鄒錦沛　陳航　徐菲

摘要：認(rèn)為針對計(jì)算機(jī)犯罪，現(xiàn)代的調(diào)查是對電子證據(jù)進(jìn)行智能相關(guān)性分析，并發(fā)掘同一事件不同證據(jù)之間的聯(lián)系；而證據(jù)分析又包括電子數(shù)據(jù)證據(jù)的分析、對收集的數(shù)據(jù)和備份進(jìn)行查找、分折、歸類，以及犯罪現(xiàn)場重建等。提出犯罪現(xiàn)場重建是計(jì)算機(jī)網(wǎng)絡(luò)犯罪調(diào)查的重要部分。通過理論和實(shí)驗(yàn)分析，將取證科學(xué)應(yīng)用到網(wǎng)絡(luò)犯罪調(diào)查上，并以P2P網(wǎng)絡(luò)調(diào)查作為例子，分析如何通過調(diào)查取證來尋找數(shù)據(jù)的第一個(gè)上傳者。認(rèn)為只有將恰當(dāng)?shù)姆ㄗC科學(xué)適時(shí)應(yīng)用到電子證據(jù)取證調(diào)查中，才能夠更好地重構(gòu)犯罪場景，還原案件真相并實(shí)現(xiàn)法律正義。

關(guān)鍵詞：電子證據(jù)；調(diào)查；法證科學(xué)；犯罪現(xiàn)場重構(gòu)

1 計(jì)算機(jī)法證的概況

1.1 電子證據(jù)與取證調(diào)查

人們常把由計(jì)算機(jī)制作的文件和計(jì)算機(jī)活動(dòng)日志當(dāng)作電子證據(jù)。根據(jù)香港特別行政區(qū)的《證據(jù)條例》第22A條[1]，一項(xiàng)由計(jì)算機(jī)制作的文件的陳述，由在有關(guān)計(jì)算機(jī)的運(yùn)作或有關(guān)活動(dòng)的管理方面身居要職的人，依法簽署的證明書依法證明后，則可在任何刑事法律程序中，接納為該陳述內(nèi)所述任何事實(shí)的表面證據(jù)。該證明書對由計(jì)算機(jī)制作的文件的制作方式予以描述，并在有關(guān)法律程序關(guān)系的范圍內(nèi)，說明該文件的性質(zhì)及內(nèi)容。

現(xiàn)代的計(jì)算機(jī)網(wǎng)絡(luò)罪行更為復(fù)雜[2-4]。犯罪分子不僅竄改計(jì)算機(jī)記錄，還用計(jì)算機(jī)來存儲(chǔ)他們的數(shù)據(jù)，例如：非法金融交易和地址簿。此外，犯罪分子還利用互聯(lián)網(wǎng)作為犯罪平臺(tái)，例如分布式拒絕服務(wù)攻擊、網(wǎng)絡(luò)拍賣詐欺、分享受版權(quán)保護(hù)的作品等?，F(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)犯罪的主要特點(diǎn)是專業(yè)性強(qiáng)、有組織、并利用網(wǎng)絡(luò)。

傳統(tǒng)的計(jì)算機(jī)法證取證技術(shù)，已無法應(yīng)對當(dāng)今的計(jì)算機(jī)網(wǎng)絡(luò)犯罪。現(xiàn)代的調(diào)查是對電子證據(jù)進(jìn)行智能相關(guān)性分析，并發(fā)掘同一事件不同證據(jù)之間的聯(lián)系?，F(xiàn)代的分析證據(jù)是指對電子數(shù)據(jù)證據(jù)的分析，對收集的數(shù)據(jù)和備份進(jìn)行查找、分折、歸類等。

1.2 計(jì)算機(jī)法證的發(fā)展

計(jì)算機(jī)法證成立于20世紀(jì)70年代，其發(fā)展階段可分為：嬰兒期、兒童期和青春期。嬰兒期為1985—1995年，兒童期為1995—2005年，青春期為2005—2010年[6-9]。計(jì)算機(jī)法證的研究重點(diǎn)是資料恢復(fù)，其中最主要是數(shù)據(jù)恢復(fù)、密碼恢復(fù)和文件恢復(fù)[10]技術(shù)。數(shù)據(jù)恢復(fù)指恢復(fù)已被移走或刪除的電子邏輯或物理數(shù)據(jù)，例如一個(gè)破碎的硬盤；密碼恢復(fù)指處理受密碼保護(hù)的原始數(shù)據(jù)，如密碼加密的文件；文件恢復(fù)則嘗試從硬盤內(nèi)的數(shù)據(jù)塊的片段恢復(fù)刪除的文件。目前，文件恢復(fù)技術(shù)在計(jì)算機(jī)法證工作中，是一個(gè)主要的工作內(nèi)容，例如手機(jī)的數(shù)據(jù)恢復(fù)[11]。

傳統(tǒng)的法證主要集中在識(shí)別和重建。識(shí)別包括指紋、DNA和毒品。指紋和DNA被用來識(shí)別特定的人，而毒品分析用于確定毒品的化學(xué)成分。識(shí)別的目的是用來判斷樣品是否來自一個(gè)特定的對象，諸如人或毒品。重建[12]則包括犯罪現(xiàn)場重建與彈道重建。犯罪現(xiàn)場重建指試圖重建在犯罪現(xiàn)場所發(fā)生的事件，例如重現(xiàn)一宗謀殺案如何發(fā)生；而彈道的重建被用來重建從槍炮發(fā)射的子彈的軌跡。

計(jì)算機(jī)法證與傳統(tǒng)法證相似，它們都試圖解答一些問題，如：發(fā)生了什么事情？當(dāng)事人是誰？什么時(shí)間、什么地點(diǎn)、如何發(fā)生的？這件事情發(fā)生的動(dòng)機(jī)是什么？

2 計(jì)算機(jī)法證犯罪現(xiàn)場重建

在香港特別行政區(qū)及世界各地，藏有兒童色情物品是一種犯罪行為。香港地區(qū)某犯罪嫌疑人被指控藏有兒童色情物品，警方查獲計(jì)算機(jī)一臺(tái)。

2.1 犯罪現(xiàn)場重建過程

為了進(jìn)行計(jì)算機(jī)法證分析，警方按標(biāo)準(zhǔn)的程序檢查檢獲的計(jì)算機(jī)。這些標(biāo)準(zhǔn)程序基于確立的計(jì)算機(jī)采證程序，并產(chǎn)生法證克隆、計(jì)算哈希算法值、掃描計(jì)算機(jī)病毒等等。在標(biāo)準(zhǔn)的計(jì)算機(jī)采證過程后，計(jì)算機(jī)法證鑒定人將會(huì)分析檢獲的計(jì)算機(jī)硬盤驅(qū)動(dòng)器，并收集電子證據(jù)。對于兒童色情物品的案件，電子證據(jù)便是兒童色情圖片和動(dòng)態(tài)影像。所以第一步是尋找在計(jì)算機(jī)內(nèi)儲(chǔ)存的兒童色情圖片和動(dòng)態(tài)影像，這些會(huì)包括：現(xiàn)存的兒童色情圖片和動(dòng)態(tài)影像、恢復(fù)刪除的兒童色情圖片和動(dòng)態(tài)影像。圖1顯示了恢復(fù)刪除的文件。

執(zhí)法人員已為兒童色情圖片和動(dòng)態(tài)影像建立哈希值數(shù)據(jù)庫，計(jì)算機(jī)法證鑒定人便不需要閱覽個(gè)別的兒童色情圖片和動(dòng)態(tài)影像。相反，計(jì)算機(jī)法證鑒定人只需要把計(jì)算機(jī)里面的文件的哈希值與數(shù)據(jù)庫比較。圖2顯示出根據(jù)該文件的創(chuàng)建時(shí)間和最后寫入的時(shí)間的事件恢復(fù)過程。 根據(jù)這兩個(gè)時(shí)間戳，文件在2005年2月22日上午12時(shí)37分09秒被復(fù)制到當(dāng)前位置。

計(jì)算機(jī)法證鑒定人試圖從文件中包含的關(guān)于文檔的信息，例如創(chuàng)建者、修改的日期和其他細(xì)節(jié)，和其他計(jì)算機(jī)活動(dòng)日志和電子證據(jù)，去重建產(chǎn)生該兒童色情圖片和動(dòng)態(tài)影像的經(jīng)過。例如2004年1月4日，疑犯從互聯(lián)網(wǎng)下載童色情圖片和動(dòng)態(tài)影像，并使用信用卡號碼 0000-1111-2222-3333 在網(wǎng)上支付，然后在2009年8月5日備份到外部媒體。

圖3顯示了犯罪現(xiàn)場重建，犯罪嫌疑人在2004年1月2日使用他的信用卡購買在互聯(lián)網(wǎng)上的兒童色情物品，然后在2009年8月4日做一個(gè)備份到外部硬盤上。

2.2 犯罪現(xiàn)場重建的法證科學(xué)

犯罪現(xiàn)場重建之所以重要，是因?yàn)樵诜ㄍド希?jì)算機(jī)法證鑒定人需要給非技術(shù)人員（法官和陪審團(tuán)）解釋 “技術(shù)細(xì)節(jié)”，讓他們做出裁決。法律可能有特定的要求，例如控方需要證明犯罪嫌疑人知悉兒童色情圖片和動(dòng)態(tài)影像儲(chǔ)存在計(jì)算機(jī)里。許多時(shí)候，犯罪嫌疑人的辯解是，兒童色情裸照是被木馬下載的，他并不知道它們?yōu)槭裁丛谟?jì)算機(jī)里。辯方可以聘請專家質(zhì)疑檢察官的說法，或混淆法官和陪審團(tuán)對“技術(shù)細(xì)節(jié)”的了解。計(jì)算機(jī)法證鑒定人的證言不僅受到辯方的質(zhì)疑，還受到法庭的監(jiān)察。

美國最高法院在Daubert一案裁定，主審法官必須確保接納的科學(xué)證言或證據(jù)，不但全部切題并且全部可靠。所提出的科學(xué)證言須以恰當(dāng)?shù)尿?yàn)證方法，獲科學(xué)上已知的有力理據(jù)支持，具體包括：

（1）通過可靠性測試。

（2）通過同行評審。

（3）提供方法或理論的錯(cuò)誤率，并在一定范圍之內(nèi)。

（4）符合標(biāo)準(zhǔn)和控制。

（5）得到普遍接受。

有關(guān)的法律也規(guī)定專家的科學(xué)證言須結(jié)合“科學(xué)知識(shí)”，并就證據(jù)的可靠性及可信性立下標(biāo)準(zhǔn)。證據(jù)的可靠程度取決于科學(xué)上能否驗(yàn)證。

現(xiàn)代的電子調(diào)查是對電子證據(jù)進(jìn)行智能相關(guān)性分析并重建犯罪過程，例如通過計(jì)算機(jī)的所有者、電子簽名、密碼、交易紀(jì)錄、郵件、發(fā)送服務(wù)器的日志、上網(wǎng)IP等計(jì)算機(jī)特有信息識(shí)別體，同其他證據(jù)互相印證、相互關(guān)聯(lián)，然后進(jìn)行綜合分析。

同時(shí)，很多時(shí)候電子證據(jù)還需要傳統(tǒng)的調(diào)查手法相輔助。調(diào)查人員在重建罪行時(shí)，需要適當(dāng)考慮其他可能存在的解釋，并在解釋與證據(jù)之間進(jìn)行相互印證?？赡茉谀撤N假設(shè)情況下，需要查找更多的證據(jù)；又可能在新的證據(jù)下，得出新的假設(shè)和解釋。調(diào)查人員要把證據(jù)互相印證，相互關(guān)聯(lián)起來進(jìn)行綜合分析。調(diào)查人員要找出與理論假設(shè)與證據(jù)之間如何構(gòu)成證實(shí)的關(guān)系，才能準(zhǔn)確地重構(gòu)犯罪過程。構(gòu)建假設(shè)并驗(yàn)證就是可以采用的科學(xué)方法。

3 P2P網(wǎng)絡(luò)中發(fā)布者取證調(diào)查

我們以Foxy軟件為例，介紹在一個(gè)點(diǎn)對點(diǎn)分享（P2P）網(wǎng)絡(luò)中，如何通過調(diào)查取證找到數(shù)據(jù)的上傳者，以及何時(shí)調(diào)查能夠找到數(shù)據(jù)的最先上傳者。2008年香港艷照門事件中，嫌疑人就是利用Foxy對艷照進(jìn)行共享，使得藝人的裸照在Foxy網(wǎng)絡(luò)中迅速傳播。想要抓捕嫌疑人，需要通過對Foxy進(jìn)行分析，找到物理世界中的人。

Foxy是一個(gè)繁體中文P2P軟件，發(fā)行者為一家已于2010年關(guān)閉的臺(tái)灣公司。該軟件只有正體中文版，沒有英文等其他語言的版本，因此主要流行在臺(tái)灣、香港及澳門等使用繁體中文的地區(qū)。它利用強(qiáng)制上傳增加分享速度，但用戶無法停止上傳。它沒有路由機(jī)制，源頭的私隱（例如IP位址，所在地點(diǎn)）不受保障。它沒有連接加密，連接容易被監(jiān)視。它容易讓使用者誤設(shè)為全機(jī)分享，分享用戶所有檔案，每次下載完成后會(huì)自動(dòng)重新分享用戶的所有檔案，并且用戶無法停止。

當(dāng)Foxy客戶端試圖連接到Foxy網(wǎng)絡(luò)，會(huì)執(zhí)行以下任務(wù)，如圖4所示。

（1）用戶連接到Foxy的服務(wù)器，以獲得一個(gè)對等端列表。

（2）服務(wù)器回答一個(gè)對等的用戶列表。

（3）用戶發(fā)送一個(gè)PING請求到各個(gè)對端。

（4）各個(gè)對等端回答一個(gè)PING請求到用戶。

（5）用戶現(xiàn)在在Foxy網(wǎng)絡(luò)上。

在Foxy網(wǎng)絡(luò)中，每個(gè)共享文件都使用它的名字。當(dāng)一個(gè)用戶要尋找一個(gè)文件，他輸入了一個(gè)搜索查詢的文件名（或只是其中的一部分）。查詢信息發(fā)送到所有對等端，然后傳遞給其他相鄰對等端。當(dāng)一個(gè)對等端擁有一個(gè)文件名和查詢信息字符串相匹配，就回答一個(gè)QueryHit消息給發(fā)出請求的用戶。QueryHit消息中包含的信息包括IP地址和端口號，共享文件和文件本身的信息。這使用戶能夠建立一個(gè)連接到該對等端，并啟動(dòng)下載。

在接收QueryHit信息以及有關(guān)的連接信息，用戶需要先選擇一個(gè)文件，并發(fā)送一個(gè)TCP HTTP GET至承載該文件的等端，請求下載。承載該文件的等端然后回應(yīng)，并開始發(fā)送所請求的數(shù)據(jù)。

與所有對等網(wǎng)絡(luò)的文件共享，所有等端在Foxy網(wǎng)絡(luò)中都是同等級的。所有擁有與“Query”請求匹配的副本的等端都回復(fù)它的IP地址給請求者。圖5顯示了在P2P網(wǎng)絡(luò)中文件的分發(fā)種子數(shù)據(jù)增長曲線。當(dāng)一個(gè)文件被廣泛地分布后想要確認(rèn)哪個(gè)等端是發(fā)起者多是不可能的。 也許可以在下列情形中找到：

（1）在peer緩慢的增長期。

（2）分享文件非常大。

在緩慢增長期后找到誰是發(fā)起者也是不可能的。在連續(xù)監(jiān)察下，我們認(rèn)為如果識(shí)別到大量關(guān)于特定名字的查詢，并且發(fā)現(xiàn)大量查詢命中來自同一個(gè)IP地址，則很有可能該IP地址就是第1個(gè)上傳者。我們進(jìn)行了一系列相關(guān)的實(shí)驗(yàn)， 實(shí)驗(yàn)結(jié)果驗(yàn)證了緩慢增長期的存在。實(shí)驗(yàn)結(jié)果如圖6所示。

對于網(wǎng)絡(luò)上數(shù)據(jù)的上傳者，需要進(jìn)行如下的科學(xué)分析：

（1）查清網(wǎng)絡(luò)物品的來源。

（2）查清“虛擬嫌疑人”。通過上傳人IP地址（包括靜態(tài)IP、動(dòng)態(tài)IP）、上網(wǎng)賬號、密碼及其相關(guān)登記資料、通過關(guān)聯(lián)點(diǎn)分析網(wǎng)上活動(dòng)軌跡及對資訊內(nèi)容的分析，判斷行為人的網(wǎng)絡(luò)行為、個(gè)性特征，鎖定虛擬嫌疑人。

（3）確認(rèn)“現(xiàn)實(shí)嫌疑人”。這一般屬于通常所說的落地調(diào)查，即通過詢問嫌疑人，并通過現(xiàn)場搜查、勘驗(yàn)、檢查及電子數(shù)據(jù)鑒定確定現(xiàn)實(shí)嫌疑人，其中硬盤、手機(jī)、日志、光盤的電子數(shù)據(jù)的固定和提取尤為重要。

4 結(jié)束語

現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)犯罪調(diào)查的重要部分是犯罪現(xiàn)場重建。在計(jì)算機(jī)網(wǎng)絡(luò)取證中，電子證據(jù)在犯罪現(xiàn)場重建中往往能夠起到關(guān)鍵作用。運(yùn)用各種科學(xué)手段、方法和技術(shù)，分析電子證據(jù)中隱含的信息及線索，能夠更好地重新構(gòu)建或模擬一個(gè)犯罪現(xiàn)場。我們相信計(jì)算機(jī)網(wǎng)絡(luò)犯罪調(diào)查既是一門技術(shù)，更是一門科學(xué)，只有將恰當(dāng)?shù)姆ㄗC科學(xué)適時(shí)應(yīng)用到電子證據(jù)取證調(diào)查中，才能夠更好地重構(gòu)犯罪場景，還原案件真相并實(shí)現(xiàn)法律正義。

參考文獻(xiàn)

[1] KWAN M， OVERILL R E， CHOW K P， et al.Sensitivity Analysis of Digital Forensic Reasoning in Bayesian Network Models [C]//Proceeding of 7th Annual IFIP WG 11.9 International Conference on Digital Forensics， Orlano， Florida， USA， 2011

[2] 鐘琳， 黎家盈， 鄒錦沛， 等. 基于多視圖分析的復(fù)雜網(wǎng)絡(luò)犯罪現(xiàn)場重構(gòu)[J]. 電信科學(xué)， 2010， （S2）：165-170

[3] LAW F， LAI P， CHOW K P， et al. Memory Acquisition： A 2-Take Approach [C]//The 2009 International Workshop on Forensics for Future Generation Communication environments （F2GC-09）， Jeju Island， Korea， Dec 10 - 12， 2009

[4] FRANK Y W， LAW， CHOW K P， et al. A Host-Based Approach to BotNet Investigation [C]// Proceeding of the 1st International Conference on Digital Forensics and Cyber Crime， Albany， NY， Sept 30-Oct 2， 2009

[5] HE Y， ZHANG P， HUI C K， et al. Cloud Forensics Investigation： Tracing Infringing Sharing of Copyrighted Files in Cloud [C]//Proceeding of 2012 ADFSL Conference on Digital Forensics， Security and Law （ADFSL12）， 30-31 May 2012

[6] XU F， CHOW K P， He J， et al. Privacy Reference Monitor-A Computer Model for Law Compliant Privacy Protection [C]//2009 IEEE International Conference on Parallel and Distributed Systems， Shenzhen， China， 2009

[7] PUN K H， HUI L C K， CHOW K P， et al. Review of the Electronic Transaction Ordiance， Can the Personal Identification Number Replace the Digital Signature [J]. Hong Kong Law Journal， 2002， 32（2）：241-257

[8] IEONG S C R， CHOW K P. Enhanced Monitoring Rule Through Direct Node Query for Foxy Network Investigation[C]// The First International Conference on Digital Forensics and Investigation （ICDFI）， Beijing， China， 2012

[9] YE Y， WU Q， LI Y， CHOW K P， et al. Unknown Chinese Word Extraction Based on Variety of Overlapping Strings [J]. Information Processing and Management， 2013， 49（2） ： 497-512

[10] CASEY E. Digitla Evidence and Computer Crime： Forensic Science， Computers and the Internet [J].Jurimetrics， 2011， 11（3）： 373

[11] 戴士劍. 電子證據(jù)調(diào)查指南[M]. 北京： 中國檢察出版社， 2014

[12] LAI P K Y， CHOW K P， HUI L， et al. Modelling the Initial Stage of a File Sharing Process on a BitTorrent Network [J]. Peer-to-Peer Networking and Applications， 2014， 7（4）： 311-319