基于社交网络的电子证据取证方法探讨

◆翟振兴 杨仕海

（重庆市公安局江北区分局 重庆 400021）

基于社交网络的电子证据取证方法探讨

◆翟振兴 杨仕海

（重庆市公安局江北区分局 重庆 400021）

随着网络技术尤其是移动互联网的快速发展和迅速普及，网络社交成为当今主要的一种社交方式。然而，以社交网络为载体或者社交网络作为入侵客体的犯罪案件频发，这对电子证据取证技术提出了更高的要求。如何有效提取及固定社交网络犯罪中留下的“痕迹”，成为刑事诉讼侦查取证的关键环节。本文结合社交网络犯罪及电子证据取证技术的特点，提出了基于社交网络的云取证和数据挖掘电子证据取证方法，对依法打击社交网络犯罪和刑事诉讼具有积极意义。

社交网络; 电子证据; 取证; 方法

0 前言

社交网络即社交网络服务，源自英文SNS（Social Network Service）的翻译，即提供社会性网络服务的网站，是人类在互联网上传播信息和进行社会交流活动的平台和载体，其本质是包括硬件、软件、服务及应用在内的综合体，其发展经历了早期社交网络BBS时代、娱乐化社交网络时代、信息社交网络时代和垂直社交网络应用时代。

社交网络犯罪是以接入社交网络的信息系统及其存储、传输的信息为犯罪对象，或者把社交网络作为犯罪工具所实施的危害社会、依照刑法规定需要追究刑事责任的行为，也即是把社交网络即作为犯罪对象又作为犯罪工具的犯罪。包括入侵社交网络网站、在社交网站上传授犯罪方法、传播淫秽物品牟利、进行网络诽谤等非法活动，且构成刑法意义上的社会危害。与传统的计算机犯罪、网络犯罪相比，社交网络犯罪具有鲜明的特点，即犯罪分子将传统网络犯罪的技巧与现在的社交工程技术相结合，逐步掌握犯罪所需的全部信息，进而敲诈用户钱财、冒充好友进行诈骗、诱使用户下载恶意信息及进行其他的网络攻击和侵害。

1 电子证据取证

电子证据是指以应用现代信息技术而产生的，借助电子或者相关电子设备形成的，可以用于证明案件事实或与法律事务有关事实的一切与电子信息相关的材料与信息的总称[1]。电子证据作为诉讼证据必须具备客观性、关联性和合法性的特点。电子证据取证是运用计算机及网络等技术获得电子证据的过程。电子证据取证技术是随着计算机技术、网络技术和信息安全技术发展而来的新兴领域，依据电子证据的载体划分，分为传统电子证据取证技术和网络取证技术。

1.1 传统电子证据取证技术

传统电子证据取证对象大多是硬盘、U盘等看得见、摸得着的具有存储功能的电子设备，取证人员可以通过物理扣押制作磁盘镜像获取证据，逐比特的复制镜像能完整的记录磁盘上已删除文件、未分配空间和交换空间的内容。与传统证据相比，传统电子证据具有表现形式多样化、易破坏、易修改等特点，因此要求取证人员拥有相应的知识和技术工具，按照相关的法律、法规，同时遵照取证操作规程，开展提取和固定证据工作。然而，传统电子证据取证是事后取证，存在取证设备效率低、取证设备标准缺失和不统一及取证设备功能滞后等问题。

1.2 网络取证技术

网络取证技术主要针对网络数据流、网络设备日志的实时监控和分析，发现网络系统的入侵行为，自动记录犯罪证据，对网络的动态信息进行收集和对网络攻击的主动防御[2]。网络取证的电子证据来源与其他取证不同，网络取证更专注于网络流量的监控与分析。网络取证中电子证据的主要来源有：系统日志、IDS、防火墙、ftp、反病毒软件日志、系统的审计记录、网络流量监控、数据库的临时文件及连网设备等[3]。为保证传输的可靠性，网络数据流中不可避免的会有大量的冗余数据。网络取证是事中取证，常用的网络取证技术包括入侵检测取证技术和痕迹取证技术[4]。入侵检测取证技术是通过计算机网络或计算机系统中的若干关键点手机信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术，简称IDS，其可以对网络数据通信包进行实时的监控和分析，获取嫌疑人的犯罪信息。痕迹取证技术是指运用专门的工具软件和技术手段，对犯罪嫌疑人使用过的计算机网络设备相关记录和痕迹信息进行分析取证，获得案件相关的犯罪证据。主要有文件内容、网页内容、聊天记录、登录日志及网络日志等。

1.3 反取证技术

实际案例中，黑客往往具备专业的计算机和网络技术知识，因此大多黑客具有较强的反侦查意识，在入侵过程中采用身份隐藏、入侵后采取擦除的方式删除相应的“痕迹”和电子证据。犯罪分子使用数据隐藏技术、数据删除技术和数据加密等反取证技术大大削弱取证工作的效果，给取证工作带来很大的困难。因此，取证人员需要加大对反取证技术的研究力度，深入分析反取证技术的原理，通过专业的知识综合运用数据恢复、数据解密技术进行取证操作，并严格按照取证操作规程，以获取司法实践中可信的电子证据。

2 基于社交网络的电子证据取证

由于社交网络具有信息多样、动态（实时）、海量、交互和可信性质疑等特点，相比传统的电子证据取证和网络取证具有更大的困难，主要表现在动态实时数据获取问题、海量数据内容分析问题、复杂交互数据展示问题和证据的可信性问题[5]。结合社交网络犯罪的特点，综合云取证及数据挖掘技术的优势，提出基于社交网络的云取证和数据挖掘的电子证据取证方法。

2.1 基于社交网络的云取证方法

社交网络作为犯罪工具有两种表现形式，即作为犯罪主体联系的平台和犯罪存储的载体。随着移动互联网和云计算的快速发展和普及，社交网络的载体从PC端逐渐向移动智能终端和云端过渡。社交网络中的“QQ群”、“微信群”、“朋友圈”让兴趣相同的人紧密联系在一起，但这也成为滋生犯罪的“温床”。笔者结合日常取证实例：张某等人传播隐晦物品和暴恐音视频案。张某等人利用微信群和云盘传播淫秽视频及暴恐音视频信息，该案中社交网络既作为犯罪主体联系的平台，又作为犯罪存储的载体。犯罪嫌疑人张某通过加入一些微信“歪群”，通过发红包付费的方式获取群成员存储在云端的隐晦视频和暴恐音视频下载权限，然后自己建立微信群，下载到本地再存放到大量（TB级）的淫秽视频和暴恐视频的115网盘供他人下载。如何提取和固定不同微信群成员云盘账号下的电子证据成为取证的一大难点。采取远程勘验对每个云盘账号下的淫秽视频进行下载固定，不具有可操作性。考虑到不同云账号下的视频文件可能是通过最初的一个云账号进行分享后转存的，不同云账号下的同一视频文件名列表实际指向相同的文件。取证实践中如能证明每个云账号中的视频文件列表实际指向的相同文件，这样能大大减轻取证的工作量，只需要下载一个云账号下的视频文件，同时向云服务提供商及时冻结和调取包括云账号、索引、文件储存位置列表在内的证据即可。

2.2 基于社交网络的数据挖掘取证方法

社交网络作为犯罪客体是指犯罪分子通过各种技术手段，违反国家规定，侵入各种各样的大型社交系统，他们可能会窃取账号密码获取公民个人信息，或以破坏系统进行敲诈勒索等犯罪活动。大型社交网络往往采用了分布式技术和云计算的技术来存储各类数据的。社交网络数据的高度复杂性给电子证据取证带来了巨大的挑战。同时，社交网络数据之间的关联性使得可以综合利用数据挖掘的思想进行电子证据提取、分类。社交网络作为犯罪客体，可以利用多线程技术的抓包引擎，依据不同的协议层规则和综合运用各种数据挖掘技术来分析相应层的可疑数据，提取与案件相关的电子证据，同时通过分析入侵来源和方法，将分析出的新规则存入知识库，指导下一次的数据挖掘分析和入侵检测，从而发现证据间的潜内在关联，重现系统入侵的全过程，提供准确有效的电子证据，解决网络取证可信性的问题。通过数据挖掘的关联规则和聚类方法，对提取的海量和交互数据进行分类，从而解决了网络数据取证对海量数据内容分析和复杂交互数据展示的局限性问题，在实际工作中，技术人员通过合理运用数据挖掘技术，可以在海量的网络数据中对犯罪行为的诸如文件属性、IP日志等尽心深入分析，从而及时挖掘各种犯罪行为，进而固定电子证据，为案件的审查移送提供强有力的证据支撑。

3 结论

笔者结合日常取证工作实际，提出了基于社交网络的云取证和数据挖掘电子证据取证方法，具有较好实用价值。随着社交网络向纵深领域发展，必将对现有的电子证据取证方法提出更高的要求。这也将是笔者下一步研究重点。

[1]庞凤宇.电子证据取证问题研究[J].河北公安警察职业学院学报，2016.

[2]Pilli ES，Joshi RC，Niyogi R.A generic framework for network forensics.Int’l Journal of Computer Applications，2010.

[3]杜威，彭建新，毛莉.网络电子证据取证技术综述[J].刑事技术，2011.

[4]杨泉清，许元进.浅谈计算机网络取证技术[J].海峡科学，2010.

[5]吴信东，李亚东，胡东辉.社交网络取证初探[J].Journal of Software，2014.