admin 在 2016-03-08 00:00 提交
【作者简介】主要从事信息网络安全、计算机取证研究
【文章来源】《中国司法鉴定》2016年第1期
【内容提要】随着信息技术的发展,电子数据取证与鉴定成为了网络安全科学、法庭科学等领域的一项重要研究内容。本文从产业环境、法律法规、取证理论、取证模型、取证技术、取证标准以及取证工具和产品等方面对国内外电子数据取证与鉴定的研究现状和实践工作进行了总结与分析,并结合当前新型智能设备、新型加密方法、云计算与大数据的研究,以及电子数据取证与鉴定的司法实践工作,分析了电子数据取证与鉴定所面临的挑战,并展望了该领域未来的研究发展。
【关键词】计算机取证,电子数据鉴定,研究现状,法律,标准,法庭科学
1.引言
电子数据取证与鉴定,也被称之为“计算机取证”(Computer Forensics),是指经过资格认定的专业人员基于计算机科学原理和技术,接受当事人的委托,按照法律规定的程序,发现、固定、提取、分析、检验、记录和展示电子设备中存储的电子数据,找出与案件事实之间的客观联系,确定其证明力并提供鉴定意见的活动{1}。电子数据取证与鉴定涉及的技术领域广泛,需要综合利用多种技术知识来解决实际问题,与之相关的学科有计算机理论、计算机应用技术、信息安全、法学以及刑事科学等。
信息技术特别是信息通讯技术的发展,使得大数据、云计算、移动互联网、社交网络以及各种智能终端等相继进入人们的生产生活中,全球信息数据量和处理能力呈指数式爆炸增长,与数字设备相关的案件也越来越多,由此导致电子数据取证与鉴定在司法实践中的应用越来越多,涉及到的各行业领域也越来越广。目前国内外许多研究团体、技术企业、司法鉴定机构、个人调查员等都在进行着电子数据取证与鉴定相关的研究工作。本文通过分析当前国内外电子数据取证与鉴定的业务发展现状、技术发展现状以及面临的挑战等,为我国未来电子数据取证与鉴定的研究工作提供一些借鉴。
2业务发展
2.1互联网与产业环境的发展与变化
2013年2月EMC和IDC发布研究报告《2020年的数字宇宙:大数据、更大的数字阴影以及远东地区实现最快增长》显示:数字宇宙是对一年内全世界产生、复制及利用的所有数字化数据的度量,从2013年到2020年,数字宇宙的规模每两年将翻一番。2012年中国总体数据量占世界的13%,而到2020年将提高到21%。存在于信息设备中的电子数据已作为一种新的证据形式即电子证据进入司法领域,实践中需要电子证据来认定法律事实的案件逐渐增多{1}。在信息世界里,电子证据当仁不让地成为了新的“证据之王”{2}。
正是在这样的背景下,电子数据取证与鉴定在司法实践中的应用越来越多,涉及到的行业领域也越来越广。美国FBI实验室1984年就开始对计算机取证进行研发,到目前至少70%的法律部门拥有自己的计算机取证实验室{3}。我国2001年从入侵取证反黑客开始引入计算机取证的概念。随着互联网快速发展,现阶段我国网络违法犯罪活动高发频发呈蔓延态势,犯罪种类和形式层出不穷,跨区域链条化特征逐步显现,严重危害网络安全秩序,侵害群众切身利益。为打击网络犯罪、维护网络安全秩序、保障人民合法权益,我们应大力提升我国电子数据取证与鉴定的总体能力和水平。
2.2法律法规的发展与变化
2.2.1中国立法发展和变化
我国关于电子数据取证与鉴定方面的立法包括电子数据的相关立法、电子数据取证与鉴定专门立法两个层面。从法律渊源上来看,从高位阶的基本法律到位阶较低的行政法规、部门规章、司法解释和规范性文件,各层次均有涉及。从内容上来看,我国尚未制定独立的证据法,有关电子数据的立法规定散见于以三大诉讼法为主干的法律规范体系中。
2.2.1.1电子数据的相关立法
在基本法律层面,1999年《合同法》首次将数据电文合同纳入了书面形式的合同中,承认其合法性;2004年《道路交通安全法》对数据电文与交通技术监控记录资料的证据地位作了规定;2005年《电子签名法》是我国相对集中地对电子数据做出直接明确规定的重要法律文件,其第4~8条专门规定了电子证据的概念、书面形式、原件形式、保存要求、可采性与证明力问题,这些规定不仅适用于电子商务和电子交易,而且可适用于司法活动。
2012年《民事诉讼法》第63条将“电子数据”作为独立的诉讼证据之一。2012年《刑事诉讼法》第48条将“电子数据”首次纳入法定证据种类之一,与视听资料同列为第八种刑事诉讼证据,电子数据在刑事诉讼中取得了独立的法律地位。2014年《行政诉讼法》第33条将电子数据作为独立的诉讼证据之一。三大诉讼法将电子数据引入法律条文,是我国证据种类立法的巨大进步,电子数据在司法实践中的应用必将得到进一步的推动。
在诉讼法应用解释层面,最高人民法院、最高人民检察院、公安部针对诉讼证据问题做出了一系列司法解释、部门性规章,如《关于民事诉讼证据的若干规定》、《关于行政诉讼证据若干问题的规定》、《人民检察院刑事诉讼规则》、《公安机关办理刑事案件程序规定》等。这些是最具有可操作性的法律规范,其中涉及了电子数据的若干规定,但相对混乱,设置也不合理。值得一提的是,2010年最高人民法院、最高人民检察院、公安部、国家安全部和司法部联合发布《关于办理死刑案件审查判断证据若干问题的规定》,其第29条首次对我国电子数据在刑事案件中的审查判断、电子数据取证和电子数据鉴定做出了原则性的规定,要求审查电子数据取证、处理与展示的过程以及内容的完整性,这有助于电子数据可采性和证明力的认定。
《最高人民法院关于适用〈中华人民共和国刑事诉讼法〉的解释》自2013年1月1日起施行,该解释第93条对电子数据的审查与认定做出了详细的规定,“对电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等电子数据,应当着重审查以下内容:(一)是否随原始存储介质移送;在原始存储介质无法封存、不便移动或者依法应当由有关部门保管、处理、返还时,提取、复制电子数据是否由二人以上进行,是否足以保证电子数据的完整性,有无提取、复制过程及原始存储介质存放地点的文字说明和签名;(二)收集程序、方式是否符合法律及有关技术规范;经勘验、检查、搜查等侦查活动收集的电子数据,是否附有笔录、清单,并经侦查人员、电子数据持有人、见证人签名;没有持有人签名的,是否注明原因;远程调取境外或者异地的电子数据的,是否注明相关情况;对电子数据的规格、类别、文件格式等注明是否清楚;(三)电子数据内容是否真实,有无删除、修改、增加等情形;(四)电子数据与案件事实有无关联;(五)与案件事实有关联的电子数据是否全面收集。对电子数据有疑问的,应当进行鉴定或者检验。”该条在五部委《关于办理死刑案件审查判断证据若干问题的规定》第29条规定的基础上,对电子数据的审查判断作出了进一步完善。
在规范性文件层面,2005年公安部《计算机犯罪现场勘验与电子证据检查规则》(公信安{2005}161号)对电子证据的范围、保护电子证据完整性、真实性和原始性的方式、电子证据检查等作了详尽规定;2005年《公安机关电子数据鉴定规则》(公信安{2005}281号)规定了电子数据的概念。
2.2.1.2电子数据取证与鉴定的相关立法
2005年全国人大《全国人民代表大会常务委员会关于司法鉴定管理问题的决定》(以下简称《决定》)以法律形式对司法鉴定管理体制做出了重大调整,确立了司法鉴定管理体制的框架。《决定》生效后,司法部出台了一系列部门规章,如《司法鉴定程序通则》(司法部令第107号)、《司法鉴定机构登记管理办法》(司法部令第95号)、《司法鉴定人登记管理办法》(司法部令第96号)等,对依据《决定》成立的三大类司法鉴定机构依法实施登记管理。
2005年《公安机关电子数据鉴定规则》是公安机关电子数据鉴定的专门性规范文件,明确规定了鉴定人的权利和义务、鉴定回避、委托、受理、鉴定程序、鉴定文书等内容。
2006年公安部制定了《公安机关鉴定机构登记管理办法》和《公安机关鉴定人登记管理办法》两个部门规章,明确划分了各级公安机关鉴定机构开展检验鉴定项目的范围,明确规定鉴定机构及鉴定人必须取得鉴定资格方可开展鉴定工作,并制定了资格申报、审定、授予、延续、变更、注销以及管理监督与违规处罚等科学规范的管理制度。
2006年最高人民检察院制定了《人民检察院鉴定机构登记管理办法》、《人民检察院鉴定人登记管理办法》和《人民检察院鉴定规则(试行)》,明确了人民检察院鉴定机构、鉴定人登记管理和鉴定人的权利和义务、鉴定回避、委托、受理、鉴定程序、鉴定文书等内容。
2008年1月,中央政法委下发《关于进一步完善司法鉴定管理体制遴选国家级司法鉴定机构的意见》(政法{2008}2号),明确了侦查机构内设鉴定机构和鉴定人管理模式、侦查机构内设鉴定机构从事鉴定业务和国家级司法鉴定机构遴选等问题。
总体来说,我国电子数据作为一种全新证据形式法律上刚确立,有关电子数据的审查判断、取证方式和取证程序等问题也有初步的规定。但是,电子数据取证的技术规范化、过程标准化、工具专业化等因素将直接影响到取证结果的有效性和电子数据的证据力。电子数据取证结果的可行性和有效性一方面依赖于是否能应对最新的计算机信息技术,融合、采用最新的技术解决处理正在发生或即将发生的问题;另一方面依赖于如何规范化操作与发展,使获得的电子证据在法律体系下具有法律效力{4}。
2.2.2国际立法发展和变化
许多英美法系国家制定了专门的电子数据证据相关法律,如加拿大《1998年统一电子证据法》、菲律宾《电子证据规则》、美国《统一电子交易法》等,没有制定专门证据法的国家则是通过判例法的方式进行详细的规定。以美国为例,美国作为信息技术最发达的国家,对电子数据取证与鉴定问题的规定更全面。其相关立法主要有《1999年统一证据规则》、《统一电子交易法》、《统一计算机信息法》、《加利福尼亚州证据法典》等。除此之外,国际示范性法、判例、国际公约也是美国的电子数据法律制度组成部分之一。在关于电子数据证据的搜查和扣押上,《笔录和陷阱法》、《电子通信隐私法》、《犯罪综合控制和街道安全法》和相关判例基本涉及了电子数据的搜查、扣押中的所有法律问题{5}。
2.3机构和业务发展
根据《决定》,我国电子数据取证与鉴定机构可划分为两类:侦查机关内设的电子数据取证与鉴定机构、经司法机关核准成立的社会第三方电子数据司法鉴定机构。两类机构在授权许可、相关法规的遵从、行政管理体制、服务对象等方面存在不同,但在电子数据鉴定技术标准采纳、仪器设备配置、鉴定意见的真实性和合法性保证等方面并无差异。
电子数据取证与鉴定机构成立及其业务发展十分迅速。截至2014年底,我国经司法行政部门批准,面向社会从事计算机司法鉴定和电子数据司法鉴定业务的第三方司法鉴定机构总计151家,2014年度完成计算机鉴定业务1283件、电子数据鉴定682件{6}。
在公安机关侦查领域,截至2014年底,我国公安网安机关开展电子数据取证与鉴定工作的实验室有300多家。电子数据取证与鉴定工作已成为服务好打击网络犯罪、服务好公安中心工作的重要举措。2014年全国公安机关网安部门侦办的涉网案件达到15.7万起,抓获违法犯罪嫌疑人27.3万人{7}。
此外,《决定》第5条第3项规定鉴定机构应当“有在业务范围内进行司法鉴定所必需的依法通过计量认证或实验室认可的检测实验室。”因此,无论是侦查机关电子数据取证与鉴定机构还是作为社会第三方的电子数据鉴定机构都必须进行计量认证或实验室认可,建立完善的质量管理体系,保障电子数据取证与鉴定的质量,这是法律共同的强制性要求。截至2014年12月,大陆地区通过中国合格评定国家认可委员会实验室认可的专业电子数据取证与鉴定机构有44家,其中公安28家、检察院8家、司法8家。
3技术发展
3.1电子数据取证与鉴定理论、方法与模型的发展
3.1.1电子数据取证的理论研究概况
2000年开始,我国正式启动了计算机取证的研究,公安部以计算机犯罪案件、电子数据取证、计算机犯罪侦查等方向的技术展开了专项研究。随后几年,国家科技部、基金委等就“电子数据取证”方向设立了多个研究项目,进一步推动了我国计算机取证学科的研究发展。此外,公安系统的院校也纷纷建立了计算机取证实验室,引进电子数据取证需要的工具、软件和设备,培训了新一代的电子数据取证和信息网络安全技术团队{8}。电子数据取证需求的增长也催生了一批成熟的商业公司和取证产品,美国的EnCase, FTK和Logicuba等公司从20世纪80年代就开始研究开发电子数据取证产品。
在电子数据取证技术发展的早期,人们主要关注于技术的实用性,更注重于应用产品的开发。由于忽视基本理论和基本方法的研究,导致在办案过程中缺乏可依据的执行标准,而不规范的操作必然导致电子证据的证据力下降或受到质疑,由此促使业内专家和学者开始对电子数据取证理论、方法及标准等科学问题展开研究。1991年在美国召开的国际计算机专家会议(International Association of Computer Specialists)上首次提出计算机取证这一术语,1993年召开了第一届计算机取证的国际会议(First International Conference on Computer Evidence),1995年成立了计算机证据的国际组织I0CE(International Organization on Computer Evidence)。此后,每年均有以电子数据取证为主题的国际会议召开。在我国,从2005年开始举办的中国计算机取证技术峰会也极大推动了国内外计算机取证先进技术的传播和交流,使我国的取证技术有了质的提高。
3.1.2电子数据取证模型的研究
电子数据取证模型用于概括描述取证事件的全过程,对取证技术和工具的研究具有重要指导意义。二十世纪九十年代以来,研究者们相继提出计算机取证模型主要有{1}:基本过程模型(Basic Process Model)、事件响应过程模型(Incident Response Process Model)、法律执行过程模型(Law Enforcement Process Model)、过程抽象模型(Abstract Process Model)和其他过程模型。
Farmer等人在1999年提出了基本过程模型{9},包含了基本的取证步骤:(1)保证安全和全面隔离;(2)记录现场信息;(3)全面搜查证据;(4)收集提取证据并打包;(5)维护监督链(chain of custodyh模型对整个取证过程进行了界定,并提出每个步骤的操作原则。该模型为后续研究提供了很好的基础。2001年,Mandia和Prosise提出了事件响应过程模型,该模型主要针对计算机系统的攻击事件,分为11个阶段。其增加了“事前准备(Pre-incident Preparation ,包括相关培训和设备工具准备)、网络监控、系统恢复”等重要阶段。
2001年,美国司法部在《电子犯罪现场调查指南》中提出了法律执行过程模型{11},指南主要针对从事物理犯罪取证的司法人员在处理不同类型的数字证据时,采取相应的处理程序,确保安全处理涉案电子物证。该模型侧重于数字调查中的收集过程,其基本步骤为:(1)准备:准备执行任务所需要的工具设备;(2)收集:收集电子证据,包括其物理载体,此阶段具体还包括案件现场的保护与检查、现场情况记录和建档、电子证据提取收集;(3)检验:对电子证据进行分析检验;(4)分析:对上阶段的结果再分析、复审,以获取有价值证据,保证证据的“重要性和证据力”;(5)报告:汇总案件取证分析结果,形成报告等。
过程抽象模型被认为是具有里程碑价值的工作{11}。美国空军研究院的研究者意识到在特定技术和方法细节上的研究无法总结出普遍的取证方法,因此他们将多类计算机取证模型抽象为一个更加通用的模型。其特点是将物理犯罪调查与数字取证调查进行了结合,使研究真正由计算机取证扩展到电子数据取证{9}。具体步骤包括(1)识别;(2)准备工具、技术及许可;(3)策略制定:原则是最大限度收集证据和减小对受害者的影响;(4)保存:隔离并保护物理和电子证据;(5)收集:对物理案件现场进行记录存档,并提取、复制电子证据;(6)检验:查找犯罪证据;(7)对上部结果进行再分析,给出分析结果,并重复检验过程,直到分析结果有充分的证据支持;(8)提交:形成结论、报告等。与此同时,美国司法部也提出了类似的过程抽象模型的思想。过程抽象模型为电子数据取证理论的发展、取证程序开发、标准制定都奠定了良好的基础,使得办案人员能够遵循普遍性的电子数据取证标准方法,采取由一般到特殊的科学过程对涉案电子数据进行勘查取证成为可能。
数字取证研究组(Digital Forensics Research Workshop, DFRW )(http://dfrws.org/)是由学术界领导的一个致力于电子数据取证基本理论和方法研究联盟组织,由美国空军研究院、美国信息战督导/防御局共同资助。2001年,针对当时电子数据取证工作缺乏标准可循的状况,DFRW在年会上提出了一个初步的取证框架及抽象过程模型,也为电子数据取证基本理论和基本方法的发展提供了方向{9}。
3.1.3电子数据取证与鉴定过程
电子数据取证与鉴定过程通常包括证据保全、证据获取、数据恢复与证据分析。
3.1.3.1电子证据的保全
电子证据需要具备完整性、可靠性和不可抵赖性。从技术角度上,需采取磁盘镜像、通过哈希校验或数字签名技术来保证电子证据的完整性和不可抵赖性。电子证据的采集、存储、传输、分析等过程要处于一个完整、可信的证据监督链中,才能说明证据从采集到提交中发生的任何变化。
3.1.3.2电子数据获取
对于计算机磁盘、U盘等存储介质,需通过磁盘镜像获取证据。逐比特的复制镜像完整记录了磁盘上删除文件、未分配空间和交换空间的内容。流行的镜像文件格式主要有:DD格式(与磁盘完全一致)、 E01格式(EnCase自定义格式)和AFF(Advanced Forensics Format)格式。现场处于开机状态的计算机,需要收集内存信息等易失性数据,这对于取证当前进程信息、网络信息、用户账户和密码相当关键。很多操作系统或商业/开源的取证工具都有获取内存镜像的功能。此外,还可通过计算机火线获取内存数据{12},这对操作系统依赖较小。Halderman等{13}提出的cold-boot攻击是一种更为特殊的方法,在断电的瞬间通过极速冷冻,能将内存中的大部份信息保留在芯片中。Android、iOS等移动智能终端操作系统为用户提供了一个安全的操作系统环境,同时也限制了用户权限,使其无法访问文件系统的某些区域。为了能完整提取设备存储的镜像,一般需要在取证中获取ROOT权限。对Android设备的ROOT或iOS的越狱(Jailbreak)是获取管理员权限的手段{14},然而ROOT或越狱会对检材造成少量数据更改,因此必须谨慎小心。智能终端取证中,破解和绕过锁屏密码是获取访问权限的关键。iOS4及以下设备,已有较为成熟的技术暴力破解简单密码,之后的iOS设备已难以破解,但现在市面上也有专用破解工具,利用了iOS设备判断密码错误次数的漏洞对简单密码进行暴力破解。Android设备的锁屏密码绕过相对简单一些,不少Android设备都可以通过进入Recovery模式来绕过锁屏密码。智能终端的提权操作是安全技术社区较为热点的研究,跟进这些研究将为取证技术提供很多思路。对于无法获取访问权限或遭受损坏的智能终端设备,可通过芯片级的数据提取技术来获取电子证据。Android设备提供了硬件JTAG“调试接口”获取设备存储芯片中的物理数据{15}。摘取智能终端中的Flash存储芯片后通过PC-3000等专业工具也可以获取芯片级的物理数据{15}。然而要将物理数据重组为有价值的、可读的逻辑数据,需要逆向芯片掘件中转换算法,在设备被全盘加密的情况下,还需要破解出密钥,而这两项技术仍然是安全研究中的开放问题,没有成熟的方案。
3.1.3.3数据恢复
取证过程中被删除的数据、被格式化的分区也是取证的重点。通常删除文件、格式化分区只是重写了文件系统的分区表,没有把数据区域真正清除。只要找到一个文件在磁盘上的起始保存位置,就可以进行删除恢复。恢复技术主要有基于分区表信息的删除恢复和基于文件特征的删除恢复,目前许多取证软件都具有了删除恢复的功能,由于实现思路和算法不同,不同的取证设备恢复的效果、效率和支持的文件系统有不小差异。SQLite在智能终端中有广泛的应用,SQLite删除数据的恢复自然也是取证技术研究者们关心的热点问题。2009年开始,陆续有学者提出从SQLite数据库未分配区域中,如空闲块等,恢复被删除记录的方案SQLite删除恢复技术已应用于商业电子数据取证工具中,如Cellebrite公司、公安部第三研究所(下文简称“三所”)以及厦门市美亚柏科信息股份有限公司(下文简称“美亚”)的取证工具。
3.1.3.4证据分析
证据分析需要对获取、恢复的数据进行勘查,最终提取出对分析人员有价值的电子证据,例如:通话记录、联系人、短信、GPS记录等使用痕迹和关键信息,即时通讯等SNS应用的聊天记录、电子邮件、浏览器历史信息等关键主流应用程序信息,图像、视频、Office文档等关键性文件。进一步的需求还有在多来源的取证数据中综合分析出涉案人员联络关系、甚至团伙关系等。
针对应用程序的取证,国内外关注的对象有较大差别。国外主要关注如Facebook等SNS应用的消息解析、分析等研究{17}。国内主要关注QQ、微信、微博等应用的记录解析与分析{18}。电子邮件是现代社会中一种主要交流方式之一,是重要的线索和证据来源。电子邮件取证的研究重点主要在真实性鉴定以及通信关系的分析与挖掘{19}。即时通讯、浏览器及电子邮件客户端等主流应用的特点是更新升级快,新的版本中,数据组织方式和应用的加密技术都可能出现较大变化,这要求取证技术研究者需要不断跟进,及时研究出对应取证技术方案。
3.2取证技术的发展
3.2.1面向计算机与智能终端的取证技术
3.2.1.1计算机取证技术发展
计算机取证是面向实用的技术学科,据维基百科根据最新的市场调查显示,截至2015年11月, Windows操作系统有85.67%的市场占有率、Linux系统占据了服务器市场67.8%的份额,使用MacOS操作系统的苹果也占有近10%的市场{20}。故计算机取证技术的研究目标重点落在了使用Windows、 Linux和MacOS操作系统的计算机设备上。
随着计算机取证技术的发展,从技术角度,主要的电子数据取证步骤已经固化为“固定保全”、“删除恢复”、“痕迹分析”和“数据展现”几个步骤,针对不同的取证对象操作系统,只是每个主要步骤存在些细微的技术实现差异{21}。“固定保全”包括对计算机存储介质进行位对位的只读复制保全,对于正在运行系统的内存易丢失数据进行镜像导出。“删除恢复”通常包括根据不同的文件系统对已删除文件进行恢复,以及对存储镜像进行全盘扫描,根据文件类型特征来恢复已删除的文件内容或片段信息。此外还包括对应用程序进行记录级别的数据恢复。“痕迹分析”是计算机取证分析的重要步骤。依据所使用的操作系统不同,通常包括文件下载、程序执行记录、文件使用痕迹、文件删除痕迹、计算机位置信息、外设使用痕迹、账户痕迹信息以及浏览器使用痕迹信息等八大类别{22}。“数据展现”通常可采用时间轨迹、地理轨迹、关系网络等多种可视化数据分析手段对计算机取证分析的结果进行更丰富直观的呈现,便于分析人员从中得出数据的内在规律和隐藏信息。
3.2.1.2面向新型智能终端的取证方法研究
据2014年全球互联网流量发起终端数据统计,手机占比31%,平版电脑占比6.6%,而PC已下降到62.4%。截至2015年4月底,我国移动互联网用户已达9.05亿人。作为移动互联网的载体,2015年上半年新型智能终端出货量达6.73亿部,同比增速14.3%。2015年上半年我国新型智能终端出货量达2.1亿部,同比增长7.5%{23}。智能终端市场份额主要由Android操作系统、iOS操作系统和Windows Phone操作系统的移动设备所占据。
面向新型智能终端的取证主要包括“在线取证”、“离线取证”和“芯片级取证”三个主要的技术手段。“在线取证”指的是通过数据线连接智能终端与取证设备,通过特定的数据读取协议直接从智能终端中获取取证分析人员感兴趣的数据文件。“在线取证”通常受到了新型智能终端设备自身安全保护机制的制约,对于未越狱的iOS设备、未Root的Android设备仅能通过“在线取证”获取到少量的用户使用痕迹信息。而智能终端的锁屏密码等保护措施也严重阻碍了取证的顺利进行。如何绕过新型智能终端的诸如锁屏密码、数据加密等安全防护机制仍是该领域研究的重要难题之一。“离线取证”通常包括两种类型:基于智能终端的备份数据进行取证分析和基于智能终端镜像文件进行取证分析。基于备份的“离线取证”主要利用iOS设备的iTunes Backup协议和Android系统内置的Backup协议进行数据获取,这种方法受到了第三方应用APP对于备份支持情况的限制,部分APP无法通过备份的手段获取到使用痕迹信息。基于镜像的“离线取证”可以对智能终端的系统信息、用户信息以及第三方APP的使用痕迹进行较全面的取证分析,但对于使用了设备加密的智能终端,镜像数据可能受到了高强度的加密算法的加密保护。“芯片级取证”主要用于无法绕过智能终端锁屏密码或者无法获取到智能终端系统权限的情况下,可通过JTAG调试接口或者通过硬件设备直接读取智能终端的数据存储芯片,从中提取到智能终端的数据镜像文件{15}。
新型智能终端的数据删除恢复也是取证技术研究的重要方向,主要包括基于镜像的签名恢复,从镜像中恢复出已删除的照片、视频等类型的文件数据。另一方面是针对应用数据的存储容器如SQLite、 EDB进行记录级的删除数据恢复,恢复已删除的应用数据等。
3.2.2针对新应用环境的取证技术研究
3.2.2.1云存储系统取证
云存储系统具备了随处访问、便于分享等重要特点,近年来得到了快速的发展。国外云存储系统主要有DropBox、Google Drive、OneDrive,国内的万存储系统主要包括百度云、360云盘、115网盘等。
云存储的取证分析方法主要包括基于云存储客户端和基于浏览器使用痕迹分析两种方法。基于云存储客户端的取证手段通过分析客户端同步到本地的用户配置文件,如DropBox的filecache.dbx、Google Drive的snapshot.db、百度云的BaiduYunCacheFileVO. db等,进行数据的分析提取。基于浏览器使用痕迹的取证手段则通过分析浏览器的访问历史记录、 cookie信息以及浏览器保存的登录用户名密码等信息,尝试获取到云储存服务的登录凭据之后再进行在线的云存储内容分析{24}。
3.2.2.2 Xbox、PS4等游戏主机
Xbox、PS4这类游戏主机随着功能和性能的升级,搭配Xbox live.PSN等游戏网络的使用,已经不能作为简单的游戏机来看待。已有不少案例表明游戏主机被用于如敲诈勒索,身份盗窃等犯罪活动中。据新闻报道,2015年爆发于巴黎的恐怖袭击,恐怖分子也可能是通过PSN网络进行相互通信{25}。
游戏主机的取证分析方法类似于传统的计算机取证技术,通过拆卸游戏主机获取存储设备并进行电子证据的固定保全。Xbox的存储设备主要使用NTFS文件系统进行数据的存储管理,PS4则采用了Fat32文件系统作为存储管理系统,计算机取证分析软件可直接对获取的游戏机存储镜像进行取证分析{26}。
3.2.2.3 iCloud取证
iCloud作为iOS设备内置的云存储系统,通常存储了用户的海量个人使用痕迹信息,例如短信、通信录、通话记录、照片、App数据等,具备了重要的取证分析价值。iCloud存储的数据采用了iOS设备相关的硬件信息进行数据存储加密,具备了很高的加密强度。
通过分析浏览器的使用痕迹信息、cookie数据以及浏览器保存的用户名密码,可以尝试获取到i- Cloud的登录凭据。此外,还可以通过分析iOS设备的备份数据,从备份文件中尝试提取iCloud的登录凭据。之后使用获取到的有效凭据连接到iCloud云存储平台,并获取到文件列表信息、tokens以及其他凭据信息。最后,再利用文件id、文件校验以及文件下载凭据下载文件,完成iCloud的取证分析{27}。3.2.2A可穿戴设备取证
可穿戴设备是新型移动智能终端的新类型,通常包括智能手表、智能手环、智能眼镜等设备。在智能手表市场iWatch已经占据了75%的市场份额,使用Android系统的智能手表紧跟其后。可穿戴设备通常与iOS智能手机、Android智能手机配套使用,设备之间通过蓝牙或者NFC进行短距离数据通信。可穿戴设备内置了多种类型的传感器,实时监测使用者的状态信息并与智能手机进行数据传输和汇总分析{28}。
可穿戴设备的取证主要通过“在线取证”和“离线取证”两种方式进行。基于Android系统的可穿戴设备可以通过打开USB调试模式通过ADB命令进行“在线取证”。“离线取证”则通过配套的智能手机软件可以将可穿戴设备的配置信息、App数据同步到智能手机中,然后再对智能手机进行数据备份即可将可穿戴设备的数据备份到取证设备中。基于Android系统的可穿戴设备在获取了Root权限的情况下还可以提取到可穿戴设备的存储镜像,便于进一步进行文件系统级别的删除恢复取证分析{28}。
3.3电子数据取证与鉴定标准和方法的发展
电子数据取证与鉴定是一个严谨的过程,因为其需要符合法律诉讼的要求。因此,推进电子数据取证与鉴定标准和方法的发展,加强电子数据取证与鉴定国家标准建设,对规范电子数据取证与鉴定工作,维护司法公正、保障人民合法权益有着重要的意义。
3.3.1国外相关标准的研制状况
在国际上,开展电子数据取证与鉴定标准研究的主要有国际标准化组织ISO、Internet工程任务组IETF和计算机证据国际组织I0CE,此外,美国、英国等多个国家也出台了针对电子证据的相关标准。
国际标准化组织信息安全分技术委员会(ISO/IEC JT/SC27)在2012年10月发布了IS0/IEC 27037:2012《电子证据识别、收集、获取和保存指南》该指南规定了电子证据的定义、处理电子证据的要求、电子证据处理步骤及其关键的组件,包括证据的连续性、证据链、现场安全、取证的角色与责任等。此外,国际标准化组织信息还陆续发布和编制了IS0/IEC 27035《信息安全事件管理》、IS0/IEC 27038《数字脱敏规范》、IS0/IEC 27040《存储安全》、IS0/IEC 27041《事件调查方法适宜性充分性保障指南》、IS0/IEC 27042《电子证据分析解释指南》、IS0/IEC 27043《事件调查原则和过程》、IS0/IEC 27044《安全信息和事件管理(SIEM)指南》JS0/IEC 27050《电子证据发现》、IS0/IEC 30121《数字取证风险框架治理》等一系列和电子数据取证工作相关的标准{29}。
IETF早在2002年2月就发布了RFC 3227《电子证据收集、保管指南》,而ITU则在2009年4月发布了《电子证据法案》的草案和《了解网络犯罪:针对发展中国家的犯罪》,并在2012年9月发布了《了解网络犯罪:现象、挑战和法律响应》。除此以外, ITU的网域安全与合法侦听的相关标准也牵涉到电子数据。
计算机证据国际组织从1998年3月起就开始着手规划关于获取电子证据的相关原则,以便各国之间能够有统一的原则、方法和惯例来实施电子证据的收集工作。2000年3月,IOCE依据1999年在伦敦召开的国际高技术犯罪和取证大会的内容,提出了计算机取证过程中应该遵守的一般原则{30}。迄今为止,曾参与该组织制定取证原则的英国警察协会ACPO和数字取证科学组SWGDE,持续对电子证据取证工作的发展进行研究。为使实践工作能符合取证的原则和标准,ACPO和SWGDE分别推出了《电子证据取证的最佳实战指南》,并随着实践工作的转变而新增、修订和完善指南内容。
在美国,国家标准与技术研究院NIST为了制定相应的标准和规范,开展了包括计算机取证工具测试项目CFTT和国家软件参考库项目NSRL以及电子证据参考数据集CFReDS的研究。其中,NSRL项目负责建立一个包含各种软件的文件以及数字签名的目录,以便在执法和数字取证中使用,目前已收集了2500万个常见软件SHA-1散列值。CFTT项目旨在为确保司法组织以及其他法律组织在电子数据取证中使用的工具有效性,而建立的一套关于工具规格说明书、测试程序、测试标准、测试序列等的方法和标准体系。CFReDS项目可以让信息安全事件的取证人员模拟电子数据勘查取证,也可用于检验鉴定设备的溯源。NIST还在2004年制订了SP 800-72 PDA《取证指南》和《PDA取证工具:概述和分析》,2005年制定了《手机取证工具:概述和分析》(2007年进行了更新),2006年制订了SP 800-86《在安全事件响应中集成电子取证的指南》,2007年制订了SP 800-101《蜂窝电话取证指南》并经2013年、2014年两度修订为《移动设备取证指南》{31}。
在英国,英国标准学会自2003年发布了BIP 0008-2003《电子存储信息的法定许可和证据权重的实施规范》、BIP 0008-2-2005《电子传送信息的法定许可和证据权重的实施规范》、BS 10008-2008《电子信息的法定许可和证据权重规范》(2014年计划更新)以及BIP 0009-2008《电子信息证据权重和法定许可性与BS 10008共同使用的遵守手册》等一系列国家标准。
3.3.2国内相关标准的研制状况
与国外的标准制定相比,我国电子数据取证与鉴定的标准化工作起步较晚,但是国家对于相关标准工作十分重视。《全国人大常委会关于司法鉴定管理问题的决定》从国家基本法律层面对电子数据取证与鉴定遵守技术标准的义务做了明确规定,即“鉴定人和鉴定机构从事司法鉴定业务,应当遵守法律、法规,遵守职业道德和职业纪律,尊重科学,遵守技术操作规范。”公安部、司法部等部门规章和规范性文件层面也有类似规定。要真正贯彻以上法律法规的规定,也需要在国家标准、行业标准和技术规范等层次来支撑{32}。
目前我国正式发布的电子数据与取证国家标准有3个,分别为:GB/T 29360-2012《电子物证数据恢复检验规程》、GB/T 29361-2012《电子物证文件一致性检验规程》、GB/T 29362-2012《电子物证数据搜索检验规程》。与电子数据取证与鉴定相关的公共安全行业标准共19个,包括GA/T 754-2008《电子数据存储介质复制工具要求及检测方法》、GA/T 755-2008《电子数据存储介质写保护设备检测方法》等。司法部从2012年起,就开始制订包括《电子数据司法鉴定通用实施规范》、《软件相似性检验实施规范》、《电子邮件鉴定实施规范》《计算机系统操作行为检验规范》等技术规范,2015年又发布了《电子数据证据现场获取通用规范》、《手机电子数据提取操作规范》等十余项司法鉴定技术规范。上述标准和规范初步支撑了电子数据取证与鉴定的司法实践,但随着技术的发展导致司法过程中越来越多的问题需要新的标准来指导,在后续标准制定和改进过程中如何统筹协调技术发展与标准化工作,是电子数据取证与鉴定标准发展所面临的问题{32}。
3.4取证工具和产品的发展
司法机构对电子数据取证与鉴定工作的巨大需求,促使电子数据取证产业在21世纪迅猛发展,出现了大量电子证据取证技术及产品研发的创新公司。本节主要介绍目前较为新颖的一些取证工具装备。
3.4.1实验室应用系列
写保护、磁盘克隆和镜像、数据恢复和数据分析等功能对于取证软件来说是重要的基础功能。在国外,美国Guidance公司的EnCase是较早开发的计算机取证工具,国内外使用较为广泛,AccessData公司的FTK软件,提供了较丰富的搜索分析功能。在国内,有“美亚”的取证大师、“三所”的取证先锋和“盘石”的Safe Analyzer等取证软件。
Cellebrite UFED 4PC、Oxygen Forensic Suite和XRY Complete是国外手机检验分析的综合解决方案,支持手机信息、SIM、存储卡在内的全部数据的逻辑与物理提取。XRY Complete还将检验分析技术从手机类设备拓展到GPS导航、3G上网卡、多媒体播放器等其他小型电子设备。在国内,“三所”、“美亚”和“盘石”等都推出了综合性智能终端取证分析软件,分别为取证先锋、DC-4500和SafeMobile。
相比较国外同行,国内的产品在应用程序的分析取证方面更符合国内用户的需求。国内厂商还推出了一种取证塔产品,特点是软硬件集成、高性能配置、支持多类型只读数据接口和高速多路并行只读SAS/SATA接口,为电子证据的固定保全和高效分析取证提供了平台支持。
3.4.2现场应用系列
现场取证设备要求具备较好的便携性、可靠性。 Cellebrite的UFED Touch是一个平板电脑形态取证设备,并根据国内需求还提供了中国山寨机取证模块。在国内,“三所”和“美亚”均有支持计算机取证和智能终端取证的便携式取证箱。相比UFED Touch,取证箱可集成实验室级别的取证软件,提供了更丰富的只读保护数据接口和磁盘复制接口、更快的电子数据固定保全速度和更高效的取证分析功能,相当于一部便携式取证实验室,是未来现场应用系列取证工具的发展方向。
3.4.3关联分析的支持
关系网络分析是取证的重要需求,目前主流取证分析工具中大多已具有一定的关联分析能力,但相较于专业的关联分析工具仍有一定的差距。IBM i2可视化分析工具、斯坦福大学的SNAP工具处理海量数据更加专业,关系分析支持亿级节点,能依据特定的条件对关系网络进行裁剪。集成更高效、更便捷的可视化关联分析功能是未来取证分析工具的重要发展方向。
4挑战
几年前,中国的电子数据取证与鉴定工作的研究工作者们总结了电子数据取证与鉴定工作的发展,提出了该领域发展过程中遇到的问题和挑战,主要包括实时取证技术、移动智能终端取证技术、证据可视化技术、物联网和云计算取证等{33-34}。通过近些年的发展,我国电子取证与鉴定工作总体上取得了长足的发展,部分传统的问题已经得到了解决,但还有很多问题依然存在{35}。特别是近几年随着信息技术的发展,各类智能设备的不断涌现,各种通讯加密和存储加密技术持续更新,云计算和大数据技术飞速发展,相关案件和诉讼数量快速增长,给电子数据取证与鉴定工作带来了更多新的挑战。
4.1新型智能设备的技术挑战
随着信息技术的不断发展,智能设备已经深人到我们日常生活的每个领域,具备存储、计算、联网功能的智能设备,包括智能家居、智能可穿戴设备、智能交通工具以及其他智能设备,针对这些设备的取证和鉴定工作同传统的电子数据取证与鉴定相比,有类型多、风险大、取证难等特点。
同传统设备相比,智能设备的数量和类型呈几何倍数的增长,从日常使用的智能手表、娱乐设备,到飞机、汽车等交通工具上的智能控制系统,甚至到手表、传感器等设备上的智能芯片,都可能成为计算机违法犯罪的工具,其使用轨迹和日志都会成为未来取证鉴定的对象。这些新型智能设备的操作系统除传统的Linux/Android之外,越来越多的新型操作系统不断涌现,例如Firefox OS、Raspberry PI等,如何有效在高度精简的功能性操作系统上开展取证工作,是未来必须要面对和解决的问题{36}。另外,新型智能设备的功能和应用不断丰富给智能设备和智能设备的取证带来更大的风险,例如,家居中的温度控制设备、病人身上的智能医疗设备、智能汽车和无人飞机等,如果使用不当,都可能会带来不可挽回的伤害。为了保护这些新型智能设备的安全,设备厂商采用了各种方式,包括物理封装、一体化设计、芯片加密存储等手段,但机身存储芯片无法简单取出,因此也难以进行完整镜像和对存储数据的完整性和一致性进行确认,从硬件及软件角度加大了设备拆解、数据提取和数据恢复的难度。
4.2新型加密方法的技术挑战
同各种新型的智能设备不断涌现相比,传统的设备也在不断发展和丰富,普通电脑和移动设备都在安全性方面不断强化,从硬件、软件等多个角度提升加密算法的强度,这给我们对这些传统设备的取证也带来了新的挑战。
从硬件角度,越来越多的设备将安全模块和加密芯片固化,使用独立的硬件来处理系统的数据,例如基于PC上的TPM模块、iOS上的Secure Enclave模块以及带有硬件AES功能的处理器{37}、移动存储上的各种加密芯片等,从硬件层次直接固化加密算法及密钥信息,使这些设备的数据提取和解密难度不断提升{38}。
从软件角度看,各类系统的加密策略不断完善,加密算法的强度也在不断提升。无论是iOS,还是最近发布的Android 6.0 Marshmallow,都已经将全盘加密作为系统的默认选项,各类传统操作系统也都内置了高强度的全盘加密技术,例如Windows系统中的Bitlocker,以及MacOS系统中的File Vault 0随着使用者安全意识的不断提升,这些技术的使用率也在不断增长。此外,目前各类智能应用都在不断提升本身数据存储和数据传输的安全,无论是使用0TR方式的各类聊天软件,还是支持无痕浏览的各类浏览器,甚至是一些非传统软件中提供的功能,如PS游戏机上的party,还有XB0X上的XboxLive等{39},均可能因用作计算机涉网犯罪的工具而成为取证的对象,这些软件自带的加密机制给取证工作带来了较大困难。
此外,随着比特币等一系列P2P形式的数字货币技术的发展,其去中心化、专属所有权、匿名性和健全性等特点,被一些新型网络犯罪所利用,打破了传统犯罪固有的获利模式,对犯罪信息行为的取证,以及犯罪金额的认定同传统取证工作有很大不同,如何通过比特币挖矿机、比特币客户端来收集、提取比特币的金额和流转历史,进一步分析比特币流转过程中的涉案信息,是这类电子数据取证与鉴定过程中的需要解决的新问题{40}。
4.3云计算技术的挑战
云计算将计算资源、存储资源链接在一起,为用户提供透明的IT资源服务。其便利、经济、高可扩展性的优势使得越来越多的企业、组织和个人将他们的存储和计算需求付诸于云端。然而,云计算给电子数据取证工作带来了新的挑战,主要有{41-42}:(1)分散:数据分散于整个云构架的多个服务器、多个层次中;(2)控制有限:CSP完全控制云环境,在提供数据给调查者之前,可以篡改信息;(3)监督链:传统取证鉴定中,监督链是很重要的主题,但在云环境中,由于涉及不同的司法辖区和复杂的技术,监督链变得难以实现,严重影响了电子证据的证据力;(4)多租户环境:租用云服务的客户共享云服务资源。多个租户的信息也可能存放在一起。调查过程中租户的隐私需要得到保护,云服务的可用性也需要得到保障。标准的取证分析工具在云计算环境中已很难发挥作用。
目前学术界已提出不少云取证技术方案,主要集中在云环境日志取证原则和方案,云服务行为的监控,通过云管理接口使客户和调查者能够收集虚拟机、网络、进程和数据库的日志以及其他证据等{41}{43}。然而,以上方案并没有完全解决云计算对取证工作的挑战,特别是CSPs不诚实的场景,以及证据监督链的问题。2014年6月,美国国家标准与技术研究院云计算取证科学工作组发布了Draft NISTIR 8006{44},对云取证进行了定义,并总结了云计算技术对电子数据取证的主要挑战。可以预见,云环境下电子数据取证技术及相关标准的研究依然任重道远。
另一方面,云计算对电子数据取证工作的帮助是显而易见的。利用云计算技术,可以为在案件现场、突发事件现场进行调查取证的办案人员提供强大的计算和存储能力。调查人员在现场通过便携式设备就可以完成电子证据采集、取证和综合分析的全过程,为下一步行动提供支持。
4.4大数据的挑战
根据DC预测,全球的电子数据量大约每两年翻一番,到2020年将达到35ZB,此外,随着大数据技术的不断发展,使用大数据技术支撑的应用也越来越多的出现在电子数据取证与鉴定工作中。大数据给传统电子数据取证工具带来的挑战是{42}(1)数据量巨大:取证分析需要大量的计算和存储资源,传统取证工具难以在可接受范围内完成取证分析;(2)数据类型复杂:由于大量结构化、非结构化数据并存,传统取证工具的数据处理能力难以适应;(3)数据价值密度低:需要从海量混杂数据中发掘出少部分真正有效的线索证据,这对取证工具数据挖掘、关联分析能力提出了更高要求。面对上述问题,需要专门研究针对大数据应用的取证技术和取证工具,通过人工智能、计算机建模和图计算等手段,利用Map-Reduce、回归、聚类、分类、关联规则等大数据技术,解决大数据环境下的数据识别、提取、分析等取证鉴定工作{45}。此外,由于大数据环境的特点,也会带来取证过程难于重现、大数据分析结果的可靠性问题等新的问题。
开源项目Sleuthkit on Hadoop通过Hadoop框架实现了Sleuthkit工具的集群化分析,并在云计算环境中部署。Nick Pringle在DFRWS的2014年欧洲年会上提出一套分布式取证系统方案,使用FUSE分布式取证文件系统和Fclusterfs取证集群文件系统进行分布式取证分析,打破了以往磁盘镜像集中存储所带来的读写性能瓶颈{42}。
相对于挑战,大数据技术给取证工作带来更多的可能是机遇。大数据技术可以真正拓展电子数据取证与鉴定的深度和广度。在公安日常工作中,对于人口、违法犯罪、出入境、酒店网吧信息、在逃人员、网络舆情等信息都有着大量的查询需求。经过多年的累计,这些数据不但无比庞大,而且可能存放在不同的地区、系统中,统计起来十分困难。而大数据技术正是解决问题的钥匙,可实现公共安全信息的收集、存储、挖掘分析和公共安全决策支持。微软网络犯罪防范中心已开始利用大数据技术防范恶意软件、僵尸网络、打击盗版及保护知识产权。美国国家安全局和交通安全局的计算机辅助乘客筛选系统,利用大数据技术为美国本土各个机场乘客危险等级进行筛选服务,加强公共服务机构的安全警戒与防范能力{46}。
4.5反取证技术的挑战
在现如今信息技术的不断普及以及取证鉴定工作在案件侦办工作中的不断曝光,犯罪分子对电子数据取证与鉴定的了解也不断深入,像无痕浏览、文件彻底删除、加密通讯等各种反取证的方法、工具也给我们的电子数据取证与鉴定工作带来了巨大的挑战。特别是在移动终端方面,Android操作系统的可定制性给犯罪分子带来清除操作痕迹的机会, Karlsson等{47}提出了基于CyanogenMod的反取证机制;针对iOS上加密区域和非加密区域中的文件可恢复性问题,Omzio等{48}提出了一种在iOS中反取证的相关技术和方法。这些技术的发展,已经并还将持续影响到计算机取证与鉴定工作的发展。
4.6鉴定人出庭的挑战
根据《中华人民共和国刑事诉讼法》、《中华人民共和国民事诉讼法》、《中华人民共和国行政诉讼法》和全国人大常委会《关于司法鉴定管理问题的决定》以及最高人民法院相关司法解释的规定,司法鉴定人经人民法院依法通知,应出庭作证,回答与鉴定有关的问题。《刑事诉讼法》第187条规定公诉人、当事人或者辩护人、诉讼代理人对鉴定意见有异议,人民法院认为鉴定人有必要出庭的,鉴定人应当出庭作证。”第297条规定:“经人民法院通知,鉴定人拒不出庭作证的,鉴定意见不得作为定案的根据。”根据上述法律法规,电子数据取证与鉴定的执行人员,在涉及电子证据的案件中,极有可能需要出庭说明情况或作为鉴定人出庭作证,直面控辩审三方的质询,这对鉴定人的专业技术能力、临场应变能力和心理素质等提出了更高的要求{49}。
在“念斌案”和“复旦投毒案”等重大案件的审判过程中,就曾发生过鉴定人出庭时未能合理解释鉴定报告的内容,以及鉴定人拒不出庭,从而导致鉴定报告中的结论未被采证的情况{50}。出庭作证时,鉴定人需要从取证鉴定设备使用、检材“保管链”记录的完整性和可追溯性、鉴定过程和方法的选择、数据保全或分析过程的复现、完整的过程记录等各方面论证鉴定报告的规范性,对于部分取证流程原本不规范或时间久远的报告,鉴定人往往无法有效应对以上问题。为了预防因鉴定人出庭应对不当造成的鉴定报告不予认定的可能,这就对取证鉴定工作中的人员培训、设备使用、检材流转、方法选择、鉴定操作过程识别与追溯等各个方面环节提出了新的要求{51}。
5总结
随着互联网的发展,电子数据取证与鉴定工作在过去十几年内有了飞跃的发展,电子数据取证与鉴定成为了网络安全科学、法庭科学等领域的一项重要研究内容,在产业环境、法律法规、取证理论、取证模型、取证技术、取证标准以及取证工具和产品等多个方面都有了显著的进步。随着新型智能设备、新型加密方法、云计算和大数据、电子数据司法实践等问题的不断显现,电子数据取证与鉴定工作也面临着更多新的挑战,这需要相关的立法机关、司法机构、取证鉴定服务机构、取证鉴定技术研究机构一起努力,提升我国电子数据取证与鉴定的总体能力和水平。
【参考文献】
{1}金波,黄道丽,夏荣.电子数据鉴定标准体系研究[J].中国司法鉴定,2011,(1):49-53.
{2}刘品新.中国电子证据立法研究[M].北京:中国人民大学出版社,2005:127.
{3}王玲,钱华林.计算机取证技术及其发展趋势[J].软件学报,2003,(9):1635-1644.
{4}黄道丽,金波.电子数据证据的可采性与证明力[J].中国司法鉴定,2014,(6):120-122.
{5}刘蜜.电子数据取证的法律规制[J].湖北警官学院学报,2014,(12):118-123.
{6}党凌云,郑振玉,宋丽娟.2014年度全国司法鉴定情况统计分析[J].中国司法鉴定,2015,(4):116-119.
{7}全国公安机关网安部门侦办各类涉网案件15.7万起[EB/OL].
{8}许榕生.我国数字取证技术研究的十年回顾[J].2010,(3):17-19.
{9}孙波.计算机取证方法关键问题研究[D].北京:中国科学院研究生院(软件研究所),2004.
{10} Prosise C, Mandia K, Pepe M. Incident response & computer forensics[D]. McGraw-Hill/Osborne,2003.
{11} Technical working Group for Electric Crime Scene Investiga- tion[D]. Electronic Crime Scene Investigation: A Guide for First Responders,2001.
{12} Zhang L, Wang L and Zhang R, Live memory acquisition through firewire, Forensics in Telecommunications, Information, and Multimedia[D]. Springer Berlin Heidelberg,2011.
{13} Halderman J A, Schoen S D, Heninger N, Lest we remember: cold-boot attacks on encryption keys[J]. Communications of the ACM,2009,(2):91-98.
{14} Epifani M, Stirparo P, Learning iOS Forensics[D]. Packt Publishing Ltd,2015.
{15}{美}胡格(Hoog, A.),史特山普卡(Strzempka, K.). Android取证实战一调查、分析与移动安全[M].北京:机械工业出版社,2013:112.
{16} S. Jeon, J. Bang, K. Byun. A recovery method of deleted record for SQIite databasefD}. Pers Ubiquit Comput,2012.
{17} Weiss D, Warner G W. Tracking Criminals on Facebook: A Case Study from a Digital Forensics REU Program [Z]. Proceedings of the Conference on Digital Forensics, Security and Law.,2015.
{18}隆波,肖扬,麦永浩.QQ取证及其司法鉴定方法研究[J].中国司法鉴定,2012,(2):43-47.
{19}李岩,施少培,杨旭.电子邮件真实性鉴定方法探索[J].中国司法鉴定,2012,(4):94-99.
{20} wikipedia. Usage share of operating systems[EB/OL].
{21}金波,陶明明.计算机取证关键技术分析[EB].第二十一次全国计算机安全学术交流会论文集,2006.
{22} Windows Forensic Analysis[Z].
{23}中国信息通信研究院.移动互联网白皮书[EB].
{24} CLOUD STORAGE FORENSICS[EB].
{25} Paris attacks: Terrorists could have used PlayStation4 to plot[B].
{26} Davies M, Read H, Xynos K. Forensic analysis of a Sony PlayStation 4: A first look[G]. Digital Investigation,2015.
{27} Cracking and Analyzing Apple iCloud backups, Find My i- Phone, Document Storage [EB].
{28} Digital Evidence from Android-based Smartwatch [EB].
{29} Information technology — Security techniques — Guidelines for identification, collection, acquisition, and preservation of digital evidence [EB].
{30} G8 Proposed Principles For The Procedures RelatingTo Digital Evidence[EB].
{31} NIST Institute website [Z].
{32}郭弘.电子数据取证标准体系综述[J].计算机科学,2014,(10):134-138.
{33}许榕生,杨英.国内外计算机取证发展[J].保密科学技术,2011,(11):6-9.
{34}丁丽萍.计算机取证的研究现状分析[J].信息网络安全,2010,(11.):9-11.
{35}陈潮.电子取证面临的挑战与对策研究[J].广西警官高等专科学校学报,2015,28(4):26-29.
{36} Ramlan Mahmod, Ali Dehghantanha, Mohd Taufik Abd, et al. Yusoff.An Approach for Forensic Investigation in Firefox 0S[Z]. CyberSec,2014.
{37} Apple.iOS Securityf[P],2015.
{38} L. Zhang, Shen-gang Hao, Jun Zheng, et al. Descrambling data on solid -state disks by reverse [K]. Digital Investigation,2015.
{39} Jason Moorea, Ibrahim Baggilia, Andrew Maningtonb, et al. Preliminary forensic analysis of the Xbox 0ne[J]. Digital Investigation ,2014,(2):57-65,.
{40} M. Doran.A Forensic Look at Bitcoin Cryptocuirency {EB/OL}.[2015-10-2 l].
{41} Zawoad S, Dutta A K, Hasan R. SecLaaS: Secure Logging- as-a-service for Cloud Forensics [Z]. Proceedings of the 8th ACM SIGSAC Symposium on Information, Computer and Communications Security,2013.
{42}杨泽明,刘宝旭,许榕生.数字取证研究现状与发展态势[J].科研信息化技术与应用,2015,(6):3-11.
{43} Dykstra J, Sherman A T. Design and implementation of FROST: Digital forensic tools for the OpenStack cloud computing platform[Z]. Digital Investigation,2013.
{44} DRAFT NIST Cloud Computing Forensic Science Challenges [Z].2014.
{45} A. GUARINO. Digital Forensics as a Big Data Challenge {EB/OL}.(2013-10-27)[2015-11-25].
{46}李建生.美国大数据维稳镜鉴[J].计算机与网络,2014,(8):8-15.
{47} K.-J. Karlsson, William Bradley Glisson. Android Anti - forensics: Modifying CyanogenMod [R], Hawaii International Conference on System Science,2014.
{48} C. D’Orazio, Aswami Ariffin, Kim -Kwang Raymond Choo. iOS anti -forensics: How can we securely conceal, delete and insert data?[R]. Hawaii International Conference on System Science,2014.
{49}汪建成.中国刑事司法鉴定制度实证调研报告[J].中外法学,2010,(11):286-319.
{50}杨涛.刑事诉讼中专家辅助人出庭制度的实践与完善——以“念斌案”和“复旦投毒案”为样本的分析[J].法律适用,2015,(10):108-115.
{51}缑绍阳,马高雅.鉴定人拒不出庭作证法律后果分析[J].公民与法,2015,(5):25-28.
{52} K. e. a. Ruan. Cloud forensics [J]. Advances in digital forensics VII,2011,(5):35-46.
{53}徐鸿,徐璐.民事诉讼中“电子数据”的司法实践研究[J].法制与社会,2015,(5):129-130.
{54} Jung Ho Choi, Ki Bom Kim, Taejoo Chang, et al. New acquisition method based on firmware update protocols [R]. Digital Investigation,2015.
{55} FBI. Regional Computer Forensics Laboratory Annual Report for Fiscal Year 2013[R].2014.
{56} Man Qi, Yang Liu, Lin Lu,et al. Big Data Management in Digital Forensics [R]. International Conference on Computational Science and Engineering,2014.
{57} Windows 7: Current Events in the World of Windows Forensics(2010-12-5)[2015-11-8].