亚 森·艾则孜

(新疆警察学院 信息安全工程系，新疆 乌鲁木齐 830011)

据统计，我国从首例计算机犯罪(1986年利用计算机贪污案件)被发现至今，涉及数字设备的犯罪无论从犯罪类型还是从发案率来看，都在逐年大幅度上升,国外有犯罪学家预言:“未来信息化社会犯罪的形式将主要是基于数字设备的信息化犯罪”[1]。因此，在不同数字设备中可能遗留一些与相关案件有关的电子证据。 面对不断上升的犯罪信息化现象，电子数据司法鉴定成为鉴定案件中数字证据的有力手段。2012年修订的刑事诉讼法和民事诉讼法中都明确规定电子数据属于证据的一种。电子数据司法鉴定，是一门新兴的、发展迅速的学科，它在打击犯罪、案件审判、维护国家安全和社会和谐稳定等方面发挥着重要的作用。

1 电子数据司法鉴定实验课

目前，我国很多公安、政法院校的信息安全或刑事科学技术专业开设了电子数据司法鉴定课程，此课程已成为信息安全或刑事科学技术专业体系的核心课程之一。为适应信息化时代的需求，需要深入研究该课程的问题，特别是研究实验教学模式问题，将有利于学生提高电子数据司法鉴定的能力。

电子数据司法鉴定课程是一门跨学科的理工科综合课程，极具实践性。在开设该课程之前,学生必须学过计算机原理、数据结构、数据库、C语言程序设计、侦查学及法学等课程，已掌握基本理论知识和基本专业技能。同时电子数据司法鉴定课程也是实践性很强的课程，实践教育是创新人才培养体系的重要组成部分。实验教学作为实践教育的主要组成部分之一，对于提高学生的综合素质、培养学生的创新精神与实践能力有着不可替代的作用[2]。

1.1 实验教学性质和存在问题

电子数据司法鉴定实验教学是电子数据司法鉴定课程教学的重要环节，通过电子数据司法鉴定实验教学使学生更好地理解和掌握电子数据司法鉴定的知识及技能，让学生熟练地掌握正确的电子数据司法鉴定理念、流程及具体鉴定工具(软件、硬件设备)的操作,提高对实际问题的分析、解决能力。很多公安院校普遍存在的实际问题如下：

(1) 实验室的建设跟不上教育改革的步伐；

(2) 对电子数据司法鉴定课程实验教学重视不够，导致课程体系和内容不合理；

(3) 解决具体问题并具有综合性的实验偏少，个别学校该课程实验课没有完整的教学大纲，实验内容缺乏针对性和实用性；

(4) 实验教师缺乏实践能力，业务能力参差不齐。

1.2 实验教学要求和方法

(1) 实验室是教师进行教学、科研的重要基地，也是学生理论联系实际提高专业技能的重要场所，因此开设该课程的学校必须建立好充分满足教学需要的电子数据司法鉴定实验室。

(2) 为激发学生的学习兴趣、调动学生的学习主动性，任课教师根据教学大纲及实验室条件合理地设计好实验大纲，实验内容的安排循序渐进，从简单到综合，从模拟的小型案例到具有代表性的实际案例[3]。

(3) 任课教师必须具备丰富的实践经验，原则上担任该课程实验教学的教师必须具有国家电子数据司法鉴定资格，应具备通过有针对性的实际案例感染学生、激发学生的学习兴趣和能力[4]。

2 实验教学改革

2.1 实验教学环境要求

对目前很多公安、政法类院校在电子数据司法鉴定教学实验室建设方面所遇到的种种问题，我们进行了深入、细致的研究，并结合当前电子数据司法鉴定发展的现状，有针对性地提出公安、政法类院校进行电子数据司法鉴定教学实验室建设的出发点[5]。

(1) 电子数据司法鉴定教学实验室所使用的设备是专门针对教学而开发的，与专业的取证设备相比，具有价格低廉、维护方便、使用简单、适于教学等优点，不需要很大的资金投入，可解决建设资金不足的问题。由于该实验室只能为教学服务，不需要建设类似于电子数据司法鉴定中心实验室一样的高端实验室，可以在现有的计算机多媒体教室的基础上进行升级改造，充分提高现有实验室的利用率，降低实验室建设成本。实验室所需软件和硬件设备与专业的鉴定工具相比，应具有价格合理、使用简单、维护方便等特点[6]。

(2) 电子数据司法鉴定教学实验室既能进行理论教学，也能进行实验教学，真正做到边学习边实践，教师不需要在理论教室和实验室之间带领学生来回奔波，实验室也方便管理，解决了师资不足问题。

根据以上观点，我院建立了电子数据司法鉴定实验室，主要设备有FL-300实训系统、取证魔方、效率源、手机取证设备以及各类电子数据鉴定软件工具等。

2.2 实验教学内容设计

2.2.1 学生能力要求

通过电子数据司法鉴定课程的实验教学内容，使学生能够深化对课堂教学内容的理解和掌握，熟悉和了解有关电子数据司法鉴定的相关技术方法及具体工具的使用方法和过程，初步掌握网络犯罪与电子数据司法鉴定的基本理论、基本方法、基本技术及其在司法实践中的应用情况。为此,实验内容需要精心设计，要能够增强学生对学习内容的感性认识和实践动手能力，从而为理论联系实际以及运用于实际工作做好基本的技能准备。电子数据司法鉴定实验教学必须反映具体电子数据司法鉴定工作内容。目前电子数据司法鉴定业务具体内容包括网站(网页)内容鉴定、邮件鉴定、软件功能鉴定、软件(电子设备)侵权问题鉴定、信息系统鉴定、文档文本鉴定 、即时信息(聊天记录)鉴定等。根据电子数据司法鉴定行业要求，学生通过本课程的学习，必须掌握以下基本能力:

(1) 各种不同编码数据的分析能力；

(2) 现场勘查与电子数据的提取、固定与校验能力；

(3) 各种存储介质数据的恢复能力；

(4) 各类文档结构及其文档特征的分析能力；

(5) 用户行为鉴定能力；

(6) 恶意程序鉴定能力；

(7) 数据库鉴定能力；

(8) 电子文档与数据电文鉴定能力；

(9) 电子数据相似性司法鉴定能力；

(10) 手机证据鉴定能力；

(11) 电子数据鉴定报告的书写能力。

2.2.2 实验教学内容

结合电子数据司法鉴定行业及电子数据司法鉴定员操作能力要求，实验教学内容主要包括：

(1) 二进制数据分析。在电子设备中所处理的各种语言文字信息都有编码，主要有ASCII、Unicode、UTF-8、GB2312级BIG5等。电子数据司法鉴定提取、分析与处理的是计算机存储介质中的数据，因此，数据的机器表示是电子数据司法鉴定基础中的基础。通过本次实验，学生理解字符信息在数字设备中的不同应用程序里的各种字符编码、代码页，懂得文件系统逻辑结构，了解并掌握低层次的数据分析。本次实验课所需的工具有Windows 造字程序、Debug、UltraEdit 和WinHex等。

(2) 易失性数据的收集。易失性数据是指系统运行过程在某一时刻的详细状态信息，包括用户登入列表、登入日期时间、运行进程列表以及网络连接列表等信息。因易失性数据具有隐蔽性、客观性、脆弱易逝性等特点，获取这些证据的紧急性最高，所以必须最先获取，以免意外情况造成易失性数据的丢失。通过本次实验，学生熟悉Windows等系统内可获取易失性数据的工具的功能以及使用方法和技巧。本次实验课所需的工具有PS Tools、cmd.exe、net stat、ipconfig、md5sum、arp等[7]。

(3) 保全备份的制作。根据规范要求，鉴定分析工作必须在原始证据的副本上进行。原始证据的副本，一般可以分为几种形式，如镜像硬盘、证据文件等。证据文件是原始证据的精确副本，它是位对位的复制。通过本次实验，学生理解什么是合法的电子数据司法鉴定备份文件，了解选用备份工具的要求，学会能在只读环境下用电子数据司法鉴定复制工具对磁盘数据进行备份、查看映像备份文件的内容、验证数据完整性(计算hash值)等。本次实验课所需的工具有Second Copy、File Genie 2000、Ghost、dd、EnCase、取证大师、只读锁、硬盘克隆工具DC-8000pro等[8]。

(4) 恢复已被删除的数据。在对数字设备的应用过程中，病毒的破坏、黑客的入侵、人为误操作、人为恶意破坏、系统的不稳定、存储媒介的损坏等原因，都有可能使重要的数据丢失。为获取原始数字证据，必要时需要进行数据恢复[9]。通过本次实验，学生理解各种操作系统文件系统结构及文件存取原理、各类文档文件头信息(特征码)等，懂得数据恢复的可能性，了解并掌握常用的数据恢复软件的使用方法和技能。本次实验课所需的工具有Private Disk、XY-Forensic、Final Data 和Easy Recovery等。

(5) 数据的加密与解密。在信息时代，信息可以帮助团体或个人使他们受益，同样，信息也可以用来对他们构成威胁，造成破坏。在竞争激烈的大公司中，工业间谍经常会获取对方的情报。用户经常需要一种措施来保护自己的数据，防止被一些怀有不良用心的人看到或者破坏。因此，在客观上就需要一种强有力的安全措施来保护机密数据不被窃取或篡改。在具体的电子数据司法鉴定工作过程中，鉴定人员肯定会遇到各种被加密过的文件，因此在该实验课中必须安排数据加密与解密实验内容。通过本次实验，使学生理解数据机密的原理，掌握常用的密码破解技术，学会使用加密与解密工具。本次实验课所需的工具有：FilesCrypter、Cmospwd、AOPR、GetIP、UZPC、CRACK、L0phtCrack5、WinPE启动光盘、ImageHide等。

(6) 电子证据分析综合实验。电子数据司法鉴定工作对所获得的证据进行分析，目的是从中找出合法的、有效的电子证据，以供日后提交证据之用。通过使用合法的专用工具进行分析，如果电子证据被发现时，应将每件证据清晰、准确地记录下来。进行此次实验课时，教师必须设计出具有代表性的案例，要讲清楚从案情分析考虑要找什么样的证据、此证据与此案件的关联关系、采用什么工具及技术方法、可能犯下的错误、注意事项、全程记录到最终鉴定报告的出具等详细过程[10]。通过本次实验，使学生理解在综合取证、分析环境中建立案例和保存证据链，了解并掌握电子数据司法鉴定的全过程，包括保护现场、获取证据、保存证据、分析证据和提交证据等。本次实验课所需的工具有FM取证大师、EnCase等。

(7) 手机取证。手机取证就是通过对存在手机内存、SIM卡、闪存卡和移动运营商网络以及短信服务提供商系统中的电子证据提取、保护、分析，最终找出与案件有关的、法庭可接受的证据的过程。进行此次实验课时，教师首先解释手机信息的类型及其存储位置、手机取证原则及流程、排除干扰信号的方法等。通过本次实验，使学生了解在安全环境中如何进行手机取证的流程，并熟练掌握使用专用手机取证工具来进行手机取证的技术方法。本次实验课所需的工具有DC-4500手机取证套件。

3 结束语

在信息技术飞速发展的今天，对信息的依赖程度越来越高。在不同的案件中的相关电子证据获取也面临巨大的挑战，这种现象对电子数据司法鉴定技术提出新的要求，因此要改变传统的教学理念，尤其是在实验教学上进行改革，而且教师要不断提高自身的专业水平和素质，加强对学生技能的有效提高，促进电子数据司法鉴定课程实验教学质量的提高。

[1] 王永全,齐曼.信息犯罪与计算机取证[M].北京：北京大学出版社,2010:344-350.

[2] 麦永浩.电子数据司法鉴定实务[M].北京：法律出版社,2011：1-15.

[3] 田运生,刘维华,王景春.综合性设计性实验项目建设的探索与实践[J].实验技术与管理,2012,29(2):126-129.

[4] 丁美荣.虚拟实验与真实实验整合的计算机网络研究性实验教学研究[J].实验技术与管理,2011,28(5):163-166.

[5] 马丁,高云飞，王永全，等.电子数据勘查取证与鉴定(系列书)[M].北京:中国人民公安大学,2012:88-96.

[6] 林元乖.创新型计算机网络实验教学研究[J].实验技术与管理,2010,27(12):174-177.

[7] Bill Nelson,Amelia Phillips,Fran Enfinger.计算机取证调查指南[M].重庆：重庆大学出版社,2009:218-226.

[8] 麦永浩,隆波,向大为,等.电子数据司法鉴定机构仪器设备配置标准研究[J].中国司法鉴定，2012(1):90-92.

[9] 司法部司法鉴定科学技术研究所(上海法医学重点实验室).2012司法鉴定能力验证鉴定文书评析[M].上海：科学出版社，2013：492-495.

[10] 霍宪丹，杜志淳，郭华，等.司法鉴定通论[M].北京：法律出版社，2013：318-322.