顏亮 王洋

2012年之前，我國法律規(guī)定的證據(jù)的形式只有物證、書證，證人證言，被害人陳述，犯罪嫌疑人、被告人供述和辯解，鑒定結(jié)論，勘驗、檢查筆錄，視聽資料等7種。隨著科學(xué)技術(shù)和信息化的發(fā)展，電子數(shù)據(jù)逐步進(jìn)入人們的生活，也越來越多地出現(xiàn)在司法實踐中。2012年先后修正通過的《中華人民共和國刑事訴訟法》和《中華人民共和國民事訴訟法》，把電子數(shù)據(jù)作為一種重要的訴訟證據(jù)形式寫到法律中，明確了電子數(shù)據(jù)的地位。最高人民法院、最高人民檢察院、公安部《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》明確，“電子數(shù)據(jù)是案件發(fā)生過程中形成的，以數(shù)字化形式存儲、處理、傳輸?shù)?，能夠證明案件事實的數(shù)據(jù)?！苯陙?，涉及電子數(shù)據(jù)的案件在快速增加，電子數(shù)據(jù)檢驗在案件偵查、訴訟中的地位和作用越來越重要。本文通過一起疑難案件辦理，對電子數(shù)據(jù)檢驗技術(shù)有關(guān)難點問題進(jìn)行探析。

一、案件難點

犯罪嫌疑人李某使用個人優(yōu)盤儲存了大量單位內(nèi)部文件資料，且不如實交待具體來源。該案中，作為證據(jù)，電子數(shù)據(jù)的真實性和完整性至關(guān)重要，取證過程主要有3個難點：

1.相同文件比對難。李某個人優(yōu)盤中存有word、PowerPoint、pdf、rar、zip、jpeg、excel等數(shù)千份有效文件，其在工作中能夠接觸到的辦公電子設(shè)備眾多，偵查機關(guān)需要查明李某個人優(yōu)盤中的文件分別來自哪臺電子設(shè)備。但是辦公電子設(shè)備中數(shù)據(jù)量巨大，經(jīng)數(shù)據(jù)恢復(fù)，發(fā)現(xiàn)提取數(shù)十萬份電子數(shù)據(jù)文件，難點在于面對海量數(shù)據(jù)，如何與李某個人優(yōu)盤中文件進(jìn)行一致性比對？

2.加密文件破解難。李某個人優(yōu)盤中存有加密文件，且拒不交代文件密碼。難點在于如何查明加密文件中是否存有單位內(nèi)部文件？是否存有涉案關(guān)鍵信息？

3.加密硬盤取證難。李某接觸到的辦公電子設(shè)備中有加密計算機，通過專用密鑰使用專門算法對部分硬盤分區(qū)進(jìn)行加密，如何對加密硬盤數(shù)據(jù)進(jìn)行取證分析成為難點。

二、檢驗方法

為保證電子數(shù)據(jù)能夠作為證據(jù)使用，要依據(jù)國家標(biāo)準(zhǔn)GB/T 29360-2012《電子物證數(shù)據(jù)恢復(fù)檢驗規(guī)程》對電子數(shù)據(jù)的規(guī)范性、真實性、有效性，進(jìn)行檢驗，全程錄像備查。按照檢驗規(guī)程，首先進(jìn)行檢材數(shù)據(jù)固定，由于電子數(shù)據(jù)易于修改、易被破壞，為保護(hù)其完整性，要使用高速硬盤復(fù)制系統(tǒng)，對案件涉及到的計算機硬盤進(jìn)行位對位復(fù)制，生成檢材副本;使用電子證據(jù)只讀設(shè)備，將涉案優(yōu)盤連接到電子物證專業(yè)取證設(shè)備，生成全盤鏡像文件，后續(xù)的電子數(shù)據(jù)檢驗均通過電子證據(jù)只讀設(shè)備在檢材副本和鏡像文件上進(jìn)行。該案檢驗中有3個關(guān)鍵環(huán)節(jié)：

1.專用算法比對相同文件。哈希值（Hash）采用不可逆單項函數(shù)，通過哈希算法將任意長度的二進(jìn)制值映射為固定長度的較小二進(jìn)制值，是一段數(shù)據(jù)唯一且極其緊湊的數(shù)值表現(xiàn)形式，有MD4、MD5、SHA1、SHA256、SHA512等算法。只要是存在任意長度的二進(jìn)制值數(shù)據(jù)都可以計算哈希值，包括各種類型電子數(shù)據(jù)文件、硬盤分區(qū)或硬盤、光盤等。當(dāng)電子數(shù)據(jù)文件內(nèi)容完全一致時，哈希值也相同，而且文件的哈希值只與文件內(nèi)容有關(guān)，與文件名稱、擴展名等屬性無關(guān)，哈希值就相當(dāng)于文件的“電子DNA”。利用電子數(shù)據(jù)文件哈希值的唯一性特點，可以快速準(zhǔn)確比較兩個文件內(nèi)容是否相同。同時，還可以利用哈希值進(jìn)行電子數(shù)據(jù)保全，一旦數(shù)據(jù)內(nèi)容改變，可以通過前后哈希值比較檢驗出來。

本案中，可以使用Encase、FTK、X-Ways、取證大師等電子物證專業(yè)取證軟件進(jìn)行哈希值計算。首先，對硬盤、優(yōu)盤、克隆硬盤、鏡像文件等檢材和檢材副本進(jìn)行哈希值計算，對數(shù)據(jù)進(jìn)行固定，防止數(shù)據(jù)修改破壞。然后，利用哈希值特性進(jìn)行電子數(shù)據(jù)文件批量校驗比對，以確定文件來源，具體步驟是：①先將優(yōu)盤鏡像文件中的數(shù)千份有效文件篩選出來，全部進(jìn)行哈希值計算，建立比對目標(biāo)文件哈希庫。②將李某能夠接觸到的辦公電子設(shè)備檢材副本，以每個檢材副本為單位篩選出有效文件全部進(jìn)行哈希值計算，分別建立檢材副本比對源文件哈希庫。其中，rar、zip等壓縮文件解壓后計算哈希值，并納入相應(yīng)哈希庫。③將目標(biāo)文件哈希庫和源文件哈希庫進(jìn)行哈希值比對，逐一找到李某個人優(yōu)盤中文件的來源出處，至此，文件一致性比對難題迎刃而解。

2.綜合手段破解加密文件。檢材中有一名為“×××”的rar壓縮文件，該壓縮文件加密，但其中多份文件名未加密，從文件名可判斷與本案有密切關(guān)聯(lián)。WinRAR壓縮文件使用AES加密，由于AES算法是對稱的，解密的過程是加密過程的逆運算，但解密時AES算法過程與加密時采用的不一樣，解密的關(guān)鍵仍然在于原密碼，因此WinRAR加密文件破解沒有捷徑。本案中，通過使用Passware Kit Forensic、Advanced RAR Password Recovery等密碼恢復(fù)工具，針對犯罪嫌疑人李某工作生活習(xí)慣設(shè)置密碼字典庫和字母、數(shù)字、符號、長度等要素，以“密碼字典+暴力破解”的方式進(jìn)行密碼破解，在數(shù)小時內(nèi)將該加密文件解密，獲取了涉案關(guān)鍵信息。

3.創(chuàng)新思路檢驗加密硬盤。對加密計算機硬盤進(jìn)行拆卸，位對位復(fù)制生成檢材副本，再將該檢材副本硬盤裝入原計算機，并接入對應(yīng)密鑰，發(fā)現(xiàn)計算機開機后檢測不到密鑰，加密硬盤文件系統(tǒng)顯示為RAW、空白硬盤，由此判斷該計算機系統(tǒng)內(nèi)硬盤分區(qū)加密工具只支持源盤數(shù)據(jù)解密，不能讀取復(fù)制盤內(nèi)加密數(shù)據(jù)。從檢驗實踐看，針對該類型硬盤分區(qū)加密數(shù)據(jù)檢驗，只能對源盤進(jìn)行操作，遂將檢材源盤、密鑰接入檢材計算機，同時再外接一塊經(jīng)數(shù)據(jù)擦除過的全新硬盤作為數(shù)據(jù)拷貝檢材副本，將檢材源盤內(nèi)數(shù)據(jù)恢復(fù)復(fù)制到數(shù)據(jù)拷貝檢材副本硬盤上，后續(xù)哈希值計算比對、關(guān)鍵詞搜索等檢驗工作均在數(shù)據(jù)拷貝檢材副本硬盤上進(jìn)行。

三、結(jié)語

電子數(shù)據(jù)檢驗技術(shù)與現(xiàn)代電子信息技術(shù)、互聯(lián)網(wǎng)技術(shù)等密切相關(guān)，電子數(shù)據(jù)跟傳統(tǒng)證據(jù)相比，既有其作為證據(jù)對法律屬性的嚴(yán)格要求，包括數(shù)據(jù)生成、傳輸、收集和檢驗方法、程序等規(guī)范，也有其專業(yè)屬性，包括形態(tài)多種多樣、種類復(fù)雜繁多、易變易毀及專業(yè)性強、科技含量高等，需要電子數(shù)據(jù)檢驗人員掌握相應(yīng)知識、技能和具備軟硬件條件，綜合運用和嘗試多種方法手段，不斷研究破解各類疑難問題。