首页 理论教育 电子证据分析技术-《证据调查与质证精要》

电子证据分析技术-《证据调查与质证精要》

时间:2023-07-25 理论教育 版权反馈
【摘要】:(一)数据恢复技术电子证据的可挽救性决定了对于被删除的电子证据可以采取数据恢复的方法收集。在获取加密的电子证据时,通常要用到各种解密技术,主要有密码分析技术、密码破解技术、口令搜索、口令提取和口令恢复等。最高人民法院在2018年发布《关于互联网法院审理案件若干问题的规定》,明确了电子数据证据的可信取证手段、举证方式、质证和审理规则等重要内容。

电子证据分析技术-《证据调查与质证精要》

(一)数据恢复技术

电子证据的可挽救性决定了对于被删除的电子证据可以采取数据恢复的方法收集。数据恢复技术主要用于把删除或者通过格式化磁盘擦除的数字证据恢复出来。由于磁盘的格式化只不过是对用于访问文件系统的各种表进行了重新构造,因此,如果格式化之前的硬盘上有数据存在,则格式化操作后这些数据仍然存放在磁盘上,同时,格式化操作会创建一个新的空索引列表,指向未分配数据块。删除文件的操作也不能真正删除文件,只不过把构成这些文件的数据簇放回到系统中,对于通常的读写操作而言,这些簇不可见。

一般地说,常用的数据恢复技术有如下三种:利用系统自身的还原功能恢复数据、使用专业的数据恢复软件以及软件和硬件结合进行数据恢复。这些方法各有各的优点,何时使用哪种方法,要根据数据被破坏的程度和数据恢复的目的,具体问题具体分析。使用软件取证时可以使用专业取证软件TCT(The Coronor's Tool-kit)和Encase等把这些数据恢复出来。即使使用安全删除工具删除的数据也会留有痕迹,擦除一个磁道的数据时留下的边缘数据和被覆盖后仍留下的痕迹称为阴影数据。

(二)数据搜索和解密技术

由于电子证据具有隐蔽性的特点,其可以通过各种方式隐藏起来,而越来越多的电脑使用者也在使用加密技术、密码学以及其他数字方式来隐藏证据。因此,在取证时要运用数据搜索技术仔细全面地检查所有数字证据,而不仅仅是搜寻诸如没有被隐藏的图片等文件,同时对计算机中存储的经过加密的电子证据,尤其是一些重要的信息或与犯罪相关的数据,需要采取数据解密的技术收集。数据搜索的范围是目标系统中的所有文件,包括现有的正常文件、已经被删除但仍存在于磁盘上(即还没有被新文件覆盖)的文件、隐藏文件、受到密码保护的文件和加密文件等,磁盘中的空隙和未分配空间的数据也是搜索的重点区域,通过数据搜索技术对系统中文本、图片、音频、视频及程序文件等数据信息的查找,发现与案件相关的事实或犯罪事实。在获取加密的电子证据时,通常要用到各种解密技术,主要有密码分析技术、密码破解技术、口令搜索、口令提取和口令恢复等。

(三)动态截获技术

电子信息是借助电磁场传播的,在有些时候电磁场是弥漫在整个空间的,在传输时有被他人截获的可能,即使在密闭介质中传输,也会有电磁泄漏的现象,这些泄漏的电磁信号一般会包含一些有用的信息,计算机系统本身一般也存在电磁泄漏,所以在空间截获电子数据就是完全可能的。当然,通过对动态截获技术获取弥漫在物理空间的电磁信息一般是不完整的,因为电磁泄漏只是部分泄漏,而不是全部泄漏。要获得网络中传输的完整的电子数据,就需要在电子数据传输所经过的线路上设置各种专用的软硬件工具,通过这些专门工具可以拦截或捕获有关的电子数据。

【质证精要】(www.xing528.com)

快播案中的证据保全辩护

2016 年初快播公司涉嫌传播淫秽物品牟利罪一案的一个争议焦点,就是四台服务器是否与快播公司相关。辩方提出质疑,“保管、查封、鉴定程序都是后补的”,“提交鉴定的每台服务器都比扣押笔录中少了1 块硬盘”,无法证实服务器的文件来源于快播公司涉案硬盘上存储有高达2万多部色情视频文件,这本来对证明传播淫秽物品牟利罪非常有力。然而,同样由于取证时的不规范,这些涉案色情视频可能被污染、被移植也被作为重大异议提出。

辩方在第一次开庭时就声称硬盘中部分数据存在创建时间方面的疑点。 这一方面攻击了涉案色情视频的来源的可靠性,另一方面也冲淡了涉案色情视频同被告人、被指控犯罪行为之间的关联性。为查清真相,法庭另行委托鉴定机构,对涉案色情视频“是否有在2013年11月18日之后从外部拷入或修改的痕迹”进行专门鉴定。在这里“2013年11月18日”是个重要的时间节点,这个节点指的是行政执法部门查扣硬盘的自然时间:而选取“从外部拷入或修改”作为限定词,旨在查明是否存在着人为制造假证的可能性。

最高人民法院在2018年发布《关于互联网法院审理案件若干问题的规定》(共23条),明确了电子数据证据的可信取证手段、举证方式、质证和审理规则等重要内容。《规定》第11条第一款规定:互联网法院应当结合质证情况,审查判断电子数据生成、收集、存储、传输过程的真实性。在具体办理案件的过程中,由于各种原因,侦查机关在收集电子证据时往往会存在一定的纰漏,扣押时没有计算哈希值来保全,此时,辩护律师应着重关注电子证据的真实性、相关性方面进行突破与质询。

【注释】

[1]注意:原理的可靠并不意味操作结果( 科学证据) 的可靠, 因为操作结果不仅与操作原理有关, 还与操作条件、操作方法、操作者素质等各种因素都有关系。例如, 关于DNA 证据问题, 自从美国纽约州最高法院1989 年雪德林案中裁定DNA 鉴定在理论上是可采用的科学技术开始, DNA 分析所涉及的科学原理现在得到科学界广泛的承认, 但是如果在DNA 取样、证物保管、操作者的素质等方面出现问题或者程序错误, 对方当事人则可以质疑DNA 分析操作的可靠性和DNA 证据可信性。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈