智能电子数据检验一般方法探究
摘要:电子数据是现阶段司法鉴定过程中一种普遍而特殊的物证形式。电子证据检验是关于识别、发现、提取、保存、恢复、显示、分析和鉴定电子设备中存在的电子信息(电子证据)的科学技术,其检验结果可以作为案件侦查线索或法庭证据。本文围绕电子数据鉴定的标准体系,结合电子数据证据的可采性和证明力,分析智能电子数据检验的特点,对智能电子数据信息一般检验方法提出建议和措施。
中国论文
关键词:电子数据 电子数据检验 电子数据鉴定 智能
中图分类号:TN915.08 文献标识码:A 文章编号:(2015)
智能作为一种重要的信息载体工具越来越多的被人们使用。据市场研究公司弗雷斯特(Forrester Research)发布的最新报告显示至2015年,智能在整个亚太的普及率将达到36%,其中新加坡、澳大利亚和中国香港地区智能普及率最高,分别为85%、81%和73%,中国目前智能的普及率为44%。由于智能应用方面的多样性,甚至在很多方面正在取代电脑成为信息传递的主要工具,这种情况使得各种犯罪调查,包括杀人、纵火、诱拐、强奸、人员失踪、*品交易、经济诈骗、恐吓骚扰、敲诈勒索、行贿受贿、信用卡盗窃等,越来越多地涉及到电子数据检验。电子数据信息检验标准过程是电子数据鉴定工作的基本要求,重点研究智能电子数据检验应用服务程序APP信息数据的方法迫在眉睫。
1 电子数据鉴定标准化现状
电子数据具有三大特征:易变性、修改无痕和不易固化呈现和归档。与传统数据检验相比,电子数据检验对技术手段要求更高。电子数据作为司法鉴定的重要证据形式,鉴定工作日益突出。截止到2014年7月9日,关于电子数据鉴定的国家标准有3个分别为:(1)GB/T 电子物证数据恢复检验规程;(2)GB/T 电子物证文件一致性检验规程;(3)B/T 电子物证数据搜索检验规程。公安行业的标准有22项,主要描述电子数据鉴定的技术方法。其中,涉及智能检验方法的是第16项(GA/T 《移动终端取证检验方法》),该方法给出了检验移动终端的一般性方法和指导原则,没有提出对于智能应用服务程序即APP应用方面电子数据检验的具体指导方法。而对于智能电子数据检验,不能简单的将其作为一种移动终端存储工具成为检验的对象,应该更加具体的对智能电子数据信息进行分类,更有目的性的提取有价值的司法鉴定电子数据信息。
2 检验的一般步骤
电子数据检验也称为取证,检验的一般步骤包括:获取、保存、分析和陈述的过程。其中,获取是指通过正确的方法选择合适的处理规则对检材进行提取,对易失数据要实时提取;保存是指对做证物保护措施,防污染处理以及做hash运算;分析是根据案件性质,确定搜索数据内容,通过各种检测方法提取有效数据;陈述是总结数据,通过关系数据进行梳理建立法庭证据,给出结论和报告。检验过程各个环节都很重要,重中之重是保存和分析,保存是分析的前提和保障,分析是检验的难点。在检验分析过程中,主要内容包括:制定检验方式,根据检材的品牌,操作系统以及操作系统版本和硬件环境选择适合的检验方式;选择检验工作平台,选择合适的实验环境;建立案件目录,通过检验系统,根据案件性质,建立检材类别,设定检验关键字;屏蔽信号,屏蔽的无线、红外、蓝牙、3G等数据信息;连接取证。
3 智能检验的对象及选择的方式
智能检验的重点和难点是分析过程。一般来说,的分析对象包括:SIM卡,机身内存,扩展存储卡上的信息;容易被忽略的是应用服务程序APP包含的数据信息,而这部分信息往往是很难被提取的,这部分信息主要包括:通过应用程序直接看到的数据信息,通过输入正确的应用程序账号和口令看到的信息,以及应用程序运行过程中络产生的数据信息。对于不同的对象要采用不同的检验方式。一般情况,对于SIM卡、机身内存、扩展卡信息选择合适的数据恢复工具以及与配套的工具套件即可;对于应用服务程序信息的提取需要根据程序的特点,包含的信息特征,选择可行的技术手段进行信息提取。对于智能,多数情况下,信息采集的重点是应用服务程序信息的检验提取。
4 应用服务程序信息的可采性与证明力
应用服务程序信息是智能信息提取的重点,检验方法往往视情况而定,即使对待同一种应用程序,技术方法手段也不一致。由于在遇到一下棘手的应用程序时,需要不断尝试不同的方法,这样就容易造成电子数据信息污染,最后得到的信息也不能作为法庭证据。电子数据的可采性和证明力要求在任何情况下也要保障电子数据的完整性和可靠性。这种情况下,需要按照及时原则、依法原则、备份原则、证据原始性原则、环境安全原则、监督原则要求操作。
5 应用服务程序电子数据信息的一般检验方法
目前,上安装的各类应用不计其数,因用户使用习惯,爱好,工作及其它方面的要求不同,应用的选择也因人而异,由于很多重要的社会交往及生活习惯信息往往体现在各类应用当中,应用程序APP的信息检验显得尤为重要。所以,一般情况下,送检的每一部智能往往会采用不同的技术手段,这就要求检验人员在检验过程中要不断总结检验方法,对检验程序技术手段进行分类,总结出一般检验方法。目前,APP应用类别主要有:社交应用、生活消费、图书阅读、上支付、浏览器和游戏等方面,下面主要对几种主流应用程序的检验方法做一般性描述。
5.1 社交应用类
这类应用的主要程序有:、、YY、陌陌和微博。对于这类应用有两种情况,一般这类应用在上设置为自动登录,检验人员即使在脱机的情况下也能够采集应用的信息,第二种情况是不知道账户和口令,这种情况下要对离线情况程序文件的接收文件进行数据检验和采集,利用取证工具如:DC-4701取证一体机根据应用程序特性协议进数据包检验,这些数据包会在缓存文件夹中存储,通过询问的方式,要求犯罪嫌疑人提供账号信息,进而获得数据,最后将得到的数据交给案件调查人员,对数据信息进行整理分析,得到有用数据。 5.2 生活消费类
生活消费类信息能够体现持有者的生活习惯信息,根据案件的需要,在检验时,要重点梳理采集信息的时间、地点、人员构成的综合因素,以便建立案件关联信息链,在检验数据时还要注意缓存中的图片信息,通过图片信息的分析,可以建立消费印证关系。
5.3 上支付类
上支付类信息重点体现持有者的财务信息,通常这类应用会绑定银行卡等重要电子数据信息。上支付信息的检验一般在离线情况下使用取证工具实施就可以。
5.4 浏览器类
浏览器类的数据信息往往是最为复杂的,在这里,我们主要通过取证工具分类提取日志、历史记录、缓存文件、络链接和协议数据包等信息。有些情况下我们需要利用Cellebrite取证工具来实现数据恢复。
5.5 动态情况
在未获取到物证或者需要APP应用在联下使用的情况下,我们通过远程电子取证设备对信息进行检验和采集,这种情况主要会用到络抓包工具进行抓包和数据包分析。
6 结语
文中就电子数据检验现状和电子数据的检验步骤进行了具体阐述,描述了电子数据信息的可采性与证明力在司法鉴定中的重要性,重点列举了智能中应用程序APP电子数据信息检验的重要意义的一般检验方法,在具体操作方式上描述还不够细致,但是,智能的普及以及APP应用的发展,使得智能电子数据信息检验成为电子物证检验的重中之重,希望能够得到司法鉴定及相关人员的重视。
参考文献
[1]李礼,李超民.论高校德育平台的构建[J].鉴定论坛,2012(6).
[2]吴信东,李亚东,胡东辉.社交络取证初探[J].软件学报,2014(12).
[3]中华人民共和国公安部.GA/T .《移动终端取证检验方法》[Z].
[4]隆波,肖扬,麦永浩.取证及其司法鉴定方法研究[J].中国司法鉴定,2012(2).
[5]金波,*道丽,夏荣.电子数据标准体系研究[J].中国司法鉴定,2011(4):.
收稿日期:
*基金项目:2015年度新疆维吾尔自治区自然科学基金项目(A016)。
作者简介:赵旭东(1977―),男,新疆乌鲁木齐人,新疆警察学院,讲师,研究方向:计算机取证,司法鉴定。