【電子數據取證】8個門道兒

轉

【電子數據取證】8個門道兒

2018年08月24日 06:30:00 電子物證 閱讀數：335

來源：瘋人雜說

ID：YCWD_Lzl

做者：@菸草味道

 

 

1、電子取證永遠不要被工具束縛

到今天，還有人會時不時問瘋人，你平時工做取證喜歡用什麼軟件？回頭想一想，其實瘋人也經歷過工具引導工做的階段。剛接觸電子取證，可能會接觸一到兩種綜合取證工具，而後會聽到、見到各類綜合取證工具，糾結於到底用什麼軟件取證能取到使人滿意的效果，要不就糾結於這個我還不會用，那個我還不會用，怎麼辦啊。我以爲這是入這行的必經階段，不過隨着辦案的增多，經驗的積累，後來你會發現，電子取證的本質就是電子發現，是完成取證目標，而不是哪一種工具能達到目標，真正的牛人給他一個二進制編輯器就能完成絕大多數工做。

不過這只是在說取證本質，實際工做中仍是須要用工具去達到目標，由於這樣會大大提高效率。電子取證不能有工具萬能論的觀點，也不能有工具無用論的見解：不能只會使用一種工具，也不能摒棄一種工具，實務中每每須要根據案件的具體狀況，從委託需求出發，綜合運用不一樣的取證工具，來達到取證目標，固然不少情形是工具沒法完成的，這就須要真正發揮人的主觀能動性，去手工作一些工做，這對取證人員就有較高的要求了。

總之，取證工具五花八門，廠商對本身產品的宣傳也是天花亂墜，這時候您要保持冷靜，沒有一個廠家的工具是萬能的，固然也是各有特點的，這還須要您從案件出發，別讓工具束縛了本身，而是要輕鬆駕馭各類工具。

2、電子取證永遠不要在取證前對結果下定論

總有辦案人會這麼問：嫌疑人說電腦裏有這個文件，不過他刪除了，還能恢復嗎？嫌疑人手機裏的微信聊天記錄能恢復嗎？此時做爲取證人員，在取證以前，永遠不要給對方確定的答覆。由於取證前取證人並不知道嫌疑人的電腦、手機到底是怎麼使用的。

就拿電腦來講，磁盤的存儲原理、文件系統機制、操做系統的原理等等註定了在操做系統層面數據被刪除具有恢復的可能。可是，取證人在取證前並不知道電腦的使用者在刪除文件後具體還作了什麼操做，計算機操做系統默認打開了什麼磁盤管理機制，被刪除的數據會以怎樣一個狀態存在於磁盤上，誰也說很差。所以，取證前沒法給出一個確定或者否認的結論，取證結論要隨着取證工做的展開來給出。

3、永遠不要試圖僅依靠電子取證去證實人物所屬

總有辦案人會跟瘋人提出這樣的需求：證實某臺電腦或者手機是某人的。對不起，得不到這樣的結論。由於僅僅依靠電子數據你沒法判斷某一臺電腦或者手機到底是屬於一我的仍是一條狗。電子取證的結果是對某一取證對象提取出來數據的客觀呈現，而單憑這些數據去證實取證對象的所屬關係，這是不可能的，取證人只能告訴你提取出的這些數據具有什麼特徵，能夠重點關注什麼。後續須要作的事情還要委託取證的人去作。

例如，某盜竊案，嫌疑人偷了張三的筆記本電腦，辦案人委託對起獲的筆記本電腦進行取證來確認電腦就是張三的，對不起，取證人員給不出這樣的結論。那能夠給出怎樣的結論呢？取證人員能夠對電腦的文件進行恢復、搜索、分析，提取其中的我的文檔、圖片、即時通信工具的註冊人信息等等客觀呈現出來，並能夠對提取數據的關注程度爲辦案人提供一些指導。至於後續，那是辦案人的事情了。

4、取證技術永遠滯後於產品的安全技術

圈裏人都知道，總有人會預測電子取證的發展趨勢，但永遠預測不了下一步電子取證技術的細節應該是什麼。由於電子取證技術永遠滯後於取證對象的安全技術，電子取證永遠是去破解產品的安全。目前電子取證絕大多數狀況仍是對電腦、手機的取證，有的時候是利用某個漏洞達到取證目標，而不管是電腦仍是手機制造商，對於數據的態度永遠是保護消費者的隱私和數據安全，而不是便易司法取證工做。

總有一些廠商，當突破了某個技術難點，採用某個漏洞完成了對特定產品的取證，就會大肆宣傳，結果沒多久產品的生產廠商就會垂手可得的堵住這個漏洞，你的取證技術失效了。彌補一個漏洞可能只須要一週，突破一款產品的取證可能須要幾個月甚至更長。電子取證技術的發展就是電子產品廠商和取證廠商的一種博弈，矛盾之爭，只不過加固盾牌可能很快，可是磨利矛鋒可能好久。因此瘋人總想對某些取證廠商說，技術進步可喜可賀，不過不必什麼場合下都嘚瑟。

5、永遠不要期望一個取證人員精通全部取證技術

瘋人學計算機出身，工做後乾的仍是這一行，總有人諮詢計算機相關的問題，回答不上來的時候多的是，但是這會兒對方會說一句，你不是學計算機的嗎？往往聽到這句話，瘋人特別想樂，不過能夠理解，不知者不怪。一句你不是學計算機的嗎？就好像學計算機的人能解決涉及計算機的全部問題，明確說，這是一個認知誤區！計算機科學是一個學科的統稱，下面涉及的領域太多了，有研究硬件的就有研究軟件的，有研究集成的就有研究部署的，有研究數據庫的就有研究互聯網的，有研究網絡安全的就有研究黑客攻擊的，固然有玩概念的也有鑽技術的。你不能期望一個學計算機的精通計算機全部的領域，這是扯淡。

放到電子取證中同樣，電子取證說白了仍是玩計算機的，玩信息技術的。所以一個取證人員不可能精通全部取證技術。不過話說回來，電子取證人員通常都能適應絕大多數取證需求和場景，那是由於有各種工具予以輔助，這並不高深，就像使用辦公軟件同樣，會用取證軟件就能完成基本的取證工做，這也是爲何一些非計算機學科出身的人也能幹取證的緣由。可是能完成取證不表明能作精作好取證工做，經過工具完成取證工做，誰都同樣。不過想把某一個領域取證搞精成爲高手，沒有相關的知識背景和大量的案件喂着那是不可能的；想把全部領域都高精，成爲全天候的專家那也叫胡扯。

6、永遠不要中斷學習，取證要知其因此然

有句特俗可是特別有道理的話：幹中學，學中幹。上面瘋人說了，完成取證不表明能作精作好取證工做，經過工具完成取證工做，誰都同樣。一名普通取證技術人員遇到一個案子取證完了也就完了，是謂知其然；一名好的取證技術人員會把每一個案子當成藝術去看待，完成一個案子就是完成了一件藝術品，內心還會本身問爲何，爲何會獲得這樣的結果，其最底層的原理是什麼，是謂知其然亦知其因此然。一名普通的取證技術人員作完一個案子，機械完成一個任務，或許不會留下什麼記憶；一名好的取證技術人員遇到案子，當是本身熟悉的領域，作完後會把經驗積累起來，遇到未知或者陌生的領域，即便取證工具能夠完成工做，也會在取證過程當中大量翻閱資料，變未知爲已知，變陌生爲熟悉，不斷提高本身的水平。

信息技術天天都在發生突飛猛進的變化，搞計算機的不學習，打個盹可能就落後了。電子取證說白了仍是玩計算機，因此既然入了這行，何不讓本身的水平愈來愈高呢？您說是吧。有個名詞叫什麼來着？對了，匠人精神，電子取證是手藝活，並且每一個案子在取證前都是未知的，都是新的挑戰，爲何不把每一個機會利用好，好好學習呢，在把每個案子作成藝術品的同時提高自個人能力，何樂而不爲啊。搞電子取證是個須要耐住寂寞的活兒，屁股得沉，得能坐得住，靜下心，學習也得真學，決不能每天炒概念，吹牛逼。

7、永遠不要只從技術角度看取證，取證要有創造性

提及電子取證，都會說這是技術活。但是真正放到實務中，僅僅依靠技術並不能解決全部問題，電子取證除了要有技術以外，還須要有必定的偵查思惟，想象力和代入感。換句話說，有的時候要跳出技術看取證，突破思惟定式，回溯取證對象使用者的使用行爲，分析其性格特色，重建基於取證對象的虛擬場，要有必定的取證創造性。

瘋人親歷過一個案子，須要破解嫌疑人的某個密碼，而這個密碼嫌疑人也深知其重要性，拒不供述。綜合運用了目前全部的技術手段，要麼沒法破解，要麼須要不現實的時間成本，沒有任何意義，可這又是案件的關鍵證據，無奈之下，瘋人和小夥伴們一塊兒翻閱卷宗，從嫌疑人的供述中取查找有用信息和行爲習慣，功夫不負有心人，咱們發現雖然沒有供述須要的密碼，可是嫌疑人供述了其餘一些應用的用戶名和密碼，且其常年使用類似密碼。因而咱們整理這些有用的信息，排列組合，最終破解了嫌疑人密碼，得到案件關鍵證據。因此電子取證決不能把本身禁錮在技術上，被工具所左右，要充分發揮自身的想象力（不是胡思亂想）和創造力去解決問題。每當這個時候，你會發現山窮水盡疑無路，柳暗花明又一村。

8、永遠不要認爲電子數據是冰冷的，它有溫度有生命

多少個案子，瘋人從嫌疑人電腦中的上網記錄能夠看到案發前嫌疑人的匆忙和絕望，多少個案子，能夠從嫌疑人手機中的通訊記錄、聊天記錄看到嫌疑人的氣急敗壞和窮兇極惡，多少個案子，能夠從數據庫中看到嫌疑人自覺得高明的愚蠢行爲。   

從檢材中收集提取的電子數據每每是取證對象使用者留下的電子痕跡，永遠不要認爲這些數據是冰冷的，其實它是活的，是有溫度的。一個案子中收集來的電子數據能夠描繪一我的的行爲軌跡、心裏活動、性格特色甚至隱私怪癖。電子取證是取證人員經過取證對象和其使用者在對話，並且最關鍵的是電子數據不會說謊。

電子取證說究竟是個手藝活兒，深諳了其中的道道兒，最起碼掌握了一門吃飯的手藝，走到哪兒都不至於餓着肚子。

電子取證全面興起也就一二十年的時間，這裏面的道道兒毫不僅僅就瘋人說的這幾個，並且這只是瘋人本身的感悟，別人會不會這麼想，瘋人不知道。還有就是有的道道兒也實在不方便拿到公開場合來講，看官自行體會吧……別問，問了瘋人也不知道。