电子数据取证实验室发展趋势研究

2010-03-11赵庸，滕达

电信科学 2010年2期

赵庸，滕达

（厦门市美亚柏科信息股份有限公司厦门 361008）

1 概述

电子证据鉴定是由专门鉴定机构的鉴定人或者具有专门知识的人，就具体的专门性问题，对计算机设备、通信设备、网络设备、数控设备、视听设备、广电设备等各种存储介质及其所存储的数据，按照一定的技术规程，运用专门知识、特定的食品设备和技术方法，进行检查、验证、发现、提取、解释、分析、鉴别、卷宗并出具鉴定结论的过程。电子数据鉴定必须依循着定义良好且清楚，兼具灵活与弹性的方法、程序，进行计算机媒体的资料搜集、分析及展示，其最终的目的是让司法审理时作为判决的证据。

证据是一个案件的核心和灵魂，证据的确凿充分程度将决定一个案件的胜负命运。随着我国法制建设的不断完善，电子证据的使用将成为庭审的焦点。因此，在电子证据鉴定法律规制的的过程中，我们需要借鉴有关的国际经验，参考我国司法鉴定的理论与法律成果，依托我国电子证据鉴定实践和发展趋势，积极构建和完善我国电子证据鉴定的各项规则，进一步加强电子证据的提取、保管、鉴别、取证、分析、鉴定等流程的标准化、科学化、规范化，建立与发展符合社会要求的电子数据取证实验室。

自2004年，国内第一个电子数据取证实验室厦门市美亚柏科电子数据取证实验室（福建中证司法鉴定中心的前身）和广州市电子数据检验鉴定中心建立以来，已相继建设完成了80多个电子数据取证实验室。笔者认真分析近7年来该实验室（鉴定中心）的建设、取证技术的发展、工作模式的改变，大体经历了4个阶段。

2 电子数据取证实验室发展历程

2.1 第一阶段

时间：2004-2005年。

特点：功能逐步完善。

作为国内电子数据取证实验室（鉴定中心）的起步阶段，为了应对当时的需要，实验室建设更多是满足当时的介质类型，提供大量SCSI、IDE和少量SATA、USB只读接口。由于当时的硬盘容量较小，通常在80 GB左右，因此，对速度的要求还不是十分明显，更注重提供众多只读接口来满足案件鉴定需要。当时流行只读锁按接口类型不同而独立设计，再加上一些1.8”、2.5”转3.5”IDE转接卡和50针或80针转68针的SCSI转接卡。设备、转接卡繁多，使用非常不方便，不适合在实验室中广泛应用。

硬盘复制机以国外产品以SF5000、SOLO II为主，国内以DC-8100（可满足1对2的IDE硬盘复制）和DC-8200（支持IDE和SCSI硬盘的复制）为主。但速度大都在3 GB/min左右（80～120 GB的硬盘一般在40 min之内就可完成位对位复制）。

当时，介质取证分析软件只有国外Guidance Software的EnCase V4和AccessData的FTK 2.0，手机取证软件多采用Paraben公司的Cell Seizure，密码破解采用AccessData公司的DNA 2.0和PRTK，图形化关联关系分析系统——i2公司的Analyst’s Notebook 6开始在国内应用。国内取证软件开始有了雏形，推出了DiskForen，但功能有限，使用面不大。

香港警察2002年建设完成的取证实验室（Computer Forensics Lab）也初步尝试进行区域的合理规划和取证设备的合理集成。同期，美国洛杉矶警察的计算机犯罪行动组（Los Angeles Electronic Crimes Task Force）在其实验室建设中，充分考虑了证据文件的集中管理问题，并强化了无尘室在硬盘开盘维修中的应用。但在网络建设方面仍不完善，而流程审计监管方面并未涉及。

2004年，在全国第一个取证实验室——广州市公安局取证实验室中，首次把几种不同类型的只读锁集中到一台专用取证工作站上，并率先提出了“取证流程审计”的概念，进而有了功能相对简单、初级的“取证流程审计监管系统”雏形，成为计算机取证领域的“首创”。广州实验室中的取证分析工作是基于双网进行的：强调将介质转换成证据文件，存放于文件服务器上，通过网络映射到本地进行分析，以保证原始介质内数据的完整性[1]；流程监管系统在后台对鉴定全过程进行记录，并产生审计监管报告。但工作台仍为传统的办公工位方式，不利于桌面操作，便利性和人性化不足。此模式也为以后全国各地实验室建设摸清了路子，理清了思路，探索了模式，成为当时全国各地去广州参观学习的重点内容。

第一阶段的电子数据检验鉴定中心平面规划如图1所示。

2.2 第二阶段

时间：2006-2007年。

特点：区域规划趋于合理。

图1 第一阶段的电子数据检验鉴定中心平面规划

随着技术的发展，取证设备也取得了长足进步，尤其是国内取证专业技术公司的自主知识产权产品逐步登上“大雅之堂”。桌面式只读工作模块越发成熟，IDE、SCSI、SATA、USB及只读读卡器从取证专用工作站中脱离出来，有效地集中到一个大模块中，安置于桌面。新设计的专用工作台加装了吊柜，DC-8750只读模块、强/弱电模块都固定在桌面，十分便于取证分析工作的开展，减小了劳动强度。

硬盘复制机以国外产品以MD5、SOLO III为主，国内以DC-8101和DC-8200A为主。速度有了一定的提升，达到4 GB/min左右（120～250 GB的硬盘一般在1 h之内就可位对位复制完成）。现场勘查取证设备则由功能相对较弱的勘查箱和DC-8000升级为FL-200移动式勘查取证综合平台。

介质取证分析软件只有国外Guidance Software的EnCase V5（中文版）和AccessData的FTK 2.0，手机取证软件多采用Paraben公司Device Seizure、XRY和国内的Safe Mobile，密码破解采用AccessData公司的 DNA 2.3和Rainbow Tables。计算机仿真取证设备初露端倪，现场在线取证分析软件和设备开始推向市场，MAC、邮件、关联数据分析系统逐步成熟。国内取证软件数量不多、功能相对简单，技术研发进展不大。

国内电子数据取证实验室开始考虑无尘环境建设，部分国家级和省级电子数据检验鉴定实验室采用了无尘工作台，基本满足了故障硬盘的开盘维修工作需要。

在此阶段，鉴于已建设完成的实验室存在的问题和电子数据鉴定的规范化要求，重点按电子数据取证流程、功能和技术特点，将实验室划分为7个功能相对独立的区域。

（1）设备预检/受理区：完成送检设备的受理、登记、外观拍摄、检验完毕后设备的回退、检验报告提交等工作。

（2）取证/获取区：完成对送检设备的检测、证据固定、镜像、获取、校验等工作。

（3）存储介质物理修复区：对检测判定有故障的硬盘等存储介质进行维修，完成介质电路故障检修、硬盘开盘处理（更换磁头、电机等）、固件故障处理等工作。

（4）电子数据逻辑恢复区：对各类光、电、磁存储介质当中的数据进行逻辑恢复、修复和重构。

（5）鉴定分析区：对复制的涉案硬盘、取证/获取区获取的证据文件（此文件存储于中心服务器的磁盘阵列中，通过网络分发给每一个鉴定分析终端进行鉴定分析）进行鉴定分析。

（6）中心设备区：是整个取证实验室核心网络设备、分布式密码破解系统、案件管理系统、门禁系统、闭路电视监控系统、配电系统等的配置区域。

（7）卷宗文档保存区：对受检介质、受检设备、复制介质、鉴定文书、卷宗文档进行分类、保存和管理。

第二阶段的电子数据检验鉴定中心平面规划如图2所示。

2.3 第三阶段

时间：2008-2009年。

特点：强调规范化管理和质量控制。

图2 第二阶段的电子数据检验鉴定中心平面规划

在这一阶段当中，国内电子数据取证设备迅速占据大部分取证市场。硬件设备的技术性能、工艺水平、稳定性和可靠性有了质的飞跃。推出了以DC-8200 PRO复制机、DC-8000 PRO取证专用机、ATT-2000/ATT-3000仿真取证专用机、ATT-5000 PRO加密硬盘取证专用机、ATT-1000 PRO密码破解专用设备、DC-4500手机取证设备、ATT-4000现场专用获取设备、DC-8650现场取证设备、DC-8750 RPO实验室专用只读模块、NF-9300无线取证设备、FL-200 PRO等。这些设备在2008、2009年的重大事件中得到广泛应用，并经受住了各种苛刻环境的严格考验，其技术、战术性能得到了进一步完善和提高，形成了较强战斗力，受到各使用单位好评。国外产品主要以SOLO IV（支持SAS硬盘）、TD1为主，其使用的便利性和适用性大大提高，速度也提高到6 GB/min左右。其传统优势被国内产品赶上，甚至有被全面超越的势头。

美国Tableau公司成为国外公司中进步最大、产品推出最多、口碑相对较好的一家取证硬件厂商，其硬盘复制机TD1、“取证桥”和T3458is只读模块较有新意。

介质取证分析软件都做了升级。EnCase V6、FTK 3.0、X-Ways、Analyst’s Notebook 8、DNA 3.0 等一批软件全新推出，手机取证软件多采用Paraben公司Device Seizure 4.0、XRY、CellDEK 和国内的 DC-4500、Safe Mobile。由于并行运算能力的提高，密码破解原来多采用DNA、Rainbow Tables，现多采用“极光”和Elcomsoft，运算能力和针对性有了巨大提升。

与此相对应的是，国产取证软件更是取得了巨大的进步。“取证大师”在计算机取证行业当中率先提出并应用了“自动智能取证技术”，强调了取证规范和便捷，并作为自主知识产权的软件在实战中取得不俗战绩。其与Safe Analyzer等为代表的它们避开 EnCase、FTK、X-Ways等取证软件的锋芒，以智能、简单、实用、快速、针对性强为显著特征，强调易用性和面向一线计算机水平相对较弱的人员使用，加强了规范化、程序化、专业化要求，取得明显效果。

青海省、山东省公安厅电子数据取证实验室率先配置了10多平方米的100级无尘室，将国内电子数据取证实验室中的故障硬盘开盘处理能力提升到一个新的高度。

电子数据取证实验室有别于传统的勘查取证实验室，更多是针对电子数据及存储介质勘验检查，而电子数据具有脆弱性、易失性、多态性、复合性等特点，要保证其合法性、及时性、准确性、环境安全性原则，必须保证“证据连续性”（chain of custody，即证据链[2]）。因此，在证据的鉴识、准备、策略制定、收集、保存、检验、分析、展示等方面必须有不同于传统勘查取证的方法和技术手段。尤其，当检材送达电子数据取证实验室时，检材的预检、校验、确认、交接、标识、复制、保管、调用、清退等各个环节都要有严格的册表手续（借助实验室案件管理系统之检材管理系统来完成各环节的管理和控制）；同样，电子数据分析不具备传统介质分析的“可视性、可物化、可量化”的特征，分析人员在根据系统授予的权限范围内，完成基于相应案件复制介质的分析工作过程中，必须接受“电子数据鉴定流程审计监管系统”的管控，以达到质量控制、过程监管的目的[3]；报告审核、打印、装订，光盘刻录、盘面打印、封装亦通过技术手段，实现自动处理，减少人工控制环节。

为加强规范化和加强质量管理，公安部相应制定了4个标准：GA/T 754-2008《电子数据存储介质复制工具要求及检测方法》、GA/T 755-2008《电子数据存储介质写保护设备要求及检测方法》、GA/T 756-2008《数字化设备证据数据发现提取固定方法》、GA/T 757-2008《程序功能检验方法》。各地在电子数据取证实验室建设和管理、使用过程中，强调了严格落实规范、标准，并把通过CNAS（China national accreditation for conformity assessment，中国合格评定国家认可委员会）认可作为重要目标，强调鉴定结论的可信性、可溯源性、客观性和公正性。

第三阶段的电子数据检验鉴定中心平面规划如图3所示。