高洪涛

中国刑事警察学院 辽宁 110035

0 引言

随着打击计算机犯罪活动的进一步深入，需要培养更多高素质的电子物证技术人员。近几年来，一些公安院校陆续开设了电子物证检验课程。电子物证检验课程是一门新兴的综合交叉学科，是培养学员进行电子物证的获取、分析和鉴定工作的。电子物证检验课程强调理论与实践并重，学员要在学好理论课程的同时，具有较强的实践动手能力。

1 传统教学模式的剖析

近年来，虽然教学手段从“粉笔+黑板”改变为了“计算机+大屏幕投影”，但是教学方式还大多沿用传统的教学模式。同时，虽然采用多媒体技术可以将内容生动、形象逼真、声音动听的文本、图像、声音、视频和数据等信息一起传输给学员，但由于信息量的加大，反而使学习更无从下手，学员一旦遇到实际问题可能会束手无策，从而束缚了思维发展，不利于培养创造性人才。

电子物证检验的传统教学方法是以知识点为主线来展开，按照教材的模块顺序授课，先基础、后应用。首先介绍电子物证、计算机司法检验等相关概念，然后提出电子物证检验的基本过程检验前所需掌握的相关知识及准备工作，接着介绍常用电子物证检验工具和Windows、Unix/Linux系统的检验方法，最后对典型案例进行分析。因为电子物证检验课程的知识点的分布是网络型的而不是线性的，并没有严格的学习次序，所以学员对它的知识体系较难把握。

在实践环节的教学中，教师先进行操作，然后由学员自己练习。尤其是在电子物证检验工具内容的教学中，由于检验工具的操作步骤繁多，针对不同案例的操作组合不同，学员很容易混淆，导致学习兴趣降低，教学时效低，最终导致理论与实践脱节。

因此，在电子物证检验的教学中采用传统教学方法和教学模式已不能满足时代的需求和学员的需要。寻找一种理论联系实际，能够解决教学过程中存在的“重知识，轻实践”的矛盾，培养学员根据实际问题进行动手能力的教学方法和教学模式势在必行。案例教学和任务驱动式教学都是极具发展潜力的教学方法，能很好解决理论与实践的衔接。

2 案例-任务驱动教学法

案例教学法是一种以案例为基础的教学法，用实际案例来进行教学，案例教学侧重于对学员综合能力的培养，有助于提高学员对所学知识的综合运用能力。案例教学提供一个近乎真实的场景，缩短了教学与实践之间的差距。案例教学中的案例通常是选取完整的实例，较为完整地叙述实例的起因、问题和处理过程。在学员掌握一定基础理论知识的基础上，教师有目的、有选择地把司法实践中的客观实际提供给学员，提出案例分析和解决问题的诸多方法，让学员对教师所提供的具体事实和原始材料进行思考、分析、研究、提出解决问题的方法，解决问题的种种方法都可以提出来并进行试验，对比各种方法的优缺点，最终得出正确的结果，从而培养学员的综合运用能力。

任务驱动教学法就是教师把教学内容设计成一个或多个具体的任务，让学员在完成这些任务的过程中来达到教学目标。由教师根据当前教学主题设计并提出任务，针对提出的任务，采取演示或讲解等方式，给出完成任务的思路、方法，然后引导学员边学边练，完成相应的学习任务。任务驱动教学不再以知识点作为线索，而是以任务为线索，其教学内容由多个精心设计的任务来组成。在完成任务的过程中，学员掌握相关教学内容和学会学习，教师由权威的知识传授者变成了教学的引导者、组织者和评价者。这种方法适用于培养学员分析问题、解决问题的能力和创新能力。

案例教学法和任务驱动式教学法都强调在学习过程中学员的主动性。案例教学法是呈现案例，由教师分析、讲解案例中的知识点并提示学员对案例进行功能拓展。案例教学法的关键是根据课程的内容和特点选取恰当的案例，同时在案例的讨论中学习和理解相关的知识并由此拓展到新的知识内容中。而任务驱动式教学法是以任务为主线、教师为主导、学员为主体的教学方法。就是教师的教学活动与学员的学习过程都围绕着一个具体目标，通过对学习资源的积极主动应用，进行自主探索和互动协作学习，并在完成既定任务的同时又产生新的任务。任务驱动式教学法的关键是完成任务的动态过程。

由以上分析可以考虑将两种教学方法的优势相结合，同时汲取传统教学模式的优点，形成案例-任务驱动教学模式。在此教学模式下，在选取和呈现案例程序时遵循案例教学的特点和方法，充分体现出案例的作用；在学习进行中强调任务的实现过程，在有针对性地完成任务的同时让学员得到能力的锻炼。

3 案例-任务驱动教学过程

（1）案例准备

教师要依课程教学内容选择案例，选用的案例应与教学内容有密切的联系。选用的案例能反映同类案例的一般特征，能起到举一反三、触类旁通的作用。选用的案例还要有一定难度，使学员有思考的余地。教师要仔细分析案例材料，找出案例中的关键性问题和解决问题的思路。

（2）讲解案例

给每位学员提供证据文件和相应的背景资料。通过多媒体手段将案例展示出来并进行适当讲解，讲解案例应用背景，提出问题，明确本次课的教学目标。

（3）分析任务

应重点把握好任务的切分和层次推进问题。根据提出的问题引导学员进行思考，将案例分解并设计成一个个相对独立、简单的任务，分解的任务在功能上要保持一定的完整性，且各任务之间具有一定的渐进性、扩展性，存在一定的先后关系，层层推进。

（4）任务探究

在这一过程中，学员是完成任务的主体，教师起着引导作用。学员要分析、讨论任务，自主探究，完成任务，同时学习和掌握相应的知识，提高动手能力和综合分析能力。教师要把握总体教学目标，使任务的完成与教学目标的实现统一起来。根据学员学习层次的不同，教师还要做到因材施教。对基础差的学员多一些指导，使他们能顺利完成基础层的任务，树立自信；对优秀的学员，要鼓励他们去完成更高目标层次的任务，进行“发现性”学习。

（5）总结评价

虽然学员完成了任务，但还不够完善，要帮助学员进行知识的归纳与总结，加深对新知识的理解，建立起已学知识间的联系，完成知识构建。任务评价要注意客观性，以表扬鼓励为主，使学员体验到完成任务的成就感。

4 具体教学实例：走私案件的电子物证检验

（1）案例展示

在2010年2月的打击走私行动中，某海关查获一批手机，调查得知这批货物的主人为一名叫“阿强”的男子，警方随即抓获该男子并查封电脑一台。要求从电脑中查找相关证据。

（2）检验前的准备

为了避免证据的误损坏，在检验前要用磁盘镜像工具获取原始检材的精确备份。镜像工具可以使用如 SafeBack、SnapBack、EnCase和X-Ways等。为了保全证据的完整性，需要使用数字签名和时间戳技术，以证明从操作开始到取证过程结束证据没有被修改过。保全工具可使用 Md5sum、 EnCase、X-Ways等，并将证据文件的hash值和生成时间等信息记录下来。接下来的任务才是对电子物证检材进行分析。

（3）案例分析

若嫌疑人使用过该电脑，则必然会留下操作痕迹，根据提取的内容可以反映出犯罪嫌疑人的活动情况。电脑中的基本信息是否存在与走私货物相关的信息呢？需要调查哪些基本信息呢？怎么查找被删除文件里面的内容呢？若文件的扩展名被更改了，如何识别这些文件的真实类型呢？在分析此案例中，从问题的提出到问题的解决，一步一步将学员引入到终点，使学员对电子物证检验过程中所使用的基本方法、基本过程和使用的工具有进一步理解。

（4）基本信息分析

首先要求学员提取电脑的基本信息，这部分信息包括：操作系统信息、用户操作痕迹、即时通讯、电子邮件、常用文件等，使用取证大师(Forensic Master)的自动取证功能来提取基本信息比较方便和全面。然后让学员对找到的信息进行分析。同学们会发现QQ聊天记录中有比较明显的线索，要求学员对聊天记录做进一步分析。

（5）聊天记录分析

聊天记录中与案情相关的内容如表1所示。

表1 相关的聊天记录

从 QQ聊天记录中可分析出：嫌疑人把货物清单通过Email进行传送，并可能会使用QQ号或电话号码作为密码。因此，下一个任务是对电子邮件账号进行分析。

（6）电子邮件账号分析

电子邮件账号中与案情相关的信息如表 2、表 3、表 4所示。

表2 收件箱列表

表3 发件箱列表

表4 已发邮件列表

从邮件列表信息中可分析出：嫌疑人使用的邮箱为qia119@163.com。因此，下一个任务是对该电子邮件账号进行分析。

（7）账号qia119@163.com分析

因为在完整的邮件文件中未发现相关线索，所以需要对残缺邮件做进一步分析。这部分工作需要使用 EnCase工具的关键字搜索功能。可通过设置关键字 qia119@163.com来查找残缺邮件信息。从未分配簇中发现相关的残缺邮件信息如图1所示。

图1 相关残缺邮件碎片

从邮件碎片中可分析出：嫌疑人使用邮箱 qia119@163. com 发送了一个文件：table.doc。因此，下一个任务是对table.doc文件进行分析。

（8）文件table.doc分析

通过对table.doc进行过滤，未发现该文件。需要学员用数据恢复软件恢复被删除文件。可以选择 Easy Recovery、Final Data等恢复软件，也可以使用EnCase、X-Ways等软件中的关键字搜索功能来搜索相关文件碎片。从未分配簇中发现相关信息如图2所示。

图2 与table.doc字符串相关碎片

从table.doc字符串相关碎片中可分析出：嫌疑人在word中新建了一个.doc文档，经过编辑，先后以文件名table.doc和cvb.doc保存。因此，下一个任务是对文件cvb.doc进行分析。

（9）文件cvb.doc分析

对硬盘中的文件进行过滤，未发现文件cvb.doc，却发现未知文件类型的文件cvb.isd。为了获得该文件的文件类型，需要使用文件签名功能进行验证，得知该文件的类型为Compound Document File，如图3所示，即可能为.doc类型文件。

将cvb.isd复制到检验工作站，重命名为cvb.doc，使用word尝试打开，发现该文件是加密的。下一个任务是对该文件进行密码破解。

（10）文件cvb.doc的密码破解

一般情况下，可以使用 Advanced Office Password Recovery等Word密码解除软件进行密码破解，但是耗费的时间较长。有没有更好的办法呢？联想到聊天记录中的相关内容可知，该文件可能使用嫌疑人的QQ号码或电话号码作为密码。经试验，成功破解该文件读取到文件内容，如表 5所示，内容正是所查获的走私手机的品牌、型号和数量，因此获得了嫌疑人走私手机的有力证据。

表5 走私货物清单

（11）任务评价

找到需要的证据后，学员要对获得的证据进行固定并整理资料，写出完整的分析报告。教师要对整个教学过程进行评价，帮助学员进行知识的归纳与总结，加深学员对新知识的理解。

5 总结

电子物证检验课程作为一门相对较新的课程，在利用案例-任务驱动这一教学模式时要根据教学目标，对教学案例、课程任务进行科学的设计与合理的组织，确保方法运用得合理。但其教学方式还存在相当大的探索空间，在很多方面还有待于扩充和完善，如：

（1）案例-任务驱动教学适用于复杂知识、专业知识的教学。简单知识的学习，反而会花费更多的时间。

（2）案例的形成过程往往花费较大，时间消耗过多。

（3）案例-任务驱动教学方法以学员的积极参与为前提，以教师的有效组织为保证，而要做到这些方面的有机结合往往较为困难，有时会产生耗费时间较多而教学效率较低。

（4）案例-任务驱动教学一般既要让学员了解过程，更要让他们领会内容，这两者常难以兼顾。

[1]宋秀丽,陈龙,邓红耀.计算机取证课程实验教学探讨[J].实验室研究与探索.2007.

[2]生桂勇.计算机专业案例教学法初探[J].电脑知识与技术. 2008.

[3]郭外萍.“案例+任务驱动”在计算机教学中的应用[J].电脑知识与技术.2006.