浅谈电子证据与数字取证

吴文博，刘依卓

（国家无线电监测中心哈尔滨监测站，黑龙江 哈尔滨 150010）

1 电子证据与计算机取证概述

电子证据是案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据[1]。这里的电子证据是我国法律中众多证据种类中的一种，主要包括网络平台发布的信息、网络应用服务的通信信息、用户注册信息、电子交易记录、通信记录、登录日志以及文档、图片、各类电子形式的音视频等电子文件[2]。通常在计算机网络犯罪中，会存在着大量的电子证据，这些电子证据的收集、挖掘与分析对于打击网络犯罪、维护网络空间安全具有重要意义。

计算机取证是计算机领域和法学领域的一门交叉科学，被用来解决大量的计算机犯罪和事故，包括网络入侵、盗用知识产权和网络欺骗等[3]问题。简而言之，计算机取证就是针对计算机网络犯罪所进行的电子数据的获取、保存、分析与展示，而电子数据的获取与鉴定过程通常包括证据保全、证据获取、证据恢复与证据分析等[4]。计算机取证对于打击计算机网络犯罪具有重要作用，通过数字取证工具挖掘出犯罪嫌疑人的犯罪“痕迹”，并将这些电子数据作为证据在法庭上进行可视化“展示”，才能将犯罪嫌疑人定罪、量刑。

2 计算机取证的原则与取证工具分类

计算机取证应遵循以下基本原则[5-6]：时效性原则，即要求电子数据的获取具有一定的时效性；过程合法性原则，即电子数据在取得的过程中是合法的，所得到的电子数据是真实的、有效的、完整的，整个取证活动是依法依规进行的；妥善保管原则，即电子数据应予以妥善保存，方便进行试验和展示，一方面电子数据的存储应满足一定的环境要求，另一方面电子数据应进行备份保存；严格过程管理原则，即电子数据的移交、保管、验证、展示的过程中都需要进行严格的管理和记录，保证电子数据未被人为篡改，以保证证据的完整性和真实性。

根据取证工具用途的不同，可将取证工具分为磁盘和数据采集工具、文件查看工具、文件分析工具、登记册分析工具、互联网分析工具、电子邮件分析工具、移动设备分析工具、网络取证工具等多种数字取证工具。

3 数字取证工具及其应用

（1）在线取证工具：在线取证工具一般可在嫌疑人的计算机上直接运行，并可自动获取内存、运行表等相关数据，也可通过取证软件获取硬盘的完整镜像。

（2）保护接口硬件：保护接口硬件通过计算机的火线或者USB接口获取硬盘镜像和分析文件使用的所有保护接口，确保证据数据以只读的方式读取到证据分析设备中[7]。

（3）数据擦除设备：数据擦除设备可以对不需要保留的的各种存储介质和涉密数据进行数据清洁，从而使存储介质可以重新使用。

（4）手机取证系统：可以针对移动运营商、SD和SIM卡中的数据，以及智能操作系统和App应用中的数据进行收集、挖掘和分析。

（5）数据恢复工具：数据恢复工具可将已删除文件恢复，对不同程度上的损坏数据进行恢复，以及将不可见区域的数据进行呈现。

（6）密码破译工具：密码破译工具可以对加密的文件进行破解。如ElcomSoft可对计算机系统密码以及智能手机加密文件进行破解，而Passware软件运用CPU+GPU进行运算，可以大幅度提高破解速度。

（7）专用计算机取证工具：专用计算机取证工具能够为执法部门提供专业的数据收集并进行分析、可视化展示的数字取证综合性软件，其结论可以进行展示并被司法机关所认可。

4 数字取证的挑战

（1）数字取证人员的能力要求。数字取证本身具有很强的专业性和交叉性，对数字取证工作人员的专业性提出了较高的要求。数字取证人员不仅要具有一定的计算机技术水平，并且需要熟练使用各类专业化的数字取证工具，还应对网络安全领域相关法律法规有所涉猎。数字取证是一项专业的取证过程，不了解或不具有数字取证能力的人进行取证，不仅难以从海量数据中挖掘出具有价值的证据，还容易对电子数据造成破坏，使其丧失证明力。

（2）数字取证缺少相应的通用标准。由于计算机犯罪往往是跨区域犯罪，这也为数字取证的国际合作带来了巨大的困难。不同国家或地区具有不同的法律和文化制度，而对于数字取证来说也难以建立统一的取证流程。建立通用的数字取证标准，一方面可以规范数字取证流程、提高数字取证效率；另一方面也可以促进跨区域打击网络犯罪合作。

（3）新型计算机技术的发展以及智能设备的普及。各类新型计算机技术如大数据、云计算、区块链以及人们生活由PC端向移动端转移，也给电子取证带来了诸多新的挑战。首先，大数据时代数据往往都存放在数据中心，数字取证的过程中既要保证数据的时效性和完整性，同时也要保证在数字取证的过程中不耽误数字中心中其他数据的调用，高效地从海量数据中挖掘出具有价值的电子数据，本身具有一定的难度。其次，智能设备的普及，加快了人们的工作和生活从PC端向移动端的转移，这也意味着数字取证人员不仅要熟悉传统计算机系统的取证方法，还要熟悉安卓、苹果等移动系统的取证方法；而绝大多数操作系统都是非开源系统，且操作系统的更新较为频繁，这无疑增加了取证人员获取系统日志的难度。

（4）数字取证与隐私保护。现如今，计算机网络、个人计算机、智能手机已经成为我们生活中不可缺少的重要部分，我们日常的工作、学习、娱乐、社交甚至是网络购物、金融交易都可以通过手机在网络上进行。数字取证需要在海量数据中挖掘出有价值的证据并进行深度分析，而这些海量数据中也可能包含一些涉及个人隐私的信息。从保护个人隐私的角度上看，数字取证可能会导致个人隐私信息的泄露。

（5）犯罪嫌疑人反侦察意识以及相应反侦察技术的提升。尽管国家对于网络犯罪的打击力度不断增强，但是犯罪嫌疑人的反侦察意识也在不断提升，他们也学会了利用各种新型反侦察技术，销毁证据、隐藏踪迹、逃避打击。有些人会使用数据擦除软件隐藏踪迹；有些人将敏感信息嵌入到图片、视频等类型的文件中，以突破网络封锁；还有些人则利用后门、木马等绕开系统日志或者对系统日志进行销毁。

5 结束语

在当今“互联网+”的时代背景下，计算机网络犯罪案件频发，这使得相关案件电子证据的获得、存储以及使用变得尤为重要。数据取证工具的应用，对于打击计算机网络犯罪、维护网络空间秩序具有重要意义。一方面使用专业的数字取证工具能够很好地进行数据的收集、恢复、挖掘和分析；另一方面专业数字取证工具能够从大量的电子数据中快速地挖掘出具有价值的证据并有效减少出错的可能性，最后利用数字取证工具所形成的电子证据更容易在庭审上展示。与此同时，尽管数字取证对于打击网络犯罪维护网络空间安全具有重要意义，但是当前数字取证仍面临着诸多问题和挑战；取证人员能力的不足、取证标准的不完善、新技术、新产品所带来的新问题以及数字取证的伦理道德问题，都给数字取证的发展带来了巨大的挑战，也需要我们予以充分应对。