王俊

（中國(guó)人民公安大學(xué)，北京100038）

根據(jù)計(jì)算機(jī)取證狀態(tài)的不同，學(xué)界一般將計(jì)算機(jī)取證分為動(dòng)態(tài)的在線取證和靜態(tài)的事后取證，由于動(dòng)態(tài)在線取證的技術(shù)標(biāo)準(zhǔn)和法律認(rèn)同問(wèn)題久拖未決，為保證取證結(jié)果的法律認(rèn)可和電子證據(jù)的易于采信，目前司法實(shí)踐中大多使用傳統(tǒng)的靜態(tài)取證。

傳統(tǒng)的靜態(tài)取證方式立足于對(duì)計(jì)算機(jī)相關(guān)存儲(chǔ)設(shè)備中的電子數(shù)據(jù)的離線解讀和分析，需要電子數(shù)據(jù)的既定寫(xiě)存和較好的數(shù)據(jù)存儲(chǔ)環(huán)境。如果數(shù)據(jù)未能寫(xiě)入相關(guān)存儲(chǔ)設(shè)備或取證條件不理想的情況下，靜態(tài)取證的效果將大打折扣。譬如，對(duì)運(yùn)行中的計(jì)算機(jī)信息系統(tǒng)先實(shí)施關(guān)機(jī)操作再進(jìn)行事后的靜態(tài)取證就會(huì)造成取證目標(biāo)主機(jī)中一些重要的即時(shí)數(shù)據(jù)①所謂的即時(shí)數(shù)據(jù)是指只有在計(jì)算機(jī)系統(tǒng)運(yùn)行的過(guò)程中可以被分析和獲取的電子數(shù)據(jù)，這些數(shù)據(jù)會(huì)隨著系統(tǒng)關(guān)機(jī)而滅失。諸如寄存器轉(zhuǎn)存數(shù)據(jù)、RAM數(shù)據(jù)、虛擬內(nèi)存數(shù)據(jù)、用戶實(shí)時(shí)操作軌跡、網(wǎng)絡(luò)即時(shí)通訊數(shù)據(jù)等都可視為即時(shí)數(shù)據(jù)范疇。的丟失。即時(shí)數(shù)據(jù)大多是明文數(shù)據(jù)，其中可能含有各種密文的解密口令、各類程序的操作運(yùn)行記錄、虛擬內(nèi)存的寫(xiě)入記錄、網(wǎng)絡(luò)即時(shí)通訊數(shù)據(jù)記錄等信息，這些信息最終并不會(huì)被寫(xiě)入計(jì)算機(jī)系統(tǒng)的存儲(chǔ)設(shè)備中，其會(huì)隨著系統(tǒng)的運(yùn)行終結(jié)而自行消失。在很多時(shí)候，獲得這些即時(shí)數(shù)據(jù)可以使取證事半功倍，因而其重要性也越來(lái)越受到司法機(jī)關(guān)的重視，但獲得這些數(shù)據(jù)需要取證的在線進(jìn)行和動(dòng)態(tài)的研判分析與收集保全，采用靜態(tài)事后取證無(wú)法滿足即時(shí)數(shù)據(jù)獲取的需要。

此外，靜態(tài)取證獲取的數(shù)據(jù)是計(jì)算機(jī)系統(tǒng)運(yùn)行的各類結(jié)果數(shù)據(jù)，對(duì)于各類電子數(shù)據(jù)如何形成、獲取的各類電子數(shù)據(jù)間有何關(guān)聯(lián)、用戶事前進(jìn)行了何種操作、數(shù)據(jù)變化的原因等問(wèn)題若采用事后靜態(tài)取證的方法，從結(jié)果數(shù)據(jù)中很難推定這些數(shù)據(jù)產(chǎn)生、改變、滅失的原因。再有，靜態(tài)取證難以重現(xiàn)電子數(shù)據(jù)先在②取證實(shí)施前目標(biāo)計(jì)算機(jī)系統(tǒng)的動(dòng)態(tài)運(yùn)行環(huán)境以及系統(tǒng)變量。運(yùn)行環(huán)境，面對(duì)海量的電子數(shù)據(jù)，靜態(tài)取證的準(zhǔn)確度、取證的效率受到很大影響。

為滿足取證動(dòng)態(tài)分析的實(shí)際需要、彌補(bǔ)靜態(tài)事后取證之不足，近年來(lái)學(xué)界一直致力于滿足取證技術(shù)和取證法律雙重要求的動(dòng)態(tài)取證方法的探尋。隨著計(jì)算機(jī)仿真技術(shù)、磁盤(pán)重新定向技術(shù)、Shadow等計(jì)算機(jī)技術(shù)的研究應(yīng)用，計(jì)算機(jī)仿真（動(dòng)態(tài)）取證應(yīng)用的技術(shù)條件已經(jīng)具備。目前已開(kāi)發(fā)出的 Power Shadow、PC Virtual、Virtual Box、VM Workstation等軟件工具已具備了應(yīng)用于計(jì)算機(jī)取證的條件，我國(guó)計(jì)算機(jī)取證產(chǎn)品開(kāi)發(fā)廠商也已研發(fā)成型 “ATT-3000動(dòng)態(tài)仿真取證系統(tǒng)”、“盤(pán)石計(jì)算機(jī)仿真取證系統(tǒng)”等仿真取證設(shè)備。這些設(shè)備的應(yīng)用在很大程度上促進(jìn)了取證效率的提高，充實(shí)了計(jì)算機(jī)取證的結(jié)果。但也有學(xué)者對(duì)于仿真取證設(shè)備的可靠性提出質(zhì)疑，有學(xué)者提出目前仿真取證的技術(shù)標(biāo)準(zhǔn)、相關(guān)操作規(guī)范和程序要求缺失，如何保障計(jì)算機(jī)仿真取證的結(jié)果能夠獲得法律的認(rèn)可？怎樣實(shí)現(xiàn)計(jì)算機(jī)仿真取證的規(guī)范化運(yùn)作？計(jì)算機(jī)仿真取證能否保證結(jié)果的真實(shí)完整等，解決這些問(wèn)題的關(guān)鍵就在于仿真取證規(guī)范化的盡快實(shí)現(xiàn)。

計(jì)算機(jī)仿真取證規(guī)范化的實(shí)現(xiàn)途徑與傳統(tǒng)靜態(tài)取證的要求相同，即“技法并行”，才能保證取證結(jié)果的有效和電子證據(jù)的客觀、完整、可信。因此，在計(jì)算機(jī)仿真取證應(yīng)用技術(shù)條件成熟的同時(shí)，仿真取證的相應(yīng)規(guī)范和標(biāo)準(zhǔn)也必須及時(shí)制定和完善。基于此目的，本文試從計(jì)算機(jī)仿真取證的法律規(guī)范設(shè)計(jì)角度出發(fā)，結(jié)合仿真取證的技術(shù)特點(diǎn)，尋求仿真取證規(guī)范的構(gòu)建。

1 計(jì)算機(jī)仿真取證解讀

簡(jiǎn)言之，計(jì)算機(jī)仿真取證是指在仿真模擬目標(biāo)計(jì)算機(jī)系統(tǒng)的運(yùn)行環(huán)境下實(shí)施的動(dòng)態(tài)取證活動(dòng)。系統(tǒng)仿真、系統(tǒng)原始環(huán)境的再現(xiàn)、數(shù)據(jù)寫(xiě)保護(hù)、數(shù)據(jù)動(dòng)態(tài)在線分析和保全是仿真取證的主要特點(diǎn)。所以歸結(jié)來(lái)講，計(jì)算機(jī)仿真取證是指運(yùn)用計(jì)算機(jī)仿真技術(shù)實(shí)現(xiàn)對(duì)目標(biāo)計(jì)算機(jī)系統(tǒng)的仿真模擬和環(huán)境再現(xiàn)，在系統(tǒng)寫(xiě)保護(hù)狀態(tài)下實(shí)施的對(duì)目標(biāo)系統(tǒng)中各類電子數(shù)據(jù)原有狀態(tài)的還原、操作軌跡的追蹤以及各種數(shù)據(jù)記錄的收集與保全活動(dòng)。

1.1 仿真取證的原理與分類

計(jì)算機(jī)仿真取證主要是利用虛擬機(jī)技術(shù)、Shadow技術(shù)、重新定向等技術(shù)對(duì)目標(biāo)計(jì)算機(jī)系統(tǒng)的操作系統(tǒng)內(nèi)核、硬件設(shè)備、用戶環(huán)境、各種網(wǎng)絡(luò)協(xié)議、應(yīng)用程序、數(shù)據(jù)記錄等信息進(jìn)行動(dòng)態(tài)的仿真運(yùn)行模擬，以在此基礎(chǔ)上構(gòu)建出安全的、可供動(dòng)態(tài)取證的操作環(huán)境[1]。

按照取證對(duì)象的不同，可將計(jì)算機(jī)仿真取證分為：基于原機(jī)的仿真、基于硬盤(pán)鏡像的仿真和基于硬盤(pán)鏡像文件的仿真?；谠瓩C(jī)的仿真是在擁有原始主機(jī)且系統(tǒng)處于寫(xiě)保護(hù)狀態(tài)下的即時(shí)在線取證，其主要目的是動(dòng)態(tài)獲取目標(biāo)主機(jī)中的即時(shí)數(shù)據(jù)、程序運(yùn)行數(shù)據(jù)、網(wǎng)絡(luò)通信信息以及攻擊、入侵行為的數(shù)據(jù)記錄；基于硬盤(pán)仿真取證是在借助虛擬機(jī)技術(shù)的基礎(chǔ)上對(duì)裝有操作系統(tǒng)的硬盤(pán)進(jìn)行硬件的仿真重建，通過(guò)仿真加載原有系統(tǒng)設(shè)置，重建原有計(jì)算機(jī)系統(tǒng)運(yùn)行的軟、硬件環(huán)境，進(jìn)行原始電子數(shù)據(jù)的動(dòng)態(tài)分析獲?。换谟脖P(pán)鏡像的仿真取證是在甄別鏡像文件中的原有系統(tǒng)配置信息的基礎(chǔ)上，實(shí)現(xiàn)原載系統(tǒng)的仿真啟動(dòng)，以在線直觀、準(zhǔn)確的判別、收集和保全所需的電子證據(jù)[2]。

1.2 仿真取證的效能

仿真取證是為彌補(bǔ)傳統(tǒng)靜態(tài)取證的不足、提高計(jì)算機(jī)取證的效率、充實(shí)取證的結(jié)果而設(shè)計(jì)的，所以仿真取證有傳統(tǒng)靜態(tài)取證所不具備的優(yōu)勢(shì)和功能。

1.2.1 仿真取證能獲取傳統(tǒng)靜態(tài)取證所無(wú)法獲得的“即時(shí)數(shù)據(jù)”

靜態(tài)取證多采取“二步式”做法，首先需要偵（調(diào)）查人員對(duì)原有計(jì)算機(jī)系統(tǒng)進(jìn)行靜態(tài)的封存，之后再交由專業(yè)的電子數(shù)據(jù)鑒定人員做取證分析。如果對(duì)處于運(yùn)行狀態(tài)下的目標(biāo)計(jì)算機(jī)系統(tǒng)實(shí)施直接關(guān)機(jī)操作，這樣目標(biāo)計(jì)算機(jī)系統(tǒng)中的“即時(shí)數(shù)據(jù)”就無(wú)法得以收集和保全。采用動(dòng)態(tài)仿真的做法，可在系統(tǒng)寫(xiě)保護(hù)的狀態(tài)下實(shí)現(xiàn)對(duì)目標(biāo)主機(jī)中的“即時(shí)數(shù)據(jù)”③需要原系統(tǒng)處于運(yùn)行狀態(tài)，在系統(tǒng)寫(xiě)保護(hù)的情況下實(shí)施即時(shí)在線取證分析。的及時(shí)在線獲取，避免“即時(shí)數(shù)據(jù)”的滅失，為后續(xù)取證分析提供口令、文件和數(shù)據(jù)的支持。

1.2.2 仿真取證可以彌補(bǔ)傳統(tǒng)靜態(tài)取證 “網(wǎng)絡(luò)電子數(shù)據(jù)”獲取能力的不足

仿真取證的一大優(yōu)點(diǎn)就是其可以仿真模擬原有計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)運(yùn)行環(huán)境和網(wǎng)絡(luò)通信協(xié)議，獲取原有系統(tǒng)中的各種網(wǎng)絡(luò)程序的賬號(hào)信息、電子證書(shū)數(shù)據(jù)、IE自動(dòng)填寫(xiě)表單數(shù)據(jù)。獲得這些數(shù)據(jù)可以實(shí)現(xiàn)對(duì)用戶的電子郵箱信息、聊天記錄、寄存于網(wǎng)絡(luò)存儲(chǔ)空間中的電子數(shù)據(jù)的解讀和分析；仿真取證具有“還原重現(xiàn)”原有系統(tǒng)運(yùn)行軌跡的功能。傳統(tǒng)靜態(tài)取證只能對(duì)已存電子數(shù)據(jù)做事后的分析和解讀，無(wú)法解決目標(biāo)系統(tǒng)原有運(yùn)行軌跡記錄數(shù)據(jù)的收集和獲取，因此也就很難實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)原有運(yùn)行軌跡的還原和再現(xiàn)。仿真取證則可通過(guò)仿真模擬，再現(xiàn)目標(biāo)系統(tǒng)原有數(shù)據(jù)的生成、改動(dòng)、存儲(chǔ)等數(shù)據(jù)運(yùn)行的軌跡，重塑電子數(shù)據(jù)從生成到改動(dòng)的操作記錄，實(shí)現(xiàn)數(shù)據(jù)的追溯還原。

1.3 仿真取證應(yīng)用必須解決的問(wèn)題

目前各國(guó)對(duì)計(jì)算機(jī)仿真取證的研究尚處在起步階段，由于仿真取證的相關(guān)標(biāo)準(zhǔn)缺失，仿真取證在應(yīng)用的過(guò)程中在技術(shù)、法律、程序等方面受到很多拷問(wèn)。仿真取證技術(shù)能否完全保障取證目標(biāo)計(jì)算機(jī)系統(tǒng)中各種數(shù)據(jù)的原始性和可信性？仿真取證應(yīng)遵循何種取證程序標(biāo)準(zhǔn)？仿真取證工具是否經(jīng)過(guò)檢測(cè)和認(rèn)證？從保證電子證據(jù)的證據(jù)能力和證明力的角度思考，這些問(wèn)題可集中歸為一點(diǎn)，即仿真取證結(jié)果的法律認(rèn)可問(wèn)題。為求得取證結(jié)果的法律認(rèn)可，仿真取證的應(yīng)用必須首先著眼相關(guān)標(biāo)準(zhǔn)和規(guī)范的制定。鑒于計(jì)算機(jī)取證必須滿足技術(shù)和法律的雙重要求，仿真取證規(guī)范的內(nèi)容在保障仿真取證技術(shù)容許性的基礎(chǔ)上必須與取證的法律要求相契合。因此仿真取證規(guī)范的制定應(yīng)將重點(diǎn)放在取證法律規(guī)范、技術(shù)檢測(cè)認(rèn)證規(guī)則④得益于硬盤(pán)重新定向技術(shù)、虛擬仿真技術(shù)、臨時(shí)存儲(chǔ)技術(shù)（Shadow）的成熟應(yīng)用，現(xiàn)今計(jì)算機(jī)仿真技術(shù)的可行性問(wèn)題已得到了解決，但基于仿真技術(shù)研發(fā)的各種仿真取證設(shè)備是否能應(yīng)用于仿真取證活動(dòng)目前還有待評(píng)判，因而仿真取證技術(shù)規(guī)范研究應(yīng)重點(diǎn)著眼仿真取證工具的檢測(cè)和認(rèn)證（評(píng)判）標(biāo)準(zhǔn)的制定。、程序標(biāo)準(zhǔn)等問(wèn)題的解決上。

2 計(jì)算機(jī)仿真取證的法律標(biāo)準(zhǔn)

2.1 仿真取證規(guī)范化進(jìn)程中的已決和未決法律問(wèn)題

計(jì)算機(jī)仿真取證的法律標(biāo)準(zhǔn)包括兩大部分：仿真取證的法律依據(jù)和取證結(jié)果的法律認(rèn)可。仿真取證的法律依據(jù)早在我國(guó)97年《刑法》中就已有明文規(guī)定。我國(guó)在97年《刑法》中增設(shè)了第285條（非法侵入計(jì)算機(jī)信息系統(tǒng)罪）、286條（破壞計(jì)算機(jī)信息系統(tǒng)罪）、287條（利用計(jì)算機(jī)實(shí)施傳統(tǒng)犯罪的規(guī)定）有關(guān)計(jì)算機(jī)犯罪的規(guī)定，標(biāo)志著我國(guó)計(jì)算機(jī)犯罪取證正式法律依據(jù)的出臺(tái)。同時(shí)，在2009年出臺(tái)的《刑法》第七修正案中對(duì)第285條“非法侵入計(jì)算機(jī)信息系統(tǒng)罪”的適用范圍進(jìn)行了擴(kuò)大修訂，對(duì)于非法侵入“國(guó)家事務(wù)”、“國(guó)防建設(shè)”和“尖端科技領(lǐng)域”外的計(jì)算機(jī)信息系統(tǒng)，情節(jié)嚴(yán)重的行為，也要求給予刑事處罰，進(jìn)一步擴(kuò)大了計(jì)算機(jī)取證的適用范圍[3]。

仿真取證結(jié)果的法律認(rèn)證問(wèn)題亦包括兩個(gè)方面：電子證據(jù)的證據(jù)資格和證據(jù)能力問(wèn)題。證據(jù)資格解決的是電子證據(jù)的法律地位問(wèn)題，證據(jù)能力則是對(duì)電子證據(jù)認(rèn)證的要求。審視我國(guó)法律體系不難發(fā)現(xiàn)，電子證據(jù)的證據(jù)資格問(wèn)題目前還未得到妥善解決。首先，我國(guó)的三大訴訟法中僅規(guī)定了七類傳統(tǒng)證據(jù)形式，由于三大訴訟法制定時(shí)間較早，當(dāng)時(shí)在我國(guó)尚未出現(xiàn)涉及電子證據(jù)的法律訴訟，所以在這些法律中并未設(shè)置電子證據(jù)的法律條文。其次，對(duì)于電子證據(jù)的歸屬問(wèn)題目前尚不統(tǒng)一。最高人民法院《關(guān)于民事訴訟證據(jù)的若干規(guī)定》第二十二條規(guī)定：“調(diào)查人員調(diào)查收集計(jì)算機(jī)數(shù)據(jù)或者錄音、錄像等視聽(tīng)資料的，應(yīng)當(dāng)要求被調(diào)查人提供有關(guān)資料的原始載體；”最高人民法院《關(guān)于行政訴訟證據(jù)若干問(wèn)題的規(guī)定》第十二條規(guī)定：“根據(jù)行政訴訟法第三十一條第一款第（三）項(xiàng)的規(guī)定，當(dāng)事人向人民法院提供計(jì)算機(jī)數(shù)據(jù)或者錄音、錄像等視聽(tīng)資料”。從高法兩個(gè)有關(guān)電子證據(jù)的司法解釋看，司法機(jī)關(guān)是將電子證據(jù)作為視聽(tīng)資料使用，但《中華人民共和國(guó)合同法》在解釋“書(shū)面”的語(yǔ)詞含義時(shí)將電子證據(jù)納入其中作為書(shū)證看待，二者之間明顯存在矛盾。

我國(guó)對(duì)于電子證據(jù)證據(jù)力的審查評(píng)判目前仍沿用著傳統(tǒng)證據(jù)審查采納的“三大原則”（客觀性、合法性和關(guān)聯(lián)性評(píng)判原則）。傳統(tǒng)證據(jù)審查采納的客觀性準(zhǔn)則要求證據(jù)的真實(shí)和本位，呈堂出示的證據(jù)不受人為主觀的改變和修正，是符合案件事實(shí)的證據(jù)；合法性要求取證的主體、程序、方式合法，證據(jù)在內(nèi)容和形式上符合法律的規(guī)定；關(guān)聯(lián)性則是要求出示的證據(jù)必須與案件事實(shí)存在邏輯和法律的聯(lián)系，與案件無(wú)關(guān)的其他事實(shí)材料不能作為證據(jù)使用。上述證據(jù)的一般采納標(biāo)準(zhǔn)是依據(jù)傳統(tǒng)證據(jù)的特性而制定的，如果將其用于新型證據(jù)“電子證據(jù)”采納認(rèn)證上則存在“兼容不佳”的問(wèn)題。首先，客觀性與電子證據(jù)的“即時(shí)性”和“不可見(jiàn)性”兼容不佳。電子證據(jù)具有即時(shí)性和隱蔽性，較之于傳統(tǒng)證據(jù)，電子證據(jù)更易發(fā)生改變，造成其改變的決定因素在于電子證據(jù)存儲(chǔ)環(huán)境的不安全，而非電子證據(jù)本身。所以要求電子證據(jù)具備客觀性的前提條件就是保證其外在寄存環(huán)境的安全性，將客觀性要求建之于電子證據(jù)的審查標(biāo)準(zhǔn)不能保證電子證據(jù)本源的安全和可信。因而電子證據(jù)的證據(jù)采納標(biāo)準(zhǔn)應(yīng)著眼“安全性”審查，而非“客觀性”的衡量；其次，“關(guān)聯(lián)性”標(biāo)準(zhǔn)與電子證據(jù)的“完整性”審查置位不當(dāng)。決定電子證據(jù)是否具備證據(jù)能力、證據(jù)效力的大小的首要因素在于電子證據(jù)內(nèi)容是否完整，同時(shí)要看其存儲(chǔ)載體是否安全。電子證據(jù)的“完整性”決定著電子證據(jù)的“關(guān)聯(lián)性”，“關(guān)聯(lián)性”標(biāo)準(zhǔn)僅是對(duì)“完整性”要求的補(bǔ)強(qiáng)，如將“關(guān)聯(lián)性”作為審查電子證據(jù)采納的評(píng)判標(biāo)準(zhǔn)，有依據(jù)缺失之嫌。因此，審查采納電子證據(jù)應(yīng)首先以“完整性”審查作為“關(guān)聯(lián)性”審查的依據(jù)，唯此才能保證電子證據(jù)內(nèi)容的可信和“關(guān)聯(lián)性”要求的具備。再次，電子證據(jù)“合法性”審查的先決條件不足。證據(jù)采納的“合法性”審查包含對(duì)證據(jù)形式的審查，我國(guó)目前的證據(jù)法體系中并未完全承認(rèn)電子證據(jù)的法定證據(jù)地位，這在證據(jù)資格審查階段就已經(jīng)否決了電子證據(jù)的法律效力，因此也就無(wú)從提及電子證據(jù)的“合法性”的審查評(píng)判。

2.2 未決問(wèn)題的解決方案

通過(guò)上述分析可以發(fā)現(xiàn)，仿真取證法律標(biāo)準(zhǔn)的構(gòu)建應(yīng)重點(diǎn)著眼電子證據(jù)證據(jù)地位的明確和電子證據(jù)可采性規(guī)則的建立，設(shè)計(jì)包括仿真取證在內(nèi)的各種計(jì)算機(jī)取證活動(dòng)結(jié)果法律認(rèn)可的方法和標(biāo)準(zhǔn)。

2.2.1 電子證據(jù)證據(jù)地位的明確

緣于我國(guó)證據(jù)法采用法定證據(jù)列舉的形式，因此應(yīng)在證據(jù)法中增加電子證據(jù)的法律條文，至于是否將電子證據(jù)列為一種新型證據(jù)類型，筆者持肯定態(tài)度。因?yàn)閷㈦娮幼C據(jù)視為物證、書(shū)證或視聽(tīng)資料證據(jù)都無(wú)法涵蓋電子證據(jù)的內(nèi)涵和外延。將電子證據(jù)列為物證使用違背電子證據(jù)的“不可見(jiàn)”特性，物證是以其外在特征、狀態(tài)來(lái)證明案件事實(shí)的，而電子證據(jù)則是以其不可直接顯現(xiàn)的內(nèi)容用作證據(jù)的，其不具備物證的屬性；將電子證據(jù)作為書(shū)證使用也不符合電子證據(jù)的特性，書(shū)證的內(nèi)容是能夠直觀再現(xiàn)的文字、符號(hào)、圖標(biāo)，且其內(nèi)容較為穩(wěn)定，通常被作為直接證據(jù)使用，而電子證據(jù)的內(nèi)容不能直接顯示，且容易發(fā)生變化，一般只能被用作間接證據(jù)，所以二者不能簡(jiǎn)單等同。電子證據(jù)不可作為視聽(tīng)資料使用，是因?yàn)殡娮幼C據(jù)既包括可以視聽(tīng)的證據(jù)內(nèi)容，也包括不可視聽(tīng)的諸如電子文本（文檔）記錄、程序代碼、數(shù)字符號(hào)等電磁數(shù)據(jù)內(nèi)容。此外，電子證據(jù)呈現(xiàn)方式較之于視聽(tīng)資料類證據(jù)呈三維多媒體化，而非單一的視、聽(tīng)形式，其外延大于視聽(tīng)資料的外延范圍，因而電子證據(jù)亦不能歸為視聽(tīng)資料使用。鑒于上述電子證據(jù)有別于傳統(tǒng)證據(jù)的特有屬性，應(yīng)將電子證據(jù)單列作為一種新型證據(jù)在證據(jù)法中予以規(guī)定。

2.2.2 電子證據(jù)審查采納標(biāo)準(zhǔn)的建立

鑒于電子證據(jù)有別于傳統(tǒng)證據(jù)的特殊之處，美國(guó)、加拿大、菲律賓等國(guó)對(duì)于電子證據(jù)已單獨(dú)設(shè)立了相應(yīng)的審查采納標(biāo)準(zhǔn)。以美國(guó)為例，美國(guó)建立了電子證據(jù)采納的 “業(yè)務(wù)記錄例外規(guī)則”、“最佳證據(jù)規(guī)則”、“電子證據(jù)可靠性的評(píng)判標(biāo)準(zhǔn)”，同時(shí)其《聯(lián)邦證據(jù)規(guī)則》第702條[4]對(duì)于“專家證人”出庭作證也給出了5條標(biāo)準(zhǔn)。“業(yè)務(wù)記錄例外”規(guī)則規(guī)定：“如果向法院呈交的電子證據(jù)符合相應(yīng)案例所確立的采信標(biāo)準(zhǔn)⑤通過(guò)United States v.Cestnik，36 F.3d 904，909-10（10th Cir.1994）；United States v.Moore，923 F.2d 910，914（1st Cir.1991）；U-nited States v.Briscoe，896 F.2d 1476，1494（7th Cir.1990）；United States v.Catabran，836 F.2d 53，457（9th Cir.1988）；Capital Marine Supply v.M/V Roland Thomas II，719 F.2d 104，106（5th Cir.1983）案件的審理，美國(guó)聯(lián)邦法院最終確立了電子證據(jù)的采信規(guī)則。只要符合以上案例所確定的規(guī)則，法院將對(duì)提交的電子證據(jù)予以采信。同時(shí)，該規(guī)則對(duì)于“業(yè)務(wù)”術(shù)語(yǔ)的定義也給出了說(shuō)明，“業(yè)務(wù)”包括商務(wù)、社會(huì)事業(yè)機(jī)構(gòu)、協(xié)會(huì)、職業(yè)、專業(yè)，凡此種種，無(wú)論是否以盈利為目的。，法院將以‘業(yè)務(wù)記錄’的形式對(duì)其予以認(rèn)可；”美國(guó)的最佳證據(jù)規(guī)則規(guī)定：“如果數(shù)據(jù)存儲(chǔ)在計(jì)算機(jī)或與計(jì)算機(jī)類似的裝置中，且這些數(shù)據(jù)能夠被準(zhǔn)確讀取，那么這些數(shù)據(jù)的準(zhǔn)確打印輸出記錄總是能夠滿足最佳證據(jù)規(guī)則要求的?！弊罴炎C據(jù)規(guī)則的這一規(guī)定對(duì)電子證據(jù)的效力做出了解釋，只要是能準(zhǔn)確記錄和反映案件事實(shí)并能正確獲取的電子證據(jù)，其法律效力就可以得到認(rèn)可[5]，其優(yōu)點(diǎn)在于用準(zhǔn)確記錄展示的方法解決了電子證據(jù)的原始性證明問(wèn)題。關(guān)于電子證據(jù)的可靠性評(píng)判，美國(guó)則要求在取證的過(guò)程中建立取證安全保障體系⑥在United States v.Glasser，773 F.2d 1553，1559（11th Cir.1985）一案中，法院確立了如下規(guī)則：法庭認(rèn)可計(jì)算機(jī)打印輸出記錄的先決條件是取證當(dāng)時(shí)必須要構(gòu)建安全保障體系，否則電子證據(jù)將不被采信。，如果整個(gè)取證過(guò)程有完整的安全保障措施，取證所獲取的電子證據(jù)就是可信的。此外，美國(guó)聯(lián)邦證據(jù)規(guī)則第702條對(duì)于取證人員出庭作證提供 “專家證言”也設(shè)置了相應(yīng)的標(biāo)準(zhǔn)。其對(duì)專家證言可否采信設(shè)置了5條衡量標(biāo)準(zhǔn)：（1）審查專家證人所使用的理論和技術(shù)是否已通過(guò)專業(yè)認(rèn)證；（2）審查這些理論和技術(shù)是否得到同行認(rèn)可，是否被公開(kāi)使用；（3）審查專家證人所使用的技術(shù)是否存在已知的錯(cuò)誤率；（4）審查這些理論和技術(shù)的應(yīng)用是否遵循相關(guān)標(biāo)準(zhǔn)；（5）審查專家證人所使用的理論和技術(shù)是否被社會(huì)所廣泛接受。只有滿足上述標(biāo)準(zhǔn)的要求，“電子證據(jù)鑒定 （取證）”結(jié)論才能被法庭采納和認(rèn)可[6]。

加拿大在其《統(tǒng)一電子證據(jù)法》中規(guī)定了電子證據(jù)的運(yùn)用、認(rèn)證規(guī)則和完整性假定規(guī)則，其中完整性假定標(biāo)準(zhǔn)要求必須有證據(jù)證明取證過(guò)程中目標(biāo)計(jì)算機(jī)系統(tǒng)運(yùn)行正常、取證須由與案件無(wú)利害關(guān)系的人操作。同時(shí)，《統(tǒng)一電子證據(jù)法》[7]中還要求法庭在審查采納電子證據(jù)的過(guò)程中考慮電子數(shù)據(jù)的來(lái)源、數(shù)據(jù)的性質(zhì)和數(shù)據(jù)存儲(chǔ)的目的。

《菲律賓電子證據(jù)規(guī)則》中設(shè)置了最佳證據(jù)規(guī)則，其中規(guī)定了“電子文檔原件標(biāo)準(zhǔn)”和“拷貝等于原件”標(biāo)準(zhǔn)。如果電子文檔通過(guò)其打印稿或通過(guò)其他手段可只讀輸出并能準(zhǔn)確反映數(shù)據(jù)的內(nèi)容，此時(shí)可視該電子文檔為最佳證據(jù)規(guī)則下的原件；如果文檔存在兩個(gè)以上的拷貝件，且內(nèi)容和原件一致，該拷貝件和原件具有同等效力。此外，在該規(guī)則中首次規(guī)定了“瞬息電子證據(jù)”，如果瞬息電子證據(jù)產(chǎn)生、傳輸過(guò)程有當(dāng)事人或在場(chǎng)人員證明，該瞬息電子數(shù)據(jù)記錄就可視為證據(jù)使用[8]。

分析以上國(guó)外電子證據(jù)審查采納的相關(guān)規(guī)則可以發(fā)現(xiàn)，這些規(guī)則采用了不同于傳統(tǒng)證據(jù)審查的標(biāo)準(zhǔn)，審查的重點(diǎn)在于電子證據(jù)存儲(chǔ)環(huán)境的安全性和可追溯性，同時(shí)也注重電子證據(jù)內(nèi)容完整性的審查。有鑒于此，我國(guó)電子證據(jù)審查采納標(biāo)準(zhǔn)應(yīng)單獨(dú)制定區(qū)別于傳統(tǒng)證據(jù)的審查采納標(biāo)準(zhǔn)，在電子證據(jù)安全性審查、內(nèi)容完整性審查、來(lái)源可追溯性審查的框架下設(shè)計(jì)具體的衡量標(biāo)準(zhǔn)。

2.2.2.1 電子證據(jù)安全性審查

主要應(yīng)包括：（1）電子證據(jù)取證過(guò)程是否制定了安全保障措施、這些措施是否可行；（2）取證活動(dòng)的關(guān)鍵時(shí)刻電子證據(jù)的存儲(chǔ)環(huán)境是否收到影響，是否引發(fā)了電子證據(jù)內(nèi)容的改變；（3）取證技術(shù)是否可行，這些技術(shù)是否有已知的錯(cuò)誤率，錯(cuò)誤率是否影響取證結(jié)果的唯一性；（4）取證所使用的軟硬件工具是否具備準(zhǔn)確識(shí)別、收集、保全電子證據(jù)的能力，是否經(jīng)過(guò)專業(yè)機(jī)構(gòu)檢測(cè)（已使用的仿真取證工具是否在業(yè)內(nèi)被同行普遍認(rèn)可）；（5）取證機(jī)構(gòu)專業(yè)能力水平的審查，取證實(shí)驗(yàn)室是否經(jīng)過(guò)國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員等部門(mén)授權(quán)的檢測(cè)認(rèn)證機(jī)構(gòu)的認(rèn)可；（6）取證人員的審查。審查取證人員是否有司法機(jī)構(gòu)統(tǒng)一頒發(fā)的取證（鑒定）資格證書(shū)；（7）取證結(jié)束到電子證據(jù)呈堂展示階段電子證據(jù)的安全性審查。審查在此階段電子證據(jù)的安全保障措施是否到位，保管方法是否可行。

2.2.2.2 電子證據(jù)內(nèi)容完整性審查

主要應(yīng)包括：（1）取證結(jié)果的電子數(shù)據(jù)記錄和紙質(zhì)記錄內(nèi)容是否一致；（2）電子證據(jù)的內(nèi)容是否準(zhǔn)確反映了案件的某一事實(shí)，是否能夠解釋某一活動(dòng)、行為的邏輯和法律聯(lián)系；（3）電子證據(jù)各副本記錄記載的數(shù)據(jù)內(nèi)容是否相同；（4）取證活動(dòng)整個(gè)階段數(shù)字水?。〞r(shí)間戳、數(shù)字摘要）是否連續(xù)，數(shù)字摘要的數(shù)值是否同一；（5）恢復(fù)的電子證據(jù)的內(nèi)容是否可以顯示，無(wú)法顯示的是否有其他證據(jù)佐證。

2.2.2.3 電子證據(jù)來(lái)源的可追溯性審查

來(lái)源的可追溯性審查主要是為查證電子證據(jù)是否準(zhǔn)確反映案件事實(shí)而服務(wù)，是取證過(guò)程連續(xù)性和電子證據(jù)可靠性的一條重要衡量標(biāo)準(zhǔn)，依據(jù)“可追溯性”的語(yǔ)詞含義、結(jié)合取證過(guò)程連續(xù)性要求和司法推知的原理，電子證據(jù)來(lái)源的可追溯性審查的內(nèi)容應(yīng)涵蓋：（1）審查取證活動(dòng)各階段是否能關(guān)聯(lián)印證，是否能夠逆向求證；（2）審查電子證據(jù)的調(diào)取位置是否與其原始存儲(chǔ)位置一致；（3）審查電子證據(jù)存儲(chǔ)介質(zhì)中的原始記錄和呈堂數(shù)據(jù)記錄的內(nèi)容是否同一；（4）審查呈堂的取證結(jié)果是否出自原始存儲(chǔ)載體，在現(xiàn)有技術(shù)條件下出示的電子證據(jù)是否能被認(rèn)知；（5）審查原始電子數(shù)據(jù)遭受破壞后，取證人員調(diào)取該數(shù)據(jù)的殘存記錄是否能準(zhǔn)確反映原有電子數(shù)據(jù)的內(nèi)容。

此外，對(duì)于電子證據(jù)審查還應(yīng)配套建立傳聞證據(jù)有限排除規(guī)則、最佳證據(jù)規(guī)則、補(bǔ)強(qiáng)證據(jù)規(guī)則，同時(shí)從取證、舉證、質(zhì)證、采證整個(gè)司法證明過(guò)程著手建立相應(yīng)的標(biāo)準(zhǔn)。

3 計(jì)算機(jī)仿真取證技術(shù)標(biāo)準(zhǔn)

計(jì)算機(jī)仿真取證作為一類新型的動(dòng)態(tài)取證技術(shù)，其借助虛擬仿真技術(shù)實(shí)現(xiàn)了對(duì)計(jì)算機(jī)系統(tǒng)的動(dòng)態(tài)模擬，取證人員可以對(duì)目標(biāo)主機(jī)進(jìn)行啟動(dòng)在線分析，彌補(bǔ)了傳統(tǒng)靜態(tài)取證網(wǎng)絡(luò)電子證據(jù)獲取能力的不足，但仿真取證的風(fēng)險(xiǎn)也進(jìn)一步增加。分析“仿真”一詞就可看出仿真取證的重要特性就是要實(shí)現(xiàn)對(duì)裝有操作系統(tǒng)的待檢磁盤(pán)中原有系統(tǒng)環(huán)境的真實(shí)化模擬和重現(xiàn)，而計(jì)算機(jī)信息系統(tǒng)環(huán)境的仿真模擬靠人工無(wú)法實(shí)現(xiàn)，需要借助相應(yīng)的仿真工具。因此，仿真取證技術(shù)標(biāo)準(zhǔn)應(yīng)以仿真取證工具為著眼點(diǎn)，依據(jù)計(jì)算機(jī)仿真虛擬技術(shù)的功能特點(diǎn)，建構(gòu)仿真取證工具的通用標(biāo)準(zhǔn)、設(shè)計(jì)標(biāo)準(zhǔn)和檢測(cè)認(rèn)可標(biāo)準(zhǔn)。

3.1 仿真取證工具的通用標(biāo)準(zhǔn)

現(xiàn)有取證工具主要基于虛擬機(jī)技術(shù)和Shadow⑦Shadow技術(shù)（影子系統(tǒng)）是一種系統(tǒng)虛擬寫(xiě)保護(hù)技術(shù)，只有在有原始主機(jī)存在的情況下才能被使用，其僅僅是對(duì)原系統(tǒng)數(shù)據(jù)進(jìn)行保全和隔離的技術(shù)。由于不常用到，在此就不做詳細(xì)介紹。等技術(shù)而研發(fā)和設(shè)計(jì)，其中以虛擬機(jī)技術(shù)最為常用。其優(yōu)點(diǎn)是可以仿真模擬系統(tǒng)運(yùn)行環(huán)境，并能提供程序的仿真操作和計(jì)算機(jī)信息系統(tǒng)網(wǎng)絡(luò)通訊協(xié)議的仿真模擬，便于取證人員進(jìn)行虛擬在線操作。此外，虛擬機(jī)技術(shù)還能提供多類型操作系統(tǒng)的同機(jī)在線取證。因此，基于此技術(shù)研發(fā)的取證工具首先應(yīng)具備虛擬機(jī)工具的優(yōu)點(diǎn)和特性。其次，仿真取證工具通用要求還應(yīng)包含對(duì)仿真取證工具優(yōu)點(diǎn)的釋明；再次，取證工具的選用問(wèn)題也應(yīng)納入通用要求中，以為取證機(jī)構(gòu)正確選用達(dá)標(biāo)的取證工具提供指引。具體來(lái)講，通用標(biāo)準(zhǔn)的內(nèi)容應(yīng)包含：

3.1.1 仿真取證工具應(yīng)具備的法律和取證要求

基于虛擬機(jī)技術(shù)、Shadow技術(shù)以及其他仿真技術(shù)研發(fā)的仿真取證工具應(yīng)保障取證結(jié)果的準(zhǔn)確、真實(shí)、完整，有利于提高取證的效率。

3.1.2 仿真取證工具的設(shè)計(jì)要求

仿真取證在功能設(shè)計(jì)的范圍內(nèi)，不得因自身瑕疵（錯(cuò)誤應(yīng)能避免或排除）造成待檢驗(yàn)設(shè)備中電子數(shù)據(jù)內(nèi)容的丟失或破壞。

3.1.3 仿真取證設(shè)備適用的環(huán)境

即仿真取證設(shè)備支持的磁盤(pán)類型和支持的操作系統(tǒng)類型。

3.1.4 仿真取證工具的準(zhǔn)入要求

仿真取證工具在使用之前應(yīng)經(jīng)過(guò)專業(yè)檢測(cè)認(rèn)證機(jī)構(gòu)的檢測(cè)和認(rèn)可。取證機(jī)構(gòu)選用仿真取證工具時(shí)也應(yīng)選用經(jīng)過(guò)檢測(cè)和認(rèn)可的工具。

3.2 仿真取證工具的功能設(shè)計(jì)標(biāo)準(zhǔn)

根據(jù)數(shù)字取證研究工作組 （Digital Forensics Research Workshop，DFRWS）提出的取證框架，電子證據(jù)的取證技術(shù)包括：數(shù)據(jù)識(shí)別、數(shù)據(jù)獲取、數(shù)據(jù)檢查、數(shù)據(jù)分析、數(shù)據(jù)保全、數(shù)據(jù)呈堂六大類技術(shù)。這六大類技術(shù)涵蓋了現(xiàn)今計(jì)算機(jī)取證所使用的主要技術(shù)，現(xiàn)有取證設(shè)備的研發(fā)和設(shè)計(jì)也是以此為據(jù)的。仿真取證工具雖是當(dāng)前新出現(xiàn)的取證技術(shù)，但其技術(shù)基點(diǎn)還在該六大技術(shù)之中，其“仿真”技術(shù)僅是一種數(shù)據(jù)保全還原技術(shù)。依據(jù)DFRWS的框架并結(jié)合現(xiàn)有取證的實(shí)際需求，仿真取證工具的功能設(shè)計(jì)范圍應(yīng)涉及：系統(tǒng)仿真、數(shù)據(jù)識(shí)別、數(shù)據(jù)獲取、數(shù)據(jù)恢復(fù)、數(shù)據(jù)解密、數(shù)據(jù)保全、數(shù)據(jù)的自動(dòng)分類歸檔七個(gè)方面[9]。為保證仿真取證活動(dòng)的連續(xù)性，系統(tǒng)仿真功能，數(shù)據(jù)的識(shí)別、獲取、保全功能所有的仿真取證工具都應(yīng)要求具備。由于其他三類功能可用其他工具替代，屬于取證工具的“高級(jí)”功能，因此不宜硬性要求所有的仿真工具具備。在此基礎(chǔ)上，可將仿真取證工具功能設(shè)計(jì)細(xì)分為：

3.2.1 系統(tǒng)仿真功能的設(shè)計(jì)標(biāo)準(zhǔn)

仿真取證工具應(yīng)能仿真模擬不少于一種操作系統(tǒng)，且應(yīng)能準(zhǔn)確識(shí)別各種操作系統(tǒng)的版本，模擬取證對(duì)象系統(tǒng)的硬件設(shè)備、用戶配置、運(yùn)行環(huán)境、網(wǎng)絡(luò)協(xié)議、程序運(yùn)行。

3.2.2 仿真取證平臺(tái)建構(gòu)功能

仿真取證工具應(yīng)能準(zhǔn)確識(shí)別待檢硬盤(pán)或硬盤(pán)鏡像中的操作系統(tǒng)內(nèi)核、用戶權(quán)限配置，突破取證對(duì)象系統(tǒng)的訪問(wèn)控制和權(quán)限控制機(jī)制，構(gòu)建仿真取證的基礎(chǔ)平臺(tái)。

3.2.3 仿真取證工具的數(shù)據(jù)獲取要求

仿真取證工具應(yīng)能自動(dòng)獲取系統(tǒng)中各類已存密碼，捕獲用戶網(wǎng)絡(luò)通訊程序口令⑧具體包括：瀏覽器自動(dòng)完成表單記錄、上網(wǎng)（含無(wú)線網(wǎng)絡(luò)）賬號(hào)、郵件客戶端口令、FTP已存登陸密碼、即時(shí)聊天工具的已存登陸密碼、網(wǎng)絡(luò)游戲已存密碼、網(wǎng)絡(luò)互動(dòng)點(diǎn)播程序的已存密碼、其他網(wǎng)絡(luò)交互程序已存密碼等。及其運(yùn)行的數(shù)據(jù)記錄。

3.2.4 仿真取證工具的兼容運(yùn)行要求

仿真取證工具應(yīng)能兼容常見(jiàn)的網(wǎng)絡(luò)服務(wù)平臺(tái)、常見(jiàn)的辦公軟件、開(kāi)發(fā)工具軟件、數(shù)據(jù)庫(kù)軟件、病毒和木馬程序以及其他常見(jiàn)應(yīng)用軟件。

3.2.5 仿真取證工具的保全要求

仿真取證工具應(yīng)保證仿真設(shè)備和待檢設(shè)備間的只讀隔離，并具備取證操作的實(shí)時(shí)記錄和數(shù)據(jù)效驗(yàn)功能。

3.2.6 仿真取證工具的安全標(biāo)準(zhǔn)

仿真取證工具應(yīng)保證取證過(guò)程中數(shù)據(jù)調(diào)取、在線分析的安全性及數(shù)據(jù)存儲(chǔ)環(huán)境的原始性，同時(shí)應(yīng)保障取證活動(dòng)不受病毒、木馬程序和惡意軟件的影響。

3.2.7 仿真取證工具的接口設(shè)計(jì)標(biāo)準(zhǔn)

應(yīng)遵循國(guó)際通行的PC類產(chǎn)品接口設(shè)計(jì)標(biāo)準(zhǔn)，并具備接口拓展和轉(zhuǎn)換的功能。

3.3 仿真取證工具的檢測(cè)和認(rèn)證標(biāo)準(zhǔn)

仿真取證工具檢測(cè)和認(rèn)證標(biāo)準(zhǔn)的內(nèi)容包括：檢測(cè)認(rèn)證主體的設(shè)立、檢測(cè)認(rèn)證程序、檢測(cè)認(rèn)證的項(xiàng)目?jī)?nèi)容、研發(fā)機(jī)構(gòu)參加檢測(cè)認(rèn)證的要求四個(gè)方面。根據(jù)《中華人民共和國(guó)標(biāo)準(zhǔn)化法》、《中華人民共和國(guó)認(rèn)證認(rèn)可要求》，實(shí)驗(yàn)室和檢查機(jī)構(gòu)的設(shè)置需經(jīng)過(guò)國(guó)務(wù)院認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)認(rèn)可。對(duì)其資質(zhì)的評(píng)定目前在我國(guó)主要由國(guó)家認(rèn)監(jiān)委和中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)（CNAS）負(fù)責(zé)。我國(guó)目前并未將計(jì)算機(jī)取證工具檢測(cè)和認(rèn)證列入檢測(cè)名錄中，而且在經(jīng)正式批準(zhǔn)設(shè)立的檢測(cè)機(jī)構(gòu)中，現(xiàn)有機(jī)構(gòu)均不具備計(jì)算機(jī)取證工具檢測(cè)和認(rèn)證的資質(zhì)，仿真取證工具的檢測(cè)與認(rèn)證遲遲未能開(kāi)展。有鑒于此，筆者認(rèn)為構(gòu)建仿真取證的檢測(cè)和認(rèn)證標(biāo)準(zhǔn)首先就應(yīng)解決仿真取證工具檢測(cè)認(rèn)證 “主體”不明的問(wèn)題。

至于仿真取證檢測(cè)程序和具體要求，我國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局在2008年5月8日發(fā)布了《GB/ T 27025-2008/ISO/IEC 17025：2005檢測(cè)和校準(zhǔn)實(shí)驗(yàn)室能力的通用要求》[10]，已從管理控制、技術(shù)要求方面詳細(xì)規(guī)定了各檢測(cè)和校準(zhǔn)實(shí)驗(yàn)室從事專業(yè)檢測(cè)和認(rèn)證的要求。

仿真取證工具的檢測(cè)項(xiàng)目?jī)?nèi)容包括：仿真取證工具的功能設(shè)計(jì)、取證工具各項(xiàng)功能的能力驗(yàn)證、仿真取證工具錯(cuò)誤率的檢測(cè)、取證工具的構(gòu)造設(shè)計(jì)等項(xiàng)目。

研發(fā)機(jī)構(gòu)參與檢測(cè)認(rèn)證的要求涉及：遞交檢測(cè)的程序、遞交材料的內(nèi)容、強(qiáng)制通過(guò)檢測(cè)認(rèn)證的時(shí)限、原仿真取證工具更新和功能更新后的再檢測(cè)、仿真取證未通過(guò)檢測(cè)和認(rèn)證的懲罰措施等內(nèi)容。

基于以上分析，仿真取證的檢測(cè)和認(rèn)證標(biāo)準(zhǔn)內(nèi)容應(yīng)涵蓋：

3.3.1 仿真取證工具檢測(cè)認(rèn)證的主體⑨美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所（National Institute of Standards and Technology，NIST）早已開(kāi)展了計(jì)算機(jī)取證工具的檢測(cè)和認(rèn)證，并制訂了計(jì)算機(jī)取證工具測(cè)試計(jì)劃（Computer Forensic Tool Testing，CFTT）進(jìn)行通用工具規(guī)范、測(cè)試過(guò)程、測(cè)試標(biāo)準(zhǔn)、測(cè)試軟硬件的研究。

應(yīng)盡快設(shè)置包括仿真取證在內(nèi)的取證工具檢測(cè)和認(rèn)證機(jī)構(gòu)[11]，設(shè)置的批準(zhǔn)機(jī)構(gòu)應(yīng)由國(guó)家認(rèn)監(jiān)委負(fù)責(zé)，經(jīng)其授權(quán)各相關(guān)機(jī)構(gòu)也應(yīng)有權(quán)批準(zhǔn)設(shè)立第三方的取證工具檢測(cè)和認(rèn)證機(jī)構(gòu)。檢測(cè)和認(rèn)證機(jī)構(gòu)能力驗(yàn)證可由國(guó)家認(rèn)監(jiān)委、司法部等部門(mén)協(xié)商解決。

3.3.2 檢測(cè)程序標(biāo)準(zhǔn)的內(nèi)容規(guī)定

依據(jù)“ISO-17025”標(biāo)準(zhǔn)從質(zhì)量控制、機(jī)構(gòu)管理、操作流程規(guī)范、檢測(cè)技術(shù)規(guī)范、文書(shū)規(guī)范層面設(shè)置相應(yīng)的標(biāo)準(zhǔn)。

3.3.3 檢測(cè)內(nèi)容要求

首先，應(yīng)對(duì)仿真取證工具說(shuō)明材料中給出的功能進(jìn)行真實(shí)性檢測(cè)；其次，規(guī)定仿真取證工具錯(cuò)誤率的檢測(cè)；再次，應(yīng)要求對(duì)取證工具安全性進(jìn)行檢測(cè)；最后，應(yīng)對(duì)仿真取證工具的接口和結(jié)構(gòu)設(shè)計(jì)是否符合標(biāo)準(zhǔn)進(jìn)行檢測(cè)。

3.3.4 研發(fā)機(jī)構(gòu)參與檢測(cè)的要求

（1）提交材料的要求。應(yīng)要求各研發(fā)機(jī)構(gòu)將其所開(kāi)發(fā)的取證產(chǎn)品和相關(guān)設(shè)計(jì)材料一并遞交認(rèn)證；（2）應(yīng)要求參加檢測(cè)認(rèn)證的必須在規(guī)定時(shí)限（次數(shù)）內(nèi)通過(guò)；（3）對(duì)于未經(jīng)過(guò)檢測(cè)和認(rèn)證的仿真取證工具應(yīng)禁止其準(zhǔn)入；（4）功能更新后的仿真取證工具檢測(cè)要求。對(duì)于功能更新后的仿真取證工具應(yīng)要求研發(fā)機(jī)構(gòu)將原有產(chǎn)品和更新改進(jìn)后的產(chǎn)品一并送交檢測(cè)認(rèn)證。

4 計(jì)算機(jī)仿真取證程序標(biāo)準(zhǔn)

計(jì)算機(jī)取證程序是否合法直接影響著取證活動(dòng)結(jié)果的法律效力，是取證標(biāo)準(zhǔn)內(nèi)容設(shè)計(jì)的又一重點(diǎn)問(wèn)題。計(jì)算機(jī)取證程序標(biāo)準(zhǔn)包括取證過(guò)程標(biāo)準(zhǔn)、取證方式、方法標(biāo)準(zhǔn)等，目前取證技術(shù)已經(jīng)走向成熟、取證方法也有行業(yè)內(nèi)規(guī)范，唯獨(dú)取證的操作過(guò)程目前學(xué)界和實(shí)務(wù)界尚未達(dá)成統(tǒng)一意見(jiàn)。因此，在取證程序標(biāo)準(zhǔn)建構(gòu)部分，筆者將重點(diǎn)對(duì)仿真取證過(guò)程的標(biāo)準(zhǔn)化設(shè)計(jì)進(jìn)行解析。

計(jì)算機(jī)取證從20世紀(jì)80年代開(kāi)始至今，發(fā)生了兩大轉(zhuǎn)變：從注重取證技術(shù)研究到取證法律規(guī)范的研究為先的轉(zhuǎn)變與注重取證工具的研發(fā)到取證程序規(guī)范日益受到重視的轉(zhuǎn)變。分析其中的原因可以得出，取證程序的合法性審查問(wèn)題是引發(fā)計(jì)算機(jī)取證研究理念轉(zhuǎn)變的一個(gè)重要因素。據(jù)國(guó)外專業(yè)機(jī)構(gòu)統(tǒng)計(jì)，計(jì)算機(jī)取證結(jié)果不被法庭采信大多是由于取證程序不合法導(dǎo)致的。在20世紀(jì)90年代初，在涉及計(jì)算機(jī)取證的案件中，只有不足5%的案件取證結(jié)果被法庭所采信，一大原因就是由于取證程序不規(guī)范所致。因此，在當(dāng)時(shí)國(guó)外學(xué)者的研究重點(diǎn)從取證工具的研發(fā)轉(zhuǎn)向了取證程序合法性問(wèn)題的研究，其中以取證過(guò)程的標(biāo)準(zhǔn)化研究較為典型。受研究理念轉(zhuǎn)變的影響，在90年代中后期相繼出現(xiàn)了諸如美國(guó)司法部的電子犯罪現(xiàn)場(chǎng)勘查模型、事件響應(yīng)過(guò)程模型、抽象化的取證程序模型、集成型的取證過(guò)程模型、增強(qiáng)型的取證過(guò)程模型等較有代表性的取證過(guò)程模型。其中集成型的過(guò)程模型將取證分為傳統(tǒng)物證的犯罪現(xiàn)場(chǎng)勘查和計(jì)算機(jī)犯罪現(xiàn)場(chǎng)勘查兩部分[12]；增強(qiáng)型取證過(guò)程模型則將計(jì)算機(jī)取證分作“第一犯罪現(xiàn)場(chǎng)”和“第二犯罪現(xiàn)場(chǎng)”的取證，同時(shí)也注重取證各步驟之間的相互聯(lián)系和印證[13]。

分析上述幾大取證過(guò)程模型，其共性在于都遵循取證準(zhǔn)備、證據(jù)收集、證據(jù)分析、證據(jù)檢查的操作流程依次進(jìn)行；不同之處在于各取證過(guò)程模型設(shè)計(jì)針對(duì)的情況不同，其中有適用于網(wǎng)絡(luò)取證的事件響應(yīng)程序模型，也有適用于靜態(tài)取證的取證過(guò)程模型。此外，各取證過(guò)程模型的步驟多寡、內(nèi)容詳盡程度也有很大區(qū)別。

傳統(tǒng)取證的操作流程標(biāo)準(zhǔn)不能用于仿真取證。首先，傳統(tǒng)取證過(guò)程模型是基于靜態(tài)取證和網(wǎng)絡(luò)取證設(shè)計(jì)的，而仿真取證重點(diǎn)在于“系統(tǒng)動(dòng)態(tài)仿真”，二者設(shè)計(jì)的目的不同；其次，傳統(tǒng)取證過(guò)程模型之間目前仍存在爭(zhēng)議，且業(yè)界也沒(méi)有認(rèn)可任何現(xiàn)有的取證過(guò)程標(biāo)準(zhǔn)；再次，傳統(tǒng)取證過(guò)程步驟缺少“系統(tǒng)仿真啟動(dòng)”的步驟設(shè)計(jì)。鑒于上述原因考慮，仿真取證過(guò)程標(biāo)準(zhǔn)（模型）的設(shè)計(jì)也應(yīng)有別于傳統(tǒng)取證遵循的步驟標(biāo)準(zhǔn)⑩另行設(shè)計(jì)仿真取證過(guò)程標(biāo)準(zhǔn)并不否決傳統(tǒng)取證過(guò)程的步驟設(shè)計(jì)，傳統(tǒng)取證過(guò)程標(biāo)準(zhǔn)的內(nèi)容可以作為仿真取證過(guò)程標(biāo)準(zhǔn)內(nèi)容的參照。?；趯?duì)現(xiàn)有仿真取證工具功能的分析和待檢對(duì)象類型的考量，仿真取證過(guò)程標(biāo)準(zhǔn)應(yīng)在保證動(dòng)態(tài)分析安全性的情況下，針對(duì)不同的待檢設(shè)備，構(gòu)思不同的操作流程。具體過(guò)程如圖簡(jiǎn)示：

仿真取證流程圖示

從上圖可以看出，仿真取證分為基于原始系統(tǒng)的仿真、基于硬盤(pán)鏡像的仿真和基于硬盤(pán)的仿真三類，因此仿真取證的過(guò)程設(shè)計(jì)也應(yīng)一分為三：

4.1 基于原始主機(jī)的仿真取證過(guò)程：

（1）取證的準(zhǔn)備。準(zhǔn)備取證所需的環(huán)境和工具。

（2）原始主機(jī)的只讀保護(hù)。在有原始主機(jī)的情況下利用shadows技術(shù)對(duì)待取證主機(jī)系統(tǒng)進(jìn)行只讀隔離。

（3）數(shù)據(jù)收集。即取證人員在線對(duì)待檢對(duì)象中的電子數(shù)據(jù)進(jìn)行動(dòng)態(tài)研判分析和收集。

（4）證據(jù)保全。將在線分析取證獲取的電子證據(jù)采用合理方法（數(shù)字摘要、攝像、打印、文字記錄）進(jìn)行保全。

（5）回顧檢查。仔細(xì)檢查取證過(guò)程有無(wú)疏漏，收集先前可能未獲取到的電子證據(jù)。

（6）證據(jù)歸檔。對(duì)電子證據(jù)進(jìn)行分類存儲(chǔ)和保管。

4.2 基于硬盤(pán)的仿真取證過(guò)程

（1）取證的準(zhǔn)備。準(zhǔn)備取證器材、設(shè)備，創(chuàng)造安全的取證環(huán)境，為硬盤(pán)的虛擬仿真啟動(dòng)制定安全保障策略。

（2）硬盤(pán)的仿真啟動(dòng)。對(duì)裝載有操作系統(tǒng)的硬盤(pán)機(jī)進(jìn)行仿真啟動(dòng)，模擬重現(xiàn)待取證硬盤(pán)的硬件配置、裝置的操作系統(tǒng)的運(yùn)行環(huán)境、用戶配置、網(wǎng)絡(luò)通訊環(huán)境以及系統(tǒng)應(yīng)用程序的運(yùn)行環(huán)境。

（3）在線分析和檢查。在線分析檢查待檢磁盤(pán)中的網(wǎng)絡(luò)賬號(hào)、操作系統(tǒng)登陸口令、IE自動(dòng)完成表單、已存郵件客戶端密碼、FTP已存登錄口令、電子證書(shū)、即時(shí)通訊軟件數(shù)據(jù)記錄、系統(tǒng)中應(yīng)用軟件的操作記錄以及其他系統(tǒng)運(yùn)行的歷史痕跡數(shù)據(jù)。

（4）數(shù)據(jù)的保全。與基于原始主機(jī)的仿真取證要求相同。

（5）分析報(bào)告的制作。在線動(dòng)態(tài)分析數(shù)據(jù)過(guò)程進(jìn)行時(shí)和完成后，同步制作取證報(bào)告。

4.3 基于硬盤(pán)鏡像的仿真過(guò)程與基于硬盤(pán)的仿真取證過(guò)程

基于硬盤(pán)鏡像文件的仿真取證需要在只讀隔離的情況下將鏡像文件拷貝入空白硬盤(pán)或仿真取證工具中，借助虛擬機(jī)技術(shù)進(jìn)行動(dòng)態(tài)分析。而基于硬盤(pán)的仿真取證則可以直接在待檢平臺(tái)上進(jìn)行。所以，基于硬盤(pán)鏡像的仿真過(guò)程與基于硬盤(pán)的仿真取證過(guò)程在仿真啟動(dòng)的方式（步驟2）存在差異，鏡像文件在仿真前應(yīng)先進(jìn)行拷貝。除此之外二者其余操作過(guò)程相同。

以上仿真取證過(guò)程內(nèi)容的設(shè)計(jì)借鑒了現(xiàn)有幾種取證過(guò)程模型的內(nèi)容，并結(jié)合仿真取證的自身特點(diǎn)而設(shè)計(jì)。本文在仿真取證過(guò)程的步驟設(shè)計(jì)中并未對(duì)計(jì)算機(jī)犯罪現(xiàn)場(chǎng)進(jìn)行“第一現(xiàn)場(chǎng)”和“第二現(xiàn)場(chǎng)”的區(qū)分，是因?yàn)閯?dòng)態(tài)仿真取證往往很難做到對(duì)“第一現(xiàn)場(chǎng)”中電子數(shù)據(jù)的同步獲取，且遠(yuǎn)程獲取的“第一現(xiàn)場(chǎng)”中的電子數(shù)據(jù)的安全性也很難保證，在現(xiàn)有的技術(shù)條件和法律框架下無(wú)法被法庭所采納和認(rèn)可，因此對(duì)該問(wèn)題未加解釋。此外，由于前文在在電子證據(jù)審查采納標(biāo)準(zhǔn)設(shè)計(jì)部分對(duì)取證各階段的關(guān)聯(lián)印證要求進(jìn)行了說(shuō)明，且在此無(wú)法將該要求精確置于某一具體的操作步驟中，所以在設(shè)計(jì)仿真取證過(guò)程的具體內(nèi)容時(shí)未再行說(shuō)明取證各階段的關(guān)聯(lián)印證要求。

5 結(jié)語(yǔ)

仿真取證是近年來(lái)新出現(xiàn)的一種取證技術(shù)，目前我國(guó)涉及計(jì)算機(jī)仿真取證的技術(shù)、法律和程序標(biāo)準(zhǔn)目前還處于空白狀態(tài)，這不利于仿真取證在司法實(shí)踐中的應(yīng)用，更不利于發(fā)揮仿真取證的技術(shù)優(yōu)勢(shì)，為此應(yīng)盡快出臺(tái)相應(yīng)的法規(guī)和標(biāo)準(zhǔn)對(duì)阻滯計(jì)算機(jī)仿真取證應(yīng)用的電子證據(jù)地位問(wèn)題、電子證據(jù)的可采性問(wèn)題加以明晰，并配套建立取證工具的檢測(cè)認(rèn)可規(guī)范和仿真取證操作的程序規(guī)范，從法律、技術(shù)和程序三個(gè)方面構(gòu)建完整的計(jì)算機(jī)仿真取證規(guī)范體系，以解決仿真取證的準(zhǔn)入、司法應(yīng)用和仿真取證結(jié)果的法律效力問(wèn)題。

[1]Senior Special Agent Ernest Baca United States Customs Service Office of Investigations，Resident Agent in Charge.Using Linux VMware and SMART to Create a Virtual Computer to Recreate a Suspect’s Computer[EB/OL].（2002-04-01）[2009-10-01]http：//www.infosecwriters.com/text_resources/andrewr -osen/SMARTForensics.pdf.

[2]D.Bem，E.Huebner.Computer Forensic Analysis in a Virtual Environment[EB/OL].（2007-01-01）[2009-10-01]http：//www.utica.edu/-academic/institutes/ecii/publications/articles /1C349F35-C73B-DB8A-926F9F46623A1842.pdf.

[3]中華人民共和國(guó)刑法修正案（七）[E].2009-2-28.

[4]Daniel J.Ryan,Gal Shpantzer.Legal Aspects of Digital Forensics[EB/OL].（2006-02-01）[2009-10-01]http：//www.danjryan.com.

[5]Orin S.Kerr.Computer Records and the Federal Rules of Evidence[EB/OL].(2001-03-01)[2009-10-01]http://www. seeingthetruth.com.

[6]Wall C,Paroff J.Cracking the Computer Forensics Mystery [J].Otah Bar Journal,2004，17（7）：10-14.

[7]蔣平，黃舒華，楊莉莉.數(shù)字取證[M].北京：清華大學(xué)出版社，2007：246.

[8]蔣平，黃舒華，楊莉莉.數(shù)字取證[M].北京：清華大學(xué)出版社，2007：250-252.

[9]Palmer G.Road Map for Digital Forensic Research[J].Technical Report 2001，（6）：15-20.

[10]GB/T 27025-2008/ISO/IEC 17025：2005檢測(cè)和校準(zhǔn)實(shí)驗(yàn)室能力的通用要求[S].

[11]Whitcomb C M.A.Historical Perspective of Digital Evidence：A forensic Scientists’View[J].International Journal of Digital Evidence，2002，（1）：5-7.

[12]Carrier B，Spafford EH.Getting Physical with the Investigative Process[J].International Journal of Digital Evidence，2003，（2）：2.

[13]Venansius Baryamureeba，F(xiàn)lorence Tushabe.The Enhanced Digital Investigation Process Model[EB/OL].（2004-05-27）[2009-10-01]http://www.dfrws.org/bios/day1/Tushabe_EIDIP. pdf.