电子证据源不确定性问题研究.docx

          电子证据源不确定性问题研究                     王宁，刘志军，麦永浩 （湖北警官学院，湖北武汉430034） 摘要：相对确定的电子证据源有助于公安机关对计算机犯罪案件在侦查方向上的把握和法院对电子证据的采纳。本文首先介绍了当前常用的几种电子证据源判断技术和方法，对此进行了分析，并探讨了在理论和实践上如何加强对电子证据源不确定问题的研究。 关键词：计算机取证；电子证据；证据源；不确定性 TP393.08 ：A ：1671-1122( 2011) 03-0034-03 Electronic Evidence Source Uncertainties of Research WANG Ning, LIU Zhi-jun, MAI Yong-hao (Hubei University of Police, Wuhan Hubei 430034, China) Abstract: Relatie electronic evidence sources helps the public security organs computer crimes ininvestigation on the direction ofgrasp and court to electronic evidence of adoption. This paper firstly introduces thecurrent of several normal electronic evidence source judgment technologies and methods, the article analyses anddiscusses the theory and practice on how to strengthen the source of uncertainty of electronic evidence research ofthe problem. Key words: computer forensics; electronic evidence; evidence sources; uncertainty 1常用的技术和方法 1.1直接法 在许多计算机犯罪案件中，电子证据取证和分析人员很容易地推断出近似的电子证据源。以相互联系的证据为基础，根据事实或经验做出[来自www.lW]猜测并认定电子证据的证据源。 例如在全国首例网站联盟诈骗案中，分析嫌疑人主观上是否有故意诈骗意图，客观上是否有诈骗行为，选择服务器目录文件和数据库文件作为电子证据源。分析目录文件中的色隋页面的网页源代码和URL指向链接，分析数据库支件中的存储的视频等数据，结果显示该网站联盟提供服务与自身承诺的服务具有不一致性，主观上存在故意诈骗动机；分析目录文件中的色情页面的网页源代码和URL指向链接，分析数据库文件中的资金数据，揭示了网站联盟、运营商(SP)、CP以及会员网站站长的利润分配方式Ⅲ。 1.2权重法 另一种对电子证据源认定的方法是权重法。随着搜索范围的扩大，电子证据类型的增多，潜在电子证据源的增多，有时取证人员无法物理上接近包含证据的系统，需要远程收集证据，在这段时间内证据极易可能被破坏。例如Internet上数据、Web页面和Usenet消息等在任何时间内都有可能被更改或删除，计算机入侵者也经常删除日志文件。为了更可靠性地评估电子证据源，为了建立全面的电子证据源，取证人员有时建立数字证据图，根据经验为不同的电子证据源赋予一定的权重，通过综合权重计算得出相对确定的证据源。 1.3 Casey确定性级别模型 数据（信息）是从许多来源收集起来的（数字或非数字的），数据必须融合到一起才能提供所需的结论。但随着证据源实体和链路数量的增加，电子证据之间联系的复杂性变大，网络状态是经常变化的，干扰和破坏是不可避免的，用权重法识别评估电于证据源的确定性程度便会变得很困难。Casey´2]根据电子证据依附的计算机系统的可信程度，证据源的上下文环境建立了从低级co级到高级C6级的数字证据确定性级别模型，在取证实践中，Case确定性级别模型方法也往往为一些计算机取证人员采用。 1.4实验统计法 所有的电子证据都有不同程度的不确定性，面对海量的电子数据，通过分析电子证据的时间属性特征，可以发现潜在的证据源；而且取证人员可以通过电子证据的时间分析过滤一些不相关的证据源中的电子数据。通过获取高可靠性的时间戳，可以减少证据源的缺失和对证据不完整性收集。 例如文献[3]描述了_一个计算机网络犯罪案件中选用的一个大学355台计算机，这些计算机中有4台计算机时钟慢6年，其它计算机时钟慢一年以上。排除一些极端值，选用350台计算机并做出柱状图分布显示一个逐级降低的中心点。实验统计结果显示数据符合正态分布，计算标准方差为(D=6.7 hours)。于是得出95%概率显示系统时钟在正确时间的+／一13.1 hours (1.96a)内。基于这些结果，取证人员可以推断其余的系统时间的在+1- 13 hours（95%左右的准确性），从而来保证时间获取的可靠性，达到对电子证据源相对准确的选择。 2问题分析 1)直接法判断电子证据源主要是依赖于取证人员个人的经验对电子证据源的确定，在案件类型尚不能确定，或者在某些特定的计算机犯罪案件中，面对某些类型的电子证据，有可能判断出错误的、不确定性的电子证据源，失去潜在的证据源。但直接法的运用在电子证据司法鉴定中具有很强的应用性和准确性，其主要原因是对某计算机犯罪案件，公安网监部门首先进行了技术方法和侦查经验的并用，综合应用了传统与非传统的方法，结合网上取证与网下调查，结合了在线与不在线的取证方法后，基本上确定了案件类型、犯罪事实，需要从电子证据源中提取电子证据来分析印证案件侦查及调查结论的真实性和可靠性，而采用直接法判断电子证据源具有较强的实用性和正确性。 2)单独的电子证据一般无法说明全部问题，将收集起来的许多来源的电子证据（数字的以及非数字的）融合在一起才能提供所需的结构，以便说明整个事件。通过建立数字证据图和确定权重来确定电子证据源，或依托电子证据的上下文环境以及系统的可信程度，来评估电子证据源的确定性程度或电子证据源的确定性级别，有助于对计算机犯罪案件下一步侦查方向的把握，具有较强的实用性和可操作性。但在评估电子证据源时依据电子证据取证人员经验和直觉进行定性分级，可能因为操作者的经验和直觉的偏差而使评估结果失准。 3)为客观地评价电子证据源，借助统计试验等方式验证电子证据源，具有很强的准确性和易于被法庭所接受，但是在电子证据取证的实践应用中，不太现实去计算和试验，从而重现犯罪现场和犯罪轮廓，从而非常确定性地选择相应的电子证据源进行证据的收集、分析。 3研究方法 3.1理论上对电子证据源定性化分析 没有统一、稳定和明确的电子证据源确定性鉴别标准体系，不仅取证人员在实践中会对电子证据源的判断、选择有困难，而且可能导致案件侦查中的决策失误，也会影响其证据作用的发挥。 将目标层次展开´将目标逻辑分类向下展开为若干目标，再把各个目标分别向下展开成分目标或准则，依此类推，直到可进行定性分析（指标层）为止，然后在比原问题简单得多的层次上逐步分析，有助于对电子证据源的相对确定性的判断和选取。可以从以下几个目标（一级指标）进行电子证据源的定性化分析： 3.1,1犯罪现场特征 犯罪现场特征是通过受害者、犯罪地点和类型、联系点、犯罪攻击、接近目标方法、犯罪方式等体现出来犯罪现场独特的特征。犯罪现场特征的研究将显示该犯罪包括多少证据，揭示如何从证据源中发现新证据。例如犯罪现场在Internet上有多个地点，计算机取证人员必须考虑每个地点的独特性，以便确定它们的重要性，例如它们在何处，被用来做什么，以及它们是如何被利用的等。如果忽视对犯罪现场的分析，或者不能正确地识别犯罪现场的重要性，有可能会导致忽视证据以及得出错误的结论。 3.1.2系统环境评估 [来自wwW.lW] 电子证据是依附具体的环境而产生、体现的，首要的是考察电子证据源的系统环境，比如计算机来自何处、过去有谁使用过它（是否具有身份认证行为）、如何使用的（日志生成）、以及是否需要密码等。其次考察电子证据依附的运行系统，直接相关的设备和环境状况是否可靠；计算机系统是否安全稳定，是否具有防范非法侵入的能力；对信息数据的准确与完整性是否具有自我保护能力等环境技术。运行系统中的各项指标评估是系统稳定运行的保障，也是查验电子证据源确定性、可靠性的重要参考条件。 3.1.3案件背景 不同的案件类型会导致不同类型的电子证据，例如在调查某色情传播案中，应该收集照片、录像带、数码相机和其他所有的外部存储介质，因为硬件或许会帮助断定色情资料是如何得到、建立和散布出去的。涉嫌计算机犯罪的电子证据源很多，如手机、便携机、台式机、大型服务器、主机、路由器、防火墙以及其他网络设备；也有许多形式的存储介质，包括光盘、内存棒和USB存储设备等。因此，在选择和评估证据源时，首先要根据案件背景确认包含数字信息的硬件，其次确认必须能够区分不相关信息和可以定罪的或者是可以提供犯罪与受害者之间、犯罪行为与罪犯之间的联系的数字证据。 3.1.4犯罪目标 犯罪目标系统作为受害者的风险分析如何？对犯罪目标信息的了解或熟悉程度如何？如果罪犯需要掌握大量的关于目标系统的知识才能实施犯罪，那么这种知识是否只有单位的员工才能得到？破坏该目标系统时，是否需要高水平的技术等等？对此的分析可以增加收集的证据源，减少证据的缺失，减少了对潜在电子证据源的忽视。 3.2实践上对证据源分类方法研究 美国司法部国家司法研究所( National Institute of Justice)对电子证据源分类如下：1）用户创建文件，如地址簿、邮件、声频／音频文件、图像、因特网收藏夹、数据库文件、电子表格、文档文件等；2）用户保护文件、如压缩文件、更名文件、加密文件、隐藏文件、隐写技术文件，这些文件难以证实和审查； 3)系统文件，如备份文件、日志文件、配置文件、打印池文件、cookies、交换区文件、系统隐藏文件、历史文件（如Internet历史文件）等，并展开了对不同证据源特征的研究。 我国公安网监部门在打击网络盗窃（如盗取银行卡密码等）、网络诈骗、网络赌博、网络色情（如淫秽视频表演、淫秽电影等）、网络恐怖事件（侵入、攻击、破坏金融等涉及公共安全、公共利益的信息系统）、网络迷信（利用网络开展各类迷信活动）、网络谣言（利用网络发布有害言论）、网络洗钱（借助网上银行洗钱）等计算机犯罪案件中都有成功的案例。 同时考虑到不同的犯罪行为和类型会导致不同类型的电子证据，另外操作系统和计算机程序会把相应的电子证据存储在不同的地方’例如在一起简单的网络色情案中，需要调查嫌疑人在何时、何地、采用何种方式进行的何种行为。在该案中通过分析：1）嫌疑人计算机上违法文件的时间戳揭示文件下载时间；2）Internet服务提供商(ISP)日志文件是否绑定嫌疑人的IP地址；3）FTP服务器上的传输日志文件与嫌疑人计算机上某色情文件是否揭示具有同一性；4）嫌疑人计算机、FTP服务器、ISP日志文件是否能揭示某行为特定的时间等。因此可选取嫌疑人计算机的目录文件和日志文件、Internet服务提供商(ISP)日志文件、FTP服务器上的传输日志文件等作为重要的证据源。 因此，借鉴国外的司法实践和技术研究，参考我国电子证据取证的理论和法律要求，依托我国公安网监部门电子证据取证的实践，进行不同类型计算机犯罪案件证 据源的分类研究，有助于丰富对电子证据源不确定性问题的研究。 （责编杨晨） 参考文献： 1刘志军，麦永浩，全国首例网站联盟诈骗案件鉴定与启示 ．警察技木，2007，(4): 23-25． 【2】Eoghan Casey著数字证据与计算机犯罪（第二版）[M]．陈圣琳，汤代禄，韩建俊等译，北京：电子工业出版社，2004: 117--118 【3】 Eoghan Casey, Error, Uncertainty, and Loss in Digital Evidence[EB/OL].Internationaljournal of Digital Evidence,2002-01-05/2010-02-05. 【4】United States National Institute ofjustice. Electronic Crime SceneInvestigation:A Guide for First Responders[EB/OL].http:／／www.ncjrs.gov/pdffilesl/ruj/219941.pdf, 2006-12-01/2011-01-05,   -全文完-