数据恢复之电子数据司法鉴定
2014-01-17 21:18:06 来源:华军科技数据恢复
电子数据司法鉴定室负责人李本富说:“所有委托方提供的电子检材,在经过专门的固定后,我们能很快取得该检材的“指纹”,具有唯一性的电子信息档案。随后对涉及的内容,经过数据恢复、搜索查找、取证分析等,我们总能找到其中的蛛丝马迹,作为证据提供给法庭采纳。”
雁过留声,即便在号称隐匿性很强的虚拟网络世界里,一个网民做过些什么,都会留下这样那样的痕迹。2013年1月1日起实施的新《中华人民共和国刑事诉讼法》将“电子证据”作为法定证据种类之一加以明文规定。第三方的电子数据司法鉴定中心出具的鉴定报告,就显得尤为重要。类似的鉴定如何进行?让我们一起窥探南方医科大学司法鉴定中心电子数据司法鉴定室,一窥其中奥妙。
服务器电脑手机U盘里都有证据
人类日益依赖电子设备,可它们在提供生活便利的同时,也能为一些不法分子,尤其是高科技犯罪分子提供先进的设备工具。而电子数据司法鉴定就是指采用技术鉴定的手段,取得最具证明力的电子证据作为认定事实的依据。
电子数据司法鉴定室负责人李本富介绍,比如网络赌博的查处,网络警察能够通过sniffer等诸多网监软件,来监控某一个监控范围、某时段流量的变化,来定位一台网络终端(电脑、具有上网功能的智能手机或平板),当监控对象有访问不可信任站点时(服务器设置于境外的赌博网站),那么网警首先就能确定你是否为嫌疑人。一旦确定你为嫌疑人,可以进行相应的法律处置时,你的硬盘、上网工具,能确定、清晰地记录你的上网记录。
“有人可能会觉得,在电脑(含其他终端,下同)上删除掉上网记录,就会无迹可循”,这显然很傻很天真,即便是删除、格式化,在电脑、服务器上的操作总会留下或多或少的痕迹,而这些痕迹,往往是可以溯源的。“比如Q Q聊天记录,原告一方提供了电脑,另一方则删除了记录。通过相应的法律程序及科技手段,就可以还原当时的聊天记录原文。当然,网络运营商、聊天软件维护商那里都有可能要给予配合。”
证据固定:获取电子设备的“指纹”
如何确保“电子证据”的科学性?这决定了类似的鉴定,需要经过一套严谨、科学的流程。
“既然电子设备里面的数据极易发生变化,稍微在电脑上添加一个符号,都会让设备信息出现巨大的不同。那么鉴定工作的第一步,就是对现有设备及数据进行固定,让设备‘定格’。”李本富表示,在进行类似的定格后,专家会根据固定的检材,进行技术处理,找到这个材料的M D 5值。“这个就是电子设备及数据区别其他设备及数据的电子指纹,也可叫电子D N A。”
此时,鉴定人员会要求委托人签名,与此同时,有摄像、拍照等证据证明全部流程。
随后,鉴定人员将立即对固定的设备,进行“克隆”。“你交给我一个500G硬盘,我就用一个500G的硬盘制作成一个克隆副本。你给一个4G的U盘,我就克隆一个4G的U盘”,此时的克隆体,保留了原件的全部信息及痕迹,鉴定工作随后就在这个克隆体上进行了。
“要感谢电子克隆中位对位的技术特点。原件中每一个痕迹变化,在副本里都能真实地记录。”李本富说。
送检样品获得渠道必须合法
早在2007年毒王“熊猫烧香”始作俑者被抓时,公安机关便通过专家的帮忙,在嫌疑犯使用的存储介质(硬盘、U盘)中找到制作传播木马、病毒的证据。鉴定专家的溯源,甚至确定了病毒编写时间段,修改时间,升级时间,甚至所使用的计算机语言。为案犯的最终量刑、定性提供了重要证据。
据悉,李本富所在的鉴定中心,正式成立于去年10月。除受理单位委托外,也受理私人委托的数据恢复与鉴定案例。收费严格按司法厅、物价局确定的标准来进行收费。“具体到每个案例,将按数据量和恢复的难易程度进行收费,次均收费4000元左右,但有的只是简单的数据恢复委托,按80元/G收费”。
据悉,在信息社会,电子数据司法鉴定能做的事情很多。可被鉴定设备包括:电脑、服务器、平板电脑、手机等信息处理设备,鉴定内容如电子邮件鉴定、软件(程序)版权鉴定、网页内容鉴定、文档资料一致性鉴定、聊天记录鉴定等等。“当然,委托人要保证送检样品获得渠道的合法性,我们则保证为委托人进行保密、提供准确的数据还原等工作。”这一切,都将以委托合同的形式予以明确。
技术P K
电子取证与骇客的“猫鼠游戏”
目前,该中心所采用的数据恢复与鉴定技术,均为在国际、国内公认的电子数据恢复与鉴定软件。比如单个软件单价7万元的E ncase,国产的取证大师、手机取证系统(单价6万)。“为确保安全性,这些系统、软件只会售卖给有资质的司法鉴定机构,并周期性维护升级。”
在软件运用上,也需专业的有经验专家来进行操作,才能更全面、准确地开展深度恢复数据记录,或密码破解。
“在网络领域,也有一些骇客常常制作一些反取证技术、软件,来规避这些经典工具、系统的恢复破解功能”。李本富表示,针对反取证技术,现有经典软件往往要通过周期性的升级来予以破解。
“在电子数据鉴定领域,也存在着破解-反破解的猫鼠游戏。目前看来,这些经典的软件、系统,还是在这场游戏中处于上风。”
案例
市民状告政府部门不作为
机关内部O A鉴定证明“很无辜”
去年,一市民对广州某市属局委办的办事进程不满。以行政不作为为由,将该政府部门告上了法庭。“当时这个机关感觉很无辜,因为他们是依照办事流程,在内部的办公信息系统上及时进行了处理。对于市民反映的内容,也进行了上传下达,以及和其他部门的协查请求。”
但在具体出庭时,该部门只能将办公系统中的流程打印成纸质文件,作为呈堂证据。结局显而易见,因为这些打印纸质文件的法律效力过于低下,虽然它可能真的就是该部门内部办理流程的纸质CO PY。
在此情况下,鉴定中心专家出马了。首先对其相应的内部办公页面进行了拍照、录像,随后在见证下,从该局的计算机、服务器、后台数据库提取了该业务处理过程中的所有痕迹信息及事务日志等相关证据。形成了一个从电脑终端到服务器、继而到数据库日志的取证链条。最终形成了司法鉴定报告,以供其上诉时使用。
员工声称经常超时加班
指纹考勤机还原出真实信息
委托单位与某员工发生劳动争议,根据劳动仲裁,该员工要求原单位补偿自己在职时加班工资12万多元。原单位感觉“很委屈”,往中心送来了该公司使用的两台指纹考勤机,委托鉴定中心对该员工的考勤记录进行司法鉴定。中心按照法定的程序,对考勤机中该员工的相关信息及其考勤记录进行信息查找及证据固定,随后进行证据分析。
鉴定报告书为委托单位在随后的法院诉讼提供了电子证据。该单位最后赢了官司。
电子数据司法鉴定是建立在数据恢复技术之上的,笔者作为一名数据恢复工作者,在此提出自己的一点建议,所谓存储介质,文件记录等等,是可以经过篡改的,希望国家相关部门能出台相关政策来规范市场,而电子数据司法鉴定应该向更加透明、公正的方向发展。