浅谈电子数据侦查实验
2019-12-25付顺顺
◆付顺顺
浅谈电子数据侦查实验
◆付顺顺
(安徽公安职业学院 安徽 230031)
随着信息技术与人们生活结合愈加紧密,电子数据取证成为刑事侦查活动中必不可少的工作环节。同时,电子数据的无形性、易破坏性等特点为取证带来很大的挑战。侦查实验作为兼具法律性和科学性的侦查措施,能在一定程度上解决电子数据在法庭科学中应用的难题。本文对电子数据侦查实验基本特点、方法、流程和内容等方面进行探讨,具有重要的司法实践意义。
电子数据;电子数据取证;侦查实验
2012年3月14日,十一届全国人大第五次会议表决通过了关于修改《中华人民共和国刑事诉讼法》的决定。侦查实验笔录与电子数据正式成为我国法定证据类型。随着犯罪类型向新型化、科技化发展,两种证据类型在当前刑事诉讼活动中出现的频率越来越高。
虽然,越来越多能够证明案件事实的材料以电子数据的形式呈现,但是,从扣押的原始存储介质或提取的电子数据中分析得到的与案件相关的电子数据,在某些特定情形中往往不能独立的证明某个具体犯罪行为发生,因为它可能是一段程序源码、一段利用程序漏洞实施攻击的描述等,需要依托特定的软、硬件和网络环境执行以后才能判断电子数据的作用[1]。侦查实验作为揭示客观规律或现象之间因果联系及其发展变化规律的一项侦查措施,可以在一定程度上弥补电子数据作为证据时的缺陷。为了更好地将侦查实验措施与电子数据取证结合在一起,相关部门积极出台了一些规定。2016年9月9日,最高人民法院、最高人民检察院、公安部颁布了《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》,其中,第16条规定:“对扣押的原始存储介质或者提取的电子数据,可以通过恢复、破解、统计、关联、比对等方式进行检查。必要时,可以进行侦查实验。”2019年1月2日,公安部颁布了《公安机关办理刑事案件电子数据取证规则》(以下简称《规则》),其中,第五十条、五十一条、五十二条、五十三条和五十四条内容涉及侦查实验在电子数据取证的应用,从一条增加到现在的五条,可见电子数据侦查实验在刑事案件侦查中的作用正在不断上升。
1 电子数据侦查实验概述
《刑事诉讼法》第133条第1款规定:“为了查明案情,在必要的时候,经县级以上公安机关负责人批准,可以进行侦查实验。”电子数据侦查实验作为侦查实验措施在电子数据取证领域中的具体应用,兼具电子数据取证和侦查实验的双重特性。
1.1 电子数据侦查实验的概念
电子数据侦查实验就是在刑事诉讼活动中,侦查人员参照案件的原有条件,还原或者模拟案件发生时的软、硬件和网络环境,采用验证型或设计型的演示方法,揭示电子数据以及相关设备与某些现象之间的因果联系及其发展变化规律的一项侦查措施[2-4]。
1.2 电子数据侦查实验的特点
电子数据侦查实验作为侦查实验在电子数据取证的领域的具体应用,既需要满足电子数据取证的特征也需要满足侦查实验的特征,因此,综合两方面的考虑,电子数据侦查实验具有以下特点[5]:
(1)阶段性。电子数据侦查实验本质上是一种侦查行为,通常情况下侦查实验活动在刑事案件的侦查阶段进行,同时也不是任何案件,都能随意适用这一制度来达到查明案件事实的目的。所以,一般而言电子数据侦查实验只有在侦查阶段实施,只有例外情况下才可以在审查起诉阶段和审判阶段进行。
(2)针对性。我国刑事诉讼法规定,为了查明案件事实,必要时可以进行侦查实验活动。也就是说,电子数据侦查实验不同于其他法定侦查措施,仅针某些特殊案件的侦查发生作用和产生意义。在侦查实践过程中,侦查机关会根据具体案情的需求,有选择性地决定是否采用侦查实验这一侦查措施来参与案件的侦破。
(3)验证性。电子数据侦查实验是通过实验验证在特定条件下电子设备以及电子数据发生的某种变化是否发生、是否可能发生以及如何发生,即通过实验验证事实与排除犯罪。
(4)模拟性。电子数据侦查实验采取模拟的方法,通过获取的案发过程中已知事实,模拟相关技术或者网络行为对电子设备中电子数据的影响,最大限度地还原未知的案件事实,探究某些因素之间的因果关系。由于是通过模拟的方式进行的,因此模拟与还原的准确度越高,侦查实验的结论越具有说服力。
(5)专业性。由于当前技术发展迅速,电子设备更新换代极快。电子数据侦查实验作为一项在电子数据领域的侦查措施,在模拟案件情况时,会涉及大量的新技术、新手段以及刑事侦查知识。因此,电子数据侦查实验不仅要求主持侦查实验的侦查人员具有专业的知识背景,同时还要求整个实验过程的专业性。当然,在整个过程中,遇到侦查机关内部人员无法解决技术问题时,还可以聘请相关专家参加实验。
1.3 相关技术
1.3.1虚拟机技术
虚拟机利用虚拟化技术,将虚拟机中间层添加到宿主计算机系统与虚拟机系统之间,模拟实现处理器,内存管理单元,输入输出系统等计算机必备系统。对于用户,不需要增加硬件,就可以虚拟出一台功能完善的计算机,从应用程序的角度看,应用程序都在某一特定的指令体系或者操作系统上运行,根本感知不到是运行在虚拟机上还是一天实体计算机上[6]。目前主流的虚拟机技术厂商有VMware,hyper-v、VirtualBox等。
1.3.2信息安全技术
人们的安全意识在不断提高,电子设备以及电子数据都会有一定的安全措施在进行防护。所以说,在进行电子数据侦查实验时,不仅会涉及一些安全防范技术的使用,同时也会涉及入侵技术的使用[7]。具体可以进行如下分类:
安全防范技术:入侵检测技术、防病毒技术、防火墙、审计系统、漏洞扫描技术、加密技术、身份鉴定和认证技术、沙箱技术、蜜罐技术等。
入侵技术:恶意代码、SQL注入(http头注入,cookie注入,get注入,post注入,布尔型-level盲注,绕waf防火墙注入)、暴库、目录遍历、社会工程学、xss跨站脚本攻击、基于各种框架的远程命令执行漏洞、信息泄露、csrf漏洞、支付漏洞、逻辑漏洞等。
1.3.3数据获取技术
电子数据侦查实验作为模拟电子数据相关情形的实验,需要收集大量的数据且需要不断更新,比如,Web服务器上无时无刻不在产生的事件响应记录,以及操作系统中不断变化的信息。通常来说,需要获取的数据包括但不限于以下内容:操作系统内存信息;进程信息;系统日志;入侵检测系统、防火墙、反病毒软件日志;系统的审计记录;网络监控流量;操作系统和数据库的临时文件或隐藏文件;数据库的操作记录;硬盘驱动的交换分区、slack区和空闲区;软件设置等等。
1.3.4数据分析技术
电子数据侦查实验的关键是如何从收集到的海量数据中挖掘出有效信息。根据数据分析可以确定犯罪实施的过程,包括对电子设备以及电子数据的访问时间、访问方式;对电子数据的修改、增加、删除等。电子数据侦查实验是事前就进行实时数据获取,即使是犯罪嫌疑人对原始数据进行更改、删除,通过对实验得到的数据进行分析也可以认定案件事实。具体包括关联分析、模式匹配等技术。
1.3.5保全技术
在得到相关实验结果后,就要对结果进行保全,以防止内部或外部非法人员的篡改和删除。可以采用数字签名技术,通过消息摘要、数字签名和时间戳结果的真实性加以确认。
2 电子数据侦查实验流程
程序法定作为刑事诉讼法的“帝王原则”,是现代诉讼法的基础。可以说,“没有程序(法)即无实体(法)。”因此,在进行电子数据侦查实验的过程中必须遵守宪法和法律的规定,严格按照法定的条件和程序,不得违背法定程序,做到有计划、按步骤、有组织地开展实验。电子数据侦查实验的流程分为启动、实施、结果固定三个阶段[8]。
2.1 电子数据侦查实验的启动
2.1.1审批
电子数据侦查实验作为侦查实验在电子数据取证领域的具体应用,该项活动的审批主体当然的要符合一般侦查实验的要求。公安机关依据我国《刑事诉讼法》和《公安机关办理刑事案件程序规定》等,制定的《规则》中明确规定县级以上公安机关负责人是电子数据侦查实验的批准主体。当然,最高人民检察院通过《人民检察院刑事诉讼规则》赋予了检察机关侦查实验权,根据实际需要县级公安机关负责人和检察院检察长可以作为该项侦查活动的审批主体。因此,侦查人员应按照相关法律文书格式,制作呈请报告书,交由相关批准主体进行该项活动的审批。
2.1.2准备
电子数据侦查实验作为一项十分复杂的侦查活动,需要在实验正式实施前,切实做好此次实验的相关准备工作,这样才能保证实验的顺利进行,取得符合客观真实情况的实验结果,达到实验预期目的。具体包括以下几个部分:确定此次实验的目的,开展实验的时间、地点,相应的电子设备、数据以及其他实验物品,实验参加人员以及分工,需要模拟的场景,实验的内容、顺序、方法,实验的警戒工作以及其他注意事项。
2.2 电子数据侦查实验的实施
实施是整个实验过程的关键环节,是实验结果得以固定并用于刑事诉讼的重要保障。参考一般侦查实验的实施安排,电子数据侦查实验中的实施分为以下几个部分:
(1)相关实验设施的安装调试,建立实验环境。注意检查电子设备以及软件的稳定性和安全性,以保证侦查实验的质量、实验结果可靠。
具体包括:安装实验所需的虚拟机、程序运行环境;配置实验所需的网络环境,如局域网配置、端口设置、VPN设置等;部署需要验证的侦查实验的主体,如被入侵的网站、被破解的软件系统等;安装取证工具,如流量监控软件、抓包工具、内存数据dump工具等相关取证软件。
(2)对具备保全条件的检材及样本进行备份保全、编号。由于电子数据具有易破坏性,在实验过程中,一些操作可能会修改电子数据的内容。因此,需要对相应的检材及样本进行保全。
(3)进行调试性实验。对实验的条件、设备等进行实践性检验,通过调试有助于侦查人员对实验设计进行某些修正和补充,充分估计完成实验的复杂程度和干扰因素,以便采取相应的措施,保证实验的顺利进行。
(4)实验操作与数据采集。符合案件事实的操作是保证实验结果可靠的重要因素,整个操作应该严格按照实验方案执行。同时,侦查实验结果是实验条件相互作用产生的,是一个动态的过程,待证信息可能出现在过程中的一瞬间,也可能产生于一次完整的实验最终阶段需要在实验刚一开始就做好录音录像工作。综上,在这个过程中具体做法包括以下几点:系统与网络监控,进程监控,排除混淆因素,记录样本的执行状况。
(5)设置相关配置,重新执行。根据《规则》中第五十二条的规定,有条件的,电子数据侦查实验应当进行二次以上。
(6)分析评估实验结果。实验结果是消除案(事)件中不确定信息的重要参照源,对实验结果进行评估,是整个实验的必经环节。一要检查实验的组织实施是否正确。实验的基本条件是否与被检事实和现象发生时的条件相符合;进行了几次实验等。二要检查实验是否严格按照规则进行,参加实验的人是否有具备完成其实验任务的基本素质;有无因相关设备或者软件品质问题影响实验结果正确性的现象等。三要注意实验结果是否具有充分的实验事实依据。
2.3 电子数据侦查实验结果的固定
侦查实验笔录是一种既能证实犯罪又能排除嫌疑的重要证据,在侦查破案和刑事诉讼中都具有重要意义和作用。因此,实验过程中需做好记录,而且应涵盖整个实验过程,包括:开始的日期和时间、主持人、侦查员、见证人、实验目的、原始检材及样本的完整性状况、保全备份处理情况、电子设备以及软件、网络状态等环境信息、样本的执行状况和实验结论。
3 电子数据侦查实验内容
根据《规则》第50条规定,将电子数据侦查实验分为四类,下文将对这几种情形详细论述。
3.1 验证一定条件下电子设备发生的某种异常或者电子数据发生的某种变化
通常来说电子设备采用二进制编码,虽然,当前的电子设备能保证在符合正常操作情况下的持续稳定运行,但是,只要有一点偏差,就会产生信息错误,导致设备异常,比如死机、关机、复位等。同理,电子数据的底层也是二进制编码,当这些编码发生改变的时候,电子数据也会发生改变。电子数据侦查实验就是通过实验的方式探究当根据案发现场的条件发生,对某部分二进制编码进行干扰,查看电子设备的异常或者电子数据的改变情况。通常这种干扰来自入侵行为,比如入侵者通过使用恶意代码对电子设备的某些参数配置进行修改,这种恶意操作就可能导致电子设备的异常。所以,在此种类型下,需要验证的就是恶意操作导致电子设备和电子数据稳定运转的环境被破坏后会发生的异常或者变化,具体的可以是:修改系统配置修改或者删除某些注册表和系统文件、关掉某些系统进程、卸载某些设备驱动、更改网络配置等,查看电子设备与电子数据的状态;格式化硬盘、改写文件分配表和目录区、覆盖文件、占据磁盘引导扇区等情况下,查看电子设备与电子数据的状态。
3.2 验证在一定时间内能否完成对电子数据的某种操作行为
由于电子数据具有无形性、易破坏、易传播、易复制等特点,导致电子数据的操作行为在某些情况下容易发生且难以被发现。因此,需要在验证一定时间内能否完成对电子数据的操作行为。本文从以下两种情况下讨论。
3.2.1针对单机环境下的电子数据操作
在单机环境下,涉及的电子数据操作行为可以分为查看、复制、增加、删除、修改等。
(1)查看。当前单机系统中的电子数据规模在不断增大,在特定时间内检索出感兴趣的内容也是对操作人员的能力的考验,而且,随着人们的安全意识的提高,很多人在存储机密信息时,会采用一些技术保护内容不被未授权的查看,比如文档加密等,这种情况下查看电子数据,通常会涉及密码破解技术,一般来说在未通过社会工程学的方法掌握充足信息的时候进行密码破解需要花费及其长的时间。因此,需要验证能否在一定时间内查看到某些电子数据。
(2)复制。虽然易复制性是电子数据的突出特点,但是,受限于存储介质存储速度以及当前电子数据的体量,在缺乏专业设备时,如硬盘复制机,想要复制大规模的电子数据同样需要花费很长时间。因此,需要验证能否在一定时间内复制完成某些电子数据。
(3)增加。增加分可以分为新建文件和在原有文件中追加内容。首先,在新建文件这种情况下,需要结合新增电子数据文件的内容完整度来判断单位时间内能否。其次,在原有文件中追加内容,此时就不仅需要验证在一定时间内能否找到特定的文件,而且需要验证能否完成增加的操作。
(4)删除。删除电子数据时,在检索到相应的电子数据文件,才能删除。因此,不仅需要验证在一定时间内能否找到特定的文件,而且需要验证能否完成删除的操作。
(5)修改。修改电子数据的操作行为,需要能查看到已有的电子数据后,才可能对电子数据部分或全部内容进行修改操作。因此,不仅需要验证在一定时间内能否找到特定的文件并且打开,而且需要验证能否完成修改的操作。
3.2.2针对网络环境下的电子数据操作
网络环境下的电子数据可以分为两类,一类是存储于服务器中的静态数据,另一类是在网络传输的动态数据。针对存储于服务器中的静态数据的操作行为,在通过网络渗透拿到服务器的相应权限以后,几乎等同于在单机环境中的操作,在此不过多赘述。针对在网络传输的动态数据的操作行为,即在客户端与服务器端进行数据交互过程中的实时操作,这种操作需要进行网络流量劫持,通常在实现这种功能之后可以对传输的数据进行IP数据报文中的某些字段进行增加、修改、删除等操作,当然由于网络传输数据的动态特性,需要验证在还原案件相关条件下,嫌疑人是否有能力及时完成这种字节流级的操作。
3.3 验证在某种条件下使用特定软件、硬件能否完成某种特定行为、造成特定后果
随着网络黑产的规模不断扩大,当前网民获得黑客工具极其便利,只需利用网上提供的工具,就可以轻易实施分布式拒绝服务攻击、钓鱼网站诱骗等攻击行为。所以,电子数据侦查实验其中一项重要内容就是验证在还原案件发生时被攻击方的所有安全措施情况下,嫌疑人使用的软件或者硬件能否造成某些后果。具体的可以包括:验证能否在未授权的情况下访问或破坏系统、控制计算机信息系统、破坏系统功能、加密电子数据、解密电子数据。
3.4 确定一定条件下某种计算机信息系统应用或者网络行为能否修改、删除特定的电子数据
在这个数据就是财富的时代,通常情况下的网络恶意行为是为了破坏或得到某些电子数据,如2018年的华住集团数据窃取案。所以,电子数据侦查实验需要验证在还原目标系统被入侵状态下,模拟嫌疑人的网络行为或者使用的特定系统,是否可以对电子数据进行删除或者修改的操作。具体的可以包括:验证能否删除、修改入侵之后的痕迹信息,比如程序日志、安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等;验证能否与特定应用的数据库进行连接,并删除、修改相应的数据。
4 结语
电子数据侦查实验作为侦查实验的特定应用领域,在未来刑事案件侦查过程的作用会越来越重要。本文基于结合有关法律规定,探讨了电子数据侦查实验的特点、程序、相关技术、以及主要内容,具有重要的司法实践意义。新技术的不断发展,必然会影响电子数据侦查实验。因此,下一步将探讨如何将这些理论技术应用于电子数据侦查实验。
[1]邹继芸,高敔恒.网络犯罪中侦查实验方法的探讨[J]. 网络安全技术与应用,2017(4).
[2]王清琪.论侦查实验制度[D].湖南师范大学,2018.
[3]周加海,喻海松.《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》的理解与适用[J].人民司法(应用),2017(28):31-38.
[4]李浩.侦查实验制度研究[D].上海大学,2015.
[5]蒲泓全,郭艳芬,卫邦国.电子取证应用研究综述[J].计算机系统应用,2019,28(01):10-16.
[6]刘浩阳.电子数据取证[M].清华大学出版社,2015.
[7]张志华.基于渗透测试的网络安全漏洞实时侦测技术[J]. 科学技术与工程,2018,18(20):302-307.
[8]程霄飞.侦查实验批准程序初探[J].山西省政法管理干部学院学报,2016,29(2).
安徽公安职业学院校内重点项目(XN2018ZDB63)。
