可信电子数据取证技术选择规则研究

(一)取证技术选择的原则

技术评估也称技术评价，可以认为是科学技术对社会的影响进行的综合多方面性的分析，为决策提供咨询的一种手段，一般的技术评估通过建立综合评价的指标体系来进行考评。

电子数据取证技术目前还未建立一套评价指标体系，取证操作中取证技术的选择主要依赖于取证人员的操作经验和对其的技术判断，这种模式难以保障取证中获取证据的可信性。笔者认为取证人员在取证技术的选择方面应把握几个技术选择的原则，技术的成熟及可靠性、技术的先进及可行性、技术的推广及适用性。

(1)技术的成熟及可靠性。取证中所涉及的电子数据取证技术应通过可靠性测试，或符合标准和控制、或有证明能说明提供的技术方法或理论的错误率，并在一定范围内。^[40]

(2)技术的先进及可行性。取证过程中尚未有成熟及可靠性的取证技术时，电子数据取证中选择的取证技术应具有一定的先进性。技术的指标、参数、结构、方法、特征等表明该技术具备创新性，例如，由知名的技术公司提出的技术方法，已发表的文章表明该技术方法经同行评审过的等。技术可行性表明该技术具有可操作性的、可验证性。

(3)技术的推广及适用性。不是所有的取证技术都是成熟可靠的、都是经过可靠性测试的，并非现有的取证技术能应对取证中所有可能的情形。采用这些取证技术要考虑该项技术的推广程度、适用程度，较为有利的情形是该取证技术是否得到取证人员的普遍接受。

(二)可信电子数据取证选择的规则

电子数据是现代科学技术的产物，电子数据取证技术在整个电子数据取证工作中发挥着关键作用，直接影响甚至决定着取证结果。当前学术界和实务部门也缺乏电子数据取证技术选择的有效评价，如何正确运用科学可靠的取证技术是电子数据取证工作急需解决的问题之一。笔者从电子数据取证技术的先进性、可靠性和适合性入手，架构了司法实践中可信电子数据取证技术的选择规则。

第一条　电子数据取证工作是电子数据取证技术的具体应用，电子数据取证技术直接影响甚至决定取证结果的证据能力和证明力。

第二条　电子数据取证过程中，选择取证技术应把握技术的成熟及可靠性、技术的先进及可行性、技术的推广及适用性原则。

第三条　电子数据取证过程中，选择取证技术应优先考虑依标准规范而制定的技术方法，以国际标准组织、区域组织或国家标准发布的技术方法依次为序进行取证技术的选择。

第四条　在没有标准的技术方法或统一技术方法的情况下，在电子数据取证过程中，选择取证技术应考虑选择通过错误率测试的，或提供的方法或理论错误率在一定范围内的技术方法，如取证设备制造商制定的技术方法、实验室自行制定并通过验证的技术方法等。

第五条　在没有标准组织提出，或经过测试的技术方法的情况下，在电子数据取证过程中，选择取证技术应考虑知名的技术组织公布的技术方法。

第六条　在没有标准组织提出，或经过测试的技术方法的情况下，在电子数据取证过程中，选择取证技术也可考虑经过同一领域的其他专家学者加以评审后认可的技术方法，如来源于有关科学书籍和期刊发布的技术方法。

第七条　在没有标准组织提出，或未经过测试，也未有同行评审技术方法等情况下，在电子数据取证过程中，选择取证技术应考虑该项技术的推广程度、适用程度，如普遍接受程度如何。

第八条　并非现有的技术方法可以应对所有的情形。对于自行设计的技术方法，如针对取证中某些特定情形自行编写的代码等，该技术方法应该具有良好的可重复性、可操作性和可验证性。

【注释】

[1]杨永川、李岩:《电子证据取证技术的研究》，载《中国人民公安大学学报(自然科学版)》2005年第1期。

[2]参见刘志军:《电子证据完整性的几个关键技术研究》，武汉大学2009年博士学位论文。

[3]杜春鹏著:《电子证据取证和鉴定》，中国政法大学出版社2014年版，第82～84页。

[4]许兰川、卢建明、王新宇、许桃:《云计算环境下的电子取证:挑战及对策》，载《刑事技术》2017年第2期。

[5]参见郭永健:《云计算冲击下的网络安全与云取证》，载百度文库，http://wenku.baidu.corn/view/de336b70f46527d3240ce0e0.html，2019年4月6日访问。

[6]参见“Digital Forensics”，https://en.wikipedia.org/wiki/Digital＿forensics，2019年4月6日访问。

[7]“网络取证”一词在20世纪90年代由计算机安全专家Marcus Ranum最早提出，但因为当时网络应用的范围还很有限，早期用的更多的术语则是电子取证或数字取证。

[8]Hunt R:“New Developments in Network Forensics Tools and Techniques”，In 2012 18th IEEE International Conference on Networks(ICON)，IEEE，2012，pp.376-381.

[9]K.Kent，S.Chevalier，T.Grance，and H.Dang:“Guide to Integrating Forensic Techniques into Incident Response”，NIST Special Publication，2006，pp.800-886.

[10]Ruan K.，J.Carthy，T.Kechadi，M.Crosbie:“Cloud Forensics”，7th IFIP Advances in Digital Forensics VII，2001，Vol.361，pp.35-46.

[11]Encase采用的E01镜像格式。

[12]任雪飞，杨永川:《计算机取证技术综述》，载《信息网络安全》2011年第1期。(www.xing528.com)

[13]台式机硬盘、笔记本硬盘、服务器硬盘、存储磁带库、移动硬盘、U盘、数码存储卡、MP3等电子设备。

[14]在硬盘的第一个扇区标注硬盘的分区数量、每个分区的大小、起始位置等信息，也称主引导记录(MBR)。

[15]前提是没有新的文件写入，该文件所占用的空间没有被新内容覆盖。

[16]数据恢复的工具包括效率源Data Compass、SalvationData、PC-3000、FinalData、Easy Recovery、Easy Undelete、PTDD、WinHex、R-STUDIO、DiskGenius、RAID Reconstructor、AneData安易硬盘数据恢复软件、D-Recovery达思数据恢复软件、易我数据恢复向导等。参见“数据恢复”，载百度百科，https://baike.baidu.com/item/%E6%95%B0%E6%8D%AE%E6%81%A2%E5%A4%8D/3346763?fr＝aladdin，2019年10月7日访问。

[17]Casey E.:“Digital Evidence and Computer Crime Forensic”，Computerand the Internet，2011，Vol.11，p.373.

[18]黄文汉:《基于Windows系统的开机取证方法研究》，载《电脑知识与技术》2012年第10X期。

[19]王宁、刘志军、麦永浩:《电子证据取证中的推理分析技术》，载《信息网络安全》2010年第3期。

[20]Hashem，Sherif、Abdalla，Salma:“Computer forensics guidance model with cases study”，In 3rd International Conference on Multimedia Information Networking and Security，MINES，2011，pp.564-571.

[21]蒋平、黄舒华、杨莉莉著:《数字取证》，中国人民公安大学出版社2007年版，第69页。

[22]夏淑华:《信息隐藏技术及算法分析》，载《信息系统工程》2017年第3期。

[23]丁丽萍、岳晓萌、李彦峰:《移动数字取证技术》，载《中兴通讯技术》2015年第3期。

[24]张志汖、戴天岳、沈明昌、贺宇才:《移动恶意代码攻击数字证据取证调查处理程序之研究》，载《计算机科学》2015年第B10期。

[25]参见《移动终端取证工具篇》，载微信公众号:电子数据取证与鉴定，https://mp.weixin.qq.com/s?＿＿biz＝MzA4NTAzOTI4OA＝＝＆mid＝401385845＆idx＝1＆sn＝99278ffc9b9200295621c4d1dcc79e72＆scene＝2＆srcid＝0215d94bM7MecotYIX5Kaoot＆from＝timeline＆isappinstalled＝0＃wechat＿redirect，2019年8月10日访问。

[26]参见“Guidelines on Mobile Device Forensics”，载维基百科，https://www.itbusinessedge.com/itdownloads/mobile-tech/guidelines-on-mobile-device-forensics.html，2019年8月11日访问。

[27]参见《物理提取:JTAG提取技术》，载新浪博客，http://blog.sina.com.cn/s/blog＿65f5ed270102vs2s.htm l，2019年8月11日访问。

[28]网络安全设备和应用软件包括IDS、防火墙、反病毒软件日志、网络系统审计记录、网络流量监控记录等。参见胡东辉、夏东冉、史昕岭、樊玉琦、王丽娜、吴信东:《网络取证技术研究》，载《计算机科学》2015年第B10期。

[29]张有东、王建东、叶飞跃、陈惠萍、李涛:《网络取证及其应用技术研究》，载《小型微型计算机系统》2006年第3期。

[30]参见“Network Forensics”，https://en.wikipedia.org/wiki/Network＿forensics，2019年4月15日访问。

[31]参见“云计算”，载360搜索·百科，https://baike.so.com/doc/580575-614558.htm l，2019年4月15日访问。

[32]IaaS(Infrastructure as a Service)基础设施即服务、PaaS(Platform as a Service)平台即服务)、SaaS(Software as a Service)软件即服务。

[33]王雅实、王立梅:《云计算环境与电子取证的研究》，载《计算机科学》2016年第B12期。

[34]Almulla，S，Iraqi，Y，Jones，A.:“Cloud Forensics:A Research Perspective”，In 9th International Conference on March 2013，Innovations in Information Technology(IIT)，2013，pp.17-19，66，71.

[35]高运、伏晓、骆斌:《云取证综述》，载《计算机应用研究》2016年第1期。

[36]电子证据保全作为电子证据取证过程中重要的一个环节，其技术既可用于数字取证，也可用于网络取证，为行文所需，将此部分内容写作放入网络取证。

[37]金波、杨涛、吴松洋、黄道丽、郭弘:《电子数据取证与鉴定发展概述》，载《中国司法鉴定》2016年第1期。

[38]Edward J.Imwinkelried，王进喜、甄秦峰:《从过去30年美国使用专家证言的法律经历中应吸取的教训》，载《证据科学》2007年第5期。

[39]参见《道伯特(DAUBERT)标准——采纳科学证据的新规则》，载新浪博客，http://blog.sina.com.cn/s/blog＿6ee061060101kb5w.html，2019年4月20日访问。

[40]邹锦沛、陈航、徐菲:《计算机网络取证和调查的科学研究》，载《中兴通讯技术》2016年第1期。