高洋

（伊春市人民检察院检察技术处 黑龙江伊春 153000）

浅谈电子证据取证

高洋

（伊春市人民检察院检察技术处 黑龙江伊春 153000）

自97《刑法》首次对计算机犯罪作出规定以来，立法与实践已取得很大成果，对此类犯罪的打击也对想利用计算机手段犯罪者起到一定威慑作用。计算机取证的目的是将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，为此，新刑事诉讼法将电子数据单独列为一种证据种类，赋予电子证据明确的法律地位。两高一部最新出台的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》也进一步明确了微信聊天记录等可以用作证据。这是一门新兴的交叉性学科，之所以称其为交叉性，因其还涉及到法学领域。计算机的专业性、隐私性特点，如何以合法手段取得证据，如何证实其取得过程合法，不是仅仅懂得专业知识就能解决的。本文是笔者实际工作经验心得和对电子数据的一些想法。

计算机犯罪有隐蔽性、复杂性的特点，犯罪嫌疑人甚至具有专业知识的普通人就可以利用电子邮件、聊天软件、网上支付平台或手机进行犯罪活动，而上述这些渠道的供应商，因出于自身产品安全考虑，均采取加密方式对数据进行保护，致使取证难度加大。比如，如果要查找一封电子邮件的真实来源，需要网络服务商提供邮件的传输路径，经过那些服务器，其IP地址属于哪一区域；又如，在不知道密码的情况下查询高版本QQ聊天记录，如果软件商不提供支持是不可能得到的。不久前，FBI希望通过合法手段查询一个iCloud账号，此账号被认为可能与性暴力犯罪有关，苹果公司以保护用户隐私为名不肯公布其芯片级硬件加密技术，使FBI头疼不已。计算机产业公司为其自身利益当然不可能把核心技术公布于世，不论对方是谁，其用户是否犯罪也与其无关。我们没法从立法上强行规定，产品供应商必须站在正义的立场上无条件服从法律，那样就没隐私可言，作为个案的侦察人员，在技术力量上也无力与供应商匹敌。

对于某些案件，由于技术壁垒的存在，我们的确无能为力，但对于大部分案件，电子数据还是有大有其用武之地的。现在人们的日常生活几乎都离不开网络，购物、缴费、转账，有些信息不经意就加入到网络数据的洪流中，而云技术的发展，使某些部门可以合法的收集这些信息以备查询。比如，某人在论坛公布了QQ号码，在一起案件中发现嫌疑人曾联系过此号码，又如手机号码、邮箱地址也是容易获取的，而这些往往绑定某些支付平台，可能有资金往来。这些信息点交织在一起，就组成一幅嫌疑人的线索网络。还有一些可直接操作获得证据的案件，可以从硬盘或者手机中，直接或恢复删除数据获得电子证据。需要注意的是，这些过程一定要遵循合法性原则，包括取得证据合法，而且要记录下整个过程，以证明其合法性。

取证时最好有计算机相关知识的人员进行操作，对于较为复杂的情况可聘请专家。取证时尽量做到全程录像，重要情节拍照，并有至少两名与案件不相关联的证人在场。要详细记录清单，做到不落细节，可能用来记录密码的记事本、U盘等小物件要仔细查看。现实中，人们记录一些常用密码之类的短小文字，往往随手取材，随意放置，U盘等移动存储的外形也是各式各样，这些都要注意收集；有些特殊硬件需要驱动或特制接口，计算机相关的各类配件，如光盘、电源适配器等也要收集全面。虽然大部分安卓手机都使用Micro usb接口，但数据线定义却不一定相同，可能造成后续取证过程中只能充电不能获取数据的情况，所以一定要尽量收集原装配件。苹果系列产品需特别注意，如有安装iTunes同步软件的计算机也要一并收集。需要现场取证的，如果是专业性较强的证据，例如电信公司服务器等，则在计算机专家的监督下让涉案的专业人员自行操作其计算机，目的是防止其以证据损坏为由进行抵赖。取证中遇到的一些突发状况一定要随机应变，如发现刚刚执行格式化操作，则马上切掉计算机电源，防止损失进一步扩大。采集的证据经封装记录后将进入检验阶段。

为体现电子数据的证明力，检验过程需遵循科学性和可再现性原则，即对电子数据分析所依赖的软硬件、技术原理符合科学逻辑，能够经受事实的考验，并且任何人只要遵循相同的分析过程都能够得到相同的结论。检验时原则上不对原始检材进行操作，制作的副本应进行哈希值校验。传统机械硬盘的恢复技术已比较成熟，可委托鉴定的机构也不少，需注意的是新兴的固态硬盘的数据恢复。因固态硬盘的数据存储结构不同于机械硬盘，微软在Windows7及以上操作系统中加入了基于ATA命令的TRIM指令，目的是为了提高固态硬盘的性能。其基本原理是一旦有删除文件、格式化之类的磁盘读写操作，系统就会向固态硬盘发出清空区块中数据的命令，而不像机械硬盘只删除索引而保留数据。某种意义上来说这时的固态硬盘相当于全新状态，也就不再有性能下降的问题，但也造成了对于支持TRIM指令的固态硬盘的数据恢复基本上不可能实现的状况。前文所述的苹果手机之例，对苹果设备的取证要慎重，有时要果断放弃，有时却可另辟蹊径，如利用苹果的同步功能，查看iCloud网络或本地计算机的iTunes备份，说不定会有意想不到的收获，这也是收集安装iTunes软件计算机的原因。取证时遇到状况无法进行下去，的确非常遗憾，而这正体现出电子数据这类证据的特点，交叉的综合性、极强的技术性。

以计算机为手段的犯罪是不同于以往任何犯罪形式的，计算机可以为我们做任何事，那么任何事都有可能被其利用。大家都熟知的蹭网行为是最简单的入侵，物联网的崛起，使智能家居成为可能，通过一只WIFI插座，在单位就可以遥控空调等设备的开启，这些指令是通过产品商提供的服务器实现的，而那个小小的插座的安全性怎么来保证?如果说针对个人的计算机犯罪已经让人焦头烂额，那么来自国外的威胁就更让人防不胜防。我们基本不可能去要求一个位于国外的网络运营商来配合查询一封电子邮件的路径，对斯诺登那样的黑客也束手无策。如果一个国有企业的服务器数据突然丢失，将造成无法估量的损失，一些科研机构已经证实CPU供应商利用其垄断地位在硬件设计中加入未知用途的指令，也可以称其为后门或硬件木马，这已经是国家安全层面的问题了。

[1]http：//news.mydrivers.com/1/158/158349.htm.

[2]http：//news.mydrivers.com/1/489/489395.htm.

D925.2

A

1004-7344（2016）35-0311-01

2016-11-28