现场勘验电子存储介质预检指标体系研究

2019-11-11 08:17韦同胜高梓铭崔元祯郭妍
计算机时代 2019年10期
关键词:存储介质规范化指标体系

韦同胜 高梓铭 崔元祯 郭妍

摘  要: 为适应规范化勘查取证要求,加强现场提取至实验室送检过程中对电子数据存储介质性状的预判与掌握能力,加强物证原始性监督,分别通过必要性、适用性、可行性的论证,提出加强现场预检工作思路。从辨识属性、健康属性、数据属性三个层次构建预检指标体系,并根据介质特性,从硬盘与Flash芯片存储分别梳理出了现场勘验电子存储介质预检指标集。预检指标体系的建立必将促进勘查取证工作的规范化。

关键词: 规范化; 存储介质; 预检; 指标体系

中图分类号:TP306          文献标志码:B     文章编号:1006-8228(2019)10-99-04

Abstract: In order to meet the requirements for the standardization of investigation and forensics, strengthen the anticipation and control of electronic data storage medium properties in the process of conveying evidence from the site to lab, as well as strengthen the supervision of the origin of material evidence, according to the necessity, applicability and feasibility demonstration, this paper puts forward the idea to strengthen the pre-inspection work on site and constructs the index system of pre-inspection from the three attributes of identification, health and data. On the basis of the medium characteristics, this paper also respectively sorts out the pre-inspection index set of electronic storage medium for investigation on site from the two aspects of the hard disk and Flash chip storage. The establishment of pre-inspection index system will promote the standardization of investigation and forensics work.

Key words: standardization; storage media; pre-inspection; index system

0 引言

現今用于储存图像、视频、音频、文件等资料的介质越来越多。在现场进行证据采集时,除需要执法人员界定产品外型、类别外,还需要明确介质的型号,容量,是否可以读取,数据是否损坏等基本情况。在轰动全国的“快播”案件中,辩诉方律师对证据的采集过程是否合法提出质疑,辩诉方对起获的服务器真实性、有效性也提出了怀疑。并针对证物采集后是否受到人为污染[1],人为在硬盘服务器中加入视频数据提出了疑问,质疑证物的有效性。因此,提出一套适用于现场电子介质快速检测指标体系,便于在公检法机构执行扣押证据采集时候,对具有隐蔽性的介质、数据状态[2]进行初查,明确所存电子数据的原始性状[3],是此次研究的目的。

1 电子存储介质预检必要性

从我国的发展情况看,电子物证的勘验和提取发展非常迅速,涉案数呈不断上升趋势,各省市基本都有了专业的电子物证的勘验和提取机构和鉴定人员。截止“十二五”末,全国隶属刑侦部门的电子物证检验鉴定机构已有219个,根据建设要求及涉案检材检验、鉴定需求,专业实验室建设将连续多年保持高速发展,专业技术人才缺口也非常大,同时技术人员还多集中在省市两级,县区现勘一线普遍技术人员少,缺乏系统培训,急需通过技术装备加强电子物证专业,使之发挥应用的作用,但此项的研究基本处于刚刚起步阶段。目前,我国在电子物证勘验提取的工作中,着重研究的方向是如何提取和分析所获电子物证中的数据,也就是电子物证提取扣押后的阶段,而忽略了在现场提取电子物证时,当事人、见证人[4]在场情况下,对电子物证存储载体做必要的检验,明确存储介质是否可读取,是否有物理或逻辑损坏,具体损坏的情况如何等,从而为下一阶段的数据提取和分析提供充足的法律依据和保障。因此,在电子物证的勘验和提取工作中,只有同时做好以上两个阶段的专业工作,才能确保证据的真实性、合法性和完整性。

2 预检指标体系适用性

随着电子信息技术发展,特别是物联网时代的到来,生活中的电子仪器设备已从传统的计算机、手机等常用类型发展成了包罗万象各类集合,各类设备外形、标准、特性不一,但归根结底主要为计算单元、存储单位、IO接口等,其中存储部分主要承担数据、过程记录功能,是电子物证获取、分析的重点[5],因此预检指标[6]体系也主要围绕存储部件建立。常见的独立存储介质主要包括硬盘、U盘、SD/TF卡等,一体化存储介质主要为设备电路板上集成的存储芯片。由于集成存储芯片介质通常物理特性稳定,加之其嵌入式存储数据通用性差,因此现在提出的预检指标体系主要针对独立存储介质。

3 预检指标体系

预检指标体系应包括三个层次,一是辨识属性,主要是指设备出厂型号、参数等,它通常具有设备识别的作用。二是健康属性,主要反映设备过往及当前稳定性、可靠性,明确检材硬件状态,便于有针对性送检、预测风险、划分物证流转责任。三是数据属性,这是检材作为电子物证提取物最核心的部分,是反映事实的关键。

综合考虑物理结构、存储原理,设备参数[7]特点,上述独立存储介质大体可划分为硬盘、FLASH芯片存储两大类分别建立预检指标体系。

3.1 硬盘类存储预检指标体系

机械硬盘与固态硬盘虽在物理结构、存储原理上完成不同但两者在设备参数集合上保持了延续性,因此可建立统一的测评指标。在综合参考主流硬盘常见检测指标的基础上(见图1),笔者归纳总结了硬盘类存储预检指标集,其中健康属性主要基于S.M.A.R.T[8]检测实现。

当然,并非所有品牌的硬盘都会有统一的S.M.A.R.T信息标准,所以为了统一判断信息,笔者暂定了11项常见并具有代表意义的检测项目作为健康属性的主要构成。具体包括:①底层数据读取错误率;②启动/停止计数;③重映射扇区数;④通电时间累计;⑤主轴起旋重试次数;⑥磁盘校准重试次数;⑦磁盘通电次数;⑧温度;⑨当前等待中扇区数;⑩ULTRA DMA奇偶校验错误率;11写错误率(见图2)。

3.2 芯片类存储预检指标体系

由于Flash芯片存储性能稳定、可靠性强,且不支持SMART自检测,因此对比硬盘类存储,预检指标体系差异还是较为明显的(见图3)。①辨识属性项目较多,设备、主控单元、存储单元的软硬件规格、版本都有明确细分。②健康属性部分,比较普遍的检测主要为读取速度和坏块数。③数据属性部分,根据文件系统的不同,指标中存在FAT与MFT相关指标项(见图4)。

4 现场预检可行性

现场预检工作开展除应具备必要性外,还应具备可行性。下面分别从技术可行性与现实可操作性进行分析。①术可行性,通用硬盘检测工具主要包括硬盘哨兵、HDDScan、HDDTUNE等,硬盘修复工具如PC3000、效率源、DFL等也都集成了硬盘检测功能,都可以对硬盘的固件、版本、序列号、容量、以及硬盘健康状况、不稳定扇区数、重新映射扇区计数、读写错误率[9]等SMART健康指标进行检测。通用U盘检测工ChipGenius、CheckUDisk等可以识别U盘等Flash存储的主控芯片、设备ID、闪存识别号等。DISKGEN、DFL等也都支持硬盘、U盘等存储数据目录结构统计与在线分析。生成MD5散列值的小工具更是十分方便获得。综上所述,现场开展电子物证存储介质预检在技术上是成熟可行的,可供选择的工具也十分丰富的。②现实可操作性,现场勘查时侦查人员、技术人员工作原本内容已较为饱滿,特别是基层人手紧张,经常是出了一个现场就要赶去下一个现场,因此是否可以在有限时间内完成预检工作,就是现场预检能否顺利推行的重要因素。为得到真实的数据,笔者通过实测并参考其他技术人员研究成果,得出执行预检的大体时间(见表1)。需要特别说明的是,由于计算能力、接口速度、检测对象性能等因素差异,执行扇区扫描、生成MD5所需时间差异是比较明显的,加电检测、S.M.A.R.T健康检测、文件系统识别基本不受影响。

5 结论

通过分析可以看出,在现场对电子数据存储介质进行预检,掌握介质健康状态及数据基本情况,必要时进行扇区快速扫描、生成散列值,对明确物证原始属性、物证流转责任、确保电子物证真实可信都有重要意义,在技术上、操作性上具备可行性。然而原有检测工具都不是针对电子证据检测设计的,无法保障对原始检材的只读要求,功能及设计上通常较为复杂,不适合基层操作人员快速上手。因此,要推行现场勘验电子存储介质预检工作,还需要结合预检指标体系设计研发出适合的工具,并在推行过程中不断优化完善这一指标体系,让其在规范现场执法与物证检验鉴定中发挥更大作用。

参考文献(References):

[1] 邹国强.电子物证提取和检验前的“污染”研究[J].信息网络安全,2011.6:75-76

[2] 蒋天蔚,刘启刚.“一长四必”视阈下侦查人员犯罪现场勘查核心能力研究[J].河北公安警察职业学院学报,2018.3:18-22

[3] 戴士剑,李运策,梅越.电子物证溯源性研究[J].信息网络安全,2010.11:15-18

[4] 黄少石.现场勘查见证人模式的再思考——以俄罗斯体系为研究切入点[J].江西公安专科学校学报,2010.3:43-49

[5] 杨秀华,李浩.电子物证检验工作模式探析[J].法制博览,2017.23:142.

[6] 王永刚.对电子数据现场获取存在问题的分析与探讨[J]. 科技资讯,2013.26:25

[7] 舒月,张毅,刘鹤.固态硬盘与机械硬盘逻辑层数据恢复比较研究[J].保密科学技术,2018.7:20-25

[8] 宋云华.基于S.M.A.R.T.预测故障磁盘的研究[D].南京大学,2014.

[9] 工作.为PC硬盘做健康体检[J].电脑知识与技术(经验技巧),2009.3:80-81

猜你喜欢
存储介质规范化指标体系
档案馆移动存储介质管理方法探讨
价格认定的规范化之路
一种使用存储介质驱动的方式
层次分析法在生态系统健康评价指标体系中的应用
供给侧改革指标体系初探
狂犬病Ⅲ级暴露规范化预防处置实践
高血压病中医规范化管理模式思考
满足全科化和规范化的新要求
测土配方施肥指标体系建立中‘3414
医院环境下移动存储介质的信息安全管理