数字取证报告(分享)

封面修订摘要放在首页〔我们可以记录在归档目录里〕日期修订记录注释9/28/20151.0原始草案终稿11/5/20151.1第10和11页上的更正格式问题一、根本信息鉴定机构：CoalfireSystems公司委托方：保卫自由联盟的总承包商CGS委托鉴定事项：对送检原始视频和音频数据文件进行计算机取证分析鉴定要求：鉴定评估CGS提交的“原始”视频和音频是否存在被编辑或以其他方式修改正的文件，该视频和音频由医疗进步中心〔“本组织”〕提供应CGS；将原始视频和音频与发布到YouTube的某些文件〔“完整视频”视频和“补充”视频〕进行比对，以判定文件之间的异同。声明：对于视频或音频中出现的人物、视频和音频文件的录制者、录制的地点，录制的时间或录制的目的不作任何验证；对检材被送达Coalfire之前的保管链不予置评；Coalfire的分析对象仅限于从本组织收到的检材，不包括任何与视频或音频参与者的面谈。二、检验摘要2015年9月17日，Coalfire收到一份FedEx送来的快递，里面是一个存有多媒体文件的闪存盘。使用行业标准方法和取证工具对其进行检验，闪存盘包含：总共10个带音频的视频文件，来源于2个单独的设备；总共8个音频文件，来源于2个只有音频录制功能的设备。三、鉴定意见Coalfire对闪存盘上媒体文件的分析说明视频文件是真实的，未检出篡改或编辑过的痕迹。由视频文件的日期和时间戳，视频时间码，以及文件夹和文件命名策略的一致性可以得出该结论。来自两名调查员的摄像机镜头之间的连续性也证明了该视频的真实性。关于本组织发布的“完整视频”YouTube视频，已对这些视频进行了修改，消除了不相关的镜头，包括：“通勤”、“等待”、“调整录制设备”、“吃饭”、“上洗手间”等缺乏相关对话的镜头。本报告中描述的这些不相关的素材在时间码的变化上与该非相关画面被成心去除的时间跨度一致。此外，五个由视频录制设备记录的带音频的原始视频还包含由单独的仅音频录制功能设备记录的原始音频记录。原始音频文件与其相关联的原始视频文件录制的时长一致。这些原始音频文件证实了原始视频文件的完整性和真实性，因为它们作为两个独立的录制设备捕获并描绘了在相同持续时间内的相同事件。四、检验过程1.检材的接收与处理Coalfire在接收、检验和分析过程中采用了行业标准方法和取证工具。密封的信封通过联邦快递的次晨达于2015年9月17日，上午8:35【〔美国〕山地标准时间MST-7:00】抵达了Coalfire实验室。翻开包装后建立了一个检材保管链。包装包含一个USB闪存盘密封在FedEx标签袋中。该存储介质的详细信息如下：设备品牌/型号设备序列号描述设备序列号容量PNY“TurboPlus”闪存盘2CE00713QBUSB闪存盘〔银色〕USB3.0UID：1C233FA33C1C2A38128GBCoalfire使用LogicubeFalcon在之前擦除过的硬盘上创立了该USB闪存盘的DD镜像并校验了二者的HASH值。在该擦除过的硬盘上创立一个该DD镜像的副本。所有的后续分析均在此镜像副本上进行，而不是在原始介质或该介质的原始镜像上。使用专用取证工作站对该镜像副本进行分析，专业工具列示如下：AccessData的取证工具包〔FTK〕，版本；VLC播放器，；AppleQuickTime，；iZotopeRX专业版〔音频比对修复工具〕。2.分析说明2.1文件和文件夹分析USB闪存盘上共有29个文件夹。每个文件夹的修改，访问和创立日期均为2015-09-13UTC，最后一次修改时间和创立时间分别在2015-09-1303:36:03UTC和2015-09-1304:57:35UTC之间。将文件夹从源盘复制到目标盘会导致在目标盘上形成新的创立时间和修改时间。源盘目录中的日期和时间戳不会继承到目标盘上创立的目录中。这说明USB闪存盘中文件的日期和时间戳可以证明文件夹是何时从原始源盘复制到USB闪存盘的。根目录包括5个目录，下面列出了它们的创立时间和日期戳：目录名称创立时间[root]\052215Dyerdinner2015-09-1303:36:47UTC[root]\072514DebNucatola2015-09-1303:36:03UTC[root]\PPGC0409152015-09-1303:36:32UTC[root]\PPPSGV0206152015-09-1303:36:15UTC[root]\PPRM0407152015-09-1303:36:26UTCUSB闪存盘根目录下的目录在这些目录中有两个子目录，每个子目录都有一个男性和女性的名字。男名以下称为“调查员1”，女名以下称为“调查员2”，这些名字命名的文件夹中含有名为“MyRecord”的子目录或用数字日期命名的文件夹。每个“MyRecord”文件夹中还有一个由数字日期命名的子目录。而以数字命名的文件夹内就是对应于文件夹数字日期记录的视频文件。上文提到的根目录中的五个目录中记录了五个不同日期的视频，下文会有更详细的分析说明。用数字日期命名的文件夹包含视频文件。经统计，闪存盘上有86个AVI视频文件。AVI视频文件的元数据不记录用来拍摄该视频的设备信息，也没有其他用来记录该信息的文件签名。审查视频内容发现视频文件是由两名独立的调查员〔调查员1和调查员2〕使用两台独立的视频记录装置录制的。所有视频文件名中的数字日期与路径中的所有其他文件夹名称保持一致。文件夹和文件命名规那么例如如下：上面的例如显示了包含“MyRecord”子目录的文件夹命名结构。根目录有个名称包含数字日期7/25/2014的文件夹，里面有一个以数字日期7/25/2014命名的子目录，该子目录中是一个文件名含有数字日期7/25/2014的视频文件。另一个例子文件夹和文件命名结构如下所示：在上面的例如中，根目录文件夹名称包含数字日期4/9/2015，里面有一个以数字日期4/9/2015命名的子目录，该子目录中是一个文件名含有数字日期4/9/2015的视频文件。相反，随上级文件夹一起从源盘拷贝到目标盘时，文件的最后修改和创立的日期和时间戳会被保存。〔见REF_Ref468447988\h知识点〕因此，USB闪存盘上的视频文件最后修改的日期和时间戳是它们在源盘上的对应时间——2015-02-0620:47:28UTC到2014-07-2522:18:26UTC。查看视频文件修改的日期戳显示它们文件名及路径名中显示的数字日期一致。此外，视频本身里面显示出来的时间也与视频文件路径中文件夹的日期标记一致。视频文件名和文件创立日期戳之间的关系例如如下所示：视频文件名创立时间FNNI0773_20150206130219.AVI2015-02-0622:02:18UTC视频文件名和创立的日期戳关系AVI文件名还包含一个数字，表示嵌入在该视频第一帧中的时间码文件。其例如如下所示：在此例如中〔时间码为08:15:15第一帧〔帧000000〕的截图。嵌入在视频中嵌入在视频中的时间帧计数嵌入在视频中的日期和时间戳然而，有一些视频第一帧显示的时间码的比视频文件名中的值晚一秒。所有AVI视频文件的大小均不大于1011MB。按修改的时间进行排序，发现在连续录制期间，一旦先前的视频文件大小到达1011MB，那么创立新的视频文件。得出此结论的依据是：嵌入在视频最后一帧截止的时间与下一个视频是能衔接上的〔视频文件名中也记录了第一帧的时间码〕。视频录制设备的一个共同特征是通过多个较小的独立文件来记录连续的视频，以防止某些大文件不被文件系统识别，也以此来减少因硬件故障〔电池电量缺乏，故障等〕导致文件损坏的数据丧失问题。经审查，USB闪存盘中小于1011MB的AVI文件似乎是拍摄者在录制设备上手动停止的结果。视频文件录制路径连续视频记录段052215Dyerdinner072514DebNucatola\[Investigator1]\MyRecord\20140725从2014.07.2511:48:41连续录制2014.07.2515:18:26〔frame019233〕072514DebNucatola\[Investigator2]\MyRecord\20130725从2013.07.2511:41:24连续录制2013.07.2515:15:21〔frame058664〕PPGC040915\[Investigator1]\20150409从2015.04.0907:18:22连续录制2015.04.0913:09:37〔frame017915〕从2015.04.0913:16:58连续录制2015.04.0914:56:40〔frame025881〕PPGC040915\[Investigator2]\20150409从2015.04.0907:19:00连续录制2015.04.0913:20:01〔frame062200〕PPPSGV020615\[Investigator1]\20150206从2015.02.0611:51:07连续录制2015.02.0613:34:49PPPSGV020615\[Investigator2]\20150206从2015.02.0611:49:47连续录音2015.02.0613:36:05〔frame060765〕PPRM040715\[Investigator1]\MyRecord\20150407从2015.04.0708:16:16连续录制2015.04.0713:04:06〔frame006180〕从2015.04.0713:05:19连续录制2015.04.0714:31:28〔frame001483〕PPRM040715\[Investigator2]\MyRecord\20150407从2015.04.0708:16:08连续录制2015.04.0714:12:40〔frame054178〕连续的视频录制段基于本节中提供的证据，依据时间码的真实性和连续性，Coalfire得出结论：USB闪存盘上的视频文件是“原始视频”录制机捕获的原始未编辑视频的准确表示。2.2视频内容分析与比拟由调查者1和调查者2创立的视频录像描绘了由各自摄像机捕获的许多相同场景的两个不同视角。嵌入在视频记录中的时间码并不同步。Coalfire确定了每天录制的两台摄像机大致的偏移量。视频录制的顶级目录调查员2摄像机与调查员1摄像机的偏移052215Dyerdinner大约+00：00：32072514DebNucatola大约-00：04：03PPGC040915大约-00：00：50PPPSGV020615大约-00：00：29PPRM040715大约-00：00：50视频摄像机时间码偏移通过在时间码中建立偏移，Coalfire能够实时比拟每个摄像机的事件。当将闪存盘上包含的“原始”素材视频与YouTube上的医疗进步中心发布的“完整视频”视频进行比拟时，这点至关重要。下面列示了由YouTube用户“医疗进步中心”上传的YouTube视频——“完整视频”。“完整视频”YouTube影片名称YouTube视频网址“完整视频”：方案生育副主任说可以以完整形态出来，同意付款...“完整视频”：方案生育部门使用“半生产堕胎法”售卖胎儿器官“完整视频”：完整的胎儿对于TXMEGA方案生育中心来说“只是一个流水线产品”“完整视频”：方案生育中心副主任就胎儿肢体议价“医疗进步中心”上传的YouTube视频——“完整视频”在这些“完整视频”视频发布后，本组织在2015年8月30日又发布了一个视频〔“完整视频的补充”〕，其与“‘完整视频’：完整的胎儿对于TXMEGA方案生育中心来说‘只是一个流水线产品’”缺失片段时长相等。YouTube补充视频名称YouTube视频网址第2局部补充TX完整视频：完整的胎儿对于方案生育中心来说“只是一个流水线产品”“医疗进步中心”上传的YouTube视频——“完整视频的补充”Coalfire仔细审查了“完整视频”和“原始视频”中对应视频片段显示的时间码中任何不一致的地方。鉴定员对“原始视频”中有，而编辑形成“完整视频”期间删除的镜头发生的事件作了注释。这些被删除的镜头记录的事件缺少相关的对话，描绘的事件分为五种常见类型：“通勤”、“等待”、“调整录制设备”、“吃饭”、“上洗手间”。“通勤”镜头包括调查员1和调查员2驾驶汽车到目标地点，或在目标地点大楼内外走动。“等待”镜头包括调查员1和调查员2等待方案生育部门接待人员或其他人员，通常在大厅里，办公室内或餐厅桌子旁。“调整录制设备”镜头包括当调查员1和调查员2手动设置摄像机或音频录制设备时，调整设备，或更换电池。“吃饭”镜头包括调查员1和调查员2的用餐情况。“上洗手间”镜头包括调查员1或调查员2去洗手间。“完整视频”：完整的胎儿对于TXMEGA方案生育中心来说“只是一个流水线产品”开始2015.04.0907:37:48〔034977〕结束2015.04.0914:50:13〔014278〕对应的“原始视频”：PPGC040915调查者1在07:18:23开始视频录制，在14:56:40结束视频录制调查员2在07:19:00开始视频录制，在13:20:01结束视频录制从“原始视频”开始到“完整视频”开始的07:37:48之间：调整录制设备-通勤-等待从07:46:47到08:15:15之间：删除片段的开始时间07:46:47与“原始视频”紧接着的文件再接下来的〕开始。“完整视频”〔YouTube视频〕在7:46:47和8:15:15之间缺少的镜头与“原始视频”相匹配。从08:44:26至08:48:39之间：上洗手间-等待从12:58:43至13:50:18之间：通勤-上洗手间-等待“原始视频”在“完整视频”14:50:13结束之后：通勤〔例如如下〕调查员1PPGC040915“通勤”镜头视频帧“完整视频”：方案生育副主任说胎儿可以以完整形态出来，同意付款...开始：2015.04.0709:10:10〔帧045843〕结束：2015.04.0714:17:27〔frame027478〕对应的“原始视频”：PPRM040715调查员1在08:16:16开始视频录制，在14:31:28结束视频录制调查员2在08:16:08开始视频录制，在14:12:40结束视频录制从“原始视频”开始到“完整视频”开始的09:10:10之间：调整录制设备-通勤从10:27:07到11:01:40之间：吃饭-等待〔例如如下〕调查员1PPRM040715“吃饭”镜头视频帧

从11:24:49到11:27:37之间：等候从11:36:47到11:39:25之间：

等候从11:41:43到11:43:54之间：等候从12:35:50到13:43:46之间：上洗手间-调整录制设备-等待从11:45:46到12:21:55之间：等候“原始视频”在“完整视频”14:17:27结束之后：通勤-等待-上洗手间

“完整视频”：方案生育部门使用“半生产堕胎法”售卖胎儿器官开始：2014.07.2512:17:07结束：2014.07.2515:02:33对应的“原始视频”：072514DebNucatola调查员1在11:48:41开始视频录制，在15:18:26结束视频录制调查员2在11:41:24开始视频录制，并在15:15:21结束视频录制时间码和年份从2014.07.2514:32:07变化到2013.07.2514:28:04上洗手间在“完整视频”视频中，视频录制从调查员1开始。当调查员1声称自己要去洗手间时，调查员2的摄像机录制了桌边的谈话。偏离调查员2的摄像机与调查员1的摄像机之间-00：04：03的偏移印证了这一时间段的跳跃。“原始视频”显示，调查员1的摄像机显示日期戳是2014.07.25，而调查员2的摄像机显示日期戳是2013.07.25。调查员2调查员2摄像机调查员1摄像机7/25的视频的第1帧显示：日期戳有1年的差异两个“原始视频”都实时描绘相同的事件，日期戳年份中的差异归因于两个摄像机的日期和时间设置未同步到彼此一致。从14:38:06至14:41:08之间：上洗手间〔例如如下〕调查员1072514DebNucatola“上洗手间”镜头视频帧“原始视频”在“完整视频”15:02:33结束之后：上洗手间-等待-通勤

“完整视频”：方案生育中心副主任就胎儿肢体议价开始：2015.02.0612:03:05结束：2015.02.0613:16:13对应的“原始视频”：PPPSGV020615调查员1在11:51:07开始视频录制，并在13:34:49结束视频录制调查员2在11:49:47开始视频录制，并在13:36:05结束视频录制 12:04:53跳回到12:04:24上洗手间〔例如如下〕调查员2PPPSGV020615“上洗手间”镜头视频帧

“完整视频”从调查员1的摄像机开始，他的摄像机时间显示12:04:53时，他从桌边站了起来。视频然后切换到调查员2的摄像机〔时间12:04:24〕，调查员2的摄像机显示调查员1从桌子走向卫生间。“完整视频”使用调查员2的摄像镜头录制视频的剩余局部。时间差归因于调查员2的摄像机与调查员1的摄像机-00：00：29的偏移。完整影片结束后的原始影片〔13:16:13〕等待-通勤

2.3音频内容分析除了“052215DyerDyerdinner”目录，每天的视频录制都伴有记录在调查员1和调查员2文件夹中的MP3音频。这样的音频记录相对于调查者1和调查者2的视频录制设备捕获的音频是独立的。和录制的视频文件一样，音频文件在文件名中也包含数字日期。一个录制好的音频文件路径如下所示。音频文件路径创立时间[root]\PPPSGV020615\[Investigator1]\150206_001.MP32015-02-0621:52:37UTC此MP3音频文件名中包含的数字日期2015/2/6与顶级目录中其他文件夹和文件的名称中包含的数字日期一致。此文件的创立日期也与顶级目录中的这些文件和文件夹的创立日期一致。使用十六进制查看文件头，文件头中的元数据揭示了该音频记录是用型号为ICD-UX-533的SonyICRecorder捕获的。元数据还反映创立记录的日期与文件日期戳一致。SonyIC录音机MP3MP3元数据音频记录文件日期戳索尼闪光声SonyIC录音机MP3MP3元数据音频记录文件日期戳索尼闪光声记录仪型号:ICD-UX533来自[root]\PPPSGV020615\[Investigator1]\150206_001.MP3音频文件的元数据音频记录在对应的视频记录之前或之后不久开始，并跨越整个视频录制期间或更久。下面是以图表展示的音频记录的详细信息。音频文件与路径创立时间持续时间[root]\072514DebNucatola\[Investigator1]\140725_002.MP32014-07-2518:47:00UTC03:28:28[root]\072514DebNucatola\[Investigator2]\140725_001.MP32014-07-2518:40:41UTC03:31:59[root]\PPPSGV020615\[Investigator1]\150206_001.MP32015-02-0621:52:37UTC01:47:20[root]\PPPSGV020615\[Investigator2]\150206_001.MP32015-02-0620:47:28UTC01:46:08[root]\PPRM040715\[Investigator1]\150407_001.MP32015-04-0715:16:50UTC06:16:22[root]\PPRM040715\[Investigator2]\150407_001.MP32015-04-0715:20:16UTC06:16:49[root]\PPGC040915\[Investigator1]\150409_001.MP32015-04-0914:20:21UTC0:7:39:57[root]\PPGC040915\[Investigator2]\150409_001.MP32015-04-0914:21:53UTC07:41:43MP3音频录制文件就像分析两个单独摄像机的镜头一样，Coalfire能够将音频录制时间与视频对齐以便通过视频和音频来检查两个摄像机录制内容中的任何不一致或异常情况。附1：案件梳理附2：视频内容简介调查员在大厅与女性工作人员交谈，方案生育部门使用“半生产堕胎法”售卖胎儿器官，每块组织30-100美元不等，根据机构不同，价格各异。半生产堕胎法：发生在胎儿4个半月至9个月，在美国30个州属于违法，联邦重罪，监禁2年或者罚款25万美元。罗伊案，德州，孕早期〔1-3个月〕，母亲可决定胎儿去留；孕中期〔4-6个月〕，医生保护孕妇身体为主；孕晚期〔7-9个月〕，胎儿和母亲是单独个体，不可以随便决定去留。20150714上传该视频至Youtube，20150716全球热议。调查员在外就餐时，就胎儿组织与方案生育中心主席〔MaryGatter博士，前L.A方案生育中心主席〕议价，承诺一年能提供800份样本，其中60个是3个月以上胎儿组织。【违反法律42USCODE289G-2：买卖人体组织：不能议价人体器官，否那么判刑10年或者50W美元罚款】联邦法律还规定，禁止以胎儿组织收集为目的而改变人工流产的时机或方法〔42U.S.C.289G-1〕调查员在实验室、会议室与相关工作人员讨论，方案生育副主任说胎儿可以以完整形态出来，同意对标本进行定价出售并建议防止法律后果的方式——以研究为名。作为买家和方案生育工作人员在区分胎儿的身体部位时，路径实验室，方案生育医疗助理宣布：“又一个男孩！”。2015.4.9调查员谎称自己是胎儿组织采购公司〔人类生物制品公司〕作为收购胎儿器官的潜在合作伙伴去拜见了方案生育中心的研究院主任〔方案生育堕胎诊所总部〕MelissaFarrell。该中心近10年来通过售卖胎儿组织成为最大最有钱的方案生育中心之一。“我们可能比其他组织有一个优势，我们的组织已经做了很多年的研究，”法瑞尔解释说。当研究人员需要从流产的胎儿得到一个特定的一局部，法瑞尔说，“我们把它写进我们要遵循的合同、协议中，因此，为了做到这一点，我们偏离了标准格式合同和流程。”被问起这是否意味着方案生育中心可以改变堕胎程序以提供完整的胎儿标本，法瑞尔肯定，“过去我们的一些医生确实以一定的方式得到了最好的标本，因此，我知道这是行得通的。”调查人员问法瑞尔她怎么来起草合同，以便他们以更高支付更高的价格拿到更高质量的胎儿组织，她答复说，“我们可以这么做—很明显，程序本身会比拟复杂，“暗示”在不涉及诉讼本钱和流产费用的前提下，较高的样品价格定价依据可以是“额外的时间、增加的本钱和行政管理费用。”附3：U盘内容梳理文件路径〔29文件夹，86视频AVI，8音频MP3〕Youtube视频上传日期相机偏离Root052215DyerdinnerInvestigator1MyRecord\\\\+32sInvestigator2MyRecord\\\