2016年第2期信息与电脑China Computer&Communication计算机工程应用技术
1 电子数据取证技术发展概况2013年1月1日开始施行的新刑诉法中,新增了电子数据作为证据类型,电子数据取证技术体系在我国司法领域逐渐获得了极高的认知度,我国公安、检察等多个部门先后组建了符合各自实际情况的计算机取证技术电子物证保障体系,对电子数据取证技术和发展趋势的研究也逐渐成为热门。本文通过实地调查研究,以司法机关一线实战部门的相关工作作为分析对象,调阅查看了从2013年到2015年近三年以来有关电子数据取证的装备发展、案件受理、检材检验的文档300余份,实地走访了公安、检察和取证技术公司的相关部门,深入访问了从事电子数据取证工作的有关专家和技术人员,取得了大量详实的一手资料,并在这些客观资料基础上开展研究分析,梳理工作脉络,分析发展趋势,为下一步工作方向提供参考。电子数据取证技术主要是2003年开始发展起来,先后经历了四个发展阶段。第一阶段(2003年-2009年):实验摸索阶段。这一阶段电子数据取证工作还处于起步摸索阶段,主要学习参考国外一些取证技术和模式,没有专门的技术区域,配置的装备也主要是ENCASE等国外取证工具,开展工作内容主要是针对计算机硬盘数据的提取、固定和分析。第二阶段(2009年-2010年):硬件设施快速发展阶段。这一阶段我们建立起了专门的电子数据取证技术实验室,采购了大量国内外先进的取证工具和设备,按照标准完成了实验室质量管理体系,强调实验室规范化流程。第三阶段(2010年-2013年):技术能力提升阶段。这一阶段通过实战运用消化技术理论,熟练掌握装备运用,培养取证人员队伍,进行实验室能力验证,技术水平得到大幅提升,并有重点的开发破解密、程序功能检测等取证特长。第四阶段(2013年-2015年):全面发展阶段。这一时期电子数据取证进入全面发展阶段,以“云计算”的概念,打
造“云取证”技术平台,实现技术协助、资源共享共用。在传统硬盘、手机、移动存储介质取证之外,还积极推动视频图像鉴别、海量数据挖掘、远程取证分析等技术能力的建设。
2 电子数据取证工作特点2.1 技术发展快、产品更新快电子信息技术在上个世纪70年代引发技术革命以来,其发展速度一直处于爆发式状态,各类电子产品的更新换代非常频繁,以苹果手机为例,从2007年出现第一代IPHONE手机,到2015年八年间已经发展到第六代IPHONE 6S,对应的IOS系统从最初的iPhone runs OS X到IOS 9.0升级了二百多次,平均20天就有一次升级,针对这些电子产品每次硬件和软件的升级换代,取证工具和技术也必然要跟进。2.2 技术性难题不断涌现
就目前看,电子数据取证的技术性难题有:一是被填充覆盖的电子数据不可恢复,如视频监控硬盘、数据机房硬盘等都有大量数据反复读写、覆盖,使用专门数据擦除工具的也会用其他数据进行填充,这些都难以进行数据恢复;二是特殊产品的加密数据难以被提取,主要是新版本新系统的加密苹果手机、个人保密U盘和移动硬盘等产品,由于生产厂家采用封闭系统和特殊加密算法,使得要提取这些设备上的电子数据变得困难,加上产品硬件软件更新换代频繁,让取证技术始终处于追赶的被动地位,短期内还难以改变;三是强加密数据破解有难度,如多位数多组合密码、专业加密容器等,不管使用暴力破解还是字典破解都要耗费大量物力和时间。相信随着技术应用不断多元化发展,相应的难题还会不断出现。2.3 工作涵盖范围广,专业知识不断细化
电子数据取证的对象类型很多,从移动硬盘到存储阵列,从光盘软体到平板电脑,有几百家主流厂商、上万种设备型号,涉及Android、IOS、WINDOWS、Linux等十几种操作
电子数据取证技术发展趋势浅析傅俊博(重庆市公安局网监总队,重庆 401121)
摘 要:电子数据取证是电子技术发展到一定水平的产物,它的出现是以电子计算机技术和网络技术的发展为前提
条件的。随着计算机的普及和网络的发达,计算机及计算机网络已经逐渐渗透到我们生活的各个领域,在各类传统犯罪案件中,不断出现计算机和网络的身影,包括经济诈骗、网络赌博、传播淫秽色情物品、信用盗窃等,越来越多地涉及到能够证明犯罪事实的电子数据。关键词:电子数据;取证技术;移动智能终端
中图分类号:TP399-C2 文献标识码:A 文章编号:1003-9767(2016)02-068-02
作者简介:傅俊博(1982-),男,重庆人,硕士,中级计算机工程师,重庆公安局电子物证鉴定中心副主任。研究方位:
电子数据的提取、恢复与固定,电子数据司法运用等。
— 68 —
2016年信息与电脑1下-正文(晓京返).indd682016/2/2018:36:442016年第2期信息与电脑China Computer&Communication计算机工程应用技术
系统和延伸应用程序,对取证人员的专业知识要求广且精,在一些具体案件上,还需要对HTTP、SQL等传输协议和脚本语言有深入的了解,而随着专业知识的普及和深化,取证技术也呈现出类别细化的趋势。2.4 环境条件限制多
电子数据取证工作受到的环境条件制约较多,如电子产品硬软件的损坏、老化和换代升级、加密擦除等反取证技术的使用及电磁、温度、湿度等环境因素的变化,都可能不同程度的影响取证结果。随着我国新刑诉法将电子数据纳入证据类型,司法实践越来越多越来越普遍,相关标准和规范的出台也可预见,对取证方法、手段、规程的要求会越发严苛。
3 取证技术的发展趋势从电子数据取证工作的四个发展阶段可以看出,取证技术的发展是基于电子信息技术发展的,电子信息技术智能化、多样化、综合化的发展趋势也必然引导取证技术的发展方向。从近三年实验室取证工作的统计中,我们也可以分析得出几个趋势。3.1 针对移动智能终端的取证成为主流
随着半导体向集成系统方向的发展以及移动多媒体技术的快速进步,电子产品向着集成化、多样化和移动化发展。例如智能手机就是集成多种功能的典型产品,它可集成通信、游戏、照相、MP3、视频等多种功能,一些极具个性化的设置和应用也促使其在市场中占据了重要位置。智能手机、平板电脑等移动智能终端产品与用户个人捆绑紧密,日常传输、储存着大量公共的或个人的数据信息,是电子数据取证工作的重要对象。从2013年至2015年统计的检材类型来看,移动智能终端设备数量占检材总量的比重从15%上升到28%,平均每年增加4%以上,可见移动智能终端取证会成为取证工作最主要的组成部分。3.2 海量信息数据取证日渐普遍
目前,光纤传输技术的应用使主干网传输速度每3至4个月翻一番,互联网无线接入技术日臻成熟,第四代移动电话通信技术正在市场上全面铺开,固网和无线传输的电子数据信息量已远不能用G级来计量。另一方面,随着大容量存储介质的开发和商用,T级硬盘的使用越来越普遍,很多机房的存储容量已达到P级。从实验室取证工作的情况看,从2013年以来的送检检材中,硬盘容量绝大多数都在300G以
上,进入2014年后,1T容量的硬盘逐渐取代500G硬盘成为主流。在涉及计算机机房的取证工作中,海量信息数据的提取、固定和分析更是不可避免。3.3 电子数据取证涉及领域愈发广泛
电子信息技术的不断创新与应用,带动了现代信息服务内容的诞生、发展,逐步形成了当今以网络通信、数字消费、现代电子信息服务等为主的新产业格局,在为产业发展开拓
了更广阔空间的同时,也将越来越多的行业和领域纳入了电子信息化的范畴。比如网购服务,从网上订单、在线支付到物流跟踪,电子信息化的程度已相当高,而取证得到的数据几乎能够完整反映出每个操作环节。在三年来实验室受检的案件类型中,除了网络入侵和网络色情、赌博类案件外,涉及金融、运输、出版等行业的诈骗、盗窃、伪造案件也呈逐年增加的态势,近期还出现了涉及无线通信行业的伪基站等案件,可以预见电子数据取证今后涉及的领域会愈发广泛。
4 电子数据取证工作建议4.1 要持续加强硬件、软件投入电子数据取证工作是立足于技术能力建设的,硬件和软件建设是一个长期的、需要投入大量人力、财力、物力的过程,一是要持续更新先进装备,二是要跟进前沿技术,三是要培养专精人才。4.2 管理工作程序化、规范化
电子数据取证工作既要重视技术的发展,也要强调程序规范,这是取证效力的根本保证,从英国警官协会提出的“电子取证四大原则”到“电子数据”进入我国刑诉法和民诉法,取证工作的规范化进程一直在推进,所以取证技术和流程模块化、信息管理规范化加大力度发展。4.3 科学有效的制定取证规则
目前,电子数据作为新的证据类型,法律层面的标准和解释还不具体,很多规则还不完善,也缺乏大量司法实践,立法部门应积极与公安、检察、法院、司法等部门就电子数据提取、固定的方法、流程及司法运用的规则等进行协商沟通,科学有效的开展相关细则和解释的制定,为电子数据取证工作的进一步发展打好基础。
5 结 语由于我国现有法律体系已将电子数据纳入证据类型,关于电子数据的取证也自然成为司法实践活动的热门,但电子数据取证由于涵盖范围广、技术更新快等原因,其发展趋势和规律的研究却难以较为准确地把握。笔者作为一名从事一线电子数据取证工作人员,从切身的体会出发,严谨客观的收集原始资料,虚心听取领域内专家、从业人员的意见和建议,认真分析探寻,总结归纳了电子数据取证的一些特点以及近期发展趋势,希望对从事这项工作的同志们提供一定参考。
参考文献[1]邝孔武,王晓敏.信息系统分析与设计[M].北京:清华大学出版社,1999.[2]陶文昭,詹英.网络教育[M].北京:中华工商联合出版社,1999.
— 69 —2016年信息与电脑1下-正文(晓京返).indd692016/2/2018:36:44