《电子数据取证技术》课件-第1章

第1章电子数据取证概述1.1电子数据与电子数据证据1.2电子数据取证

1.1电子数据与电子数据证据

随着互联网的快速发展，特别是我国国民经济和社会信息化建设进程的全面加快，计算机和互联网已经成为人们日常生活、工作的重要组成部分。与此同时，我国正面临着复杂严峻的网络安全形势：一是针对互联网的犯罪日益猖獗，当前我国已经成为黑客攻击破坏的主要受害国之一；

二是网络赌博、网络传播淫秽色情、网络销售违禁品、网上贩卖公民个人信息等利用互联网的违法犯罪形势严峻，严重污染了网络环境，扰乱了网络秩序；

三是违法犯罪+互联网的趋势日益凸显，大量违法犯罪的准备和实施均借助网络技术而实现，技术门槛和犯罪成本大大降低，犯罪规模和危害程度急剧扩大，犯罪分工更加精细，犯罪手法更加复杂；四是恐怖分子利用网络制作传播暴力恐怖音频、视频，大肆宣扬暴力恐怖和宗教极端思想，煽动实施恐怖活动，传授暴恐犯罪技能。

1.1.1电子数据的概念

电子数据是指在计算机系统中产生的、或存储于计算机或相关设备中的以数字化形式存在的数据。电子数据符合法律规定的条件便可成为诉讼中的证据。虽然电子数据最终以数字化形式存在，但其信息呈现方式多种多样。常见的电子数据有：通过网页、博客、微博、朋友圈、贴吧、网盘等网络平台发布的数据信息；手机短信、电子邮件、即时通讯、通讯群组等网络应用服务的通信信息；用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息；文档、图片、音视频、数字证书、计算机程序等电子文件。

1.1.2电子数据证据的概念

所谓证据，就是指能够证明案件真实情况的事实。证据的基本功能就在于它具有证明一定事实存在与否的作用。

作为一种由现代电子技术引发的新型证据，目前在世界范围内对电子数据证据的含义的理解可谓众说纷纭。

从英文表述方式来看，常见的有不下10种，主要包括ElectronicEvidence、DigitalEvidence、ComputerEvidence、Computer-basedEvidence、Computer-producedEvidence、Computer-createdEvidence等；从中文表达方式来看，常见的也有近10种，除了电子数据证据之外，还有电子证据、电子物证、计算机证据、计算机数据证据、数字证据、电子文件证据等。虽然在用语的表达上有所差异，但是均从不同角度表明电子数据证据同电子技术、数字技术或计算机存在密切联系，可以说没有电子技术、数字技术或计算机的存在就不会有电子数据证据的出现。

有法学家认为，电子数据证据是存储有电子数据的电、磁、光记录物，这些电子数据是在计算机系统运行过程中产生的，并能够以其内容证明案件事实，它们可以被转换为不同的输出表现形式。

2013年1月1日施行的《中华人民共和国刑事诉讼法》(以下简称《刑事诉讼法》)为适应刑事诉讼的实践需要，将电子数据增设为法定的证据类型，这也是我国首次将电子数据列入证据类型之中。

《刑事诉讼法(2013年修订)》(注：原为第四十八条，现为《刑事诉讼法(2018年修正)》第五十条)规定了证据的8种类型：物证，书证，证人证言，被害人陈述，犯罪嫌疑人、被告人供述和辩解，鉴定意见，勘验、检查、辨认、侦查实验等笔录，视听资料、电子数据。

《刑事诉讼法》的这一改变，进一步丰富了证据的外延，有利于规范司法实务部门对电子数据的提取和应用，更好地证明案件事实。之后，《中华人民共和国民事诉讼法》《中华人民共和国行政诉讼法》都将电子数据列为证据类型。

《刑事诉讼法》虽然将电子数据首次纳入法定证据种类之一，却并没有进一步明确电子数据证据的概念、证明规则、证明力的认定标准等基础和关键问题，电子数据证据的可采性和证明力认定这两大根本性难题在现有法律层面没有得到解决。直到2016年9月，最高人民法院、最高人民检察院和公安部联合印发了《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》，其中的第一条明确定义电子数据证据为“案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据”。这一定义清晰地阐述了电子数据证据的本质就是二进制数字，而文本、视频、音频、图像等只不过是电子数据证据的不同表现形式，这样定义电子数据证据有利于认识其本质。

1.1.3电子数据证据的特点

在司法实践中，并不是所有的证据材料都可以呈堂以证明案件事实。只有具有证据能力的证据才符合法律规定的资格，这种证据能力在英美证据法律制度中被称为证据的可采性。在我国的司法实践中，衡量证据材料是否具有证明力通常有3个标准，即客观性、关联性和合法性，也就是电子数据证据的“三性”。电子数据作为一种新型证据，和传统证据一样都应遵循证据的“三性”。

1.电子数据证据的“三性”

(1)客观性。客观性即考察电子数据证据在生成、存储、传输过程中有无剪接、删改、替换的情况，其内容是否前后一致、符合逻辑。

(2)关联性。关联性即分析电子数据证据与案件事实是否有关联，关联程度如何，是否实质性关联，其中附属信息与系统环境往往要相互结合，并排除相互之间的矛盾，才能与案件事实发生实质性关联。

(3)合法性。合法性即电子数据证据应合法，违反法定程序取得的电子数据证据应予排除。我国《刑事诉讼法》规定：“审判人员、检察人员、侦查人员必须依照法定程序，收集能够证实犯罪嫌疑人、被告人有罪或者无罪、犯罪情节轻重的各种证据。严禁刑讯逼供和以威胁、引诱、欺骗以及其他非法的方法收集证据。”

2.电子数据证据的特殊性

与传统证据一样，电子数据证据必须是可信的、准确的、完整的、使法官信服的、符合法律法规的、可为法庭所接受的证据。但与传统证据相比，除了传统证据的“三性”外，电子数据证据还具有一定的特殊性，正是这些特殊性决定了电子数据证据的优越性和不足。

在保存方式上，电子数据证据需要借助一定的介质。这与传统证据有很大不同，如传统书证主要的载体是纸张等可书写物质，传统证人证言主要借助人的记忆，传统物证主要借助各种物品、痕迹与物质等；而电子数据证据则离不开硬盘、存储卡、光盘、芯片、磁带、软盘等存储介质。

在传播方式上，电子数据证据可以无限地快速传播，如电子邮件、聊天信息可以通过互联网在瞬间传播到世界每一个角落；而传统证据只能在物理空间传递，如通过当事人交接、移送的方式进行。传统证人的证言传播开来后虽然在原始出处仍然存在，但往往会发生重大出入，而电子数据证据的传递实质上属于信息的精确复制。

在感知方式上，电子数据证据必须借助电子设备，且不能脱离特定的系统环境。如果没有专门的电子设备进行显示，无论多么形象、真实可靠的内容，都只能停留在各种存储介质中，而不能被人们所感知，也不能被法庭认可和采信。

综上所述，可将电子数据证据的特殊性归纳为以下几点：

(1)技术依赖性。与其他证据不同，电子数据证据的形成与存在必须依赖现代电子设备和技术实现，电子数据证据的提取与展现也必须借助电子设备并通过一定的技术手段来实现。因此，电子数据证据本质上是以电子形式存储或传输的数据，具有技术依赖性。

(2)隐蔽性。与其他传统证据相比较，电子数据证据是以虚拟形态保存的。传统证据的内容和形态可以被直接感知，而电子数据证据则是将信息以电磁等形式存储在介质中。例如硬盘存储信息时，通过磁性材料而形成的电磁场将电子信息记录下来；而在向光盘中记录信息时，则是利用激光将信息以凹凸点的形式记录在光盘上的。这些数字信息以0和1表示，通过排列组合来表示特定数值的数据，其内容无法被人们直接感知。所以，记录方式的隐蔽性是电子数据证据与传统证据最本质的区别，也是电子数据最根本的特点。

(3)易破坏性。电子数据证据以电子信息的形式存储在电磁介质中，较传统证据而言，电子数据证据更易被篡改，且可不留痕迹。环境的影响如供电故障、硬件故障、病毒、人为操作等，都会导致电子数据改变和灭失，从而影响电子数据的真实性和完整性。因此，电子数据证据的记录方式及介质的特殊性和网络空间的特性决定了它自身具有一定的易破坏性。

(4)稳定性。在电子数据内容之外也包含一些重要信息，如隐藏在原数据中的信息、储存和运行环境中的痕迹信息等，这些都是电子数据证据的信息。电子数据证据的这一特点，可以使大量不为人知的电子数据得以保存，使电子数据可以作为证据使用的效力大大增加，这是因为要对磁盘上的数据信息、网络环境中的实时信息、计算机运行状态的系统信息等进行修改而又不留下修改的操作痕迹是很难做到的。通过数据恢复、数据挖掘等技术手段可以发现对数据信息修改的蛛丝马迹，并有可能恢复原始数据信息。因此，电子数据证据较传统证据更具有安全性和稳定性。

(5)开放性。从司法实践来看，电子数据证据越来越多地与互联网联系在一起，而网络的一个重要特点是可以不受时空限制获取电子数据，这是电子数据的开放性的表现，也是对该类证据的收集亟须加以规范的地方。

(6)表现形式的多样性。电子数据证据的表现形式是多种多样的，可以是文本、图像、音频、视频等，将多种表现形式融为一体是电子数据证据独有的特点。这要求电子数据取证工具具有识别多种形式的电子数据证据的能力。

由于电子数据证据的这些特殊性，使得对其取证既是可行的，也是复杂的。在计算机犯罪行为日益猖獗，犯罪手段越发隐蔽的情况下，打击和遏制计算机犯罪，需要向法庭提供充分、可靠、有说服力的电子数据证据，以证明计算机犯罪。要依靠法律手段对犯罪行为进行制裁，而制裁的前提是提高电子数据取证技术，有效获取嫌疑人留下的犯罪痕迹，并以证据的形式提供给法庭。

1.2电子数据取证

电子数据取证技术亦称为计算机取证技术，是信息安全领域的一个全新分支，它不仅是法学在计算机科学中的有效应用，也是对现有网络安全体系的有力补充。电子数据取证技术涉及从计算机和网络设备中获取、保存、分析、出示相关电子数据证据的法律、程序、技术等问题。

电子数据取证为打击计算机犯罪提供了科学的方法和手段，并提供了法庭所需要的合适证据。为了更好地打击计算机犯罪，需深入研究电子数据取证的相关概念、电子数据取证的原则以及电子数据取证面临的问题等。

1.2.1电子数据取证的概念

电子数据取证的定义多种多样，目前还没有一个权威的部门给出统一的定义，但可以肯定的是，电子数据取证的定义是从计算机取证逐步发展而来的。

计算机取证(ComputerForensics)一词由计算机调查专家国际联盟(InternationalAssociationofComputerInvestigativeSpecialists，IACIS)在1991年举行的会议上首次提出，并在2001年举行的第十三届国际事件响应与安全组论坛(ForumofIncidentResponseandSecurityTeams，FIRST，)上成为当时的主要议题。

2001年召开的数字取证研讨会(DFRW)定义了数字取证学(DigitalForensicScience，也称计算机取证)的概念。这次会议的总结报告指出：数字取证学包括计算机取证的框架(Framework)、模型(Model)、技术环境抽象(AbstractionsforTechnicalEnvironment)以及有关证据和过程等重要概念(Conception)。这次研讨会为计算机取证的理论研究奠定了基础。

LeeGarber在IEEESecurity&Privacy发表的文章中认为：“计算机取证就是分析硬盘、光盘、软盘、zip盘、Jazz盘、内存缓冲以及其他存储形式的存储介质以发现犯罪证据的过程。”作为计算机取证方面的资深专家，JuddRobbins给出定义：“计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。证据可以在计算机犯罪或误用这一大范围中收集，包括窃取商业机密、窃取或破坏知识产权和欺诈行为等。”

美国计算机紧急事件响应组(ComputerEmergencyResponseTeam，CERT)和取证咨询公司NTI(NewTechnologiesIncorporated)进一步扩展了该定义：“计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。”世界著名的计算机取证机构SANS认为：“计算机取证是使用软件和工具，按照一些预定的程序，全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。”计算机取证机构Sensei信息技术咨询公司则将计算机取证简单概括为对电子证据的收集、保存、分析和陈述。

Enterasys公司的CTO、办公网络安全设计师DickBussiere认为：“计算机取证是指把计算机看作犯罪现场，运用先进的辨析技术，对计算机犯罪行为进行法医式的解剖，搜索确认犯罪及其犯罪证据，并据此提起诉讼的过程和技术。”

我国重庆邮电大学的陈龙教授等人提出，计算机取证是运用计算机及其相关科学和技术的原理及方法获取与计算机相关的证据以证明某个客观事实的过程。它包括计算机证据的确定、收集、保护、分析、归档以及法庭出示。

我国网安部门的刘浩阳提出，电子数据取证涉及法律和技术两个层面，其实质为采用技术手段获取、分析、固定电子数据作为认定事实的科学。这是能够使法庭接受的、足够可靠和有说服性的、存在于计算机和相关外设中的电子数据的确认、保护、提取和归档的过程，是对存储介质中保存的数据所进行的一种科学的检查和分析方法。对于电子数据取证来说，取和证是一个闭环的过程，最终的目标是形成证据链。

1.2.2电子数据取证的原则

由于各国在法律、道德和意识形态上存在差异，故取证与司法鉴定原则在具体使用上可能有所不同。在国内，学者对有关电子数据取证原则有不同的论述，但在法律上还缺乏相应的规定。鉴于网络技术和计算机技术的无国界性，各国电子数据取证原则的目的都是为了保证获取证据的合法性、客观性和关联性，综合起来电子数据取证原则应该包括以下几个方面。

1.依法取证原则

任何证据的有效性和可采用性都取决于证据的客观性、与案件事实的关联性和取证活动的合法性。

第一，调查取证的人员要合法，应经过相关培训，具备法定资质；

第二，作为电子数据取证的对象范围应明确确定，不能对与案件事实无关的数据随意取证；

第三，取证所使用的方法必须符合相关技术标准，工具必须通过国家有关主管部门的评测；

第四，取证必须按照法律的规定公开进行。采取非法手段获取的证据不具备可采用性，所以也就丧失了其证明力。

2.保护证据完整性原则

《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第五条规定：“对作为证据使用的电子数据，应当采取以下一种或者几种方法保护电子数据的完整性；

(一)扣押、封存电子数据原始存储介质；

(二)计算电子数据完整性校验值；

(三)制作、封存电子数据备份；

(四)冻结电子数据；

(五)对收集、提取电子数据的相关活动进行录像；

(六)其他保护电子数据完整性的方法。”

一般情况下，为了避免电子数据在分析处理过程中遭受意外损坏，对电子数据证据做多个备份是必要的。不应在原始介质上进行分析，而应对原始介质做备份，然后将原始介质作为证据保存起来，在备份上进行检验。因为，有时使用写保护设备长时间对原始证据盘进行分析，有可能会损害原始硬盘。比如，原始证据盘已经存在一定的坏扇区或弱扇区，如果长时间对硬盘进行分析，可能损害原始硬盘。因此，推荐的做法是先用硬盘复制机将原始硬盘复制一个或多个副本，再将原始证据盘封存，后续都通过只读锁对证据副本硬盘进行分析。

在特殊情况下，如需访问在原始计算机或存储介质中的数据，访问人员必须有能力胜任此操作，且必须对操作的全过程进行录像，并能给出相关解析说明要访问原始证据的理由。

3.及时取证原则

电子数据证据的获取具有实效性，一旦确定对象后，应尽快提取证据，防止证据变更和丢失。因为电子数据证据最重要的特点之一就是易破坏性，必须尽早收集证据，并保证其没有受到任何破坏。这一原则要求计算机证据的获取要有一定的时效性。电子数据证据从形成到获取间隔的时间越长，被删除、毁坏和修改的可能性就越大。因此，确定取证对象后，应该尽可能早地获取电子数据证据，保证其没有受到任何破坏和损失。

4.证据连续性原则

为了在法庭采用时能证明整个调查取证过程的合法性、真实性和完整性，在电子数据证据从最初的获取状态到法庭提交状态(包含证据的移交、保管、开封、拆卸等)的整个过程中，若存在任何变化都能明确说明此过程中没有人对证据进行恶意的篡改，则该证据是连续性的。这也就是取证过程中一直强调的证据连续性(ChainofCustody)原则。

《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第十四条规定：“收集、提取电子数据，应当制作笔录，记录案由、对象、内容、收集、提取电子数据的时间、地点、方法、过程，并附电子数据清单，注明类别、文件格式、完整性校验值等，由侦查人员、电子数据持有人(提供人)签名或者盖章；电子数据持有人(提供人)无法签名或者拒绝签名的，应当在笔录中注明，由见证人签名或者盖章。有条件的，应当对相关活动进行录像。”

在取证过程中，应该记录相关的重要操作步骤及其细节，如所有可能接触证据的人、接触时间以及对电子数据证据进行的相关操作。任何取证分析的结果或结论可以在另外一名取证人员的操作下重现。

1.2.3电子数据取证面临的问题与发展

1.面临的问题

目前，电子数据取证面临的问题如下：

(1)培训流于形式，严重滞后发展需求。

电子数据取证是一个严谨的过程，因为它需要符合法律诉讼的要求。因此，取证机构必须从人、机、料、法、环、测等多个方面规范电子数据取证工作。

目前，国内尚未有权威的电子数据取证的培训认证体系，

一是缺少培训的分级分类，既包括对不同背景、不同知识层次人员制订不同的培训计划，也包括对电子数据不同领域、不同难度制订出分层次的培训计划；

二是缺少权威的成体系的教材，

目前市面上关于电子数据取证的书籍林林总总，但是没有一套真正成体系的教材，归根结底还是缺少培训认证的顶层设计；

三是没有成熟的师资队伍，部分高校的教师基本理论功底扎实，但是缺少大量公安一线实战工作经验的积累，一线优秀取证人员又缺少将自己的经验转化为教学成果的平台；

四是缺少权威的培训认证制度。目前只是根据相关规定达到一定知识背景和工作年限就可以取得鉴定人资格，但对于电子数据取证工作，这是远远不够的，需要有关部门尽快制定一套行之有效的认证制度，并由权威机构或部门进行认证。

国际上，电子数据取证领域的培训已经成为一种成熟产业，既有基于产品的认证培训，如EnCase认证调查员(EnCE)和AccessData认证调查员(ACE)，也有包含电子数据取证整个技术体系的综合培训，如计算机入侵调查取证员(CHFI)、计算机检验员(CCE)、计算机取证检验员(CFCE)及GIAC认证取证分析员(GCFA)、认证取证检验员(GCFE)等。

要想把电子数据取证的培训做到位，首先，必须建立适应中国国情的电子数据取证培训体系，要有国家权威部门进行的顶层设计；

其次，要借鉴国际培训经验，立足于国际视野，在吸纳国外先进理念的同时，建立具有中国特色的体系化、专业化的培训教案、师资队伍和认证制度。

目前，公安部和司法部相应机构已经着手编撰了一系列关于电子数据取证的教材，并且结合每年的能力验证活动、大比武、警务技术改革等一系列方式，加强对取证人员进行培训。

(2)标准重复严重，质量较差，修订周期过长。

与国际相比，我国发布的电子数据取证和鉴定领域的标准及规范看上去数量很多，但是由于标准制定机构之间缺乏协调和统一规划，导致标准内容出现重复现象严重。以国家标准为例，仅有的4个国标中，有两个方向重复，分别出自不同部门。不仅行业标准和司法鉴定技术规范几乎大部分重复，而且行业标准本身也存在重复现象。而作为标准，其基本要求之一就是要统一，要得到各部门、社会各界的共同认可。

此外，个别申报标准的部门对标准把关不严，只注重申报数量，不注重申报质量，导致某些标准中出现了严重的错误。电子数据鉴定实验室如果在实际案件中按照标准进行操作，则会带来不可避免的风险。

相应的，电子数据取证活动也应以“三性”原则为指导，针对电子数据证据的自身特性，从各个方面规范电子数据取证工作。

(3)设备准确度难以保证，缺乏相应的产品准入机制。

目前，我国在电子数据取证领域的研发实力和技术积累已经走在国际前列，拥有了包括电子数据取证的硬件(硬盘复制机、只读锁、取证工作站)以及取证软件(计算机取证分析、手机取证分析)等全系列自主研发的取证产品，成为继美国后第二个拥有电子数据取证软硬件综合研发能力的国家。但是，我国在取证产品的检测上与国际相比处于明显劣势，既没有编制取证工具的测试标准，也没有形成配套的标准化测试镜像。很多取证产品为了抢占市场，往往没有经过缜密的测试就推向市场。尤其是手机取证产品，利用同一产品的不同版本进行取证经常会得出不同的结果，严重影响了取证结果的公信力。

目前，我国对取证设备还没有制定准入制度，针对取证工具的检测标准也仅有GA/T754—2008和GA/T755—2008，随着取证领域和技术的不断发展以及大量新型取证工具的涌现，这些标准已不能满足实战的需要。我国应积极学习NIST建立的取证设备的测试机制，建立一个切合我国实际国情，符合工作需要的取证工具检验检测标准体系，并制定相应的准入机制，由授权的权威机构对产品(包括同一产品的不同版本)进行检验和定期检测，以保证电子数据取证工作的有效性、可靠性和稳定性。所幸，关于取证工具的可靠性问题已经引起了广泛关注，如何对此类工具进行评测也已经被提上相应机构的议事日程。

2.发展趋势

在以移动互联网、云计算以及物联网为代表的新一代网络快速发展的背景下，网络社会与物理社会相互交织、融为一体，改变了传统的互联网计算模式和体系结构，也改变了传统的取证方式。计算机犯罪是科技发展中的必然产物，而且随着技术的创新而不断转变，加大信息安全防范技术和电子数据取证技术的研究力度势在必行。

如何研制出在新型网络环境下进行电子数据取证的工具成为取证厂商亟待解决的一大难题，因此加大电子数据取证工具的研究力度势在必行。展望未来，电子数据取证将会朝着以下几个方向发展。

1)取证技术与新兴技术结合

电子数据取证技术是一门跨领域的综合性学科，要克服当前的局限性就要吸收多学科的研究成果，因此必须通过和其他数字技术进行结合才能取得发展。移动互联网技术、云计算、大数据以及物联网技术等的不断发展，必将对电子数据取证技术的发展产生较大的影响。而在这种情况下，只有通过有效的结合手段才能推动电子数据取证技术的发展。

2)取证工具高速化、自动化、专业化与智能化发展

如今电子数据证据以不同形式分布在计算机、路由器、入侵检测系统(IntrusionDetectionSystems，IDS)和移动存储等不同设备中。此外，数字设备的存储能力以超过摩尔定律的速度增长，经常涉及海量数据，如果依靠人工来实现，取证的速度和可靠性将大大降低。所以，未来需要功能更强、速度更快、自动化程度更高的取证工具，才能有效进行电子数据取证。取证工具也将不断利用数据挖掘、人工智能以及硬件加速技术(如多核技术等)增强其智能化，以应对大数据量、复杂数据的取证分析能力。综上，取证工具必须高速化、自动化、专业化与智能化，才能满足和提高不同领域电子数据取证调查需求。

3)新型加密和解密

与各种新型的智能设备不断涌现相比，传统设备也在不断发展和丰富，普通计算机和移动设备都在安全性方面不断强化，因此需要从硬件、软件等多个角度研究加密算法。

从硬件角度看，越来越多的设备将安全模块和加密芯片固化，使用独立的硬件来处理系统的数据，如基于PC的TPM模块、基于iOS的SecureEnclave模块以及带有硬件AES(AdvancedEncryptionStandard，高级加密标准)功能的处理器、移动存储上的各种加密芯片等，从硬件层次直接固化加密算法及密钥信息，使这些设备的数据提取和解密难度不断提升。

从软件角度看，各类系统的加密策略不断完善，加密算法的强度也在不断提升。无论是iOS还是Android，都已经将全盘加密作为系统的默认选项，Windows系统中的BitLocker和macOS系统中的FileVault，其使用率随着使用者安全意识的