周俊臣

重慶市涪陵區(qū)公安局刑警支隊(duì)，重慶　408000

?

淺談刑事案件現(xiàn)場(chǎng)手機(jī)物證的提取與檢驗(yàn)

周俊臣

重慶市涪陵區(qū)公安局刑警支隊(duì)，重慶408000

摘要：21世紀(jì)，手機(jī)作為重要的通訊工具，刑事案件現(xiàn)場(chǎng)勘查中時(shí)常遇到它，但由于偵查人員對(duì)電子物證知識(shí)的不了解，對(duì)手機(jī)提取和檢驗(yàn)規(guī)范和流程不熟悉，現(xiàn)場(chǎng)提取粗糙，檢驗(yàn)簡(jiǎn)單，導(dǎo)致證據(jù)滅失，偵查過(guò)程陷入困境。為擺脫這一窘境，結(jié)合實(shí)際工作，查閱相關(guān)文檔，以現(xiàn)場(chǎng)為基點(diǎn)，探討手機(jī)的提取與檢驗(yàn)規(guī)范，為增強(qiáng)打擊犯罪能力添磚加瓦。

關(guān)鍵詞：手機(jī)；電子物證；提??；檢驗(yàn)

一、現(xiàn)場(chǎng)手機(jī)與電子物證關(guān)系

電子物證，是指以存儲(chǔ)于介質(zhì)載體中的電磁記錄或光電記錄對(duì)案件事實(shí)起證明作用的電子信息數(shù)據(jù)及其附屬物。新刑事訴訟法第48條已將“電子數(shù)據(jù)”納入法定證據(jù)種類(lèi)之一，與視聽(tīng)資料同列為第八種刑事訴訟證據(jù)。手機(jī)作為最普遍的電子物證種類(lèi)之一，記錄著個(gè)人使用特征，利用相應(yīng)技術(shù)能夠提取到與案件有關(guān)的信息。這些信息以電子數(shù)據(jù)的形式存儲(chǔ)在手機(jī)里面，為偵查提供線索、為起訴提供證據(jù)，在實(shí)際工作中發(fā)揮著重要的作用。

二、對(duì)現(xiàn)場(chǎng)手機(jī)物證的提取

物證的提取是指在刑事訴訟活動(dòng)中司法工作人員運(yùn)用法律許可的方法和手段發(fā)現(xiàn)、采集、提取證據(jù)與案件有關(guān)的各種證據(jù)材料的活動(dòng)。借鑒我國(guó)法律規(guī)定的證據(jù)取證程序，現(xiàn)場(chǎng)手機(jī)的提取工作應(yīng)分為以下幾個(gè)過(guò)程：

(一)保護(hù)現(xiàn)場(chǎng)階段

不管是派出所民警，還是偵查人員，在保護(hù)現(xiàn)場(chǎng)的時(shí)候應(yīng)當(dāng)架設(shè)警戒帶，禁止無(wú)關(guān)人員進(jìn)入現(xiàn)場(chǎng)。

(二)了解案情階段

了解犯罪的動(dòng)機(jī)，準(zhǔn)備好所需的手機(jī)取證調(diào)查工具，建立調(diào)查小組，分配成員角色(案件主管，犯罪現(xiàn)場(chǎng)素描編制人，記錄員等)，了解相關(guān)的法律條例以及組織、企業(yè)等的規(guī)章制度等，為接下來(lái)的現(xiàn)場(chǎng)提取工作做好鋪墊。

(三)動(dòng)態(tài)提取階段

技術(shù)人員在進(jìn)入現(xiàn)場(chǎng)后按照傳統(tǒng)的現(xiàn)場(chǎng)勘查方法進(jìn)行照相、攝影，發(fā)現(xiàn)有手機(jī)設(shè)備，應(yīng)及時(shí)查看手機(jī)狀態(tài)，若關(guān)機(jī)狀態(tài)則無(wú)需開(kāi)機(jī)，用專(zhuān)用物證袋提取、封存，若開(kāi)機(jī)狀態(tài)則應(yīng)將手機(jī)放在屏蔽箱或屏蔽袋內(nèi)，保持手機(jī)電量充足，同時(shí)不讓其他人觸摸，減少設(shè)備和證據(jù)的污染。

(四)收集相關(guān)資料及數(shù)據(jù)線

現(xiàn)場(chǎng)勘驗(yàn)人員應(yīng)仔細(xì)搜尋與手機(jī)有關(guān)的資料，如手機(jī)說(shuō)明書(shū)、購(gòu)置發(fā)票及操作手冊(cè)等；目前手機(jī)種類(lèi)繁多，因此盡量在現(xiàn)場(chǎng)搜尋手機(jī)的配套數(shù)據(jù)線及充電設(shè)備，防止因無(wú)法找到相應(yīng)的數(shù)據(jù)線而延誤檢驗(yàn)鑒定工作。

(五)詢(xún)問(wèn)當(dāng)事人

手機(jī)的提取有別于傳統(tǒng)的物證，傳統(tǒng)物證在現(xiàn)場(chǎng)提取時(shí)，往往偏重收集與嫌疑人有關(guān)的物證，而手機(jī)作為相互溝通的工具，受害者與嫌疑人之間也存在溝通的可能，因此提取手機(jī)時(shí)，還要重點(diǎn)詢(xún)問(wèn)手機(jī)的使用者，包括手機(jī)內(nèi)安裝的軟件信息、聊天工具及密碼信息、開(kāi)機(jī)鎖(九宮圖)等相關(guān)信息。

(六)填寫(xiě)電子物證現(xiàn)場(chǎng)勘查檢查工作記錄

此記錄與傳統(tǒng)記錄方式相似，要細(xì)致、明確地記錄“七何”要素，包括人、事件、地點(diǎn)、時(shí)間(日期和開(kāi)始、結(jié)束工作的時(shí)間)、手段等詳細(xì)過(guò)程，還包括提取物證的部位及手機(jī)標(biāo)簽信息等，同時(shí)邀請(qǐng)見(jiàn)證人并簽字確認(rèn)。

(七)填寫(xiě)扣押清單、封存設(shè)備

偵查人員在勘驗(yàn)、搜查中發(fā)現(xiàn)的可用以證明犯罪嫌疑人有罪或者無(wú)罪的相關(guān)電子證據(jù)存儲(chǔ)設(shè)備與介質(zhì)，應(yīng)當(dāng)予以扣押或封存。對(duì)于扣押或封存的手機(jī)物證，事前必須做好拍照及固定工作。

三、對(duì)現(xiàn)場(chǎng)手機(jī)物證的數(shù)據(jù)檢驗(yàn)

手機(jī)數(shù)據(jù)的檢驗(yàn)，是利用儀器設(shè)備及科學(xué)的檢驗(yàn)方法對(duì)手機(jī)里存儲(chǔ)的信息進(jìn)行分析，找出與犯罪有關(guān)的信息。從目前實(shí)踐來(lái)看，手機(jī)數(shù)據(jù)的檢驗(yàn)包括以下幾個(gè)階段：

(一)傳統(tǒng)物證信息的采集

現(xiàn)場(chǎng)遺留的手機(jī)，往往是有人使用過(guò)的物品，可能是嫌疑人用過(guò)，也不排除事主(受害者)使用。因此對(duì)手機(jī)殼上的指紋及DNA信息的采集不可遺漏，以此證明手機(jī)的擁有者或使用者。

(二)手機(jī)機(jī)身內(nèi)存的檢驗(yàn)

目前市面上有多種取證的設(shè)備及軟件，比較常見(jiàn)的有美亞DC-4500設(shè)備、大連睿海的綜合手機(jī)取證設(shè)備等。大多數(shù)的手機(jī)能夠通過(guò)軟件讀取機(jī)身內(nèi)的數(shù)據(jù)，但部分手機(jī)如山寨機(jī)無(wú)法直接讀取，則需要通過(guò)生成鏡像文件，用綜合取證分析軟件對(duì)鏡像文件解析，分析機(jī)身存儲(chǔ)及刪除數(shù)據(jù)，檢出與犯罪有關(guān)的信息。對(duì)損壞手機(jī)已經(jīng)無(wú)法開(kāi)機(jī)的情況，可以利用打開(kāi)手機(jī)，取出內(nèi)存芯片，用相應(yīng)的芯片讀取工具，直接快速顯現(xiàn)手機(jī)內(nèi)存數(shù)據(jù)。

(三)手機(jī)擴(kuò)展卡的檢驗(yàn)

手機(jī)擴(kuò)展卡也叫存儲(chǔ)卡，是用來(lái)擴(kuò)展手機(jī)的物理空間的，例如有MMC卡、RS-MMC卡、SD卡、mini SD卡、T-Flash卡、Sony記憶棒、CF卡等。往往軟件、照片、錄像、錄音等信息都存儲(chǔ)在手機(jī)擴(kuò)展卡上。通過(guò)相應(yīng)的讀卡設(shè)備，中間用只讀設(shè)備作為中介連接到取證計(jì)算機(jī)上，使用如Encase、X-way、Final Data等綜合分析軟件對(duì)卡上數(shù)據(jù)搜索及數(shù)據(jù)恢復(fù)，提取犯罪信息、尋找刪除數(shù)據(jù)。

(四)手機(jī)SIM卡上的數(shù)據(jù)

SIM卡是(Subscriber Identity Module 客戶識(shí)別模塊)的縮寫(xiě)，也稱(chēng)為智能卡、用戶身份識(shí)別卡，它在電腦芯片上存儲(chǔ)了數(shù)字移動(dòng)電話客戶的信息，加密的密鑰以及用戶的電話簿、短信、通話記錄等內(nèi)容。對(duì)SIM卡的檢驗(yàn)，讀卡器接入取證設(shè)備上，用Device Seizure、卡e通、SIM Manager、DC-4500等軟件來(lái)分析數(shù)據(jù)，檢出與案件有關(guān)的信息。對(duì)于SIM卡上刪除的數(shù)據(jù)，往往是嫌疑人刻意刪除，存在犯罪信息的可能性更大，對(duì)刪除數(shù)據(jù)的分析顯得更為重要，可以使用SIM Card Data Recovery Software、Undelete SMS、SIM Card Seizure等軟件接入數(shù)據(jù)恢復(fù)并綜合分析。

四、手機(jī)數(shù)據(jù)在偵查破案中的應(yīng)用

手機(jī)中存儲(chǔ)的犯罪信息包括身份信息、通話記錄、通訊錄、短信息、照片、錄像等，以多種方式給偵查部門(mén)提供幫助。

(一)查找嫌疑對(duì)象

手機(jī)的識(shí)別信息如SIM卡號(hào)、電話號(hào)碼、IMEI號(hào)碼等，這些信息通過(guò)情報(bào)系統(tǒng)能夠方便地查找用戶信息，特別是在運(yùn)營(yíng)商處登記有個(gè)人身份信息的情況，鎖定嫌疑人就顯得更為簡(jiǎn)單。不僅如此，還應(yīng)加強(qiáng)與傳統(tǒng)物證相互結(jié)合，提取指紋及生物信息，其中的人員信息相互印證。

(二)時(shí)間屬性助破案

手機(jī)的時(shí)間功能，記錄著通話記錄、發(fā)送接收短信息的時(shí)間，在一些尸體現(xiàn)場(chǎng)，往往能夠在手機(jī)中查找最后的通話記錄或者是最后發(fā)送短信的時(shí)間，可以判斷死者的死亡時(shí)間，通過(guò)與法醫(yī)的檢驗(yàn)相互印證，確定死亡時(shí)間。需要注意的是將手機(jī)上的時(shí)間可能與標(biāo)準(zhǔn)時(shí)間不一致，因此需要時(shí)間校對(duì)，最終為案件的偵辦提供準(zhǔn)確的信息。

(三)內(nèi)存數(shù)據(jù)直破案

在手機(jī)內(nèi)存及存儲(chǔ)卡中不但記錄著通訊錄、通話記錄等信息，而且還存儲(chǔ)著照片、錄像、錄音等。往往在非正常死亡案件中能夠起到非常重要的作用，嫌疑人在自殺等情況下，喜歡在手機(jī)上存儲(chǔ)著自己最后一刻的照片或錄像，而這個(gè)信息就為案件偵破定性起著關(guān)鍵性的作用。

(四)手機(jī)定位精度高

目前智能手機(jī)已經(jīng)占有90%的市場(chǎng)份額，而智能手機(jī)普遍帶有GPS定位功能，記錄了使用者去過(guò)的地方，因此這個(gè)信息可以方便地分析活動(dòng)軌跡，同時(shí)與偵查中掌握的情況相互印證確定犯罪嫌疑人。

五、結(jié)語(yǔ)

手機(jī)作為電子物證種類(lèi)的一種，具有電子物證的特性，與傳統(tǒng)如指紋、足跡等痕跡物證比較，提取有所不同，檢驗(yàn)各有側(cè)重。實(shí)際工作中加強(qiáng)與傳統(tǒng)物證的配合，使其發(fā)揮最大效能。手機(jī)數(shù)據(jù)的不穩(wěn)定和易失性，應(yīng)更加注重現(xiàn)場(chǎng)保護(hù)，切忌無(wú)關(guān)人員操作手機(jī)。提取需靈活，對(duì)現(xiàn)場(chǎng)綜合分析，觀察手機(jī)狀態(tài)，選擇安全、可行的方法。對(duì)于手機(jī)的檢驗(yàn)，應(yīng)制定可行的計(jì)劃，規(guī)范做好每一步，為偵查提供數(shù)據(jù)支持，用科技力量捍衛(wèi)人民群眾的生命財(cái)產(chǎn)安全，增強(qiáng)打擊犯罪的能力。

[參考文獻(xiàn)]

[1]戴吉名.手機(jī)取證及其電子證據(jù)獲取研究[J].計(jì)算機(jī)與現(xiàn)代化.2007，5(141).

[2]許昱.手機(jī)取證若干問(wèn)題研究[D].中國(guó)政法大學(xué)，2008.

[3]趙小敏.手機(jī)取證概述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005(12).

[4]李學(xué)軍.電子數(shù)據(jù)與證據(jù).證據(jù)學(xué)論壇(第2卷)[M].北京：中國(guó)檢察出版社，2001.

作者簡(jiǎn)介：周俊臣(1986-)，男，漢族，重慶人，本科雙學(xué)位，重慶市涪陵區(qū)公安局刑警支隊(duì)，工程師，研究方向：電子數(shù)據(jù)提取與檢驗(yàn)。

中圖分類(lèi)號(hào)：D918.2

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：2095-4379-(2015)35-0169-02