高洪濤

中國刑事警察學(xué)院 遼寧 110035

0 引言

隨著打擊計算機犯罪活動的進一步深入，需要培養(yǎng)更多高素質(zhì)的電子物證技術(shù)人員。近幾年來，一些公安院校陸續(xù)開設(shè)了電子物證檢驗課程。電子物證檢驗課程是一門新興的綜合交叉學(xué)科，是培養(yǎng)學(xué)員進行電子物證的獲取、分析和鑒定工作的。電子物證檢驗課程強調(diào)理論與實踐并重，學(xué)員要在學(xué)好理論課程的同時，具有較強的實踐動手能力。

1 傳統(tǒng)教學(xué)模式的剖析

近年來，雖然教學(xué)手段從“粉筆+黑板”改變?yōu)榱恕坝嬎銠C+大屏幕投影”，但是教學(xué)方式還大多沿用傳統(tǒng)的教學(xué)模式。同時，雖然采用多媒體技術(shù)可以將內(nèi)容生動、形象逼真、聲音動聽的文本、圖像、聲音、視頻和數(shù)據(jù)等信息一起傳輸給學(xué)員，但由于信息量的加大，反而使學(xué)習(xí)更無從下手，學(xué)員一旦遇到實際問題可能會束手無策，從而束縛了思維發(fā)展，不利于培養(yǎng)創(chuàng)造性人才。

電子物證檢驗的傳統(tǒng)教學(xué)方法是以知識點為主線來展開，按照教材的模塊順序授課，先基礎(chǔ)、后應(yīng)用。首先介紹電子物證、計算機司法檢驗等相關(guān)概念，然后提出電子物證檢驗的基本過程檢驗前所需掌握的相關(guān)知識及準(zhǔn)備工作，接著介紹常用電子物證檢驗工具和Windows、Unix/Linux系統(tǒng)的檢驗方法，最后對典型案例進行分析。因為電子物證檢驗課程的知識點的分布是網(wǎng)絡(luò)型的而不是線性的，并沒有嚴(yán)格的學(xué)習(xí)次序，所以學(xué)員對它的知識體系較難把握。

在實踐環(huán)節(jié)的教學(xué)中，教師先進行操作，然后由學(xué)員自己練習(xí)。尤其是在電子物證檢驗工具內(nèi)容的教學(xué)中，由于檢驗工具的操作步驟繁多，針對不同案例的操作組合不同，學(xué)員很容易混淆，導(dǎo)致學(xué)習(xí)興趣降低，教學(xué)時效低，最終導(dǎo)致理論與實踐脫節(jié)。

因此，在電子物證檢驗的教學(xué)中采用傳統(tǒng)教學(xué)方法和教學(xué)模式已不能滿足時代的需求和學(xué)員的需要。尋找一種理論聯(lián)系實際，能夠解決教學(xué)過程中存在的“重知識，輕實踐”的矛盾，培養(yǎng)學(xué)員根據(jù)實際問題進行動手能力的教學(xué)方法和教學(xué)模式勢在必行。案例教學(xué)和任務(wù)驅(qū)動式教學(xué)都是極具發(fā)展?jié)摿Φ慕虒W(xué)方法，能很好解決理論與實踐的銜接。

2 案例-任務(wù)驅(qū)動教學(xué)法

案例教學(xué)法是一種以案例為基礎(chǔ)的教學(xué)法，用實際案例來進行教學(xué)，案例教學(xué)側(cè)重于對學(xué)員綜合能力的培養(yǎng)，有助于提高學(xué)員對所學(xué)知識的綜合運用能力。案例教學(xué)提供一個近乎真實的場景，縮短了教學(xué)與實踐之間的差距。案例教學(xué)中的案例通常是選取完整的實例，較為完整地敘述實例的起因、問題和處理過程。在學(xué)員掌握一定基礎(chǔ)理論知識的基礎(chǔ)上，教師有目的、有選擇地把司法實踐中的客觀實際提供給學(xué)員，提出案例分析和解決問題的諸多方法，讓學(xué)員對教師所提供的具體事實和原始材料進行思考、分析、研究、提出解決問題的方法，解決問題的種種方法都可以提出來并進行試驗，對比各種方法的優(yōu)缺點，最終得出正確的結(jié)果，從而培養(yǎng)學(xué)員的綜合運用能力。

任務(wù)驅(qū)動教學(xué)法就是教師把教學(xué)內(nèi)容設(shè)計成一個或多個具體的任務(wù)，讓學(xué)員在完成這些任務(wù)的過程中來達到教學(xué)目標(biāo)。由教師根據(jù)當(dāng)前教學(xué)主題設(shè)計并提出任務(wù)，針對提出的任務(wù)，采取演示或講解等方式，給出完成任務(wù)的思路、方法，然后引導(dǎo)學(xué)員邊學(xué)邊練，完成相應(yīng)的學(xué)習(xí)任務(wù)。任務(wù)驅(qū)動教學(xué)不再以知識點作為線索，而是以任務(wù)為線索，其教學(xué)內(nèi)容由多個精心設(shè)計的任務(wù)來組成。在完成任務(wù)的過程中，學(xué)員掌握相關(guān)教學(xué)內(nèi)容和學(xué)會學(xué)習(xí)，教師由權(quán)威的知識傳授者變成了教學(xué)的引導(dǎo)者、組織者和評價者。這種方法適用于培養(yǎng)學(xué)員分析問題、解決問題的能力和創(chuàng)新能力。

案例教學(xué)法和任務(wù)驅(qū)動式教學(xué)法都強調(diào)在學(xué)習(xí)過程中學(xué)員的主動性。案例教學(xué)法是呈現(xiàn)案例，由教師分析、講解案例中的知識點并提示學(xué)員對案例進行功能拓展。案例教學(xué)法的關(guān)鍵是根據(jù)課程的內(nèi)容和特點選取恰當(dāng)?shù)陌咐?，同時在案例的討論中學(xué)習(xí)和理解相關(guān)的知識并由此拓展到新的知識內(nèi)容中。而任務(wù)驅(qū)動式教學(xué)法是以任務(wù)為主線、教師為主導(dǎo)、學(xué)員為主體的教學(xué)方法。就是教師的教學(xué)活動與學(xué)員的學(xué)習(xí)過程都圍繞著一個具體目標(biāo)，通過對學(xué)習(xí)資源的積極主動應(yīng)用，進行自主探索和互動協(xié)作學(xué)習(xí)，并在完成既定任務(wù)的同時又產(chǎn)生新的任務(wù)。任務(wù)驅(qū)動式教學(xué)法的關(guān)鍵是完成任務(wù)的動態(tài)過程。

由以上分析可以考慮將兩種教學(xué)方法的優(yōu)勢相結(jié)合，同時汲取傳統(tǒng)教學(xué)模式的優(yōu)點，形成案例-任務(wù)驅(qū)動教學(xué)模式。在此教學(xué)模式下，在選取和呈現(xiàn)案例程序時遵循案例教學(xué)的特點和方法，充分體現(xiàn)出案例的作用；在學(xué)習(xí)進行中強調(diào)任務(wù)的實現(xiàn)過程，在有針對性地完成任務(wù)的同時讓學(xué)員得到能力的鍛煉。

3 案例-任務(wù)驅(qū)動教學(xué)過程

（1）案例準(zhǔn)備

教師要依課程教學(xué)內(nèi)容選擇案例，選用的案例應(yīng)與教學(xué)內(nèi)容有密切的聯(lián)系。選用的案例能反映同類案例的一般特征，能起到舉一反三、觸類旁通的作用。選用的案例還要有一定難度，使學(xué)員有思考的余地。教師要仔細(xì)分析案例材料，找出案例中的關(guān)鍵性問題和解決問題的思路。

（2）講解案例

給每位學(xué)員提供證據(jù)文件和相應(yīng)的背景資料。通過多媒體手段將案例展示出來并進行適當(dāng)講解，講解案例應(yīng)用背景，提出問題，明確本次課的教學(xué)目標(biāo)。

（3）分析任務(wù)

應(yīng)重點把握好任務(wù)的切分和層次推進問題。根據(jù)提出的問題引導(dǎo)學(xué)員進行思考，將案例分解并設(shè)計成一個個相對獨立、簡單的任務(wù)，分解的任務(wù)在功能上要保持一定的完整性，且各任務(wù)之間具有一定的漸進性、擴展性，存在一定的先后關(guān)系，層層推進。

（4）任務(wù)探究

在這一過程中，學(xué)員是完成任務(wù)的主體，教師起著引導(dǎo)作用。學(xué)員要分析、討論任務(wù)，自主探究，完成任務(wù)，同時學(xué)習(xí)和掌握相應(yīng)的知識，提高動手能力和綜合分析能力。教師要把握總體教學(xué)目標(biāo)，使任務(wù)的完成與教學(xué)目標(biāo)的實現(xiàn)統(tǒng)一起來。根據(jù)學(xué)員學(xué)習(xí)層次的不同，教師還要做到因材施教。對基礎(chǔ)差的學(xué)員多一些指導(dǎo)，使他們能順利完成基礎(chǔ)層的任務(wù)，樹立自信；對優(yōu)秀的學(xué)員，要鼓勵他們?nèi)ネ瓿筛吣繕?biāo)層次的任務(wù)，進行“發(fā)現(xiàn)性”學(xué)習(xí)。

（5）總結(jié)評價

雖然學(xué)員完成了任務(wù)，但還不夠完善，要幫助學(xué)員進行知識的歸納與總結(jié)，加深對新知識的理解，建立起已學(xué)知識間的聯(lián)系，完成知識構(gòu)建。任務(wù)評價要注意客觀性，以表揚鼓勵為主，使學(xué)員體驗到完成任務(wù)的成就感。

4 具體教學(xué)實例：走私案件的電子物證檢驗

（1）案例展示

在2010年2月的打擊走私行動中，某海關(guān)查獲一批手機，調(diào)查得知這批貨物的主人為一名叫“阿強”的男子，警方隨即抓獲該男子并查封電腦一臺。要求從電腦中查找相關(guān)證據(jù)。

（2）檢驗前的準(zhǔn)備

為了避免證據(jù)的誤損壞，在檢驗前要用磁盤鏡像工具獲取原始檢材的精確備份。鏡像工具可以使用如 SafeBack、SnapBack、EnCase和X-Ways等。為了保全證據(jù)的完整性，需要使用數(shù)字簽名和時間戳技術(shù)，以證明從操作開始到取證過程結(jié)束證據(jù)沒有被修改過。保全工具可使用 Md5sum、 EnCase、X-Ways等，并將證據(jù)文件的hash值和生成時間等信息記錄下來。接下來的任務(wù)才是對電子物證檢材進行分析。

（3）案例分析

若嫌疑人使用過該電腦，則必然會留下操作痕跡，根據(jù)提取的內(nèi)容可以反映出犯罪嫌疑人的活動情況。電腦中的基本信息是否存在與走私貨物相關(guān)的信息呢？需要調(diào)查哪些基本信息呢？怎么查找被刪除文件里面的內(nèi)容呢？若文件的擴展名被更改了，如何識別這些文件的真實類型呢？在分析此案例中，從問題的提出到問題的解決，一步一步將學(xué)員引入到終點，使學(xué)員對電子物證檢驗過程中所使用的基本方法、基本過程和使用的工具有進一步理解。

（4）基本信息分析

首先要求學(xué)員提取電腦的基本信息，這部分信息包括：操作系統(tǒng)信息、用戶操作痕跡、即時通訊、電子郵件、常用文件等，使用取證大師(Forensic Master)的自動取證功能來提取基本信息比較方便和全面。然后讓學(xué)員對找到的信息進行分析。同學(xué)們會發(fā)現(xiàn)QQ聊天記錄中有比較明顯的線索，要求學(xué)員對聊天記錄做進一步分析。

（5）聊天記錄分析

聊天記錄中與案情相關(guān)的內(nèi)容如表1所示。

表1 相關(guān)的聊天記錄

從 QQ聊天記錄中可分析出：嫌疑人把貨物清單通過Email進行傳送，并可能會使用QQ號或電話號碼作為密碼。因此，下一個任務(wù)是對電子郵件賬號進行分析。

（6）電子郵件賬號分析

電子郵件賬號中與案情相關(guān)的信息如表 2、表 3、表 4所示。

表2 收件箱列表

表3 發(fā)件箱列表

表4 已發(fā)郵件列表

從郵件列表信息中可分析出：嫌疑人使用的郵箱為qia119@163.com。因此，下一個任務(wù)是對該電子郵件賬號進行分析。

（7）賬號qia119@163.com分析

因為在完整的郵件文件中未發(fā)現(xiàn)相關(guān)線索，所以需要對殘缺郵件做進一步分析。這部分工作需要使用 EnCase工具的關(guān)鍵字搜索功能?？赏ㄟ^設(shè)置關(guān)鍵字 qia119@163.com來查找殘缺郵件信息。從未分配簇中發(fā)現(xiàn)相關(guān)的殘缺郵件信息如圖1所示。

圖1 相關(guān)殘缺郵件碎片

從郵件碎片中可分析出：嫌疑人使用郵箱 qia119@163. com 發(fā)送了一個文件：table.doc。因此，下一個任務(wù)是對table.doc文件進行分析。

（8）文件table.doc分析

通過對table.doc進行過濾，未發(fā)現(xiàn)該文件。需要學(xué)員用數(shù)據(jù)恢復(fù)軟件恢復(fù)被刪除文件?？梢赃x擇 Easy Recovery、Final Data等恢復(fù)軟件，也可以使用EnCase、X-Ways等軟件中的關(guān)鍵字搜索功能來搜索相關(guān)文件碎片。從未分配簇中發(fā)現(xiàn)相關(guān)信息如圖2所示。

圖2 與table.doc字符串相關(guān)碎片

從table.doc字符串相關(guān)碎片中可分析出：嫌疑人在word中新建了一個.doc文檔，經(jīng)過編輯，先后以文件名table.doc和cvb.doc保存。因此，下一個任務(wù)是對文件cvb.doc進行分析。

（9）文件cvb.doc分析

對硬盤中的文件進行過濾，未發(fā)現(xiàn)文件cvb.doc，卻發(fā)現(xiàn)未知文件類型的文件cvb.isd。為了獲得該文件的文件類型，需要使用文件簽名功能進行驗證，得知該文件的類型為Compound Document File，如圖3所示，即可能為.doc類型文件。

將cvb.isd復(fù)制到檢驗工作站，重命名為cvb.doc，使用word嘗試打開，發(fā)現(xiàn)該文件是加密的。下一個任務(wù)是對該文件進行密碼破解。

（10）文件cvb.doc的密碼破解

一般情況下，可以使用 Advanced Office Password Recovery等Word密碼解除軟件進行密碼破解，但是耗費的時間較長。有沒有更好的辦法呢？聯(lián)想到聊天記錄中的相關(guān)內(nèi)容可知，該文件可能使用嫌疑人的QQ號碼或電話號碼作為密碼。經(jīng)試驗，成功破解該文件讀取到文件內(nèi)容，如表 5所示，內(nèi)容正是所查獲的走私手機的品牌、型號和數(shù)量，因此獲得了嫌疑人走私手機的有力證據(jù)。

表5 走私貨物清單

（11）任務(wù)評價

找到需要的證據(jù)后，學(xué)員要對獲得的證據(jù)進行固定并整理資料，寫出完整的分析報告。教師要對整個教學(xué)過程進行評價，幫助學(xué)員進行知識的歸納與總結(jié)，加深學(xué)員對新知識的理解。

5 總結(jié)

電子物證檢驗課程作為一門相對較新的課程，在利用案例-任務(wù)驅(qū)動這一教學(xué)模式時要根據(jù)教學(xué)目標(biāo)，對教學(xué)案例、課程任務(wù)進行科學(xué)的設(shè)計與合理的組織，確保方法運用得合理。但其教學(xué)方式還存在相當(dāng)大的探索空間，在很多方面還有待于擴充和完善，如：

（1）案例-任務(wù)驅(qū)動教學(xué)適用于復(fù)雜知識、專業(yè)知識的教學(xué)。簡單知識的學(xué)習(xí)，反而會花費更多的時間。

（2）案例的形成過程往往花費較大，時間消耗過多。

（3）案例-任務(wù)驅(qū)動教學(xué)方法以學(xué)員的積極參與為前提，以教師的有效組織為保證，而要做到這些方面的有機結(jié)合往往較為困難，有時會產(chǎn)生耗費時間較多而教學(xué)效率較低。

（4）案例-任務(wù)驅(qū)動教學(xué)一般既要讓學(xué)員了解過程，更要讓他們領(lǐng)會內(nèi)容，這兩者常難以兼顧。

[1]宋秀麗,陳龍,鄧紅耀.計算機取證課程實驗教學(xué)探討[J].實驗室研究與探索.2007.

[2]生桂勇.計算機專業(yè)案例教學(xué)法初探[J].電腦知識與技術(shù). 2008.

[3]郭外萍.“案例+任務(wù)驅(qū)動”在計算機教學(xué)中的應(yīng)用[J].電腦知識與技術(shù).2006.