李玲俐

(廣東司法警官職業(yè)學(xué)院， 廣州 510520)

0 引 言

大數(shù)據(jù)、云計(jì)算等現(xiàn)代科技發(fā)展迅猛，電子取證結(jié)合現(xiàn)代偵查技術(shù)成為網(wǎng)絡(luò)犯罪涉案中非常關(guān)鍵的取證方式，大量從事計(jì)算機(jī)技術(shù)和法律范疇的學(xué)者們對(duì)電子取證進(jìn)行了深入的研究。文獻(xiàn)[1]分別對(duì)基于Windows、基于智能手機(jī)、基于網(wǎng)絡(luò)的電子取證方法和技術(shù)進(jìn)行了綜述；文獻(xiàn)[2]通過(guò)分析網(wǎng)絡(luò)犯罪中電子證據(jù)的特殊性、電子取證技術(shù)的意義，提出電子取證的收集和保全方法；文獻(xiàn)[3]提出一種網(wǎng)絡(luò)犯罪案件中能提高電子取證分析效率的溯源策略。由于網(wǎng)絡(luò)犯罪分子的犯案手段日漸靈活，電子取證在技術(shù)和法律層面都有其優(yōu)缺點(diǎn)，本文分析網(wǎng)絡(luò)犯罪的特點(diǎn)，詳細(xì)探討了網(wǎng)絡(luò)犯罪中電子取證的關(guān)鍵技術(shù)，繼而闡述了中國(guó)電子取證的技術(shù)和法律兩個(gè)方面都有待完善，最后提出未來(lái)的研究方向。

1 網(wǎng)絡(luò)犯罪的特點(diǎn)

在全球信息化的今天，計(jì)算機(jī)網(wǎng)絡(luò)的普及和飛速發(fā)展，云計(jì)算、大數(shù)據(jù)、人工智能等廣泛應(yīng)用，為人們的工作和生活帶來(lái)很大的便利，數(shù)據(jù)共享、即時(shí)聊天、語(yǔ)音視頻、網(wǎng)絡(luò)會(huì)議、電子商務(wù)、電子政務(wù)等都成為不可或缺的一部分。這樣的社會(huì)背景下，網(wǎng)絡(luò)安全事件已然引起各界的關(guān)注與重視，網(wǎng)絡(luò)釣魚(yú)、病毒、木馬、黑客攻擊、網(wǎng)絡(luò)詐騙、新APT(高級(jí)持續(xù)性威脅，Advanced Persistent Threat)組織、數(shù)據(jù)隱私、勒索軟件等凡是能獲取經(jīng)濟(jì)利益的行為，時(shí)刻威脅著電子商務(wù)的安全運(yùn)行，犯罪分子的目標(biāo)是網(wǎng)銀中的錢、虛擬貨幣和有價(jià)值的資料信息等，逐步形成一條環(huán)環(huán)緊扣的灰色產(chǎn)業(yè)鏈[4]。

網(wǎng)絡(luò)犯罪利用互聯(lián)網(wǎng)的便捷實(shí)施犯罪行為[5]，從事網(wǎng)絡(luò)犯罪活動(dòng)的大部分是高智能的專業(yè)犯罪人員，有其特殊的犯罪手段。個(gè)人做案，反偵察能力不強(qiáng)，但隱匿性高；團(tuán)體做案，分工明確，有較高的反偵察能力和流竄性。部分犯罪分子具備一定的網(wǎng)絡(luò)技術(shù)和信息安全知識(shí)，能通過(guò)一些手段將證據(jù)隱藏或者瞬間銷毀，使取證調(diào)查難以發(fā)現(xiàn)其犯罪行為，這就使得取證技術(shù)在不斷進(jìn)步的同時(shí)，反取證技術(shù)也在悄然地發(fā)展著。反取證技術(shù)一般有數(shù)據(jù)加密、數(shù)據(jù)隱藏和數(shù)據(jù)清除三種[3]，給取證工作增加了很大難度。網(wǎng)絡(luò)犯罪的危害不容忽視，電子取證的研究顯得重要和緊迫。

2 網(wǎng)絡(luò)犯罪中的電子取證研究

2.1 電子取證概述

2.1.1 電子取證的定義

1991年, 美國(guó)舉行第一屆計(jì)算機(jī)調(diào)查專家國(guó)際會(huì)議IACIS(International Association of Computer Investigative Specialists), 首次提出計(jì)算機(jī)取證(Computer Forensics)(也稱為電子取證)的概念。2012年，中國(guó)修改的《刑事訴訟法》中，“電子數(shù)據(jù)”被正式歸為法定證據(jù)的種類之一。電子數(shù)據(jù)是指能證明案件事實(shí)的電子信息和數(shù)據(jù)資料，即電子證據(jù)(Digital Evidence)。電子取證是指對(duì)計(jì)算機(jī)系統(tǒng)以及網(wǎng)絡(luò)中相關(guān)的電子證據(jù)進(jìn)行獲取、保存、辨析和提交的過(guò)程。隨后，電子取證技術(shù)快速發(fā)展, 逐漸成為一門融合計(jì)算機(jī)科學(xué)、法學(xué)、心理學(xué)、偵查學(xué)等在內(nèi)綜合性、交叉性的學(xué)科。

2.1.2 電子證據(jù)的特點(diǎn)

網(wǎng)絡(luò)犯罪案件偵查過(guò)程中，通常要用到的電子證據(jù)，其目的是為了調(diào)查、分析和恢復(fù)從各種電子設(shè)備中采集到的數(shù)據(jù)信息[6-7]。電子證據(jù)易于存儲(chǔ)、傳送方便快捷、便于操作[8]、可以多次被復(fù)制，有以下特點(diǎn)。

(1)無(wú)形性。調(diào)查取證過(guò)程中，通常要用到的電子證據(jù)是以數(shù)字化形式存在的載體，用硬盤、磁盤、U盤和智能卡等磁性物理介質(zhì)保存。

(2)多樣性。電子證據(jù)的內(nèi)容有文本、圖像、音頻、視頻和計(jì)算機(jī)編碼等多種數(shù)據(jù)信息。

(3)消失性。計(jì)算機(jī)故障、病毒、誤操作、惡意刪除等都有可能使電子證據(jù)消失。

(4)動(dòng)態(tài)性。網(wǎng)絡(luò)犯罪案件中，除了用靜態(tài)存儲(chǔ)設(shè)備儲(chǔ)存的數(shù)據(jù)，更多的電子數(shù)據(jù)是網(wǎng)絡(luò)數(shù)據(jù)，動(dòng)態(tài)電子證據(jù)涉及到對(duì)象、時(shí)間、地點(diǎn)、技術(shù)等方面，對(duì)電子取證的技術(shù)設(shè)備和取證人員的專業(yè)素質(zhì)都提出了更高要求。

(5)實(shí)時(shí)性。電子數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時(shí)會(huì)自動(dòng)生成日志記錄，包括數(shù)據(jù)生成的時(shí)間、大小、屬性等。日志是偵查取證過(guò)程中非常重要的電子證據(jù)來(lái)源，在某種程度上，電子數(shù)據(jù)的實(shí)時(shí)性為取證人員偵查取證提供了很大的幫助，但是由于大部分網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)在云端服務(wù)器，有時(shí)間和空間的限制，不同的服務(wù)器提供商支持的數(shù)據(jù)格式可能不一樣，為取證工作增加了準(zhǔn)確、及時(shí)的客觀要求[5]。

(6)分散性。電子數(shù)據(jù)在生成、傳輸、存儲(chǔ)等過(guò)程中，分散在網(wǎng)絡(luò)的各個(gè)部分，有些犯罪分子會(huì)清除犯罪痕跡，加大了各項(xiàng)數(shù)據(jù)的取證工作的難度。

網(wǎng)絡(luò)犯罪下的電子取證技術(shù)和過(guò)程是傳統(tǒng)取證的發(fā)展和延伸，電子證據(jù)的生成、傳輸、接收、存儲(chǔ)、收集等每一個(gè)步驟都要求電子取證必須全面、及時(shí)、真實(shí)、合法，才能保證電子取證工作的順利進(jìn)行[8]。

2.2 網(wǎng)絡(luò)犯罪下電子取證的關(guān)鍵技術(shù)

網(wǎng)絡(luò)犯罪的技術(shù)和手段越來(lái)越高級(jí)，電子取證所需要的技術(shù)也越全面，涉及到法律、網(wǎng)絡(luò)信息安全、數(shù)據(jù)挖掘、人工智能等各個(gè)領(lǐng)域，目前主要有下面幾種常用的關(guān)鍵技術(shù)。

(1)數(shù)據(jù)備份。也叫數(shù)據(jù)復(fù)制，是指將全部或部分?jǐn)?shù)據(jù)集合、數(shù)據(jù)庫(kù)從原主機(jī)的硬盤或陣列復(fù)制到其它存儲(chǔ)介質(zhì)的過(guò)程。包括拷貝、拍照、攝像、鏡像等方法，保證備份數(shù)據(jù)和原數(shù)據(jù)的一致性和完整性。

(2)數(shù)據(jù)恢復(fù)。網(wǎng)絡(luò)犯罪分子通常將與犯罪事實(shí)有關(guān)的電子證據(jù)篡改、刪除或破壞，為取得有效證據(jù)，專業(yè)人員需要在存儲(chǔ)介質(zhì)的存儲(chǔ)區(qū)域沒(méi)有嚴(yán)重受損的情況下，通過(guò)各種數(shù)據(jù)恢復(fù)工具把修改、遭到破壞、甚至丟失的數(shù)據(jù)還原為原始數(shù)據(jù)。

(3)數(shù)據(jù)加解密。數(shù)據(jù)加密是信息保護(hù)的主要方法之一，將密鑰和加密算法加密后的密文在公網(wǎng)中傳遞，以保證數(shù)據(jù)的機(jī)密性、完整性和可用性。如果犯罪嫌疑人不愿意提供密碼，偵查人員必須通過(guò)各種手段獲得，除了嫌疑人的計(jì)算機(jī)、智能卡等存儲(chǔ)設(shè)備，也可能利用暴力破解等方式獲得其口令或密鑰，再采用解密技術(shù)將密文恢復(fù)為明文。

(4)數(shù)字簽名和時(shí)間戳。數(shù)字簽名用于鑒別數(shù)字信息，證明消息發(fā)布者的身份；時(shí)間戳提供一份電子證據(jù)，證明數(shù)據(jù)生成時(shí)間[9]。數(shù)字簽名和時(shí)間戳的抗抵賴性能證明數(shù)據(jù)的完整性和有效性。偵查人員通常要對(duì)有時(shí)間的信息內(nèi)容進(jìn)行標(biāo)記。

(5)入侵檢測(cè)系統(tǒng)(Intrusion Detection System, IDS)取證。IDS是一種能夠通過(guò)分析系統(tǒng)安全相關(guān)數(shù)據(jù)來(lái)檢測(cè)入侵活動(dòng)的系統(tǒng)，依照一定的安全策略，對(duì)系統(tǒng)和網(wǎng)絡(luò)的運(yùn)行狀況進(jìn)行監(jiān)控，盡可能識(shí)別各種非法攻擊[10]，同時(shí)收集相關(guān)的電子證據(jù)，包括日志記錄、攻擊的行為結(jié)果、網(wǎng)絡(luò)流量的變化，并進(jìn)行分析[11]。

(6)數(shù)據(jù)挖掘。數(shù)據(jù)挖掘是從海量數(shù)據(jù)中獲得有價(jià)值信息，在大數(shù)據(jù)時(shí)代，這是不可或缺的取證技術(shù)。在動(dòng)態(tài)地址取證階段，數(shù)據(jù)挖掘技術(shù)中的基于關(guān)聯(lián)規(guī)則的分類方法可以對(duì)犯罪嫌疑人的非法行為進(jìn)行對(duì)比判斷，挖掘出對(duì)破案有利的證據(jù)。

除了以上關(guān)鍵技術(shù)，還有數(shù)據(jù)抓取、安全掃描、日志分析、蜜罐技術(shù)、惡意代碼、網(wǎng)絡(luò)監(jiān)聽(tīng)等電子取證技術(shù)，取證人員通過(guò)對(duì)數(shù)據(jù)的分析和比對(duì)，將有效的數(shù)據(jù)串聯(lián)起來(lái)，作為判案所需的電子證據(jù)。

2.3 中國(guó)電子取證的挑戰(zhàn)

電子取證對(duì)犯罪案件的調(diào)查和偵破起著非常重要的作用, 是傳統(tǒng)取證技術(shù)的重要補(bǔ)充。當(dāng)前形勢(shì)下，網(wǎng)絡(luò)犯罪下的電子取證工作面臨的挑戰(zhàn)主要體現(xiàn)在如下3個(gè)方面。

(1)電子取證相關(guān)法律程序不完善。目前，中國(guó)現(xiàn)有法律制度對(duì)電子取證的程序的規(guī)定還在完善之中，實(shí)踐應(yīng)用中電子證據(jù)的合法性、有效性有待明確。例如，偵查員具有很強(qiáng)的法律意識(shí)、隱私權(quán)和人權(quán)保護(hù)意識(shí)，但很多時(shí)候隱私數(shù)據(jù)和非隱私數(shù)據(jù)沒(méi)有嚴(yán)格的界定，導(dǎo)致在取證過(guò)程中往往無(wú)法確定哪些是法律范疇內(nèi)能獲得的電子證據(jù)。

(2)電子證據(jù)取證難、認(rèn)證難[12]。其一，偵查員很難將嫌疑人或者其設(shè)備扣押而進(jìn)行取證，即使可以，由于嫌疑人經(jīng)常更換設(shè)備，比如計(jì)算機(jī)網(wǎng)卡、手機(jī)等，或者直接破壞硬件、覆蓋原始數(shù)據(jù)。其二，取證時(shí)間越長(zhǎng)，犯罪痕跡可能被海量數(shù)據(jù)淹沒(méi)，例如有些嫌疑人在網(wǎng)上租用的云儲(chǔ)存服務(wù)器，租約到期云服務(wù)器中的數(shù)據(jù)被釋放，或者云服務(wù)器失效導(dǎo)致數(shù)據(jù)不可恢復(fù)；又例如嫌疑人在取證前刪改、偽造原始數(shù)據(jù)，偵查員無(wú)法判斷其完整性和真實(shí)性，更不能作為判案的依據(jù)。

(3)電子取證人員需要具備行業(yè)領(lǐng)先的高素質(zhì)?；ヂ?lián)網(wǎng)時(shí)代的犯罪分子通常具備高科技設(shè)備和技術(shù)，電子證據(jù)易篡改、易受破壞性、易實(shí)時(shí)變更, 搜集和司法鑒定變得復(fù)雜，取證人員必須擁有專業(yè)過(guò)硬的取證技術(shù)[1], 進(jìn)行全面的分析，提取有價(jià)值的證據(jù)。目前，中國(guó)的電子取證高素質(zhì)專業(yè)人員的相對(duì)匱乏，使得很多取證工作不夠全面、不夠合理、不夠及時(shí)，達(dá)不到預(yù)期的效果。

3 結(jié)束語(yǔ)

本文闡述了網(wǎng)絡(luò)犯罪的特點(diǎn)，對(duì)電子取證現(xiàn)狀和關(guān)鍵技術(shù)進(jìn)行分析，提出目前中國(guó)電子取證所面臨的挑戰(zhàn)。隨著新時(shí)代電子技術(shù)、信息安全、智能手機(jī)的高速發(fā)展，網(wǎng)絡(luò)犯罪下電子取證的難點(diǎn)是如何在虛擬網(wǎng)絡(luò)世界中拿捏好偵查權(quán)，如何獲得并確保取證人員獲得的電子數(shù)據(jù)能夠作為對(duì)判案有效的電子證據(jù)，如何在整個(gè)取證過(guò)程中保障人權(quán)和隱私權(quán)[13]。未來(lái)研究方向除了將上述關(guān)鍵技術(shù)繼續(xù)發(fā)展和提升外，還有2點(diǎn)可做闡釋分述如下。

(1)基于區(qū)塊鏈的電子取證技術(shù)。區(qū)塊鏈?zhǔn)侵行幕?、去信任化的?shù)據(jù)庫(kù)，涉及密碼學(xué)、數(shù)字簽名、時(shí)間戳、分布式數(shù)據(jù)存儲(chǔ)、共識(shí)機(jī)制等計(jì)算機(jī)及網(wǎng)絡(luò)安全技術(shù)，能夠安全存儲(chǔ)比特幣及其交易，也可以存儲(chǔ)其它數(shù)字資產(chǎn)，網(wǎng)絡(luò)犯罪分子將無(wú)法篡改和偽造區(qū)塊鏈中的電子證據(jù)[14]。

(2)云取證技術(shù)。云時(shí)代，各種云服務(wù)為人們帶來(lái)便利，大量與人們工作生活相關(guān)的數(shù)據(jù)信息儲(chǔ)存在云端，這些電子資料成為犯罪分子的主要目標(biāo)。云取證是云計(jì)算和電子取證相結(jié)合的產(chǎn)物，傳統(tǒng)的電子取證工具、技術(shù)和框架得到變更[15]，取證人員在云取證過(guò)程中涉及到的調(diào)查范圍更大、技術(shù)性更強(qiáng)、用法更全面。到目前為止，云取證發(fā)展時(shí)間比較短，面臨數(shù)據(jù)分散、技術(shù)和法律問(wèn)題，但也會(huì)帶來(lái)新的機(jī)遇，云取證勢(shì)必會(huì)在將來(lái)云計(jì)算犯罪調(diào)查方面有著重要的應(yīng)用前景。