一般犯罪现场中的电子数据勘查规范探讨

◆刘云恒

一般犯罪现场中的电子数据勘查规范探讨

◆刘云恒

（南京森林警察学院信息学院 江苏 210046）

本文对一般犯罪现场中的电子数据勘查规范探讨，在当前法治思想指导下，规范执法是公安机关执法的重中之重，电子数据勘查是近年来新出现的勘查方向，没有现成的勘查规范可以借鉴，本文探讨了手机、计算机及其他电子物证在一般犯罪现场中如何勘查的实施方案与注意事项。

电子数据；犯罪现场勘查；规范

21世纪是数字经济的时代，随着中国经济的高速发展，手机和计算机的使用量快速增长，尤其是智能手机的使用量呈指数级增加。截至2021年3月底，我国网民规模高达10亿，互联网的普及率超过71%。以社交软件微信为例，它的活动用户高达12亿，其中使用智能手机上网的人在99%以上。计算机的网络化和智能手机的使用给人们的生活带来了极大方便，但同时也为犯罪分子留下可乘之机。在实际的刑事案件侦破中经常涉及手机和计算机相关信息提取，基本上每个案件的犯罪嫌疑人都在使用智能手机，因此，提取的涉案智能手机及计算机等电子设备中的电子数据成为揭示犯罪分子罪行、侦破刑事案件的关键。如何在犯罪现场对智能手机和计算机等电子设备进行勘验，既要符合法律规范又要符合电子数据提取规则，这些对于民警尤其是网安专业的民警来说都极为重要。

1 手机的勘查

根据手机的屏幕显示情况，手机勘查主要分开机和关机两种状态的勘查，需分类处置。

1.1 手机关机状态的勘查

犯罪现场如发现手机处于关机状态，非必要不得开机。要防止因开机而导致手机内电子数据发生改变，改变了物证的原始性污染物证，这将会导致此物证证据证明力下降甚至完全丧失。如案情确需开机，要尽量在信号屏蔽状态下进行开机操作，可在信号屏蔽室中或者在开启信号屏蔽仪的状态下进行开机操作，同时，要在电子数据现场勘查笔录中详细记录开机理由、所做的所有操作及可能造成的后果。通常情况下，勘查现场关机的手机可进行以下的处置。

1.1.1对手机进行唯一性编号

在手机背面贴唯一性编号标签。对于有SIM卡的手机如果已获取手机IMEI、MEID号码，可以将这些号码记录在唯一性编号标签下方，标签所贴部位不要遮盖手机品牌等特征信息。

1.1.2拍照和录像

对现场进行拍照或录像，记录手机的原始位置、工作状态以及此物证的品牌、唯一性特征、手机与其他物证例如充电器、计算机、U盘等连线信息。

1.1.3获取手机相关信息

对手机持有人或相关知情人进行询问，有SIM卡的手机号码、手机启动密码、解屏密码、加密设备、加密扩展存储卡等的密码，并对获取的密码进行详细记录。

1.1.4收集周边物证

应收集手机的数据线、手机充电器、扩展卡、说明书及包装盒等物证，这些物证可能在后续案件调查和电子数据检验时起到重要作用。

1.1.5封存手机

可以使用手机屏蔽箱（袋）封存物证，封装后要拍照记录，清晰反映封口或者张贴封条处的状态。注意封存手机不要用透明的刑事勘查袋，如果现场无专业的手机屏蔽箱（袋），可使用大信封等不透明袋子进行封存。

1.1.6勘查文书

按照规范如实填写电子数据勘查笔录，记录手机品牌、型号、颜色、唯一性标识等，记录勘查时所有操作及产生的结果。

1.2 手机开机状态的勘查

如在犯罪现场发现手机处于开机状态，非必要不得关机，以免关机后无法开机。如果手机正在进行数据擦除或还原时要根据情况立即进行断网、关机等操作。如果进行关机操作，需在电子数据现场提取笔录中详细记录关机理由、所做的所有操作及可能造成的后果。通常情况下，勘查现场开机的手机可进行以下处置。

1.2.1关闭各种通讯功能

首先将手机调为飞行模式，并且关闭热点、定位、蓝牙、红外、射频等对外通讯功能使其无法与外界进行信息交换。如果不关闭各种通讯功能，由于手机连接在网络上手机内的信息随时都可能会发生改变甚至信息会被擦除，造成现有检材的数据丢失，所以必须及时关闭手机通讯功能。如果因没有密码解屏导致无法关闭无线通讯功能，现场也没有信号屏蔽设备，可以进行拔SIM卡操作切断蜂窝网络连接，然后把手机放入密封金属盒内以屏蔽热点、定位、蓝牙、红外、射频功能，后续操作与关机手机相同。

1.2.2对手机进行唯一性编号

在手机背面贴唯一性编号标签。如能调出拨号键盘，可输入*#06#获取手机IMEI、MEID号码，也可以以其他方式获取。将获取的手机IMEI、MEID号码记录在唯一性编号标签下方，标签所贴部位不要遮盖手机品牌等特征信息。

1.2.3拍照和录像

对勘查现场进行拍照或录像，记录手机的原始位置、工作状态以及此物证的品牌、唯一性特征、手机与其他物证例如充电器、计算机、U盘等连线等信息。对手机屏幕内容进行拍照或录像，切换手机中正在运行的每一个APP进行拍照进行数据的收集和固定。

1.2.4时间校验

用拍照或是录像的方式，同框拍摄记录手机时间和北京时间，记录是否有时间差，如有则需记录两者之间的差值。

1.2.5询问密码

对手机持有人或相关知情人进行询问，获取手机启动密码、解除或获取加密设备、加密扩展存储卡等的密码并记录。获取微信、支付宝等常用软件的账号和密码并记录。虚拟账号和自然人的对应关系，如有必要在现场勘查中让嫌疑人指认自己使用的虚拟身份。如果手机处于解屏状态，不要尝试用询问到的密码进行手机解屏测试，避免错误的密码导致手机无法再次进入解屏状态，将手机调整为常亮状态。如果手机处于锁屏状态，可以用询问到密码进行一次解屏测试，如果无法解屏则不要再尝试，解屏多次无法解开后必须用密码解屏不能再使用生物技术例如指纹、面容来解锁，增强后面电子数据检验的难度。

1.2.6收集周边物证

应收集手机的数据线、手机充电器、扩展卡、说明书及包装盒等物证。

1.2.7手机取证

根据需要可在开启手机信号屏蔽设备情况下，依据公安部《公安机关办理刑事案件电子数据取证规则》（2019），最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》（2016）要求，使用手机取证设备、手机取证分析软件或屏幕拍照的方式提取、固定手机内的信息，并计算出电子数据的完整性校检值，记录数据完整提取路径和完整保存路径。

1.2.8查看电量

应检测电量以保持手机开机，必要时可以对手机进行充电。手机在封存前要特别注意手机的电量，并随时关注手机电量使用情况，避免扣留的手机在未解封前因没电而关机。可以在封存时给手机连接上充电宝，保证手机电量。

1.2.9封存物证

可以使用手机屏蔽箱（袋）封存物证，封装后要拍照记录，清晰反映封口或者张贴封条处的状态。注意封存手机不要用透明的刑事勘查袋，如果现场无专业的手机屏蔽箱（袋），可使用大信封等不透明袋子进行封存。

1.2.10勘查文书

按照规范如实填写电子数据勘查文书，记录手机品牌、型号、颜色、唯一性标识等，记录勘查时所有操作及结果，包括使用设备名称、设备环境、取证分析软件版本等。

2 计算机的勘查

根据电源指示灯，风扇转动的声音等因素来判断计算机的状态，状态不同勘查方法也有差异。计算机勘查主要分以下三种，根据不同状态进行分类处置。

2.1 计算机关机状态的勘查

如勘查现场计算机是关机状态，非必要情况要保持关机状态不要开机，开机后会改变系统的原始状态，这将会导致此物证证据证明力下降甚至完全丧失。

2.1.1对计算机进行唯一性编号

如果计算机连接了较多的外部电子设备，必要时应制作标签，标签应能清晰反映这些外部电子设备与计算机的原始连接接口位置，连接的两端都要进行编号贴标签明显的显示出连接情况。

2.1.2拍照或者录像

对计算机的原始状态进行拍照或者录像，要清晰地反映出计算机原始位置、工作状态及各个接口连接状态，可使用十字拍照法对计算机进行拍照。对于一些可反映计算机品牌、型号、编号的地方要拍摄细目。

2.1.3检査计算机光盘驱动器

要检查CD、DVD、蓝光驱动器是否有未退出的光盘。因为计算机没有通电，直接按光驱开仓键无法弹出，可用卡针插入光驱应急孔让光驱弹出来进行检查。

2.1.4封存物证

移除计算机所有的电源线、适配器、数据线，台式机不开机电脑，用封条封住电源接口和两侧挡板，如无挡板直接扣押硬盘用封装袋封装。扣押笔录中要记录硬盘的SN码，这是硬盘唯一性编码。否则，在封装袋上签字。封装原则：保证在不解除封存状态的情况下，无法使用或者启动被封装的原始存储介质，封装后要拍照记录，清晰反映封口或者张贴封条处的状态。

笔记本计算机电池可拆卸的要把电池拆下单独封存。如勘查现场计算机体积比较大，无法整机封存，可以拆除计算机内的硬盘等存储器进行封存，封存前要进行唯一性编号和哈希校检。

2.1.5勘查文书

按照规范如实填写电子数据勘查文书，记录计算机品牌、型号、颜色、唯一性标识等，记录勘查时所有操作及操作结果。

2.2 计算机开机状态的勘查

开机计算机进行必要数据采集后可关机。开机计算机应进行以下处置。

2.2.1紧急处置

计算机处于开机状态，应立即观察并记录显示器上的信息和状态，如果发现有侵害正在发生，比如系统正在自毁、数据正在删除、信息正在交换，应立即采取断网、中断程序等终止其操作的措施，必要时可以采取切断电源的措施。

2.1.2对计算机进行唯一性编号

如果计算机连接了较多的外部电子设备，必要时应制作标签，标签应该能清晰反映这些外部电子设备与计算机的原始连接接口位置，连接的两端都要进行编号贴标签明显的显示出连接情况。

2.1.3拍照或者录像

对计算机的原始状态进行拍照或者录像，要清晰反映出计算机原始位置、工作状态及接口连接状态，可使用十字拍照法对计算机进行拍照。对于一些可反映计算机品牌、型号、编号、对现场计算机屏幕显示情况等信息的细节部位要拍摄细目，必要时启用屏幕录像。

2.2.4屏幕密码

如果计算机设置了锁定或者屏幕密码保护，应在第一时间向计算机持有人询问密码、记录当前屏幕显示的信息，并及时提取固定易丢失电子数据。

2.2.5易失数据的提取

勘验人员根据现场情况，按照现场易丢失电子数据的提取固定程序提取固定易丢失电子数据，并对操作进行记录。

（1）内存镜像制作。制作内存镜像到自行准备好的存储器中，这项工作一定要在第一时间做，因为我们所做的其他操作都会改变内存，所以我们要在内存最原始状态时进行固定。

（2）屏幕录像。插入专用存储器运行绿色版屏幕录制软件进行屏幕录制。

（3）进行时间校验。提取时间信息，将北京时间和计算机时间同框拍照，如果有时间差要计算差值并记录。

（4）屏幕信息提取。以录像加软件截图方式进行提取，如果计算机内开启了多个窗口，每个窗口都要进行拍照或录像。

（5）内存数据提取。主要包括打开且未保存的文档、最近的聊天记录、用户名、密码以及剪贴板信息等。

（6）系统信息提取。包括存储介质的状态、正在运行的进程、操作系统信息、网络链接信息、网络服务端口、路由表信息和共享的网络驱动的文件夹等。

（7）用户信息提取。主要包括打开的聊天工具中的聊天记录、打开的网页、打开的邮件客户端中的邮件、U盘访问记录、最近打开的文件、回收站文件、用户日志文件等。

（8）有密码保护的数据提取。主要包括EFS加密文件、即时通讯工具、远程账户、本地设备以及第三方工具加密的磁盘、目录、文件等等。

2.2.6关机

评估计算机状况，通常情况下直接切断计算机的电源，笔记本电脑可以直接将电池移除。如直接切断电源会造成数据损坏，则需按正常关机程序进行关机。

2.2.7封存物证

与关机状态计算机封存程序相同。

2.2.8勘查文书

按照规范如实填写电子数据勘查文书，记录计算机品牌、型号、颜色、唯一性标识等，记录勘查时所有操作及结果。记录现场易丢失证据的收集提取方法，如获取Windows交换文件以及计算机硬盘中遗留的网页浏览记录等。

2.3 计算机睡眠状态的勘查

睡眠状态系统会将内存中的数据全部转存到硬盘上的休眠文件中，所以睡眠状态的计算机如果不唤醒可以直接按关机模式来处置；如果唤醒了就是开机状态，可以按照开机模式来处置。

3 其他电子物证的勘查

勘查人员在现场还应注意收集提取其他电子设备及其中的电子数据。

3.1 无线路由器的勘查

勘查人员首先查看路由器输入输出接口，确定该物证在网络拓扑中的位置，然后录制提取过程，查看无线网络名称，询问知情人设备管理密码，进入设备管理界面后提取设备基本信息、提取设备无线配置参数、提取上网配置参数、提取网络访问日志、提取网络连接详细信息。数据提取完成后关闭无线设备电源，最后按照程序对无线路由器进行封存，填写现场勘查文书。

3.2 录音、录像设备的勘查

录音录像设备包括录音设备、摄像设备、监控设备、行车记录仪等，这些物证如果在运行状态应该立即把物证关闭，避免后面产生的数据把前后的数据覆盖，然后按照程序对物证进行封存，填写现场勘查文书。

3.3 存储设备的勘查

存储设备移动硬盘、数码存储卡、光盘等，首先进行哈希校检，必要时制作物证镜像，然后按照程序对物证进行封存，填写电子数据现场勘查文书。

4 注意事项

4.1 合法性

《公安机关办理刑事案件电子数据取证规则》第六条规定，收集、提取电子数据，应当由二名以上侦查人员进行。做电子数据的收集、提取、固定及封存要求两名以上的侦查人员来进行，必要时，可以指派或者聘请专业技术人员在侦查人员主持下进行收集、提取电子数据。勘查现场要有一到两名符合条件的见证人。

4.2 手机数据线

通常情况下，在犯罪现场勘查时会准备四种手机用数据线，Lightning数据线、Type C数据线、Micro USB 2.0数据线和OTG数据线。

（1）Lightning数据线是苹果手机专用数据线，内含有MFI芯片，一些非苹果原装Lightning数据线因为没有获得苹果公司使用许可，只能充电，在读取数据时数据可能会丢失，建议使用Lightning原装数据线或者含有MFI芯片的数据线。

（2）Type c数据线是目前主流安卓手机使用的数据线。

（3）Micro USB 2.0数据线也叫安卓数据线，目前还有大量老人机及较早型号的安卓手机仍然在使用Micro USB 2.0数据线。

（4）OTG数据线主要是在手机屏碎的时候配合鼠标来控制手机，或者要保留手机屏生物信息取证时用来控制手机，以及配合移动存储设备把手机中的数据导入到存储器进行数据保存。

4.3 手机封存

手机封存时，一定要使用不透明的袋子或者箱子来封存，如果用透明塑料袋封存，可以隔着塑料袋对手机进行操作违背了“不解封无法使用”的原则。

4.4 电子数据收集、提取、固定

计算机中电子数据提取固定时，不允许在系统内安装新的程序，提取的电子数据不允许放在提取计算机的存储器内，必须放在自己准备好的干净存储器内，现场计算完整性校验值、计算哈希值、记录数据提取的完全路径。

4.5 哈希碰撞

在提取电子数据或者固定时会做哈希校验，哈希校检后会得出一个唯一的哈希值，如果两个不同的电子数据或者存储器等进行检验后出现了哈希值相同的情况我们称之哈希碰撞，虽然这种情况发生的可能性很低但确实会出现。为了避免这种情况的发生，做哈希校验时我们可以做两种以上哈希校验，两种哈希值全部碰撞的概率可以忽略不计，并且对物证进行详细描述例如大小、类型、取得方法，通过以上两种措式来解决哈希碰撞问题。

5 结束语

本文对一般犯罪现场中的电子数据勘查规范进行了探讨，提出了手机、计算机及其他电子物证在一般犯罪现场的勘查方法。犯罪现场千变万化结合现场勘查的处置方法及案件特点、电子数据提取技术特点，规范科学地进行电子数据收集、提取、固定是当前公安机关规范执法的迫切要求。

[1]秦玉海，康小彤，陈杰.法治化背景下电子数据勘验审查规范性探讨[J].科教导刊（中旬刊），2017（26）：157-159.

[2]孙晓冬.网络犯罪侦查[M].清华大学出版社，2014.

[3]刘浩阳.电子数据取证[M].清华大学出版社，2015.

[4]秦志红.网络犯罪现场电子证据提取的技术要点分析[J]. 法制与社会，2016（9）.

2019年度国家级一流本科专业（网络安全与执法）建设项目；2020年南京森林警察学院教学改革研究与教学建设项目：基于自主学习模式的金课建设实践研究——以《电子数据现场处置》课程为例（项目编号：YB20015）