中国人民公安大学学报(自然科学版)
主星 塑 : 』 !堕 巳!!: ! !曼堡 ( 旦ce and 1Iecbno】o ) 总第43期su 143
电子证据取证技术的研究
杨永川 李 岩2
(1.中国人民公安大学,北京 100038;2.宝鸡市公安局,陕西宝鸡 721001)
摘 要 电子证据即为电子数据证据,通常指在计算机或计算机系统运行过程中产生的以其记录
内容来证明案件事实的电磁记录物。电子证据取证包括证据获取、证据分析和证据报告三个过
程。同时,电子证据作为诉讼证据必须具备客观性、关联性、合法性的特征。当前 ,以数字化形
式 出现的电子证据对传统的证据形式提 出了挑战。
关键词 电子证据 ;取证技术;分析探讨
中图分类号 D9l8.43
0 引言
信息社会使我们融入了数字世界,信息网络改变了人
们的工作、生活模式。这种信息载体的革命性变革也引发
了诸多法律问题,与计算机相关的诉讼不断出现,一种新
的证据形式——电子证据成为人们研究与关注的焦点。
1 电子证据的概念和性质
电子证据即为电子数据证据,也被称作计算机证据、
数据证据、网上证据等。电子证据一般理解为电子数据形
成的证据,通常是指在计算机或计算机系统运行过程中产
生的以其记录的内容来证明案件事实的电磁记录物。它是
现代信息社会产生的新的证据种类。电子证据的承载介质
是包括硬盘、软盘、光盘等在内的计算机软、硬件,毫无
疑问它具有一般证据所具有的客观存在性,既是可信的、
准确的、完整的、符合法律法规的,同时它又具有 自身的
特殊性。
掌握了电子证据独特的性质,有助于我们在公共信息
网络安全监察工作中解决和排除涉及电子证据的收集、审
查、质证、采信等方面的困难和障碍。
电子证据的产生、储存和传输,都必须借助于计算机
技术、存储技术、网络技术等,离开了高科技含量的技术
设备,电子证据就无法保存和传输,所以电子证据的形成
具有高科技性;电子证据实质上是一堆按编码规则处理成
的 “0”和 “1”的二进制信息,是通过看不见摸不着的计
算机语言记载的,其数据是以磁性介质保存,它又具有无
形性:电子数据以 “比特”的形式存在,是非连续的,改
动、伪造不易留下痕迹,数据或信息被人为地篡改后,如
果没有可对照的副本、映像文件则难 以查清、难以判断,
电子证据还表现为易改动性;人为的恶意删除、误操作、
电脑病毒、电脑故障等等原因,均有可能造成电子证据的
消失 ,电子证据又呈现易消失性;电子证据综合了符号、
编码、文本、图形、图像、动画、音频及视频等多种媒体
信息,其外在表现形式具有多样性;此外,电子证据还具
直观性强、收集迅速、易于保存、传送方便、占用空间少、
复制后可反复重现、便于操作等特性。
电子证据的上述性质,决定了其取证过程有别于许多
传统的取证方法,它对司法和计算机科学领域都提出了新
的研究课题。作为计算机领域和法学领域的一门交叉科学,
电子证据取证正逐渐成为人们研究与关注的焦点。通过多
年的工作实践,我们认识到电子证据取证应遵循及时性、
合法性、全面性、专业人士取证、潜在证人协助、利用专
门技术工具等原则,要考虑电子证据的生成、电子证据的
传送与接收、电子证据的存储、电子证据的收集这四个方
面的因素,才能保证电子证据的真实性、合法性。
例如,通过 IP地址取证,就必须掌握 IP地址的特点。
Intemet依靠TCP/IP
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
,在全球范围内实现不同硬件结
构、不同操作系统、不同网络系统的互联。在 Intemet上,
每一个节点都依靠为惟一的 IP地址互相区分和相互联系。
IP地址分为静态地址和动态地址。对开放了诸如 WWW、
兀P、E—mail等服务的主机,通常使用静态地址,以方便
用户访问。静态 IP可以通过网络运营商直接查找其物理地
址及使用者。有些用户由于其上网时间和空间的离散性,
为其分配一个固定的 IP地址 (静态 IP)将造成 IP地址资
作者简介 杨永川 (1946年一 )男,黑龙江人,中国人民公安大学信息安全工程系教授。
· 66 ·
维普资讯 http://www.cqvip.com
物 L一辛 一考:屯子证据取证技术的研究
源的浪费,因此对如拨号上网用户、ADSL用户等,只分配
动态 IP地址。这些用户通常会在每次拨通 ISP(即网络服
务提供商)的主机后,自动获得一个动态的 IP地址,该地
址不是任意的,而是该 ISP申请的网络 ID和主机 ID的合
法区间中的某个地址。这些用户任意两次连接时的IP地址
很可能不同,但在每次连接时间内 IP地址不变。对动态 IP
地址取证 ,可通过网络运营商的认证系统,找到与之捆绑
的帐户,从而确定上网者。我们也可以通过公安机关公共
网络监察部门查找。依照国家有关法律法规,为保护计算
机信息的安全,网络运营商、Internet服务机构,其 IP地
址等信息必须在公安机关公共信息网络监察部门备案。
2 电子证据的形成
在工作中,我们通常采用国际上通用的程序对有关电
子证据提取、固定,然后再将电子证据转化为具有法律效
力的证据。对一个电子证据的取证一般包括三个过程:证
据获取、证据分析和证据报告。必须用正确的方法进行这
些步骤,证据才会被法庭采信。
2.1 证据获取
证据获取涉及从涉案计算机的软盘、USB存储器、硬
盘等存储媒介,将数据传输到用作检查的计算机上。要获
取 目标系统中的所有文件,包括现有的正常文件、已经被
删除但仍存在于磁盘上 (即还没有被新文件覆盖)的文
件、隐藏文件、受到密码保护的文件和加密文件等,尽可
能全部恢复发现的删除文件,并保证原有媒介没有遭到改
动,以及复制数据和原有数据的一致性。通常采用 Hash算
法对原始文件进行运算,得到一个固定长度的数字串,称
为报文摘要 (Message Digest),Hash算法是一个不可逆的
单向函数。采用安全性高的Hash算法,如 MD5、SHA时,
两个不同的文件几乎不可能得到相同的Hash结果。文件一
旦被修改,就可检测出来,保证了电子证据获取的完整性
和惟一性 。
在计算机信息系统中,“Delete”这个词并不意味着消
灭。一般地删除文件操作,即使在清空了回收站后,要不
是将硬盘低级格式化或将硬盘空问装满,仍可能将 “删
除”的文件恢复过来。当一个文件被删除时,计算机把这
个文件占有的空间配置给新的数据。所谓 “Delete”是指
从目录列表和文件配置桌面上移走,但在被新的数据改写
或是被实用软件 “擦”去之前,这些文件的全部内容依然
保留在硬盘里。在 Windows操作系统下 的 windows swap
(page)file(一般用户不曾意识到它的存在),大概有 20
— 200M的容量,记录着字符处理、Email消息、Internet浏
览行为、数据库事务处理以及几乎其他任何有关 windows
会话工作的信息。另外,在 Windows下还存在着 file slack,
记录着大量 Email碎片 (Fragments)、字符处理碎片、目录
树镜像 (snapshot)以及其他潜在的工作会话碎片。以上这
些都可以利用计算机取证软件来收集,作为潜在的证据。
获取包括残留数据在内的所有数据的方法,是从本地电脑
的硬盘上拷贝数据时制作镜像拷贝。
2.2 证据分析
证据分析是对获取的证据进行数据分析。分析计算机
的类型、采用的操作系统,是否为多操作系统或有隐藏的
分区;有无可疑外设;有无远程控制、木马程序及当前计
算机系统的网络环境。注意开机、关机过程,尽可能避免
正在运行的进程数据丢失或存在不可逆转的删除程序。分
析在磁盘的特殊区域中发现的所有相关数据。利用磁盘存
储空闲空间的数据分析技术进行数据恢复,获取文件被增、
删、改、复制前的痕迹。将收集的程序、数据和备份与当
前运行的程序数据进行对比,从中发现篡改痕迹。还要注
意分析计算机所有者、电子签名、密码、交易记录、回复
信箱、邮件发送服务器的日志、上网 IP等计算机特有信息
识别体。
对系统 日志的分析是获得证据的一个重要途径。日志
是使系统顺利运行的重要保障,它会告诉我们系统发生了
什么和没有发生什么。UNIX采用了syslog工具来实现此功
能,所有在主机上发生的事情都会被记录下来。syslog已被
许多 日志系统采纳,它用在许多保护措施中——任何程序
都可以通过 syslog记录事件。syslog可以记录系统事件,可
以写到一个文件或设备中,或给用户发送一个信息。它能
记录本地事件或通过网络纪录另一个主机上的事件。s)rs
依据两个重要的文件:/sbin/syslogd(守护进程)和 etc/
syslog.eonf配置文件,习惯上,多数 syslog信息被写到/
var/adm或/var/log目录下的信息文件中 (messages. )。
一 个典型的 syslog纪录包括生成程序的名字和一个文本信
息。它还包括一个设备和一个行为级别 (但不在 日志中出
现)。
我们常用的Windows 2000系统,其日志文件有应用程
序 日志 (AppEvent.EVT)、安全 日志 (SceEvent.EVa')、系
统 日志 (SysEvent.EVT)、兀 日志 (msftpsve1)、WWw
日志 (w3sve1)等。当我们使用探测工具,比如用流光的
IPC探测时,会与 目标主机建立一个空的连接 (无需用户
名与密码),而利用这个空的连接,可以得到目标主机上的
用户列表。但同时它也就会在安全 日志里迅速地记下探测
时所用的用户名、时间等。同样,用 兀 探测后,也会立
刻在 兀 日志中记下 IP、时间、探测所用的用户名和密码
等。只要记下 IP后很容易地找到探测者。Scheduler日志
(sehedlgu.txt)也是个重要的 日志文件,我们经常使用的
SlW.exe就是通过这个服务来启动的,其记 录着所有 由
Scheduler服务启动的所有行为,如服务的启动和停止。
对计算机取证的分析过程中主要采用的技术包括对比
分析与关键字查询,文件特征分析技术,残留数据分析技
术,磁盘储存空闲空间的数据分析技术,磁盘后备文件、
镜像文件、交换文件、临时文件分析技术,记录文件的分
析技术等几类。EnCase软件在运行时能建立一个独立的硬
盘镜像,而它的 FastBloc工具则能从物理层阻止操作系统
向硬盘上写数据。因为这个工具能非常仔细对系统进行分
· 67 ·
维普资讯 http://www.cqvip.com
查 L一查一一 :一 子证据取证技术的研究
析,也可直接在Widows环境下,利用第三方数据分析软
件进行分析。2004年 9月陕西省宝鸡市公安局网监处,在
查处黄色淫秽网站 “乖乖娱乐网”时,就是利用 EnC~e、
finMdam等软件,从涉案的服务器恢复了被删除的数据,并
对数据进行分析,最后通过证据的环环相扣,相互印证,
破获了此案。
用证据分析能够发现反映案件客观事实的数据,发现
各种异常现象或者推断作案人使用的作案工具、作案手法,
从而发现作案人是在何时、采取何种手段、从哪些方面对
系统进行了哪些侵害,从中选取有价值的侦查线索。
电子信箱是网络世界人们交流的重要工具。电子邮件
也可作为电子证据。在网上,电子信箱有收费与免费之分。
收费信箱在 ISP处均有收发件人的个人资料备案,其电子
邮件的收发件人是很容易确认的。免费邮箱在电子信箱中
所占的比重很大,出于各种原因申请表的信息大部分人都
是随手填写。在这种情况下,我们只能根据电子邮件的属
性,查找相关的背景资料。电子邮件等会 自动保存发件人
的发送时间、邮件地址及发送计算机的 IP地址。这样可以
确定是由哪一个 IP地址发送和接受的这个 IP地址,可以
查出是由哪一台计算机在特定的时间发送和接收的,可以
查出电子邮件的发送及接收时间,可将使用计算机的人的
范围排除到最小,然后结合别的证据予以最终的认定。
2.3证据报告
证据报告是当证据准备好后,做一个列出获取证据、
分析证据并说明与案件相关的理由的报告。它包括目标计
算机系统的整体情况,发现的文件结构,数据及隐藏、删
除、保护、加密情况,《设备拓扑图》、《原始证据使用记
录》、《固定证据清单》、《电子数据鉴定报告》,在调查中
发现的其他的相关信息情况,标明提取时间、地点、机器、
提取人及见证人,并列出对目标计算机系统的全面分析和
追踪结果,给出分析结论。必要时还需要电子数据鉴定机
构出具的检验鉴定结论。最后以证据的形式按照合法的程
序提交。
3 电子证据的收集与保全
计算机安全事件发生后对目标系统的分析是静态分析。
随着计算机的广泛应用,这种静态的分析有时无法满足要
求。发展趋势是将计算机取证与网络安全工具和网络体系
结构技术相结合,进行动态取证。整个取证过程将更加系
统并具有智能性,也将更加灵活多样。网上信息是动态数
据,我们在电子证据的采集、审查、认定以及案件的侦破
中一定要具备专门的训练和掌握专门技能。电子数据的保
全是一种有效的取证方法,一些民事案件中,保全的电子
数据作为对方有过错的证据曾被法庭采信。对网络上的信
息进行证据保全,可以利用公证这项特殊的法律手段。公
证人员接到申请后,与当事人一起网上查找,对操作电脑
的步骤,包括电脑型号、打开电脑和进入网页的程序以及
对电脑中出现的内容进行复制等等进行全程现场监督和记
· 68·
录。同时,对现场情况进行拍照。之后,公证人员依照真
实合法的原则出具具有法律效力的保全证据公证书。
在某些特定的计算机案件中,如网络遭受黑客攻击,
应收集的证据包括:系统登录文件、应用登录文件、A从
登录文件 (比如 ~ DIUS登录)、网络单元登录 (Nerw0rk
Elemem l0gs)、防火墙登录、HIDS事件、NIDS事件、磁盘
驱动器、文件备份、电话记录等等。收集证据时要注意:
在移动或拆卸任何设备之前都要拍照;在信息收集中要至
少有两个人,以防止篡改信息;应记录所采取的所有步骤
以及对配置设置的任何改变,要把这些记录保存在安全的
地方。也可以通过采用相关的设备或设置陷阱跟踪捕捉犯
罪嫌疑人 。
网上聊天记录也可以作为证据。2001年北京市高级人
民法院制定了关于证据的相关规定,确定网络资料可以当
作视听资料的证据使用。因此,聊天记录等可以作为司法
证据。取证的方式,最好以查看源代码并复制出所有内容
粘贴到字处理软件中编辑并尽可能不失真地用高档设备打
印出来。如果是声音文件,可记录成文字后打印出来,并
保留原声音文件便于将来的庭审质证。在诉讼之前,可以
请公证机关去取证,并作出公证文书;或申请人民法院诉
前证据保全。但法律规定,聊天记录只有由公证处通过合
法程序得来,并进行了公证,才可以和原件具有同等效力,
也就是说 ,可以作为证据来使用。但在现实中往往存在取
证难的问题,如密码很难得到,也就很难保全证据。事实
上,由于聊天证据的真伪比一般证据难以辨认,在司法实
践中,在其他证据相佐证的情况下,可以作为法院参考,
但很少作为独立证据使用。
如今在民事诉讼中,电子证据已经可以作为证明
合同
劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载
关系成立与否的一种有效证据。《中华人民共和国合同法>
第 11条规定: “书面形式是指合同书、信件、数据电文
(包括电报、电传、传真、电子数据和电子邮件)等有形
地表现所载内容的形式。”而我国 《刑事诉讼法》中,法定
证据种类有物证、书证、证人证言、被害人陈述、犯罪嫌
疑人被告人供述和辩解、鉴定结论、勘验笔录和视听资料
等七种,电子证据尚未被纳入法定的证据形式当中。虽然
电子证据的法律地位及其效力,目前在法律上仍无明文规
定,但其作为证据已经出现在司法机关办理的各类犯罪案
件中,却是不争的事实。涉及刑事案件的电子数据,只要
是按相关规则采集,经过电子数据鉴定后认定的,可以作
为刑事案件的电子证据。由于电子证据的特点不同于传统
的七类证据,其在电子交易中的作用,其他任何证据形式
都无法取代。可以肯定,在不久的将来 ,电子证据将成为
一 种独立的证据类型,并将被确定其应有的证明力。
4 电子证据的采信
电子证据作为诉讼证据,同样应该具备三个最基本的
特征:客观性、关联性、合法性。这种新形态的证据必须
运用电子技术进行发现、提取、检验、鉴定,并结合技术
维普资讯 http://www.cqvip.com
杨永 l一李一一岩 电子证据取证技术的研究
上的指标进行审查判断。如果这种技术上的运用失去具有
法律效力的证据准则的 “支持”,将导致在诉讼中审查和
采信电子证据无法可依,很难在司法程序中发挥效力。因
为能作为证据使用和这个证据能不能被法庭肯定是两个概
念,在电子证据的认证过程中,什么样的电子数据可以作
为证据,什么样的电子证据可以被法庭采信,是我们在取
证工作中面临的新课题。我们知道,电子证据大多是人们
直接通过输入设备输入的一种贮存记录,它不像传统手写
记录那样有较为明显的笔迹特征,不能够通过传统的笔录
鉴定方法来确定制作人的身份;由于网上没有用真实姓名
的习惯,通过制作或传输电子数据所用的网名等,并不能
认定制作人或者传输人;网上的电子证据很容易被篡改或
者伪造,因而在技术上不能排除由其他人制作或者传输了
这些计算机证据的可能性。因此要证明电子证据具有形式
上的真实性,就要从形成计算机证据依赖的环境数据 (环
境证据)人手。如电子数据的来源,输入、处理、输 出、
安全等等方面,建立完整的电子证据鉴证规则,公安部制
定的 《电子数据鉴定规则 (试行)》,就是要解决电子证据
的前置性问题,证明电子证据具有形式上的真实性,这是
保证电子证据具有证据能力的先决条件。
此外,为保证电子证据本身的可信性,保障对方当事
人有反询问权,除了鉴证规则,电子证据的采信还涉及到
另一项重要规则,即针对供述证据的传闻法则。它的基本
思想是,对于含有陈述或者制作人 “意思表示”的证据,
原则上要求陈述者或者意思表示人出庭以言词的方式作证。
电子证据按照形成方式一般可分为:一是计算机存储记录
(Computer---stored Records),它要具有可采性的先决条件
是必须具有可信性的保障要件。通过手写输入的以电子形
式表现的文件,如电子邮件、字处理文件、聊天信息等等
计算机存储记录是人类意志的机械客观的记录,因而是一
种典型的传闻证据。二是计算机生成记录 (Computer--gen·
erated Records),它是计算机程序的运行结果,并不包含人
为的陈述。其最大特点是完全基于计算机等设备的内部命
令运行的,没有掺杂人的任何意志。例如用户登录信息、
计算机系统运行 日志等。这类证据的可信性依赖于操作系
统的稳定性,与人的主观输入资料没有任何关系,因此不
会发生传闻问题,不适用于传闻规则。三是计算机衍生记
录 (Derived Evidence),它同时包含了两者的构成要素。这
类证据兼有上述两种证据的性质 ,所以对其可采性和证明
力的判断要复杂得多。
5 结语
随着计算机信息系统的广泛应用,电子证据必将成为
一 种新的证据类型,然而,对于电子证据这一新生事物来
说,还有许多问题尚待解决。例如,目前国内学术界在对
电子证据的研究上,法学专家和计算机专家没能很好地沟
通协作,各自局限在本专业领域内进行研究,这不利于电
子证据系统理论的形成和完善;目前国内还没有经过法庭
和认证机构认证的电子证据取证工具,所利用的取证工具
大多只是从网上下载的一些工具软件。当然,这些问题都
是暂时的,在广大有识之士的努力下,电子证据及其取证
技术的研究必将取得丰硕成果。电子证据的取证技术也必
将紧密结合传统证据形式的取证技术,互相促进,共同发
展,在未来的司法实践中发挥越来越重要的作用。
参 考 文 献
[1]常怡,王健 .论 电子证据的独立地位 .法学论坛,
2004,1.
[2]许康定 .电子证据基本问题分析 .法学评论。2002,
3.
[3]李学军 、电子数据与证据 .证据学论坛,2001,2.
[4]刘品新 .论电子证据的定位 .法商研究,2002,4.
[5]张斌.“凤鸣网”案中电子淫秽图片的鉴证和传闻问
题.证据学论坛,2004,9.
[6]Dick Bussiere.计算机取证有效遏制网络犯罪.中国计
算机报,2002,84、
[7]公安部.电子数据鉴定规则 (试行).
(责任编辑 陈晓明)
· 69 ·
维普资讯 http://www.cqvip.com