与其原始存储位置一致；（3）审查电子证据存储介质中的原始记录和呈堂数据记录的内容是否同一；（4）审查呈堂的取证结果是否出自原始存储载体，在现有技术条件下出示的电子证据是否能被认知；（5）审查原始电子数据遭受破坏后，取证人员调取该数据的残存记录是否能准确反映原有电子数据的内容。

此外，对于电子证据审查还应配套建立传闻证据有限排除规则、最佳证据规则、补强证据规则，同时从取证、举证、质证、采证整个司法证明过程着手建立相应的标准。

3 计算机仿真取证技术标准

计算机仿真取证作为一类新型的动态取证技术，其借助虚拟仿真技术实现了对计算机系统的动态模拟，取证人员可以对目标主机进行启动在线分析，弥补了传统静态取证网络电子证据获取能力的不足，但仿真取证的风险也进一步增加。分析“仿真”一词就可看出仿真取证的重要特性就是要实现对装有操作系统的待检磁盘中原有系统环境的真实化模拟和重现，而计算机信息系统环境的仿真模拟靠人工无法实现，需要借助相应的仿真工具。因此，仿真取证技术标准应以仿真取证工具为着眼点，依据计算机仿真虚拟技术的功能特点，建构仿真取证工具的通用标准、设计标准和检测认可标准。

3.1 仿真取证工具的通用标准

现有取证工具主要基于虚拟机技术和Shadow⑦Shadow技术（影子系统）是一种系统虚拟写保护技术，只有在有原始主机存在的情况下才能被使用，其仅仅是对原系统数据进行保全和隔离的技术。由于不常用到，在此就不做详细介绍。等技术而研发和设计，其中以虚拟机技术最为常用。其优点是可以仿真模拟系统运行环境，并能提供程序的仿真操作和计算机信息系统网络通讯协议的仿真模拟，便于取证人员进行虚拟在线操作。此外，虚拟机技术还能提供多类型操作系统的同机在线取证。因此，基于此技术研发的取证工具首先应具备虚拟机工具的优点和特性。其次，仿真取证工具通用要求还应包含对仿真取证工具优点的释明；再次，取证工具的选用问题也应纳入通用要求中，以为取证机构正确选用达标的取证工具提供指引。具体来讲，通用标准的内容应包含：

3.1.1 仿真取证工具应具备的法律和取证要求

基于虚拟机技术、Shadow技术以及其他仿真技术研发的仿真取证工具应保障取证结果的准确、真实、完整，有利于提高取证的效率。

3.1.2 仿真取证工具的设计要求

仿真取证在功能设计的范围内，不得因自身瑕疵（错误应能避免或排除）造成待检验设备中电子数据内容的丢失或破坏。

3.1.3 仿真取证设备适用的环境

即仿真取证设备支持的磁盘类型和支持的操作系统类型。

3.1.4 仿真取证工具的准入要求

仿真取证工具在使用之前应经过专业检测认证机构的检测和认可。取证机构选用仿真取证工具时也应选用经过检测和认可的工具。

3.2 仿真取证工具的功能设计标准

根据数字取证研究工作组 （Digital Forensics Research Workshop，DFRWS）提出的取证框架，电子证据的取证技术包括：数据识别、数据获取、数据检查、数据分析、数据保全、数据呈堂六大类技术。这六大类技术涵盖了现今计算机取证所使用的主要技术，现有取证设备的研发和设计也是以此为据的。仿真取证工具虽是当前新出现的取证技术，但其技术基点还在该六大技术之中，其“仿真”技术仅是一种数据保全还原技术。依据DFRWS的框架并结合现有取证的实际需求，仿真取证工具的功能设计范围应涉及：系统仿真、数据识别、数据获取、数据恢复、数据解密、数据保全、数据的自动分类归档七个方面[9]。为保证仿真取证活动的连续性，系统仿真功能，数据的识别、获取、保全功能所有的仿真取证工具都应要求具备。由于其他三类功能可用其他工具替代，属于取证工具的“高级”功能，因此不宜硬性要求所有的仿真工具具备。在此基础上，可将仿真取证工具功能设计细分为：

3.2.1 系统仿真功能的设计标准

仿真取证工具应能仿真模拟不少于一种操作系统，且应能准确识别各种操作系统的版本，模拟取证对象系统的硬件设备、用户配置、运行环境、网络协议、程序运行。

3.2.2 仿真取证平台建构功能

仿真取证工具应能准确识别待检硬盘或硬盘镜像中的操作系统内核、用户权限配置，突破取证对象系统的访问控制和权限控制机制，构建仿真取证的基础平台。

3.2.3 仿真取证工具的数据获取要求

仿真取证工具应能自动获取系统中各类已存密码，捕获用户网络通讯程序口令⑧具体包括：浏览器自动完成表单记录、上网（含无线网络）账号、邮件客户端口令、FTP已存登陆密码、即时聊天工具的已存登陆密码、网络游戏已存密码、网络互动点播程序的已存密码、其他网络交互程序已存密码等。及其运行的数据记录。

3.2.4 仿真取证工具的兼容运行要求

仿真取证工具应能兼容常见的网络服务平台、常见的办公软件、开发工具软件、数据库软件、病毒和木马程序以及其他常见应用软件。

3.2.5 仿真取证工具的保全要求

仿真取证工具应保证仿真设备和待检设备间的只读隔离，并具备取证操作的实时记录和数据效验功能。

3.2.6 仿真取证工具的安全标准

仿真取证工具应保证取证过程中数据调取、在线分析的安全性及数据存储环境的原始性，同时应保障取证活动不受病毒、木马程序和恶意软件的影响。

3.2.7 仿真取证工具的接口设计标准

应遵循国际通行的PC类产品接口设计标准，并具备接口拓展和转换的功能。

3.3 仿真取证工具的检测和认证标准

仿真取证工具检测和认证标准的内容包括：检测认证主体的设立、检测认证程序、检测认证的项目内容、研发机构参加检测认证的要求四个方面。根据《中华人民共和国标准化法》、《中华人民共和国认证认可要求》，实验室和检查机构的设置需经过国务院认证认可监督管理委员会认可。对其资质的评定目前在我国主要由国家认监委和中国合格评定国家认可委员会（CNAS）负责。我国目前并未将计算机取证工具检测和认证列入检测名录中，而且在经正式批准设立的检测机构中，现有机构均不具备计算机取证工具检测和认证的资质，仿真取证工具的检测与认证迟迟未能开展。有鉴于此，笔者认为构建仿真取证的检测和认证标准首先就应解决仿真取证工具检测认证 “主体”不明的问题。

至于仿真取证检测程序和具体要求，我国国家质量监督检验检疫总局在2008年5月8日发布了《GB/ T 27025-2008/ISO/IEC 17025：2005检测和校准实验室能力的通用要求》[10]，已从管理控制、技术要求方面详细规定了各检测和校准实验室从事专业检测和认证的要求。

仿真取证工具的检测项目内容包括：仿真取证工具的功能设计、取证工具各项功能的能力验证、仿真取证工具错误率的检测、取证工具的构造设计等项目。

研发机构参与检测认证的要求涉及：递交检测的程序、递交材料的内容、强制通过检测认证的时限、原仿真取证工具更新和功能更新后的再检测、仿真取证未通过检测和认证的惩罚措施等内容。

基于以上分析，仿真取证的检测和认证标准内容应涵盖：

3.3.1 仿真取证工具检测认证的主体⑨美国国家标准和技术研究所（National Institute of Standards and Technology，NIST）早已开展了计算机取证工具的检测和认证，并制订了计算机取证工具测试计划（Computer Forensic Tool Testing，CFTT）进行通用工具规范、测试过程、测试标准、测试软硬件的研究。

应尽快设置包括仿真取证在内的取证工具检测和认证机构[11]，设置的批准机构应由国家认监委负责，经其授权各相关机构也应有权批准设立第三方的取证工具检测和认证机构。检测和认证机构能力验证可由国家认监委、司法部等部门协商解决。

3.3.2 检测程序标准的内容规定

依据“ISO-17025”标准从质量控制、机构管理、操作流程规范、检测技术规范、文书规范层面设置相应的标准。

3.3.3 检测内容要求

首先，应对仿真取证工具说明材料中给出的功能进行真实性检测；其次，规定仿真取证工具错误率的检测；再次，应要求对取证工具安全性进行检测；最后，应对仿真取证工具的接口和结构设计是否符合标准进行检测。

3.3.4 研发机构参与检测的要求

（1）提交材料的要求。应要求各研发机构将其所开发的取证产品和相关设计材料一并递交认证；（2）应要求参加检测认证的必须在规定时限（次数）内通过；（3）对于未经过检测和认证的仿真取证工具应禁止其准入；（4）功能更新后的仿真取证工具检测要求。对于功能更新后的仿真取证工具应要求研发机构将原有产品和更新改进后的产品一并送交检测认证。

4 计算机仿真取证程序标准

计算机取证程序是否合法直接影响着取证活动结果的法律效力，是取证标准内容设计的又一重点问题。计算机取证程序标准包括取证过程标准、取证方式、方法标准等，目前取证技术已经走向成熟、取证方法也有行业内规范，唯独取证的操作过程目前学界和实务界尚未达成统一意见。因此，在取证程序标准建构部分，笔者将重点对仿真取证过程的标准化设计进行解析。

计算机取证从20世纪80年代开始至今，发生了两大转变：从注重取证技术研究到取证法律规范的研究为先的转变与注重取证工具的研发到取证程序规范日益受到重视的转变。分析其中的原因可以得出，取证程序的合法性审查问题是引发计算机取证研究理念转变的一个重要因素。据国外专业机构统计，计算机取证结果不被法庭采信大多是由于取证程序不合法导致的。在20世纪90年代初，在涉及计算机取证的案件中，只有不足5%的案件取证结果被法庭所采信，一大原因就是由于取证程序不规范所致。因此，在当时国外学者的研究重点从取证工具的研发转向了取证程序合法性问题的研究，其中以取证过程的标准化研究较为典型。受研究理念转变的影响，在90年代中后期相继出现了诸如美国司法部的电子犯罪现场勘查模型、事件响应过程模型、抽象化的取证程序模型、集成型的取证过程模型、增强型的取证过程模型等较有代表性的取证过程模型。其中集成型的过程模型将取证分为传统物证的犯罪现场勘查和计算机犯罪现场勘查两部分[12]；增强型取证过程模型则将计算机取证分作“第一犯罪现场”和“第二犯罪现场”的取证，同时也注重取证各步骤之间的相互联系和印证[13]。

分析上述几大取证过程模型，其共性在于都遵循取证准备、证据收集、证据分析、证据检查的操作流程依次进行；不同之处在于各取证过程模型设计针对的情况不同，其中有适用于网络取证的事件响应程序模型，也有适用于静态取证的取证过程模型。此外，各取证过程模型的步骤多寡、内容详尽程度也有很大区别。

传统取证的操作流程标准不能用于仿真取证。首先，传统取证过程模型是基于静态取证和网络取证设计的，而仿真取证重点在于“系统动态仿真”，二者设计的目的不同；其次，传统取证过程模型之间目前仍存在争议，且业界也没有认可任何现有的取证过程标准；再次，传统取证过程步骤缺少“系统仿真启动”的步骤设计。鉴于上述原因考虑，仿真取证过程标准（模型）的设计也应有别于传统取证遵循的步骤标准⑩另行设计仿真取证过程标准并不否决传统取证过程的步骤设计，传统取证过程标准的内容可以作为仿真取证过程标准内容的参照。。基于对现有仿真取证工具功能的分析和待检对象类型的考量，仿真取证过程标准应在保证动态分析安全性的情况下，针对不同的待检设备，构思不同的操作流程。具体过程如图简示：

仿真取证流程图示

从上图可以看出，仿真取证分为基于原始系统的仿真、基于硬盘镜像的仿真和基于硬盘的仿真三类，因此仿真取证的过程设计也应一分为三：

4.1 基于原始主机的仿真取证过程：

（1）取证的准备。准备取证所需的环境和工具。

（2）原始主机的只读保护。在有原始主机的情况下利用shadows技术对待取证主机系统进行只读隔离。

（3）数据收集。即取证人员在线对待检对象中的电子数据进行动态研判分析和收集。

（4）证据保全。将在线分析取证获取的电子证据采用合理方法（数字摘要、摄像、打印、文字记录）进行保全。

（5）回顾检查。仔细检查取证过程有无疏漏，收集先前可能未获取到的电子证据。

（6）证据归档。对电子证据进行分类存储和保管。

4.2 基于硬盘的仿真取证过程

（1）取证的准备。准备取证器材、设备，创造安全的取证环境，为硬盘的虚拟仿真启动制定安全保障策略。

（2）硬盘的仿真启动。对装载有操作系统的硬盘机进行仿真启动，模拟重现待取证硬盘的硬件配置、装置的操作系统的运行环境、用户配置、网络通讯环境以及系统应用程序的运行环境。

（3）在线分析和检查。在线分析检查待检磁盘中的网络账号、操作系统登陆口令、IE自动完成表单、已存邮件客户端密码、FTP已存登录口令、电子证书、即时通讯软件数据记录、系统中应用软件的操作记录以及其他系统运行的历史痕迹数据。

（4）数据的保全。与基于原始主机的仿真取证要求相同。

（5）分析报告的制作。在线动态分析数据过程进行时和完成后，同步制作取证报告。

4.3 基于硬盘镜像的仿真过程与基于硬盘的仿真取证过程

基于硬盘镜像文件的仿真取证需要在只读隔离的情况下将镜像文件拷贝入空白硬盘或仿真取证工具中，借助虚拟机技术进行动态分析。而基于硬盘的仿真取证则可以直接在待检平台上进行。所以，基于硬盘镜像的仿真过程与基于硬盘的仿真取证过程在仿真启动的方式（步骤2）存在差异，镜像文件在仿真前应先进行拷贝。除此之外二者其余操作过程相同。

以上仿真取证过程内容的设计借鉴了现有几种取证过程模型的内容，并结合仿真取证的自身特点而设计。本文在仿真取证过程的步骤设计中并未对计算机犯罪现场进行“第一现场”和“第二现场”的区分，是因为动态仿真取证往往很难做到对“第一现场”中电子数据的同步获取，且远程获取的“第一现场”中的电子数据的安全性也很难保证，在现有的技术条件和法律框架下无法被法庭所采纳和认可，因此对该问题未加解释。此外，由于前文在在电子证据审查采纳标准设计部分对取证各阶段的关联印证要求进行了说明，且在此无法将该要求精确置于某一具体的操作步骤中，所以在设计仿真取证过程的具体内容时未再行说明取证各阶段的关联印证要求。

5 结语

仿真取证是近年来新出现的一种取证技术，目前我国涉及计算机仿真取证的技术、法律和程序标准目前还处于空白状态，这不利于仿真取证在司法实践中的应用，更不利于发挥仿真取证的技术优势，为此应尽快出台相应的法规和标准对阻滞计算机仿真取证应用的电子证据地位问题、电子证据的可采性问题加以明晰，并配套建立取证工具的检测认可规范和仿真取证操作的程序规范，从法律、技术和程序三个方面构建完整的计算机仿真取证规范体系，以解决仿真取证的准入、司法应用和仿真取证结果的法律效力问题。

[1]Senior Special Agent Ernest Baca United States Customs Service Office of Investigations，Resident Agent in Charge.Using Linux VMware and SMART to Create a Virtual Computer to Recreate a Suspect’s Computer[EB/OL].（2002-04-01）[2009-10-01]http：//www.infosecwriters.com/text_resources/andrewr -osen/SMARTForensics.pdf.

[2]D.Bem，E.Huebner.Computer Forensic Analysis in a Virtual Environment[EB/OL].（2007-01-01）[2009-10-01]http：//www.utica.edu/-academic/institutes/ecii/publications/articles /1C349F35-C73B-DB8A-926F9F46623A1842.pdf.

[3]中华人民共和国刑法修正案（七）[E].2009-2-28.

[4]Daniel J.Ryan,Gal Shpantzer.Legal Aspects of Digital Forensics[EB/OL].（2006-02-01）[2009-10-01]http：//www.danjryan.com.

[5]Orin S.Kerr.Computer Records and the Federal Rules of Evidence[EB/OL].(2001-03-01)[2009-10-01]http://www. seeingthetruth.com.

[6]Wall C,Paroff J.Cracking the Computer Forensics Mystery [J].Otah Bar Journal,2004，17（7）：10-14.

[7]蒋平，黄舒华，杨莉莉.数字取证[M].北京：清华大学出版社，2007：246.

[8]蒋平，黄舒华，杨莉莉.数字取证[M].北京：清华大学出版社，2007：250-252.

[9]Palmer G.Road Map for Digital Forensic Research[J].Technical Report 2001，（6）：15-20.

[10]GB/T 27025-2008/ISO/IEC 17025：2005检测和校准实验室能力的通用要求[S].

[11]Whitcomb C M.A.Historical Perspective of Digital Evidence：A forensic Scientists’View[J].International Journal of Digital Evidence，2002，（1）：5-7.

[12]Carrier B，Spafford EH.Getting Physical with the Investigative Process[J].International Journal of Digital Evidence，2003，（2）：2.

[13]Venansius Baryamureeba，Florence Tushabe.The Enhanced Digital Investigation Process Model[EB/OL].（2004-05-27）[2009-10-01]http://www.dfrws.org/bios/day1/Tushabe_EIDIP. pdf.