推荐阅读:摘要:电子数据是现阶段司法鉴定过程中一种普遍而特殊的物证形式。电子证据检验是关于识别、发现、提
摘要:电子数据是现阶段司法鉴定过程中一种普遍而特殊的物证形式。电子证据检验是关于识别、发现、提取、保存、恢复、显示、分析和鉴定电子设备中存在的电子信息(电子证据)的科学技术,其检验结果可以作为案件侦查线索或法庭证据。本文围绕电子数据鉴定的标准体系,结合电子数据证据的可采性和证明力,分析智能手机电子数据检验的特点,对智能手机电子数据信息一般检验方法提出建议和措施。
关键词:电子数据 电子数据检验 电子数据鉴定 智能手机
智能手机作为一种重要的信息载体工具越来越多的被人们使用。据市场研究公司弗雷斯特(Forrester Research)发布的最新报告显示至2015年,智能手机在整个亚太的普及率将达到36%,其中新加坡、澳大利亚和中国香港地区智能手机普及率最高,分别为85%、81%和73%,中国目前智能手机的普及率为44%。由于智能手机应用方面的多样性,甚至在很多方面正在取代电脑成为信息传递的主要工具,这种情况使得各种犯罪调查,包括杀人、纵火、诱拐、强奸、人员失踪、毒品交易、经济诈骗、恐吓骚扰、敲诈勒索、行贿受贿、信用卡盗窃等,越来越多地涉及到电子数据检验。电子数据信息检验标准过程是电子数据鉴定工作的基本要求,重点研究智能手机电子数据检验应用服务程序APP信息数据的方法迫在眉睫。
1 电子数据鉴定标准化现状
2 手机检验的一般步骤
手机电子数据检验也称为手机取证,手机检验的一般步骤包括:获取、保存、分析和陈述的过程。其中,获取是指通过正确的方法选择合适的处理规则对检材进行提取,对易失数据要实时提取;保存是指对手机做证物保护措施,防污染处理以及做hash运算;分析是根据案件性质,确定搜索数据内容,通过各种检测方法提取有效数据;陈述是总结数据,通过关系数据进行梳理建立法庭证据,给出结论和报告。手机检验过程各个环节都很重要,重中之重是保存和分析,保存是分析的前提和保障,分析是手机检验的难点。在手机检验分析过程中,主要内容包括:制定检验方式,根据检材手机的品牌,操作系统以及操作系统版本和硬件环境选择适合的检验方式;选择手机检验工作平台,选择合适的实验环境;建立案件目录,通过检验系统,根据案件性质,建立检材类别,设定检验关键字;屏蔽信号,屏蔽手机的无线、红外、蓝牙、3G等数据信息;连接手机取证。
3 智能手机检验的对象及选择的方式
智能手机检验的重点和难点是分析过程。一般来说,手机的分析对象包括:手机SIM卡,机身内存,扩展存储卡上的信息;容易被忽略的是手机应用服务程序APP包含的数据信息,而这部分信息往往是很难被提取的,这部分信息主要包括:通过应用程序直接看到的数据信息,通过输入正确的应用程序账号和口令看到的信息,以及应用程序运行过程中网络产生的数据信息。对于不同的对象要采用不同的检验方式。一般情况,对于SIM卡、机身内存、扩展卡信息选择合适的数据恢复工具以及与手机配套的工具套件即可;对于手机应用服务程序信息的提取需要根据程序的特点,包含的信息特征,选择可行的技术手段进行信息提取。对于智能手机,多数情况下,信息采集的重点是应用服务程序信息的检验提取。
4 应用服务程序信息的可采性与证明力
应用服务程序信息是智能手机信息提取的重点,检验方法往往视手机情况而定,即使对待同一种应用程序,技术方法手段也不一致。由于在遇到一下棘手的应用程序时,需要不断尝试不同的方法,这样就容易造成电子数据信息污染,最后得到的信息也不能作为法庭证据。电子数据的可采性和证明力要求在任何情况下也要保障电子数据的完整性和可靠性。这种情况下,需要按照及时原则、依法原则、备份原则、证据原始性原则、环境安全原则、监督原则要求操作。
5 应用服务程序电子数据信息的一般检验方法
目前,手机上安装的各类应用不计其数,因用户使用习惯,爱好,工作及其它方面的要求不同,手机应用的选择也因人而异,由于很多重要的社会交往及生活习惯信息往往体现在各类应用当中,应用程序APP的信息检验显得尤为重要。所以,一般情况下,送检的每一部智能手机往往会采用不同的技术手段,这就要求检验人员在检验过程中要不断总结检验方法,对检验程序技术手段进行分类,总结出一般检验方法。目前,手机APP应用类别主要有:社交应用、生活消费、图书阅读、网上支付、浏览器和游戏等方面,下面主要对几种主流应用程序的检验方法做一般性描述。
5.1 社交应用类
生活消费类信息能够体现手机持有者的生活习惯信息,根据案件的需要,在检验时,要重点梳理采集信息的时间、地点、人员构成的综合因素,以便建立案件关联信息链,在检验数据时还要注意缓存中的图片信息,通过图片信息的分析,可以建立消费印证关系。
5.3 网上支付类
网上支付类信息重点体现手机持有者的财务信息,通常这类应用会绑定银行卡等重要电子数据信息。网上支付信息的检验一般在离线情况下使用手机取证工具实施就可以。
5.4 浏览器类
浏览器类的数据信息往往是最为复杂的,在这里,我们主要通过手机取证工具分类提取日志、历史记录、缓存文件、网络链接和协议数据包等信息。有些情况下我们需要利用Cellebrite取证工具来实现数据恢复。
5.5 动态情况
在未获取到手机物证或者需要APP应用在联网下使用的情况下,我们通过远程电子取证设备对信息进行检验和采集,这种情况主要会用到网络抓包工具进行抓包和数据包分析。
6 结语
文中就电子数据检验现状和电子数据的检验步骤进行了具体阐述,描述了电子数据信息的可采性与证明力在司法鉴定中的重要性,重点列举了智能手机中应用程序APP电子数据信息检验的重要意义的一般检验方法,在具体操作方式上描述还不够细致,但是,智能手机的普及以及APP应用的发展,使得智能手机电子数据信息检验成为电子物证检验的重中之重,希望能够得到司法鉴定及相关人员的重视。
参考文献
[5]金波,黄道丽,夏荣.电子数据标准体系研究[J].中国司法鉴定,2011(4):49-61.