馬國富，王子賢，王揆鵬

（1.中央司法警官學(xué)院 信息管理系，河北 保定 071000；2.中央司法警官學(xué)院 現(xiàn)代教育中心，河北 保定 071000；3.中央司法警官學(xué)院 科研處，河北 保定 071000）

目前，各種電子犯罪案件和相關(guān)的經(jīng)濟(jì)、民事糾紛案件急劇上升，給國家和社會(huì)帶來不可估量的嚴(yán)重后果和巨大的經(jīng)濟(jì)損失，而打擊犯罪的關(guān)鍵在于獲得充分、可靠和具有法律效力的證據(jù).2012年3月14日，第十一屆全國人民代表大會(huì)第五次會(huì)議通過決定，對(duì)《中華人民共和國刑事訴訟法》做出修改.修改后的新《中華人民共和國刑事訴訟法》中，電子數(shù)據(jù)作為獨(dú)立證據(jù)得到了明確，具體內(nèi)容如下：十三、將第四十二條改為第四十八條，修改為：“可以用于證明案件事實(shí)的材料，都是證據(jù).證據(jù)包括：物證＼書證＼證人證言＼被害人陳述＼犯罪嫌疑人、被告人供述和辯解＼鑒定意見＼勘驗(yàn)、檢查、辨認(rèn)、偵查實(shí)驗(yàn)等筆錄＼視聽資料、電子數(shù)據(jù)”.盡管從法律上確定了電子數(shù)據(jù)作為獨(dú)立證據(jù)的地位，但是中國電子數(shù)據(jù)取證與司法鑒定的規(guī)范化操作流程并沒有確定，而在實(shí)際受理案件中，電子證據(jù)一般需要通過司法鑒定才能成為訴訟的直接證據(jù).目前，中國還沒有一套完整的、有利于法律實(shí)務(wù)操作的電子數(shù)據(jù)司法鑒定規(guī)范，使電子數(shù)據(jù)司法鑒定的公正性、權(quán)威性、中立性受到質(zhì)疑.因此借鑒外國已有的電子數(shù)據(jù)司法鑒定標(biāo)準(zhǔn)和實(shí)踐經(jīng)驗(yàn)，從法律和技術(shù)2個(gè)層面相結(jié)合，建立基于證據(jù)鏈和證據(jù)監(jiān)督鏈的電子司法鑒定模型，規(guī)范電子數(shù)據(jù)司法鑒定全過程，對(duì)提高電子數(shù)據(jù)的法律效力是至關(guān)重要的.

1 現(xiàn)有的電子取證模型

在中國現(xiàn)行的法律實(shí)務(wù)中，電子數(shù)據(jù)一般經(jīng)過鑒定機(jī)構(gòu)鑒定后，提交法庭經(jīng)過法庭“質(zhì)證”被采信才能成為定案證據(jù).文獻(xiàn)［1］將司法鑒定定義為在訴訟活動(dòng)中鑒定人運(yùn)用科技技術(shù)或者專門知識(shí)對(duì)訴訟涉及的專門性問題進(jìn)行鑒別和判斷并提供鑒定意見的活動(dòng).文獻(xiàn)［2］將電子司法鑒定定義為司法鑒定人對(duì)依法收集的電子數(shù)據(jù)進(jìn)行分析研究、鑒別其類型特點(diǎn)，找出它們與案件事實(shí)之間的客觀聯(lián)系，確定其證明力的司法鑒定技術(shù).電子司法鑒定不僅要鑒定證據(jù)的"原件"特性，更要鑒別案件相關(guān)信息，保證電子數(shù)據(jù)的客觀性、關(guān)聯(lián)性、合法性的實(shí)現(xiàn).電子數(shù)據(jù)取證與司法鑒定的全過程都必須遵循嚴(yán)格的操作規(guī)范和法律要求，并接受嚴(yán)格的監(jiān)督，否則將影響電子證據(jù)的法律效力.因此人們開始對(duì)計(jì)算機(jī)取證流程及取證標(biāo)準(zhǔn)進(jìn)行研究，并提出了許多種取證模型，包括基于過程計(jì)算機(jī)取證模型、綜合計(jì)算機(jī)取證模型、增強(qiáng)的計(jì)算機(jī)取證模型、層次計(jì)算機(jī)模型、分布式計(jì)算機(jī)取證模型等.

基于過程計(jì)算機(jī)取證模型［1］主要包括基本過程模型（basic process model）、事件響應(yīng)過程模型（incident response process model）、法 律 執(zhí) 行 過 程 模 型（law enforcement process model）、過 程 抽 象 模 型（abstract process model）和其他過程模型等.過程模型的優(yōu)點(diǎn)在于取證流程按事件發(fā)生的順序進(jìn)行組織，符合人們傳統(tǒng)認(rèn)知規(guī)律；缺點(diǎn)在于當(dāng)由于工作需要對(duì)取證進(jìn)行回溯時(shí)，過程模型的適應(yīng)性將大大降低，同時(shí)，在模型的整個(gè)取證過程中無時(shí)間約束，也缺乏有效的監(jiān)督，從而影響取證過程的法律效力.綜合計(jì)算機(jī)取證模型，吸取了過程模型的缺點(diǎn)，允許在調(diào)查階段進(jìn)行回溯，但該模型僅解決了犯罪現(xiàn)場(chǎng)調(diào)查階段的重疊問題.為此有人提出了增強(qiáng)的計(jì)算機(jī)取證模型，該模型將取證分為準(zhǔn)備、部署、反饋、實(shí)施、總結(jié)5個(gè)步驟，通過在取證全程中增加反饋保證了電子數(shù)據(jù)取證的一致性和關(guān)聯(lián)性.層次計(jì)算機(jī)取證模型將取證分為證據(jù)發(fā)現(xiàn)、固定、提取、分析、表述5個(gè)階段，該模型突出了法律約束，但取證操作流程模糊，法律事務(wù)操作性差.分布式計(jì)算機(jī)取證模型［3］中，沒有對(duì)取證的全程進(jìn)行監(jiān)督，也沒有時(shí)間約束，電子數(shù)據(jù)的法律效力很難證明.目前現(xiàn)有的電子取證模型主要從技術(shù)角度對(duì)取證過程進(jìn)行研究，并且主要用于公安系統(tǒng)，證據(jù)要想被采用，必須在法庭上進(jìn)行質(zhì)證.隨著刑事訴訟法中電子數(shù)據(jù)作為獨(dú)立證據(jù)地位的確立，電子數(shù)據(jù)同樣面臨質(zhì)證問題，而要想確保電子數(shù)據(jù)作為證據(jù)的法律效力，就必須借助中立的第3方對(duì)電子數(shù)據(jù)進(jìn)行鑒定，因此對(duì)現(xiàn)有的電子取證模型進(jìn)行修改，將取證模型中的技術(shù)性和法律實(shí)務(wù)相結(jié)合，建立電子司法鑒定模型將對(duì)電子數(shù)據(jù)作為證據(jù)的使用起到很多的推動(dòng)作用.

2 基于證據(jù)鏈和證據(jù)監(jiān)督鏈的電子司法鑒定模型

本文將證據(jù)環(huán)和證據(jù)鏈應(yīng)用于電子取證和司法鑒定，提出一種基于證據(jù)鏈和監(jiān)督鏈的電子司法鑒定模型.證據(jù)環(huán)用來實(shí)現(xiàn)多源電子數(shù)據(jù)的互相印證，從而保證電子數(shù)據(jù)的原始性、客觀性、關(guān)聯(lián)性；證據(jù)鏈用來保證電子數(shù)據(jù)的真實(shí)性和完整性；電子數(shù)據(jù)的可信固定和證據(jù)監(jiān)督鏈用來保證電子數(shù)據(jù)的合法性和法律效力.該模型將理論和司法實(shí)務(wù)操作相結(jié)合，將電子數(shù)據(jù)鑒定模型的技術(shù)性和電子數(shù)據(jù)鑒定程序的法律性相結(jié)合，既可用于刑事、民事和行政訴訟領(lǐng)域也可用于企業(yè)內(nèi)部電子取證以及其他電子化犯罪領(lǐng)域以外的需求.

2.1 證據(jù)環(huán)

單一的證據(jù)往往不足以證明犯罪，電子司法鑒定的效果也不明顯，多個(gè)證據(jù)的相互支持協(xié)作使得鑒定更具法律效力.證據(jù)環(huán)是一種橫向分析方法，主要是根據(jù)關(guān)聯(lián)規(guī)則算法對(duì)某一個(gè)時(shí)間段內(nèi)的多源證據(jù)數(shù)據(jù)中的時(shí)間、用戶、設(shè)備等信息進(jìn)行橫向分析，挖掘各證據(jù)類之間的關(guān)聯(lián)，使得多源證據(jù)之間能夠互相印證對(duì)方，環(huán)環(huán)相扣，進(jìn)而形成證據(jù)環(huán)，保證證據(jù)的客觀性和關(guān)聯(lián)性.關(guān)聯(lián)規(guī)則算法涉及犯罪行為的相似度關(guān)聯(lián)、時(shí)間上的關(guān)聯(lián)、多源證據(jù)數(shù)據(jù)之間的關(guān)聯(lián).證據(jù)環(huán)是對(duì)多源證據(jù)的關(guān)聯(lián)性及其在空間上交叉性的體現(xiàn)，如圖1所示.

圖1 證據(jù)環(huán)Fig.1 Evidence ring

2.2 證據(jù)鏈和證據(jù)監(jiān)督鏈

由于司法事務(wù)實(shí)踐工作的需要，電子司法鑒定過程中各階段之間存在交叉反復(fù)工作以及進(jìn)行回溯的實(shí)際情況，鑒定需要建立證據(jù)鏈，可以說鑒定的整個(gè)過程就是證據(jù)鏈形成的過程，在證據(jù)鏈形成的過程中，鑒定策略會(huì)根據(jù)鑒定需求的變化而變化，可以說證據(jù)鏈?zhǔn)亲C據(jù)縱向分析過程的體現(xiàn).文獻(xiàn)［4］提出了可信取證的理念，在此基礎(chǔ)上結(jié)合時(shí)間戳技術(shù)，提出了可信時(shí)間戳技術(shù)，通過在鑒定模型的不同階段附加可信時(shí)間戳和不同的證據(jù)屬性，形成基于可信時(shí)間戳的可信證據(jù)鏈，保證證據(jù)的客觀性、連續(xù)性和一致性；實(shí)施法律約束，在鑒定模型的不同階段使用不同的法律屬性，附加不同的約束條件，進(jìn)行鑒定過程中的全程監(jiān)督，形成基于可信時(shí)間戳同步的可信證據(jù)監(jiān)督鏈，保證證據(jù)的合法性和可采用性.基于可信時(shí)間戳、鑒定策略和約束條件、可信證據(jù)監(jiān)督的三維可信電子證據(jù)鏈和證據(jù)監(jiān)督鏈模型如圖2所示.

圖2 三維可信電子證據(jù)鏈和證據(jù)監(jiān)督鏈模型Fig.2 A model based on three－dimensional trusted electronic evidence chain and evidence supervision chain

2.3 基于證據(jù)鏈和證據(jù)監(jiān)督鏈的電子證據(jù)司法鑒定模型

基于證據(jù)鏈和證據(jù)監(jiān)督鏈的電子證據(jù)司法鑒定模型如圖3所示，主要包括鑒定準(zhǔn)備、證據(jù)的固定保全、證據(jù)的分析與鑒定、證據(jù)監(jiān)督、鑒定意見和證據(jù)呈堂等階段.

2.3.1 鑒定準(zhǔn)備

司法鑒定準(zhǔn)備主要包括司法鑒定人員的資質(zhì)準(zhǔn)備、得到認(rèn)可的電子鑒定工具、接受司法鑒定的委托、基于法律規(guī)則的鑒定知識(shí)庫、犯罪行為案例庫、時(shí)間戳服務(wù)中心、從政法CA 獲取授權(quán)的認(rèn)證證書以及證據(jù)存儲(chǔ)中心的建立等準(zhǔn)備工作.基于法律規(guī)則的鑒定知識(shí)庫、犯罪行為案例庫可以隨著實(shí)際的變化而變化.證據(jù)監(jiān)督保證鑒定準(zhǔn)備階段符合法律要求，同時(shí)在必要時(shí)可以進(jìn)行回溯，調(diào)整或更新鑒定準(zhǔn)備內(nèi)容.為了提高權(quán)威性和法律量刑的統(tǒng)一性，建立國家政法CA，各相關(guān)機(jī)構(gòu)成為其認(rèn)證成員，獲得證書用于相互認(rèn)證，同時(shí)建立證據(jù)存儲(chǔ)中心，從政法CA 獲取授權(quán)證書用于和執(zhí)法機(jī)關(guān)互相認(rèn)證，進(jìn)行證據(jù)的存儲(chǔ)和提取，進(jìn)而保證證據(jù)監(jiān)督本身的法律效力.

圖3 基于證據(jù)鏈和證據(jù)監(jiān)督鏈的電子證據(jù)司法鑒定模型Fig.3 A electronic judicial identification model based on electronic evidence chain and evidence supervision chain

2.3.2 電子數(shù)據(jù)的可信固定

可信固定［5］，即在不破壞電子數(shù)據(jù)靜態(tài)屬性的前提下或者為了能保證電子證據(jù)靜態(tài)屬性的可信性而采取的固定手段或方法.本文通過基于可信時(shí)間戳的多人數(shù)字簽名來實(shí)現(xiàn)對(duì)委托方提交的原始數(shù)據(jù)進(jìn)行可信固定，避免數(shù)字證書在有效期過期后，無法驗(yàn)證數(shù)字簽名的有效性問題.擬取證或鑒定的計(jì)算機(jī)或存儲(chǔ)介質(zhì)統(tǒng)稱為目標(biāo)機(jī)M，多人數(shù)字簽名參與方包括簽名者S（委托鑒定人或犯罪嫌疑人）、證實(shí)者C（第3方司法鑒定機(jī)構(gòu)）、驗(yàn)證者V（公檢法等相關(guān)職能部門）.可信時(shí)間戳服務(wù)中心（trusted time stamp authority，簡(jiǎn)稱TTSA）是由權(quán)威、可信的國家授時(shí)中心（中國唯一權(quán)威時(shí)間服務(wù)機(jī)構(gòu)）時(shí)間戳服務(wù)中心（TSA）頒發(fā)的證明電子文件產(chǎn)生時(shí)間及內(nèi)容未被篡改和偽造的具有法律效力的電子憑證.多人數(shù)字簽名參與方通過基于智能終端的在線實(shí)時(shí)證書申請(qǐng)中心獲取U 盾證書用于簽名和加密，基于可信時(shí)間戳的電子數(shù)據(jù)可信固定流程見圖4所示.

圖4 電子數(shù)據(jù)可信固定流程Fig.4 Electronic data trusted fix process

1）利用SHA 算法對(duì)目標(biāo)機(jī)進(jìn)行Hash計(jì)算，生成哈希摘要SHA（M）.

2）首先利用基于智能終端的在線實(shí)時(shí)證書申請(qǐng)中心，鑒定委托方（犯罪嫌疑人）通過提交身份信息獲得基于RSA 的U 盾證書，然后利用證書中的私鑰TTSA（SKs）對(duì)哈希摘要進(jìn)行簽名.

3）第3方司法鑒定機(jī)構(gòu)利用從基于智能終端的在線實(shí)時(shí)證書申請(qǐng)中心申請(qǐng)的U 盾證書中的RSA 公鑰TTSA（PKc）對(duì)（2）中生成的簽名進(jìn)行加密，實(shí)現(xiàn)基于可信時(shí)間戳的多人電子數(shù)據(jù)可信固定.

2.3.3 證據(jù)分析與鑒定

1）對(duì)委托方提交的原始數(shù)據(jù)進(jìn)行真實(shí)性、完整性、合法性和關(guān)聯(lián)性的分析判定，鑒定證據(jù)的“原件”特性，鑒別案件的相關(guān)信息.因電子證據(jù)具有隱蔽性、無形性的特點(diǎn)，需轉(zhuǎn)換為人們所能感知的狀態(tài)來加以分析，其中轉(zhuǎn)換的真實(shí)、可靠性是審查其證據(jù)關(guān)聯(lián)性的基礎(chǔ)和重點(diǎn)，也是與傳統(tǒng)證據(jù)關(guān)聯(lián)性審查的不同之處.

2）可信時(shí)間戳的生成及驗(yàn)證由可信時(shí)間戳服務(wù)中心（TTSA）負(fù)責(zé)實(shí)施，具體生成及驗(yàn)證流程參照文獻(xiàn)［6］.

3）在附加可信時(shí)間戳和證據(jù)監(jiān)督的前提下，依據(jù)鑒定需求而確定的鑒定策略對(duì)原始數(shù)據(jù)進(jìn)行證據(jù)的提取和分析，必要時(shí)進(jìn)行數(shù)據(jù)恢復(fù).

4）對(duì)同一時(shí)間段內(nèi)的多源證據(jù)數(shù)據(jù)進(jìn)行語義分析形成證據(jù)環(huán)，計(jì)算證據(jù)環(huán)上每個(gè)證據(jù)的關(guān)聯(lián)度，依據(jù)關(guān)聯(lián)規(guī)則算法合成證據(jù)，利用U 盾證書中的RSA 私鑰TTSA（SKc）并附加從可信時(shí)間戳服務(wù)中心（TTSA）獲取的可信時(shí)間戳來對(duì)電子證據(jù)進(jìn)行數(shù)字簽名，保證證據(jù)的完整性，從而形成證據(jù)鏈中的一個(gè)證據(jù).

5）將實(shí)施簽名的證據(jù)按照XML的格式提交給證據(jù)存儲(chǔ)中心，為保證取證機(jī)構(gòu)和證據(jù)存儲(chǔ)中心的合法性，基于政法CA 的授權(quán)對(duì)提交雙方實(shí)施雙向認(rèn)證.

2.3.4 證據(jù)監(jiān)督

對(duì)鑒定過程的全程監(jiān)督主要通過其他方委派的專家監(jiān)督、電子司法鑒定流程監(jiān)管軟件及視頻監(jiān)控等多種方法來實(shí)施.證據(jù)監(jiān)督可以實(shí)現(xiàn)鑒定過程的全程回放；也可以實(shí)現(xiàn)鑒定結(jié)果在另外鑒定人員的操作下的重現(xiàn)，同時(shí)也對(duì)證據(jù)存儲(chǔ)中心進(jìn)行監(jiān)督，保證證據(jù)是合法的，沒有對(duì)原始數(shù)據(jù)進(jìn)行偽造和篡改；證據(jù)監(jiān)督還通過從政法CA 獲取證書，和那些具有取證與鑒定資質(zhì)的執(zhí)法機(jī)構(gòu)進(jìn)行授權(quán)和認(rèn)證.

2.3.5 鑒定意見

總結(jié)鑒定的全過程，把對(duì)進(jìn)行鑒定的電子數(shù)據(jù)按照電子數(shù)據(jù)司法鑒定文書格式出具司法鑒定意見，主要包括：委托方、委托日期、委托鑒定事項(xiàng)、送鑒材料、鑒定日期、在場(chǎng)人員、鑒定地點(diǎn)、司法鑒定人、鑒定摘要、鑒定過程、鑒定分析、鑒定意見、司法鑒定人簽名或者蓋章、《司法鑒定人執(zhí)業(yè)證》證號(hào)、（司法鑒定機(jī)構(gòu)司法鑒定專用章）等相關(guān)信息.同時(shí)更新基于法律規(guī)則的鑒定知識(shí)庫和犯罪行為案例庫.

2.3.6 證據(jù)呈堂

把鑒定全過程形成的證據(jù)鏈和證據(jù)監(jiān)督鏈以法庭認(rèn)可的司法鑒定意見提交給法庭.

2.4 模型的特點(diǎn)

與其他取證與鑒定模型相比較，該模型具有如下特點(diǎn)：

1）增加了證據(jù)監(jiān)督.該模型在分析現(xiàn)有模型優(yōu)缺點(diǎn)的基礎(chǔ)上，對(duì)現(xiàn)有模型進(jìn)行修改，通過其他方委派的專家監(jiān)督、電子司法鑒定流程監(jiān)管軟件及視頻監(jiān)控等多種方法來實(shí)施鑒定的全過程監(jiān)督，形成證據(jù)監(jiān)督鏈，并提交法庭，可以通過回放的形式重現(xiàn)鑒定過程，證明證據(jù)的合法性、完整性和客觀性.通過將鑒定全程和證據(jù)監(jiān)督相結(jié)合形成網(wǎng)狀關(guān)系，解決了法律與技術(shù)恰當(dāng)融合以及證據(jù)的可采用性的問題.

2）增加了可信時(shí)間戳.隨著犯罪技術(shù)手段的不斷升級(jí)和更新，鑒定技術(shù)策略也應(yīng)與之相適應(yīng)的變化.通過將從TTSA 獲取的可信時(shí)間戳附加于鑒定全過程，將時(shí)間線融入到證據(jù)中，保證了證據(jù)的連續(xù)性、一致性、不可否認(rèn)和抗抵賴性.

3）引入證據(jù)環(huán)和證據(jù)鏈.對(duì)同一時(shí)間段內(nèi)的多源證據(jù)進(jìn)行語義分析，形成證據(jù)環(huán)，實(shí)現(xiàn)證據(jù)之間的相互印證，保證了證據(jù)的關(guān)聯(lián)性.根據(jù)證據(jù)的關(guān)聯(lián)度，采用關(guān)聯(lián)規(guī)則算法合成證據(jù).將鑒定全過程實(shí)施線性流程管控，進(jìn)而形成證據(jù)鏈，保證證據(jù)在時(shí)間上的連續(xù)性和空間上的交叉性.

4）增加授權(quán)和認(rèn)證機(jī)制.通過建立國家級(jí)政法CA 實(shí)現(xiàn)鑒定全過程中相關(guān)機(jī)構(gòu)之間的互信和互認(rèn)問題，也保證了證據(jù)監(jiān)督鏈本身的安全和法律效應(yīng).

5）增加了鑒定知識(shí)庫和犯罪行為案例庫.基于法律規(guī)則的鑒定知識(shí)庫、犯罪行為案例庫和證據(jù)存儲(chǔ)中心采用通用的XML格式進(jìn)行通信，鑒定知識(shí)庫的建立及使用有利于提高鑒定的效果，而犯罪行為案例庫有利于提高證據(jù)的可采用性.

3 實(shí)例分析

3.1 證據(jù)鏈的構(gòu)建

下面對(duì)文獻(xiàn)［7－8］中所描述的熊貓燒香病毒取證與司法鑒定案件進(jìn)行實(shí)例分析.在對(duì)提供的鑒定材料進(jìn)行電子數(shù)據(jù)的可信固定后，按照三維可信電子證據(jù)鏈和證據(jù)監(jiān)督鏈模型構(gòu)造證據(jù)鏈如下：

軟件開發(fā)環(huán)境環(huán)→犯罪嫌疑人制作計(jì)算機(jī)病毒的興趣、能力和素質(zhì)環(huán)→犯罪嫌疑人利益獲取環(huán)，在多種證據(jù)環(huán)的基礎(chǔ)上，構(gòu)建犯罪嫌疑人電子犯罪取證與司法鑒定證據(jù)鏈.

3.2 證據(jù)環(huán)的構(gòu)建

1）軟件開發(fā)環(huán)境環(huán).在犯罪嫌疑人的移動(dòng)硬盤分區(qū)一中找到Delphi7，Vmware，ICQ 等軟件，上述3個(gè)工具中Delphi7是Windows平臺(tái)下著名的快速應(yīng)用程序開發(fā)工具，是一個(gè)集成開發(fā)環(huán)境，可用于開發(fā)、調(diào)試計(jì)算機(jī)病毒程序；Vmware是一個(gè)虛擬PC軟件，可在1臺(tái)計(jì)算機(jī)上同時(shí)運(yùn)行多個(gè)操作系統(tǒng)，就像標(biāo)準(zhǔn)Windows應(yīng)用程序切換那樣方便，并且在基于Vmware運(yùn)行的操作系統(tǒng)中進(jìn)行的任何操作都不會(huì)影響宿主操作系統(tǒng)，當(dāng)然計(jì)算機(jī)病毒程序也可以在這些基于Vmware的操作系統(tǒng)中運(yùn)行，而不會(huì)感染病毒制作者自己的電腦；ICQ 是一個(gè)經(jīng)典實(shí)用的可執(zhí)行程序圖標(biāo)更改小工具，當(dāng)然也可以將可執(zhí)行程序圖標(biāo)修改為“熊貓燒香”圖標(biāo).通過上述對(duì)3個(gè)工具軟件之間功能的介紹，發(fā)現(xiàn)這3個(gè)工具軟件互相協(xié)作、相互關(guān)聯(lián)，構(gòu)成了計(jì)算機(jī)病毒軟件的開發(fā)環(huán)境環(huán).

2）嫌疑人能力素質(zhì)鑒定環(huán).在嫌疑人硬盤分區(qū)的／Source Code／Delphi／My＿Work＼漢男生進(jìn)程監(jiān)控＼目錄下發(fā)現(xiàn)2個(gè)子目錄，分別是“code”和“傳染”，在“code”子目錄下發(fā)現(xiàn)了“熊貓燒香”病毒的源程序代碼文件（熊貓燒香病毒又名武漢男生）；而在“傳染”子目錄下發(fā)現(xiàn)了系列版本的“熊貓燒香”病毒的多個(gè)源程序代碼文件，通過在只讀方式下對(duì)該系列文件的修改時(shí)間進(jìn)行檢索，發(fā)現(xiàn)它們的修改時(shí)間按時(shí)間先后順序排列為：2006年10月16日、2006年10月25日、2006年11月7日、2006年11月8日、2006年11月25日、2006年11月30日、2006年12月1日，在只讀模式下利用源代碼比較工具對(duì)這些源代碼按多種模式進(jìn)行內(nèi)容、功能方面的對(duì)比，結(jié)果發(fā)現(xiàn)這些源代碼文件內(nèi)容大體相同，而功能逐漸完善，這也說明了病毒軟件開發(fā)者對(duì)源代碼進(jìn)行改進(jìn)提高的客觀事實(shí).當(dāng)然在硬盤的其他扇區(qū)中還發(fā)現(xiàn)了大量與計(jì)算機(jī)病毒編寫相關(guān)的信息：在硬盤Favorite子目錄下發(fā)現(xiàn)了黑客、木馬、病毒技術(shù)的網(wǎng)站鏈接；在其他目錄下還發(fā)現(xiàn)了“灰鴿子遠(yuǎn)程管理”等大量黑客軟件的使用說明書、大量用C、VB等語言編寫的具有通用病毒和木馬功能的源代碼文件及可執(zhí)行程序.上述網(wǎng)站鏈接、黑客工具軟件使用說明書、通用病毒和木馬功能的源代碼及可執(zhí)行程序、“熊貓燒香病毒”系列源代碼之間互相關(guān)聯(lián)，構(gòu)成了犯罪嫌疑人“熊貓燒香病毒”開發(fā)能力素質(zhì)環(huán)，同時(shí)按時(shí)間順序排列的“熊貓燒香病毒”源代碼自身也構(gòu)成了時(shí)間環(huán).

3）嫌疑人利益獲取環(huán).在硬盤MyHacker＼?？次恼拢苜~單子目錄下，發(fā)現(xiàn)了從2005年1月至2006年7月之間的記賬金額信息，總計(jì)約40萬元；利用取證軟件提取了犯罪嫌疑人的QQ 聊天記錄，通過對(duì)聊天記錄按關(guān)鍵時(shí)間段進(jìn)行數(shù)據(jù)挖掘，發(fā)現(xiàn)許多網(wǎng)絡(luò)聯(lián)系者知道嫌疑人在什么，并對(duì)病毒提出了特定的功能，為此雙方還進(jìn)行了價(jià)格協(xié)商；在小俊的文檔中，發(fā)現(xiàn)了許多計(jì)算機(jī)和網(wǎng)絡(luò)游戲的登錄賬號(hào)和口令.通過上述對(duì)電子數(shù)據(jù)的分析與鑒定，可以得出作者并非簡(jiǎn)單的出于學(xué)習(xí)、興趣愛好才制作該木馬程序，而是為了獲取經(jīng)濟(jì)利益，由此構(gòu)成犯罪嫌疑人利益獲取環(huán).

4 結(jié)論

在分析現(xiàn)有取證模型的基礎(chǔ)上，首先提出了一個(gè)三維可信電子證據(jù)鏈和證據(jù)監(jiān)督鏈模型，然后提出了一個(gè)基于該證據(jù)鏈和證據(jù)監(jiān)督鏈的電子證據(jù)司法鑒定模型，模型通過電子數(shù)據(jù)可信固定流程實(shí)現(xiàn)電子數(shù)據(jù)的可信固定；通過增加鑒定監(jiān)督實(shí)施時(shí)間約束（可信時(shí)間戳）和法律約束來保證證據(jù)的客觀性、合法性和可采用性；通過引入證據(jù)環(huán)和證據(jù)鏈來保證證據(jù)的完整性、關(guān)聯(lián)性、連續(xù)性和一致性；通過增加基于政法CA 的授權(quán)和認(rèn)證機(jī)制來實(shí)現(xiàn)取證相關(guān)機(jī)構(gòu)和法庭之間證據(jù)的互信和互認(rèn)的問題，并保證證據(jù)監(jiān)督本身的法律效應(yīng).該模型不僅可用于電子司法鑒定和電子犯罪取證中獲取電子證據(jù)，也可用于企業(yè)中獲取員工犯錯(cuò)的證據(jù)，并用于指導(dǎo)司法實(shí)踐事務(wù)和理論研究.隨著計(jì)算機(jī)網(wǎng)絡(luò)飛應(yīng)用的迅猛發(fā)展，產(chǎn)生了云計(jì)算，對(duì)應(yīng)的網(wǎng)絡(luò)犯罪率急劇上升，為此研究基于云取證流程［9］模型成為下一步的研究方向.

［1］ 麥永浩，孫國梓，許榕生，等.計(jì)算機(jī)取證與司法鑒定［M］.北京：清華大學(xué)出版社，2009.

［2］ 郭秋香，朱金義.電子數(shù)據(jù)鑒定體系建設(shè)構(gòu)想［J］.中國司法鑒定，2010，49（2）：57－60.GUO Qiuxiang，ZHU Jinyi.The construction of the electronic data examination system［J］.Chinese Journal of ForensicSciences，2010，49（2）：57－60.

［3］ 周敏，龔箭.分布式計(jì)算機(jī)取證模型研究［J］.微電子學(xué)與計(jì)算機(jī)，2012，29（2）：40－43.ZHOU Min，GONG Jian.Study on the distributed computer forensics model［J］.Microelectronics ＆Computer，2012，29（2）：40－43.

［4］ 林清秀.電子數(shù)據(jù)可信取證的形式化方法研究［D］.南京：南京郵電大學(xué)，2009.LIN Qingxiu.Research on the formalism of trusted forensics on digital data［D］.Nanjing：Nanjing University of Posts ＆Telecommunications，2009.

［5］ 孫國梓，耿偉明，陳丹偉，等.電子數(shù)據(jù)取證的可信固定方法［J］.北京工業(yè)大學(xué)學(xué)報(bào)，2010，36（5）：621－626.SUN Guozi，GENG Weiming，CHEN Danwei，et al.One trusted fix method of digital data forensics［J］.Journal of Beijing University of Technology，2010，36（5）：621－626.

［6］ 常朝穩(wěn)，陳俊峰，秦晰.不可靠網(wǎng)絡(luò)環(huán)境下的數(shù)字時(shí)間戳服務(wù)研究［J］.計(jì)算機(jī)應(yīng)用，2012，32（1）：60－65.CHANG Chaowen，CHEN Junfeng，QIN Xi.Research of digital time－stamping service in unreliable networks［J］.Journal of Computer Applications，2012，32（1）：60－65.

［7］ 向大為，麥永浩.“熊貓燒香”案件的分析鑒定［J］.警察技術(shù)，2009，112（1）：32－35.XIANG Dawei，MAI Yonghao.Analysis and identification of the“Panda”case［J］.Police Technology，2009，112（1）：32－35.

［8］ 麥永浩，向大為.“熊貓燒香”病毒取證鑒定技術(shù)研究［J］.信息網(wǎng)絡(luò)安全，2010，112（4）：44－46.MAI Yonghao，XIANG Dawei.Research on identification techniques of“panda”virus［J］.Netinfo Security，2010，112（4）：44－46.

［9］ 吳紹兵.云計(jì)算環(huán)境下的電子證據(jù)取證關(guān)鍵技術(shù)研究［J］.計(jì)算機(jī)科學(xué)，2012，39（11）：139－144.WU Shaobing.Research of key technologies of electronic evidence forensics based on cloud Computing Environment［J］.Computer Science，2012，39（11）：139－144.