◆张波

浅谈案件侦办中手机电子数据取证现状及解决措施

◆张波

（常州市公安局网络安全保卫支队 江苏 213000）

伴随互联网、人工智能、电子产品不断发展，人们生活水平不断变化，同时，其对于司法实践，电子数据起着重要的作用，特别是在对犯罪事实、犯罪认定过程中具有极大的价值。对于传统取证方式来说，电子数据当前发展尚未完善，目前应用仍然相对薄弱，主要体现为：基层侦查人员掌握知识不足，缺乏对于原始储存介质提取的重视，互联网企业在对司法机关取证过程具有相对消极的态度。对于以上问题的解决，除对相关法律进行完善，还应通过对基层侦查人员专业化素质提升层面、促进专业电子数据取证人才库、专家辅助人机制，对互联网企业协同司法机关的义务与责任进行相应的明确，以此对存在的问题进行解决。

案件侦办；电子数据；电子取证

1 引言

手机取证主要对存储文件、APP、云应用相关电子数据进行保护与分析，对具有价值性的案件线索进行整理，以此为犯罪事实提供证据，证明犯罪嫌疑人触犯法律的事实情况。当前，在犯罪行为中，同手机相关的主要包括三类犯罪：第一类是在犯罪行为过程中将手机作为相应联络工具；第二类将手机当做对于犯罪证据进行储存的工具；第三类利用手机进行短信诈骗、短信骚扰、病毒软件传播等，实施有关犯罪活动[1]。因此，对于手机电子取证的研究，打击犯罪活动，其对于社会具有极大的稳定性保障，充分保证人民的利益。

2 手机电子证据在案件侦办工作中的作用

（1）嫌疑人手机APK取证的作用

嫌疑人手机信息主要可用于对嫌疑人进行真实身份的确定，对其进行有效证据的提供。当前来看，犯罪对流窜性、团伙性、职能化、职业化等相应特征进行体现[2]。犯罪分子在案件完成之后进行逃走，并对自己真实身份进行隐藏。所以，公安人员对其抓获的过程，在确定其真实身份过程有着重要的作用。而在进行信息识别过程中，对相关获取途径的利用则变得极为重要。对于侦破工作来说，APK取证主要包括APK反编译及APK抓包取证，可及时有效的获取犯罪信息，APK反编译其实质为zip 包，主要有AndroidManifest.xml 文件、classes.dex 文件和 res 文件夹。APK 利用相应反编译软件 AndroidKillerV1.3.1 对全局配置文件、java 代码smali 代码、资源文件夹等可进行有效的获取。

而APK抓包取证主要有代理型抓包、监听型抓包。网络数据抓包及分析技术，主要为利用侦查试验环境搭建、数据包抓取及过滤、数据分析及研判、关键信息继续追踪相应步骤，对非法 APP/软件/设备工作原理及流程、犯罪手法、服务器接口URL、服务器数量、服务器IP地址、其所在地、用户或受害者所在地等相应情报信息进行熟知，以此实现对犯罪嫌疑人的查获。

侦查人员、相关检验鉴定人员对提示性语言、关键词搜索定位代码等可进行有效利用，分析支付接口（商户 APPID、手机号）、后台服务器IP、制作者信息，实现相应信息参考。

（2）嫌疑人手机上的数据恢复的作用

在进行手机取证过程中，其主要则是对手机信息储备设备相关信息进行恢复与获取，对于当前智能手机，其手机数据恢复和取证数据主要包括微信、QQ、小程序等聊天与应用软件。

微信数据信息拥有文字、图片、语音、视频等多种存储形式，关键、有效的数据会成为微信证据的主要来源。对于这些数据的记录和收集的不同方法，是取证的主要内容。

对于手机微信取证实验来说，对更多类型数据及证据进行提取，固定和保全证据，把握当前大数据及人工智能发展，对犯罪的动向进行掌握，利用手机微信相应取证技术对法律制度进行不断升级与完善，对电子取证发展方向进行探查，对侦查工作的质量及效率进行全面性的提升。

（3）嫌疑人手机上云应用数据的作用

在犯罪嫌疑人手机云应用中可对破案的关键信息进行获取，侦查人员对此类信息进行审查利用，可极大的促进破案侦查工作。在云环境背景下数据依靠相应的网络服务器进行处理完成，同时其也需对客户端软件和浏览器的利用，所以，在手机中本地客户端会有部分痕迹数据留下，（包括账号、缓存数据、浏览历史、系统日志、cookie、移动终端上的图片、SQLITE数据、浏览器、恢复数据信息等），侦查人员在对客户端存储残留区、未分配簇、缓冲区进行扫描过程中，对相关文件进行结合，对关键词进行有效设置，以此来最大程度对本地残留数据进行提取，按照其相应的残留数据，可对案件嫌疑人相关信息进行获得，更方便对下一步取证分析活动的开展。比如对于部分跨国电子邮件网络诈骗案来说，邮箱服务器主要是在国外，其在对邮箱服务器数据进行直接取证过程中存在部分困难，利用取证客户端对其含诈骗邮件网页缓存及cookie等信息可进行有效的获取。通过对云应用数据的进一步侦查与分析，可更好地获取相应犯罪嫌疑人的作案信息。

3 案件侦办中手机电子数据取证现状

（1）缺乏针对电子数据取证的程序规定

电子数据体现出一定特殊性，在对其进行制定过程，需对书证、物证等取证程序进行制定。当前，对于电子数据取证具有一定的涉及的程序相对较少，主要包括部分刑诉法法条、司法解释等，在数量较少的同时，其缺乏一定的系统性，针对性也不强。因为上述法律法规在电子数据取证方面具有一定程序与原则，其对取证的及时性、合法性有着极大影响。

（2）部分侦查人员电子数据证据意识不强

在实践过程，部分侦查人员具有一定的传统观念，在电子数据取证过程其相对更为陌生，在对电子数据重要性、取证程序、技术手段等相应方面缺乏一定掌握，进行侦查过程对于电子数据证据无法及时有效使用，因而他们更加重视书证、物证相对传统证据，导致其无法有效且正确认识新型电子设备、网络、电子数据。

（3）电子数据取证时，侦查部门和技术部门尚未形成合力

在基层检察院之中，技术人员一般为技术科，其与技术人员所在部门不同，一般情况下同步录音录像、搜查过程才能有一定的接触，平时过程其相应基础较少，很少有相互配合机会，因此其默契度不足[4]。对于外出取证来说，取证前侦查人员通常并不会对技术人员进行案情的透露，因此所造成的取证效率相对不足，使得数据在一定程度流失。取证过程技术人员对于案情缺乏相应了解，不能有效确定电子设备，对于应查找的网络账号、电脑文件保存等情况掌握不足。在进行取证后，技术人员在对数据恢复提取过程缺乏对电子介质的了解，以及对于数据的筛选不足。

4 案件侦办中手机电子数据取证解决对策

（1）严格遵守现有的程序规定，制定有针对性的程序规定

对于电子数据取证来说，结合相应法律落实其取证与执行要求，扣押相应的电子设备后，技术人员需进一步读取其数据，进行落实与执行，对其不应进行擅自查看，二是对电子取证程序应进行明确规定，使技术人员可实现合理取证，保证电子数据在合法数据适用方面的合理性。各地在不断创新电子数据取证程序，检察院对其进行统一具有法律效力规范的制定，实现电子数据取证在使用过程的高效性。

（2）提高侦查人员的电子数据证据意识和能力

一是对电子取证的作用进行宣传，加强侦查人员对其的重视。加强对案例的使用，提升侦查人员自身兴趣。二是对侦查人员展开相应的培训，使其电子取证更为规范。强化规范执法，保证电子取证过程证据的真实性，促进电子数据在收集、固定、筛选过程依法进行。三是加强侦查人员在电子数据取证方面的应用。在进行电子取证过程需要一定的侦查、证据、技术等知识，对侦查员能力进行提高。

（3）加强侦查人员与技术人员的沟通

一是不断加强交流与沟通。侦查人员对技术人员进行邀请，使其对先进的科技及取证知识进行讲解，技术人员对侦查人员进行邀请，培训其基本知识，促进了解与信任。二是进行取证时，侦查人员简要讲解相应案情，进行外出取证过程，侦查人员应将基本犯罪者情况告知技术人员，做好充足的外出准备工作[5]。三是在电子数据取证过程，技术人员对侦查人员进行邀请，调查其电子数据证据。在完成相应分析，对取证分析展开有关侦查报告分析，明确隐藏、删除电子数据提取相应内容，促进取证效率的提升。

5 结语

综上来看，伴随移动数据通讯技术不断的成熟与完善，手机在人们生活中将发挥更大的作用。对手机进行犯罪电子证据的提取是案件侦查中证据提取的重要技术。对于案件侦查来说，手机取证将逐渐成为新的工作常态，其一定产生较多技术问题。对于很多刑事案件的侦办而言，其手机电子数据取证存在一定问题，需要更多技术人员收集与整理相应信息，对解决方法进行寻找，由此对公安机关案件侦破进行技术的提供与支持。

[1]赵梦霞. 浅析侦查工作中电子数据取证研究[J]. 数码设计（下），2019，000（003）：182.

[2]闫家意. 浅析大数据分析在涉网案件电子数据取证中的价值[J]. 法制博览，2020（21）.

[3]梁其航. 电子数据取证在侦查中的应用探究[J]. 数码设计（上），2019，000（002）：10-11.

[4]宣城市公安局课题研究组. 大数据思维下公安侦查取证方式研究——以电子数据取证为视角[J]. 安徽警官职业学院学报，2019，018（003）：54-59.

[5]佚名. 公安机关办理刑事案件电子数据取证规则[J]. 中华人民共和国公安部公报，2019（1）：8-14.