“电子数据取证”课程教学中侦查意识的培养

2020-03-02孙晓冬

辽宁警察学院学报 2020年4期

孙晓冬

（中国刑事警察学院网络犯罪侦查系，辽宁沈阳 110854）

关键字：电子数据取证；侦查意识；案例教学

一、引言

“电子数据取证”是公安院校网络安全与执法专业学员的必修课，是从事网络安全保卫部门网络犯罪侦查和电子数据检验分析工作的基本技能，也是配合其他警种进行案件查破提供相应技术支持的基础条件。从能力需求的角度看，这类人才的身份是公安民警，业务领域是为打击犯罪服务，所以“电子数据取证”工作就不等同于社会司法鉴定机构的独立第三方鉴定行为，而是趋同于传统刑事技术民警的“协同配合侦查破案”。也就是说，公安院校培养的专业人才一方面要具备科学的素养，能够熟练运用各种计算机网络技术对电子数据进行完整、准确、客观的检验分析；另一方面要熟悉公安业务具备侦查技能，能够准确的为案件侦查工作提供方向、范围、线索、证据的参考依据。各公安院校网安类专业在人才培养中通常是按照“全体警察、网安民警、电子数据检验分析技术人员”这一业务岗位和技能对应关系来开设相关课程，也就是从公安通识课、计算机网络专业基础课到电子数据取证类专业课。通过持续几年时间的信息收集，包括对各院校专业培养方案和教学大纲的调研、对各院校网安类专业毕业生从警两年内工作业务能力的反馈回访、对各地网安分管案件工作的领导意见收集，笔者提出了对“电子数据取证”类专业核心课程的改革建议，即加强侦查意识的培养，得到了很多同行的认可。侦查意识是指侦查人员在依法实施专门调查工作和采取相关强制措施中所表现出来的思想意识和思维能力[1]。侦查意识是合格侦查人员必须具备的一种素质，是侦查知识的综合运用和侦查能力的具体体现。侦查意识是一种思维和认知层面的主观反应，很难用标准化或量化的方式描述。

二、网侦业务的知识体系

根据网安专业人才培养方案，公安院校开设网络安全与执法专业的知识架构（公安专业相关部分）包括：法律、公安通识内容、警务技能、侦查业务基础、治安管理基础、刑事技术基础、网安专业知识技能。在网安专业知识技能中，电子数据取证分析是主要内容之一。显然，公安类专业课程的根本方向、性质和特色是明确的。

（一）目前各院校普遍的课程内容设置

目前公安院校“电子数据取证”课程内容是根据取证客体类型分为针对案件环境的勘验取证（包括现场勘查取证和远程勘验取证等），和针对涉案检材的实验室检验分析（包括电子数据提取恢复、系统重建和数据分析等）两大方面设置，其涵盖的知识技能分项包括以下六项。

1.取证基础知识类，如操作系统分析、数据存储原理、文件编码与系统结构、计算机网络技术、网络攻防技术、数据库技术、网站构建技术、硬件相关技术等。

2.数据固定提取技能，如服务器、网络中间设备和终端的数据固定提取，工控系统、物联网、手机等移动终端的数据固定提取，以及动态或静态下对目标系统的镜像和提取技术等。

3.数据恢复重现技能，如被破坏电子数据的逻辑恢复、连同介质一并损坏的物理恢复、隐藏或加密数据的查找解析、数据碎片重组分析、数据库重建技术、存储阵列重组技术等。

4.数据仿真重现技能，如计算机系统仿真、移动智能终端仿真、网络环境仿真、数据链路逻辑重现、网站重构等。

5.数据勘验检查技能，如案件现场保护技能、现场勘查流程与规范、针对电子数据的执法行为能力、数据在线提取技术、远程主机勘验取证技术、云平台勘验与数据收集技术等。

6.数据检验分析技能，如程序功能性分析检测、海量数据处理与分析、结构化/非结构化数据的整理与分析、数据挖掘与关联分析、各类系统数据与安全数据分析、多案多人多检材多渠道的数据关联分析技术等。

（二）院校教学与实战需求的差距

值得注意的是，按照上述六项技能的排列顺序，“电子数据取证”课程对应的课堂教学能力与教学效果普遍呈现递减的趋势。究其原因，主要有两个方面：一方面公安院校网安类专业师资基本来源于地方高校计算机相关专业，具有较为全面和扎实的计算机领域专业知识，所以知识和技术内容教学得心应手；另一方面这些师资往往缺乏网安实战经验，对公安业务掌握不熟练，对案件侦查工作的需求理解不全面，所以实战技能培养和思维引导部分内容教学效果不理想。

结合一线民警长期从事涉网案件侦查与取证的工作经验，笔者认为无论是网安部门的主侦案件，还是与其他警种合作的配侦案件，首先要做到的是技术过硬，能够面对纷繁复杂的电子设备和数据环境取得真实客观、科学严谨、全面细致的涉案信息与线索证据。但案件侦查工作中，单纯的技术往往并不是决定成败的核心因素，最关键的因素是围绕案情，运用侦查意识提出侦查需求，而技术只是解决需求的手段之一。公安院校网安专业在人才培养中需要注意强化学生的案件侦查意识，在“电子数据取证”类课程中，不应一味强调单纯的计算机网络技术，更要引导学生理解和拓展计算机网络技术在侦查中的应用，让计算机网络技术转化为侦查技术，从而更好的实现让技术为侦查服务，通过技术提升办案效率、降低办案成本、提高办案成功率。

三、侦查意识的理解

侦查意识是侦查员的头脑对于某一个具体案件的反映。这种反映包括对案件的感性认识、分析判断以及对案件中出现的具体情况而采取的相应措施等。[2]

（一）涉网案件侦查意识

在涉网案件侦查过程中，必然需要对涉案电子设备、电子数据进行检验分析。而某些相对复杂的案件可能会出现的情况：初查阶段案件性质尚不十分明确，难以确定侦查方向和取证重点；配侦案件中，其他警种送交电子数据检材不规范，或者送检需求有歧义；电子数据分析后，有充分立案证据，但因案情复杂却没有侦查思路；多警种联合勘验复杂现场时，电子数据及介质固定提取不规范；对嫌疑人犯罪事实调查时，未能发现其他案件中关联犯罪，余罪未挖、除恶不尽；结案和诉讼阶段，检察院、法院、被告人、辩护律师对侦查过程、证据规格、电子数据分析结论（意见）等提出不同意见。这实际上是对电子数据取证分析人员提出了网侦技术民警的能力需求：准确适用法律能力，即能够基于案情中涉及的犯罪技术手段和结果明确案件性质；案情分析把控能力，即能够基于案情提出技术方向、侦查思路，修正送检需求中出现的错误；规范执法行为能力，即能够基于执法标准来规范侦查行为（包括技术性和非技术性的执法行为），确保证据不会在执法过程中出现瑕疵；网侦技术运用能力，即能够熟练运用计算机网络技术来处理案件中的分析取证问题，科学合理的运用侦查技术手段、熟悉常见各类网络应用的逆应用，从而取得更多、更有效的线索和证据；参与诉讼庭审能力，即能够面对各诉讼参与方提出的不同意见，从法律、科学、规范等方面结合具体案情，清晰阐述事实，应对质疑，进而说服对方。而上述这些能力的基础和难点，就是案件侦查意识。

（二）涉网案件侦查思维

近年来，全国各公安院校都在大力推进实战化教学，大量的实战技能培训融入了课堂教学。而侦查意识作为一项综合实战能力，融合了抽象的思维方式、知识架构，与具象的案情内容、侦查方法，单纯通过理论讲授往往不能达到理想的教学效果。笔者通过多年的教学培训实践，尝试在理论和实践教学中引入侦查意识培养因素，利用案情分析和讨论、模拟实战训练、典型案例重现、案件线索分析等教学环节，引导学生的侦查思维，培养和强化侦查意识，取得了良好的效果。

传统规范的计算机类学科教学中，理工科特征明显。理工科的思维方式严谨，因果逻辑性强,所以经过计算机类课程相关知识的系统学习，往往使得学生习惯二进制线性思维，而且通常越是学习成绩好的学生，在分析问题的时候越会不自觉的以流程图的方式思考，也就是习惯将事件分析拆解成若干细节步骤，起始和结束点明确，中间是非判断。但是这种思维方式与公安侦查办案的需求存在较大差距。侦查讲求发散思维，在发散思维过程中强调回归结果与表象的逻辑因果关系。侦查的目的性明确，即围绕案情，对侦查要素相关的信息进行发现、排除、确认，从而利用线索和证据了解和再现犯罪事实。同样的一份检材，对于不同的网侦技术人员来说，有人看到的是数据信息，而有人看到的是线索证据。

我们可以通过某网络诈骗案件中，被害人收到的电子邮件为例，来比较技术型思维和侦查型思维这二者不同的思维方式。诈骗邮件表面上与普通邮件并无异常。那么技术型思维分析通常会直接详细拆解邮件的各组成部分，并按组成模块形成细致的列表报告。通常情况下，上述分析报告完成，后续还需要掌握较全面的计算机网络技术的侦查人员理解报告内容并开展关联分析。而对于侦查型思维分析，通常是合二为一反向进行，从侦查需求的角度入手，按照业务流程和要素进行分析。虽然二者使用的技术方法大同小异，但是因为思维方式的不同，工作的侧重点不同，分析结果的形式也不同。而后者可以直接指导接续的侦查方向。学生侦查思维的形成在于授课教师的培养，也就是说，教师在授课过程中要有意识的不断培养和强化学生的侦查意识，逐渐让学生形成在侦查需求引导下的技术思路，以胜任打击新型复杂网络犯罪的职责。

四、教学实践中侦查意识的培养

在“电子数据取证”课程教学中实现对学生侦查意识的培养，可以通过实战化教学的开展来完成。实战化教学不是简单的案例堆砌，而是按照教学需要，选取适当案例的适当细节，通过教学实践来引导、形成、强化学生的侦查意识。

（一）从单一技术节点拓展数据线索

涉网案件侦办过程中，电子数据取证分析人员往往第一次接触案件是在数据送检的时候。根据送检人员介绍的简要案情（通常是极简短的概括）和送检需求（通常是非常明确直接），技术人员对检材中数据进行检验分析，进而提交结果报告。但是在某些配侦案件或者技术性较强的案件中，经常出现送检需求不准确，或者描述发生歧义的情况。那么此时如果取证分析人员能够主动了解详细案情，并有效发挥专业知识特长，结合案件侦查意识，往往可以取得突破性的进展。笔者在教学中曾引入协助某地处置的一起网吧盗窃案例，由于嫌疑人作案手法隐蔽，此案时隔四年之后被重启侦查，原始现场已经完全破坏。

1.送检检材

案发时网吧内管理服务器的全盘复制件。

2.送检需求

分析经营性数据中是否存在问题；如存在，分析涉案金额多少。

3.分析过程

整理检材数据后，使用备份盘中网吧管理软件自带功能汇总营业收入，总金额与目标比对值（网吧实际产生现金收益）相同，此即为办案单位未及时立案的原因。导出网吧管理系统中所有的上机记录，根据字段关系在数据库环境下独立分析，是否符合标准的数据关系：“上机时长乘以费率等于应收（实收）”。但分析结果显示，共计有近万条上机记录存在差额，独立核算的应收比系统显示实收高出10 余万元。至此，送检需求完成可以形成结论性报告。

4.后续问题

办案单位提出该网吧时隔四年现场完全被破坏，即使可以根据该分析结论立案，但并无任何侦查线索，也就无法有效开展侦查工作。

5.补充工作

详细了解案情之后，提出从涉案数据形成过程的角度去思考，即近万条记录通常不会是嫌疑人在三个月时间内逐条修改，更大的可能性是通过某种技术手段批量修改，这样更简单高效隐蔽。如果被批量修数据，那么随机选择对象可能性较小，极可能是根据条件筛选数据，也就是说被修改过的数据可能呈现某种规律性，如果找到这一规律，很可能逆推出嫌疑人作案手段。由此，笔者对涉案部分的数据进行了规律分析最终找到了嫌疑人作案的技术方法和手段细节，即通过修改特定时段的计费费率为零，使应收账款无收入，从中非法占有营业资金。再通过满足作案条件的环境和人员入手，锁定了侦查取证方向和嫌疑人。

6.反馈教学

从案情复杂程度、技术复杂程度、作案技术手段的代表性等方面综合考虑，该案例符合教学需要。在引入课堂之前，需要整理该案素材，隐去数据检材中相关单位、人员、地点等敏感信息；去除案情材料中的无用干扰项；整理个人办案思路，确定教学内容层次。其中教学内容层次包括三方面：一是基本技术方法。如何快速了解经营性企业管理软件的功能和数据流程，在无软件说明文档的情况下指导学生从前端的功能菜单分布，到后端的日志、库表结构展开分析判断，并明确库表结构关系。二是高级分析能力。如何准确快速的实现营业收支的汇总分析，强调在涉案系统产生的流水数据分析工作中，为防止系统被人为修改破坏，应将数据脱离原系统，熟练使用数据库环境独立分析。三是指导侦查办案。如何找到更多的涉案线索和证据，引导学生多方式思考问题，包括换位思考（从嫌疑人第一视角分析）、反向思维（由结果分析原因）、推理假设（根据既有现实进行合理假设并推演其原因和结果，再根据案件具体情况验证或排除）、信息归集（将多渠道多角度多形式的信息归集到时空与行为主线上，刻画嫌疑人作案过程和作案条件，指出侦查方向），从而找到更多案件中隐藏的线索。

7.思考总结

通过上述案例的引入，将数据库取证分析技术应用提高到指导侦查的能力层面，并通过思路引领，让学生领会举一反三的侦查意识，同时通过真实疑难案件的侦破，提高学生的学习热情。

（二）结合案情选择多技术应用

复杂涉网案件侦办过程中，电子数据取证分析人员通常与侦查人员同步工作，这需要所有办案人员彼此间，办案人员与被害人、见证人之间具备良好的沟通能力。同时，在同步跟进侦查工作的过程中，还需要根据不断发现的线索，不断更新的案情，及时采用不同的取证分析技术去解决相应的问题。另外，“电子数据取证”课程的教学内容安排通常是首先讲授各种取证技术方法，拆分各个技术细节，然后在课程的后半程加入综合应用。而且，综合应用通常是针对单一检材不同数据的应用，不能培养学生结合案情对多个系统、多种设备进行综合分析的能力，未达到贴近实战办案的效果。笔者在教学中曾引入指导协助某地处置的一起商场盗窃案例。案发由某顾客使用商场发行储值卡开始，面值一千元的卡变为两万，而商场自己的销售财务系统账面一直平衡，未见异常。此案实际侦查过程非常复杂，详见参考文献[3]。

1.送检检材

商场的财务管理系统服务器一台、热插拔硬盘一块，存储开业之后每个月数据库备份数据。

2.送检需求

分析商场财务系统和数据是否存在问题；如存在，分析涉案金额。

3.分析过程

一是服务器系统勘验。重点解决服务器本身是否存在被入侵、破坏的情况。通过系统日志、安全日志等排查，未发现异常情况。二是分析财务软件功能及状态。了解该软件功能、数据流程、后台库表结构，为后续数据分析做准备。该软件为商用定制销售，由成都某公司开发，属进销存类软件。通过检查软件应用日志、审计日志，未发现系统破坏痕迹。三是分析数据库备份数据。送检数据80G，均为数据库备份文件，涉及该大型商场六个月进销存三个环节的全部流水，以及其他日常支出等财务数据，共有表单260 余个，字段近2000 个。庞杂的数据很难进行全库数据统计，根据前期案情分析，发案重点在储值卡，那么可以尝试直接从储值卡分析入手。将所有经营流水导出系统，在数据库环境下独立运算，逐条统计所有储值卡的累积消费额加余额减去原值，理论上该计算结果应该为零（已确认系统不允许二次充值），但实际计算结果共计2739 张卡出现问题，累积金额103.7 万。反复核对无误，该案件正式立案。

4.后续问题

办案单位提出该案件虽然案值明确可以立案，但是无法解释账面平衡的原因，不了解犯罪技术手段，前期初查无线索，侦查工作无从开展。

5.补充工作

详细了解案情之后，对案发现场的计算机系统做了二次实地勘验，发现了初次勘验中遗漏的中间层服务器，并根据中间层服务器的数据特征，分析其文件系统，发现了嫌疑人作案用的工具程序tti.exe，对该程序进行反编译，了解了该案嫌疑人通过远程登录系统，删除消费记录逆向增加余额的作案手段。同时，通过综合分析文件特征、系统时间、数据流向、技术条件、系统权限、安全状态等线索，直接锁定该案嫌疑人。

6.反馈教学

该案在网络犯罪案件中，非常具有代表性，是难得的教学素材，但是案情过于复杂，分析过程过于繁琐，不适于完整用于本科教学，所以在教学过程中必须精简加工。整理该案各类信息，隐去办案文书和数据检材中相关单位、人员、地点等敏感信息；去除案情材料中的无用干扰项以及重复性内容；通过不断提示办案思路，强调引导学生以侦查需求为导向开展技术应用的思维方式。一是基本技术方法。该案应用到的计算机取证分析技术较多，包括网络技术、网络安全技术、数据库技术、程序逆向和代码分析技术等。二是侦查思路引领。该案件从初始调查开始，完全是分析查找出一条线索，再关联分析出下一条线索，环环相扣。需要根据案情不断调整分析思路，并提出新的侦查需求，也就需要综合应用计算机网络技术和电子数据取证分析技术。三是侦查思维培养。越是复杂的案件，越需要清晰的思路，而清晰的思路来源于对案情的准确把握和带有侦查意识的思维模式。教学实践中，虽然学生尚不能得心应手地把握案情，但是在教师的思路提示下，学生可以对案件中每一个环节提出侦查需求，进而明确线索分析的目标、来源和走向。

7.思考总结

通过上述案例的引入，结合案情将多种计算机专业知识和取证技术综合应用，尤其在教学过程中，分步骤导入，逐项分析需求，明确思路，进而完成取证分析工作。这样可以大幅度增强学生的实战临场认知，提高学生的专业认同感和学习热情。同时，通过对侦查过程的全链条讲解，强化学生的侦查意识。

（三）取证小数据中的大数据思维

某些疑难案件中，数据的取证分析虽然在技术上非常简单，甚至依靠成品取证工具即可完成，同时数据检材也非常简单，甚至有些案件全部线索只有一部手机。那么在工具取证获得初步结果以后，能否通过人工思维二次分析从而得到侦查思路，达成案件的侦结呢？笔者在教学中曾援引协助某地处理的一起黄河腐尸非正常死亡案件，最初办案单位倾向他杀立案，进而笔者分析判断为自杀身亡后撤案。当地公安机关接报案，黄河滩涂发现一具男性尸体，高度腐败，体表多处伤口，随身只有一部手机。手机话单显示最后通话为离家后数小时。因尸体高腐，无法准确认定死亡原因和死亡时间，手机通话、街路监控视频等，均无法提供死者最后活动地点。综合现场、尸检、访问等线索，办案单位倾向于他杀。

1.送检检材

死者手机一部。

2.送检需求

提取损坏手机数据，分析死者最后的网上联系人；分析死亡时间；有可能的话分析死亡地点。

3.分析过程

使用取证工具提取手机全部数据形成分析报告供参考。根据手机全部APP 应用的数据时间，推定该手机的最后使用时间（某些数据是联网状态下自动传输），即可能的死亡事件。发现两大疑点，一是死者手机通讯录被删除，二是微信好友全部被删除，且聊天记录恢复不成功。实施这一行为具体是谁，出于什么样的目的，无法从手机中分析。手机无定位功能，老款手机照片不记录经纬度信息，无法确定手机最后活动的地理位置信息。

4.后续问题

办案单位提出能否考虑其他关联方法查找死者的网上联系人以及其最后活动地点。因为如果是他杀，最后联系人和案发现场都是调查重点，同时死者在黄河中发现，随水流动而转移位置，入水点能否确定。如无上述线索，侦查将陷入僵局。

5.补充工作

虽然手机内部数据无法直接提供地理位置相关信息，但是可以尝试使用某些APP 的外部服务数据，例如美团外卖之类的即时配送服务，查询服务商留存的订单记录，可能获取相关位置信息。经再次取证分析，未发现此类应用的安装使用痕迹。虽然死者手机中微信好友和聊天记录被清空，但是微信钱包的支付记录有留存。通过最后两天四笔支付记录，确定了可疑活动地点。网上联系人信息拓展关联到论坛、微博等，虽然浏览器有大量上网记录，但未发现有人与死者互动。分析其兴趣爱好的过程中，根据其浏览器900 余条上网记录，梳理归纳出三大类信息：一是色情类信息，包括在线播放淫秽视频、在线阅读黄色小说等，记录量占二分之一以上，由此推断死者生前有较强的性欲和性需求；二是大量搜索过民间治疗阳痿、早泄的偏方等相关内容，记录量接近三分之一，由此推断死者存在性功能障碍；三是在手机最后使用的四天时间里，集中搜索了关于服用“阿普唑仑”致死量，以及是否痛苦等相关内容，记录量接近六分之一，由此推断死者有较为明显的自杀倾向。综合三方面内容，推断死者可能是由于包括但不限于性功能障碍导致抑郁，而产生自杀倾向。办案单位根据手机中分析推断的时间、地点信息，进行了细致的调查、走访，获取了死者在特定时间段内的反常言语行为。根据其遗物位置，确定了入水点，且对周边现场勘查，排除了搏斗等暴力痕迹。二次尸检对胃内容物、内脏、脑组织等做药理毒理分析，发现了“阿普唑仑”残留。由此确认自杀，并得到死者家属认可。

6.反馈教学

大数据应用是近年来公安工作强调的重点之一，而大数据应用需要以大数据存量为基础，以大数据思维为引导。大数据认知和思维，在侦查工作的很多环节均可以体现。该案件的检材是电子数据取证工作中最为常见的形式之一，检材数据也简单易懂。但是由于案情需要，检材数据不足以支撑侦查工作的开展，那么就需要取证分析人员运用侦查思维，从大数据应用角度，考虑关联外部的服务数据，从而取得进一步的线索。该案例非常适合教学使用，除案件涉及的具体单位、人员信息，以及不适于课堂出示的现场照片外，可以原样完整的应用于教学。

7.思考总结

通过上述案例的引入，引导学生形成以检材为中心，关联大数据分析的思维方式，同时结合案情，不断鼓励学生提出问题、提出推测，然后验证或推翻自己的判断，进而找到问题答案。在不断思考提出新的侦查需求和自我证明、自我否定的分析过程中，学生的侦查思维得到强化。显然，数据的价值是其所有可能用途的总和，数据的整体价值亦远远大于其最初的使用价值。这主要取决于侦查人员看待和使用数据的方式。[4]例如在教学中，发现数据有异常删除，有学生惯性思维提出删除通讯录和微信好友是嫌疑人为了防止警方发现怀疑自己，但换角度思考后，很快反应出其实如果真是这样目的，他不如直接把手机拿走砸碎销毁。也有同学提出，要分析残留数据查找是否曾经使用一些不常见的社交软件比如电报、VOXER等，但换角度思考后，一个初中辍学人员的技能和社交圈不大可能熟练使用VPN应用境外社交软件。凡此种种，学生不断提出大量的外部数据存在可能，这也形成了案件工作中需要的侦查意识。

五、结语

对于侦查意识的形成，学生很难仅仅依靠理论学习来理解，更多的要通过学习过程去体会，通过教师教学方法来引导。在教学实践中，教师精心选取案例，筛选案例中的有效内容，再思考案例的切入点，以实战化教学的方式组织知识脉络，以侦查需求为引导整合知识技能。这样可以在传授知识的同时，潜移默化的引领学生的分析思路，逐渐形成实战化的思维模式。如何选取案例，整合教学内容，以满足实战化教学需求？侦查实战本身就不是模式化的工作，而且每位教师都有自己不同的公安实践经历、教育背景，以及自身特有的知识储备，也就形成了每个人对于案件不同的视角和理解。“电子数据取证”虽然是一门以技术为主线的课程，但是按照公安院校人才培养的目标，学生必须胜任未来案件侦查工作的需要，而侦查意识在一定程度上可以影响案件侦查的成功率和办案效率。根据电子数据取证业务自身的特点，完全可以在强化侦查意识之后发挥辅助侦查、引领侦查的更大的价值。以侦查需求为导向，通过实战化教学将侦查思维贯穿到取证技术应用之中，培养优秀的公安专业人才。