颜亮 王洋

2012年之前，我国法律规定的证据的形式只有物证、书证，证人证言，被害人陈述，犯罪嫌疑人、被告人供述和辩解，鉴定结论，勘验、检查笔录，视听资料等7种。随着科学技术和信息化的发展，电子数据逐步进入人们的生活，也越来越多地出现在司法实践中。2012年先后修正通过的《中华人民共和国刑事诉讼法》和《中华人民共和国民事诉讼法》，把电子数据作为一种重要的诉讼证据形式写到法律中，明确了电子数据的地位。最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》明确，“电子数据是案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据。”近年来，涉及电子数据的案件在快速增加，电子数据检验在案件侦查、诉讼中的地位和作用越来越重要。本文通过一起疑难案件办理，对电子数据检验技术有关难点问题进行探析。

一、案件难点

犯罪嫌疑人李某使用个人优盘储存了大量单位内部文件资料，且不如实交待具体来源。该案中，作为证据，电子数据的真实性和完整性至关重要，取证过程主要有3个难点：

1.相同文件比对难。李某个人优盘中存有word、PowerPoint、pdf、rar、zip、jpeg、excel等数千份有效文件，其在工作中能够接触到的办公电子设备众多，侦查机关需要查明李某个人优盘中的文件分别来自哪台电子设备。但是办公电子设备中数据量巨大，经数据恢复，发现提取数十万份电子数据文件，难点在于面对海量数据，如何与李某个人优盘中文件进行一致性比对？

2.加密文件破解难。李某个人优盘中存有加密文件，且拒不交代文件密码。难点在于如何查明加密文件中是否存有单位内部文件？是否存有涉案关键信息？

3.加密硬盘取证难。李某接触到的办公电子设备中有加密计算机，通过专用密钥使用专门算法对部分硬盘分区进行加密，如何对加密硬盘数据进行取证分析成为难点。

二、检验方法

为保证电子数据能够作为证据使用，要依据国家标准GB/T 29360-2012《电子物证数据恢复检验规程》对电子数据的规范性、真实性、有效性，进行检验，全程录像备查。按照检验规程，首先进行检材数据固定，由于电子数据易于修改、易被破坏，为保护其完整性，要使用高速硬盘复制系统，对案件涉及到的计算机硬盘进行位对位复制，生成检材副本;使用电子证据只读设备，将涉案优盘连接到电子物证专业取证设备，生成全盘镜像文件，后续的电子数据检验均通过电子证据只读设备在检材副本和镜像文件上进行。该案检验中有3个关键环节：

1.专用算法比对相同文件。哈希值（Hash）采用不可逆单项函数，通过哈希算法将任意长度的二进制值映射为固定长度的较小二进制值，是一段数据唯一且极其紧凑的数值表现形式，有MD4、MD5、SHA1、SHA256、SHA512等算法。只要是存在任意长度的二进制值数据都可以计算哈希值，包括各种类型电子数据文件、硬盘分区或硬盘、光盘等。当电子数据文件内容完全一致时，哈希值也相同，而且文件的哈希值只与文件内容有关，与文件名称、扩展名等属性无关，哈希值就相当于文件的“电子DNA”。利用电子数据文件哈希值的唯一性特点，可以快速准确比较两个文件内容是否相同。同时，还可以利用哈希值进行电子数据保全，一旦数据内容改变，可以通过前后哈希值比较检验出来。

本案中，可以使用Encase、FTK、X-Ways、取证大师等电子物证专业取证软件进行哈希值计算。首先，对硬盘、优盘、克隆硬盘、镜像文件等检材和检材副本进行哈希值计算，对数据进行固定，防止数据修改破坏。然后，利用哈希值特性进行电子数据文件批量校验比对，以确定文件来源，具体步骤是：①先将优盘镜像文件中的数千份有效文件筛选出来，全部进行哈希值计算，建立比对目标文件哈希库。②将李某能够接触到的办公电子设备检材副本，以每个检材副本为单位筛选出有效文件全部进行哈希值计算，分别建立检材副本比对源文件哈希库。其中，rar、zip等压缩文件解压后计算哈希值，并纳入相应哈希库。③将目标文件哈希库和源文件哈希库进行哈希值比对，逐一找到李某个人优盘中文件的来源出处，至此，文件一致性比对难题迎刃而解。

2.综合手段破解加密文件。检材中有一名为“×××”的rar压缩文件，该压缩文件加密，但其中多份文件名未加密，从文件名可判断与本案有密切关联。WinRAR壓缩文件使用AES加密，由于AES算法是对称的，解密的过程是加密过程的逆运算，但解密时AES算法过程与加密时采用的不一样，解密的关键仍然在于原密码，因此WinRAR加密文件破解没有捷径。本案中，通过使用Passware Kit Forensic、Advanced RAR Password Recovery等密码恢复工具，针对犯罪嫌疑人李某工作生活习惯设置密码字典库和字母、数字、符号、长度等要素，以“密码字典+暴力破解”的方式进行密码破解，在数小时内将该加密文件解密，获取了涉案关键信息。

3.创新思路检验加密硬盘。对加密计算机硬盘进行拆卸，位对位复制生成检材副本，再将该检材副本硬盘装入原计算机，并接入对应密钥，发现计算机开机后检测不到密钥，加密硬盘文件系统显示为RAW、空白硬盘，由此判断该计算机系统内硬盘分区加密工具只支持源盘数据解密，不能读取复制盘内加密数据。从检验实践看，针对该类型硬盘分区加密数据检验，只能对源盘进行操作，遂将检材源盘、密钥接入检材计算机，同时再外接一块经数据擦除过的全新硬盘作为数据拷贝检材副本，将检材源盘内数据恢复复制到数据拷贝检材副本硬盘上，后续哈希值计算比对、关键词搜索等检验工作均在数据拷贝检材副本硬盘上进行。

三、结语

电子数据检验技术与现代电子信息技术、互联网技术等密切相关，电子数据跟传统证据相比，既有其作为证据对法律属性的严格要求，包括数据生成、传输、收集和检验方法、程序等规范，也有其专业属性，包括形态多种多样、种类复杂繁多、易变易毁及专业性强、科技含量高等，需要电子数据检验人员掌握相应知识、技能和具备软硬件条件，综合运用和尝试多种方法手段，不断研究破解各类疑难问题。