通知:美亞柏科江蘇電子數據取證服務中心成立,提供司法鑒定咨詢、電子數據檢驗檢測,勘驗協助、技術支持等服務,電話:18651607829

中國數據恢復協會 數據恢復與存儲安全研發中心 [ 咨詢免費 檢測免費 ] 24小時電話: 13813824669 技術部:025-83608636(白天)  RAID專家:13813824669

站內搜索

聯系我們

  • 276570401
  • 025-83608636
  • 18651607829
當前位置:首頁 > 西數新聞 > IT技術文章 IT技術文章
【法學匯】電子證據運用:如何“重建”案件事實

【法學匯】電子證據運用:如何“重建”案件事實

■ 辦案人員要盡量“細化”“揉碎”電子證據,“挖掘”不為人知的微觀信息用于還原案件事實。筆者認為,需要進行二進制數據查看,對每一份電子文件都要分析其文件頭、文件中間、文件尾,對每一份存儲介質都要分析各個分區,特別是未分配空間。6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

■ 辦案人員要盡量將電子證據與其他證據進行整合,搭建各種有效的證據組合、印證體系、“鑒—數—取”體系、兩個空間對接等結構,以宏觀的視角還原案件事實。6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

中國人民大學法學院教授、博士生導師6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

刑事法律科學研究中心研究員6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

劉品新6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

網絡犯罪司法的中心任務是有效使用電子證據進行網絡犯罪案件事實的重建。由于電子證據是一種“數字式痕跡”,網絡犯罪司法中使用電子證據必須聚焦于“數字式案件事實重建”。這一“重建”也可以稱為“電子證據重建”。簡單地說,電子證據可以被看成一個個信息“場”,可以還原網絡犯罪案件的來龍去脈。它與人類社會出現的“人證重建”“物證重建”是一脈相承的,但展示的效果更為顯著。6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

基本原理的展開6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

如何科學處理網絡犯罪中超容或巨量的電子證據?原子主義與整體主義證明模式是可以選擇的科學理論,也是不同認識理論在司法領域的呈現。6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

依照前一理論,辦案人員應當對電子證據盡可能地進行拆解,分解至較小單元“原子”的程度。當然,這是指“邏輯認識的原子”,不等于“物理分析的原子”。于電子證據定案而言,這個“較小的東西”當下通??梢灾笇㈦娮幼C據的內在屬性、關聯痕跡、復合內容解析出來,以查明、證明網絡犯罪案件事實。6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

依照后一理論,辦案人員應當盡可能地將不同電子證據、電子證據與其他證據結合起來,構成一個整體,用以查明、證明網絡犯罪案件事實。對于電子證據定案而言,當下通??梢詫㈦娮幼C據的組合、印證體系、“鑒—數—取”體系、物理空間—信息空間拼接起來,以查明、證明網絡犯罪案件事實。6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

基于原子主義證明模式的6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

實務技巧6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

當下電子證據用作證明的邏輯原子可以界定為如下三個方面:6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

以電子證據的“內在屬性”重建案件事實。電子證據的內在屬性是數據生成、存儲、傳遞、修改、增刪而形成的時間、制作者、格式、修訂次數、版本等信息。其作用在于證明數據的來源和形成過程,即講述關于數據如何得來的“故事”。簡單地說,主要就是用鼠標點擊某電子文件看到的信息。當然也有復雜的查看方法。6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

在一起破壞計算機信息系統案中,有較多電子文件在內在屬性方面出現了異常,筆者對疑點較大的電子文件進行了“內在屬性”全梳理,特別是對前后一對電子文件(指先后取證多次形成的對應電子文件)進行重點梳理。主要技巧是對Word文檔的創建內容時間、較后一次修改時間、訪問時間信息利用專門的取證工具(Winhex)查看,查到的相關時間可以精確到“百納秒”級別,再匹配尋找疑點。如果前后一對電子文件的創建內容時間、較后一次修改時間、訪問時間信息在同一“百納秒”級別是一致的,那就表明它們是同源文件,即后一Word文檔是利用前一Word文檔修改而來,而不是另行取證得來。依靠電子證據的“內在屬性”重建案件事實,幾乎是每個法律工作者都能完成的任務,關鍵是要有這一意識。6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

以電子證據的“關聯痕跡”重建案件事實。關聯痕跡是在電子證據形成之際同時產生的一些獨立“痕跡”。電子證據本身就是“痕跡”,關聯痕跡可以說是電子證據之“痕跡”邊上的專門“痕跡”。通常來說,計算機等設備在生成、存儲、傳遞、修改、增刪數據時會引發信息系統環境產生關聯痕跡。它們包括后綴為*.lnk、*.dat、*.identifier、*.sys、*.tmp的各種痕跡文件,這是信息科學領域的痕跡文件;也包括該數據在數據磁盤層的存儲規律,這是物證技術學領域的“痕跡”。后一“痕跡”在理解上有些困難,筆者試舉例說明。我們在電腦中編輯Word文檔時,通常會產生快捷方式文件、臨時文件、office日志文件、軟件殺毒記錄文件等,但假設當我們徹底檢查一臺電腦時,卻沒有發現與所編輯Word文檔相關的任何快捷方式文件、臨時文件、office日志文件、軟件殺毒記錄文件等,這一“發現”就是物證技術學領域的“痕跡”,一如殺人現場的“擦拭血跡”。6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

在一起DDOS攻擊(分布式拒絕服務攻擊)案中,犯罪嫌疑人對某網站進行DDOS攻擊導致網站崩潰,公司因賠付數千萬元而倒閉,犯罪嫌疑人所使用的電腦硬盤是主要證據。該案的特別情節是犯罪嫌疑人使用了虛擬機技術。在辦理該案過程中,為了查清犯罪嫌疑人是如何攻擊、敲詐勒索被害公司的,鑒定人員通過取證工具分析虛擬磁盤,發現其中存在大量的數據交互記錄,證明犯罪嫌疑人向被害公司所使用IP地址發動DDOS攻擊;在電腦空余空間中發現犯罪嫌疑人敲詐勒索的聊天記錄碎片文件,證明其曾于發動網絡攻擊后向被害公司實施敲詐勒索行為;在電腦底層數據中發現犯罪嫌疑人所使用的VPS服務器(用于搭建VPN,發動網絡攻擊所使用的中轉服務器)。較終,鑒定人員基于這些痕跡制作了DDOS攻擊與敲詐勒索案大事表,包括犯罪嫌疑人開始學習黑客攻擊技術、鎖定被害公司、對被害公司實施DDOS攻擊行為、對被害公司實施敲詐勒索行為、被逮捕等環節。這個大事表就是直接、完整的案件事實重建。6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

以電子證據的“復合內容”重建案件事實。“復合內容”是受“復合文檔”的啟發而形成的一個概念。復合文檔不僅包含文本,還包括圖形、電子表格數據、聲音、視頻圖像以及其他信息。這是當前電子證據內容的普遍承載方式。6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

在另一起破壞計算機信息系統案中,較重要的電子證據是警方抓獲犯罪嫌疑人之后,使用犯罪嫌疑人賬號、密碼登錄其郵箱獲得的幾百封電子郵件。這些郵件能夠證明犯罪嫌疑人推廣某非法軟件及獲利的情況。對于這些電子郵件,辦案人員要關注的內容不僅包括每封郵件的正文,也包括郵箱收件夾、發送夾等文件夾中有多少郵件(即郵件列表),還包括該郵箱“較近登錄”(也稱為“上次登錄”)形成的時間、地點信息。6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

以上就是原子主義證明機制的辦案技巧。辦案人員要盡量“細化”“揉碎”電子證據,“挖掘”不為人知的微觀信息用于還原案件事實。那么,具體需要對電子證據“細化”“揉碎”到什么程度?筆者認為,需要進行二進制數據查看,對每一份電子文件都要分析其文件頭、文件中間、文件尾,對每一份存儲介質都要分析各個分區,特別是未分配空間。這是一種理想狀態,要達到這一理想狀態還有很長的路要走。6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

基于整體主義證明模式的6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

實務技巧6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

整體主義證明模式的邏輯要求:一份特定證據作為分析對象的證明價值,從根本上取決于其他所有證據。這一理論很容易同我國的證據組合、體系、鎖鏈和印證等說法勾連起來。這樣的聯想是有道理的。值得注意的是,電子證據遵循整體主義證明模式的改造,會碰撞出獨特的火花。6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

以電子證據的“證據組合”重建案件事實。證據組合是將能夠支撐或反駁某一個案件事實的不同來源證據結合在一起的思路。對電子證據而言,構成證據組合還有新的優勢和切入點,同一份電子證據往往可以在不同層面進行呈現,辦案人員可以打造不同層面的證據組合。6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

如在一起破壞公用電信設施案中,犯罪嫌疑人于2014年12月8日至10日在公眾場所使用短信群發設備向周圍手機用戶強行推送短信,后被刑事拘留。警方對犯罪嫌疑人的偽基站設備(電腦)送檢后,發現其在被抓獲前將系統時間歸零,導致無法確定哪些推送短信記錄是犯罪嫌疑人在案發過程中留下的。對于這樣重要的案件事實,無法依靠電子證據(日志文件)及相關鑒定意見證實。對此,辦案人員一方面對犯罪嫌疑人進行補充訊問,另一方面調整鑒定請求,改為偽基站設備中推送上述內容短信的日志記錄“造成了多少部手機通信中斷”。這樣一來,電子證據、鑒定意見與訊問筆錄(供述)就構成了一個有效的證據組合。6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

以電子證據的“印證體系”重建案件事實。印證體系是指同一網絡行為產生了若干份電子證據,特別是不同網絡節點的多份電子證據,它們相互印證構成虛擬空間中的一種獨特證據鎖鏈。這些電子證據往往是同一行為或關聯行為產生的。如在發送電子郵件時會在發件人電腦、收件人電腦、郵件商的服務器等多點留下電子郵件;發送短信、微信等都會產生構成印證的網絡證據。將這些網絡證據匹配起來,審查其內容是否一致,特別是審查其相關時間信息、地址信息等是否正常,就可以還原整個網絡行為事實。6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

以電子證據的“鑒—數—取”體系重建案件事實。網絡犯罪司法的主打證據體系往往表現為一種獨特的電子證據結構,即由電子證據、“來源筆錄”與鑒定意見組成的三位一體構造。在“鑒—數—取”體系中,“數”是指電子證據,通常不能孤立地發揮證明作用;“取”是指各種“來源筆錄”;“鑒”是指電子數據司法鑒定意見,用于證實案件爭議事實。它們三者結合形成一個穩定的架構,用于證明網絡犯罪的主要案件事實。其中,直接證明案件事實的往往是“鑒”,而“鑒”是否可靠有效取決于“取”的支撐和“數”的驗證。6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

以“物理—信息兩個空間對接”重建案件事實。一般來說,電子證據對應虛擬空間(信息空間),傳統證據對應物理空間。如果能夠基于電子證據還原虛擬空間的軌跡,基于傳統證據還原物理空間的軌跡,將兩個空間的人員軌跡對接起來,就能有效還原案件事實。這就是“兩個空間對接”的技巧。6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

較高人民檢察院發布的指導性案例朱煒明操縱證券市場案(檢例第39號),是一個非常有價值的“兩個空間對接”案例。2013年2月1日至2014年8月26日,朱煒明在任國開證券營業部證券經紀人期間,先后多次在其擔任特邀嘉賓的《談股論金》電視節目播出前,使用實際控制的三個證券賬戶買入多只股票,于當日或次日在《談股論金》節目播出中,以特邀嘉賓身份對其先期買入的股票進行公開評價、預測及推介,并于節目首播后一至二個交易日內拋售相關股票,人為地影響前述股票的交易量和交易價格,獲取利益。經查,其買入股票交易金額共計人民幣2094.22萬余元,賣出股票交易金額共計人民幣2169.7萬余元,非法獲利75.48萬余元。審查起訴階段,朱煒明辯稱,涉案賬戶系其父親朱某實際控制,其本人并未建議和參與相關涉案股票的買賣……檢察機關審查認為,犯罪嫌疑人與涉案賬戶的實際控制關系,公開推介是否構成“搶帽子”交易操縱中的“公開薦股”以及相關行為能否被認定為“操縱證券市場”等問題,有待進一步查證。上海市檢察院第一分院先后兩次將案件退回上海市公安局,要求補充查證犯罪嫌疑人的淘寶、網銀等IP地址、MAC地址(硬件設備地址,用于定義網絡設備的位置),并與涉案賬戶證券交易IP地址做篩選比對;將涉案賬戶資金出入與犯罪嫌疑人個人賬戶資金往來作關聯比對;進一步對其父朱某在關鍵細節上做針對性詢問,以核實朱煒明的辯解。兩個空間的對接表明,在朱煒明出差期間涉案賬戶使用了其出差城市IP地址做證券交易,在朱煒明不出差期間涉案賬戶使用了其辦公室IP地址做證券交易,而這些地址是朱煒明父親不可能到達的。6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

以上就是整體主義證明機制的辦案技巧。辦案人員要盡量將電子證據與其他證據進行整合,搭建各種有效的證據組合、印證體系、“鑒—數—取”體系、兩個空間對接等結構,以宏觀的視角還原案件事實。6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

犯罪形式在信息時代的網絡變異給傳統司法治理帶來巨大沖擊,電子證據是打擊網絡犯罪的關鍵證據。網絡犯罪案件的數字式事實重建可循沿原子主義和整體主義兩種證明模式進路。以電子證據為突破口破解網絡犯罪難題順應了信息技術發展趨勢,是推進國家治理體系和治理能力現代化的重要窗口。6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

 6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

(本文節選自《人民檢察》2021年第19期)6MI西數科技: 硬盤/手機/網絡/聲像電子數據鑒定專家. 025-83608636

上一篇:語音特征提取: 看懂梅爾語譜圖(Mel-spectrogram)、梅爾倒頻系數(MFCCs)的原理
下一篇:返回列表
Copyright(C)2014 南京西數科技有限公司 wdsos.com 備案號:蘇ICP備09074223號 蘇公網安備:32010202010982號
地址:江蘇省南京市玄武區珠江路435號華海大廈6樓601室(同慶樓右側上電梯) 技術部:025-83608636(8:30-18:30)
數據恢復:025-86883952 產品銷售:13813824669 聯系人:徐佳偉
|公眾號|微博|論壇|百家號|
日本三级片大全在线观看 - 视频 - 在线观看 - 电影影院 - 品赏网