转自:法纳刑辩
作者:高之立
电子数据取证(Digital Forensics)是利用现代电子信息技术将作案人遗留在电子设备里面的“痕迹”固定下来的取证方法。根据取证主体的不同,可称之为计算机调查方法或侦查方法。
因为涉及到计算机和法学两大领域,所以,当取证主体没有正确理解电子数据保全在法律上的复杂性,审查主体基于计算机恐惧症(Cyberphobia)缺乏足够的技术知识时,就会导致被提取的计算机内的“痕迹”没有法律证明力,无法作为最终认定犯罪的有效证据,或是信息提取不完全导致重要证据缺失。
计算机取证主要是对电子证据的获取、分析、归档和描述的过程,电子数据不仅仅出现在计算机或者网络犯罪中,随着电子设备与人类生活方式的改变,各类刑事犯罪中都有可能涉及到电子数据。由于电子数据在刑事案件中扮演着越来越重要的角色。
对于电子数据的审查不仅要从程序合法性的角度展开,更要注重对其内容的审核。刑事案件中,许多电子数据的提取都是从涉案人员日常使用电子产品入手,利用专用软件对目标系统的硬盘和物理内存做镜像,自动解析为人类可识别格式后,鉴定人员会据此对数字信息进行恢复和鉴定。
对于恢复后的数据和鉴定报告,审查人员要善于对电子设备的内部信息进行有效审查和分析,否则无法获得有效信息的最大化。
1.了解电子设备中系统相关文件的类别
犯罪嫌疑人可能会采取加密、隐藏等方法对数据进行处理,实现对抗侦查的目的,电子数据取证人员需要逆向犯罪嫌疑人隐匿数据的操作,还原出数据的本来面貌,然后再进行数据分析,完整提取被隐匿操作处理过的数据又是还原数据本来面貌的前置条件。
2. 如何审查电子设备的浏览痕迹、访客记录
根据洛卡德交换原理,凡走过必留痕。浏览痕迹会反映出电子设备使用人在案发前后在互联网的浏览历史记录。司法实践中,常见的有:制毒人员浏览制造毒品方法;涉毒逃犯在网上浏览相关罪行的判刑情况;杀人犯浏览抛尸藏尸的方法等等。这些与案件相关的浏览历史记录都可以起到完善证据链条的作用。
涉及到“暗网”的犯罪,其痕迹也具有其独有特征。维基百科对“暗网”的定义是:仅能够通过特殊软件、配置或授权,并采用非标准的通信协议和端口才能访问的点对点或秘密网络。
“暗网”与普通互联网如同存在于通讯基础设施上的两个平行世界。隐匿性是“暗网”的核心特征之一,以较为知名“Tor”网络为例,用户需要使用特定工具连接“Tor”路由才能访问,数据在传输过程中经过层层动态加密,如果用户在访问时进一步使用“Tor”浏览器,即使在客户终端也不会留下持久性的访问痕迹。即便如此,也不意味使用者完全不会留下痕迹。
例如,虽然使用“Tor”浏览器不会留下持久性痕迹,但是在关闭浏览器前内存中仍驻留有访问痕迹;其次是,通常暗网传输数据较难拦截和破解,但是在特定情况下仍有拦截和破解成功的可能。这类证据重点审查以下信息:
HTTP日志记录了用户的上网活动,被请求的服务器地址、发出请求的IP地址以及列出请求的浏览器等。
通过分析暗网信息中的比特币全网交易记录和wallet.dat的密钥信息确定罪犯与账户的关系,通过搜查比特币地址,可查询嫌疑人名下账户交易记录和资金去向,根据交易中的对手信息可追溯其他涉案人信息,wallet.dat存储的密钥信息是控制比特币账户,实现赃款冻结的前提。
3.手机内部信息的综合判断
提取实验室需要对手机文件进行恢复后再进行数据分析,在这个过程中必须全面提取,包括被隐藏和处理的信息。手机的鉴定报告通常包含电话簿、通话记录、电子交易记录、即时聊天记录、短信、电子邮件、图片、多媒体文件、文档文件等,在审查人员的要求下,还会包括GPS记录、WIFI连接记录等。
GPS设备、导航软件会留存大量可佐证行踪轨迹的证据,帮助查明嫌疑人何时在何地。这些证据单个审查可能难以有所发现,可是对全部证据进行关联分析,或者与服务商提供的数据结合在一起,却会有惊人的发现。
举例说明:
(1)注册信息、聊天记录中可能会有邮箱,而邮箱有可能是支付宝的账号,取得账号后可以获取其交易明细;
(2)交易金额的规律性、短信服务提醒或可推断出支付用途;
(3)通过用户注册信息、身份认证信息、数字签名、生物识别信息、支付信息等作出网络身份与现实身份的“身份同一性”认定;
(4)通过通话记录、短信、聊天信息、文档、视频、域名、IP地址等,作出行为人与电子设备之间的“人机同一性”认定;
(5)手机通话记录、起止时间与信号塔、基站的对比分析,可以判断出嫌疑人在案发时的实际位置;
(6)号码簿中联系人的创建时间,可以粉碎嫌疑人否认认识该联系人的谎言;
(7)电费、水费等电子支付信息,锁定嫌疑人系违禁物品发现地的实际租户。
与传统证据相比,电子证据具有高科技性、易破坏性、多样性、复杂性、复合性等特点。了解电子数据,做到全面审查、充分运用,才能从根本上解决当下电子科技迅猛发展所带来的新的犯罪问题。
发表评论