◆付順順

淺談電子數(shù)據偵查實驗

◆付順順

（安徽公安職業(yè)學院 安徽 230031）

隨著信息技術與人們生活結合愈加緊密，電子數(shù)據取證成為刑事偵查活動中必不可少的工作環(huán)節(jié)。同時，電子數(shù)據的無形性、易破壞性等特點為取證帶來很大的挑戰(zhàn)。偵查實驗作為兼具法律性和科學性的偵查措施，能在一定程度上解決電子數(shù)據在法庭科學中應用的難題。本文對電子數(shù)據偵查實驗基本特點、方法、流程和內容等方面進行探討，具有重要的司法實踐意義。

電子數(shù)據；電子數(shù)據取證；偵查實驗

2012年3月14日，十一屆全國人大第五次會議表決通過了關于修改《中華人民共和國刑事訴訟法》的決定。偵查實驗筆錄與電子數(shù)據正式成為我國法定證據類型。隨著犯罪類型向新型化、科技化發(fā)展，兩種證據類型在當前刑事訴訟活動中出現(xiàn)的頻率越來越高。

雖然，越來越多能夠證明案件事實的材料以電子數(shù)據的形式呈現(xiàn)，但是，從扣押的原始存儲介質或提取的電子數(shù)據中分析得到的與案件相關的電子數(shù)據，在某些特定情形中往往不能獨立的證明某個具體犯罪行為發(fā)生，因為它可能是一段程序源碼、一段利用程序漏洞實施攻擊的描述等，需要依托特定的軟、硬件和網絡環(huán)境執(zhí)行以后才能判斷電子數(shù)據的作用[1]。偵查實驗作為揭示客觀規(guī)律或現(xiàn)象之間因果聯(lián)系及其發(fā)展變化規(guī)律的一項偵查措施，可以在一定程度上彌補電子數(shù)據作為證據時的缺陷。為了更好地將偵查實驗措施與電子數(shù)據取證結合在一起，相關部門積極出臺了一些規(guī)定。2016年9月9日，最高人民法院、最高人民檢察院、公安部頒布了《關于辦理刑事案件收集提取和審查判斷電子數(shù)據若干問題的規(guī)定》，其中，第16條規(guī)定：“對扣押的原始存儲介質或者提取的電子數(shù)據，可以通過恢復、破解、統(tǒng)計、關聯(lián)、比對等方式進行檢查。必要時，可以進行偵查實驗?！?019年1月2日，公安部頒布了《公安機關辦理刑事案件電子數(shù)據取證規(guī)則》（以下簡稱《規(guī)則》），其中，第五十條、五十一條、五十二條、五十三條和五十四條內容涉及偵查實驗在電子數(shù)據取證的應用，從一條增加到現(xiàn)在的五條，可見電子數(shù)據偵查實驗在刑事案件偵查中的作用正在不斷上升。

1 電子數(shù)據偵查實驗概述

《刑事訴訟法》第133條第1款規(guī)定：“為了查明案情，在必要的時候，經縣級以上公安機關負責人批準，可以進行偵查實驗?！彪娮訑?shù)據偵查實驗作為偵查實驗措施在電子數(shù)據取證領域中的具體應用，兼具電子數(shù)據取證和偵查實驗的雙重特性。

1.1 電子數(shù)據偵查實驗的概念

電子數(shù)據偵查實驗就是在刑事訴訟活動中，偵查人員參照案件的原有條件，還原或者模擬案件發(fā)生時的軟、硬件和網絡環(huán)境，采用驗證型或設計型的演示方法，揭示電子數(shù)據以及相關設備與某些現(xiàn)象之間的因果聯(lián)系及其發(fā)展變化規(guī)律的一項偵查措施[2-4]。

1.2 電子數(shù)據偵查實驗的特點

電子數(shù)據偵查實驗作為偵查實驗在電子數(shù)據取證的領域的具體應用，既需要滿足電子數(shù)據取證的特征也需要滿足偵查實驗的特征，因此，綜合兩方面的考慮，電子數(shù)據偵查實驗具有以下特點[5]：

（1）階段性。電子數(shù)據偵查實驗本質上是一種偵查行為，通常情況下偵查實驗活動在刑事案件的偵查階段進行，同時也不是任何案件，都能隨意適用這一制度來達到查明案件事實的目的。所以，一般而言電子數(shù)據偵查實驗只有在偵查階段實施，只有例外情況下才可以在審查起訴階段和審判階段進行。

（2）針對性。我國刑事訴訟法規(guī)定，為了查明案件事實，必要時可以進行偵查實驗活動。也就是說，電子數(shù)據偵查實驗不同于其他法定偵查措施，僅針某些特殊案件的偵查發(fā)生作用和產生意義。在偵查實踐過程中，偵查機關會根據具體案情的需求，有選擇性地決定是否采用偵查實驗這一偵查措施來參與案件的偵破。

（3）驗證性。電子數(shù)據偵查實驗是通過實驗驗證在特定條件下電子設備以及電子數(shù)據發(fā)生的某種變化是否發(fā)生、是否可能發(fā)生以及如何發(fā)生，即通過實驗驗證事實與排除犯罪。

（4）模擬性。電子數(shù)據偵查實驗采取模擬的方法，通過獲取的案發(fā)過程中已知事實，模擬相關技術或者網絡行為對電子設備中電子數(shù)據的影響，最大限度地還原未知的案件事實，探究某些因素之間的因果關系。由于是通過模擬的方式進行的，因此模擬與還原的準確度越高，偵查實驗的結論越具有說服力。

（5）專業(yè)性。由于當前技術發(fā)展迅速，電子設備更新?lián)Q代極快。電子數(shù)據偵查實驗作為一項在電子數(shù)據領域的偵查措施，在模擬案件情況時，會涉及大量的新技術、新手段以及刑事偵查知識。因此，電子數(shù)據偵查實驗不僅要求主持偵查實驗的偵查人員具有專業(yè)的知識背景，同時還要求整個實驗過程的專業(yè)性。當然，在整個過程中，遇到偵查機關內部人員無法解決技術問題時，還可以聘請相關專家參加實驗。

1.3 相關技術

1.3.1虛擬機技術

虛擬機利用虛擬化技術，將虛擬機中間層添加到宿主計算機系統(tǒng)與虛擬機系統(tǒng)之間，模擬實現(xiàn)處理器，內存管理單元，輸入輸出系統(tǒng)等計算機必備系統(tǒng)。對于用戶，不需要增加硬件，就可以虛擬出一臺功能完善的計算機，從應用程序的角度看，應用程序都在某一特定的指令體系或者操作系統(tǒng)上運行，根本感知不到是運行在虛擬機上還是一天實體計算機上[6]。目前主流的虛擬機技術廠商有VMware，hyper-v、VirtualBox等。

1.3.2信息安全技術

人們的安全意識在不斷提高，電子設備以及電子數(shù)據都會有一定的安全措施在進行防護。所以說，在進行電子數(shù)據偵查實驗時，不僅會涉及一些安全防范技術的使用，同時也會涉及入侵技術的使用[7]。具體可以進行如下分類：

安全防范技術：入侵檢測技術、防病毒技術、防火墻、審計系統(tǒng)、漏洞掃描技術、加密技術、身份鑒定和認證技術、沙箱技術、蜜罐技術等。

入侵技術：惡意代碼、SQL注入（http頭注入，cookie注入，get注入，post注入，布爾型-level盲注，繞waf防火墻注入）、暴庫、目錄遍歷、社會工程學、xss跨站腳本攻擊、基于各種框架的遠程命令執(zhí)行漏洞、信息泄露、csrf漏洞、支付漏洞、邏輯漏洞等。

1.3.3數(shù)據獲取技術

電子數(shù)據偵查實驗作為模擬電子數(shù)據相關情形的實驗，需要收集大量的數(shù)據且需要不斷更新，比如，Web服務器上無時無刻不在產生的事件響應記錄，以及操作系統(tǒng)中不斷變化的信息。通常來說，需要獲取的數(shù)據包括但不限于以下內容：操作系統(tǒng)內存信息；進程信息；系統(tǒng)日志；入侵檢測系統(tǒng)、防火墻、反病毒軟件日志；系統(tǒng)的審計記錄；網絡監(jiān)控流量；操作系統(tǒng)和數(shù)據庫的臨時文件或隱藏文件；數(shù)據庫的操作記錄；硬盤驅動的交換分區(qū)、slack區(qū)和空閑區(qū)；軟件設置等等。

1.3.4數(shù)據分析技術

電子數(shù)據偵查實驗的關鍵是如何從收集到的海量數(shù)據中挖掘出有效信息。根據數(shù)據分析可以確定犯罪實施的過程，包括對電子設備以及電子數(shù)據的訪問時間、訪問方式；對電子數(shù)據的修改、增加、刪除等。電子數(shù)據偵查實驗是事前就進行實時數(shù)據獲取，即使是犯罪嫌疑人對原始數(shù)據進行更改、刪除，通過對實驗得到的數(shù)據進行分析也可以認定案件事實。具體包括關聯(lián)分析、模式匹配等技術。

1.3.5保全技術

在得到相關實驗結果后，就要對結果進行保全，以防止內部或外部非法人員的篡改和刪除?？梢圆捎脭?shù)字簽名技術，通過消息摘要、數(shù)字簽名和時間戳結果的真實性加以確認。

2 電子數(shù)據偵查實驗流程

程序法定作為刑事訴訟法的“帝王原則”，是現(xiàn)代訴訟法的基礎?？梢哉f，“沒有程序（法）即無實體（法）?！币虼耍谶M行電子數(shù)據偵查實驗的過程中必須遵守憲法和法律的規(guī)定，嚴格按照法定的條件和程序，不得違背法定程序，做到有計劃、按步驟、有組織地開展實驗。電子數(shù)據偵查實驗的流程分為啟動、實施、結果固定三個階段[8]。

2.1 電子數(shù)據偵查實驗的啟動

2.1.1審批

電子數(shù)據偵查實驗作為偵查實驗在電子數(shù)據取證領域的具體應用，該項活動的審批主體當然的要符合一般偵查實驗的要求。公安機關依據我國《刑事訴訟法》和《公安機關辦理刑事案件程序規(guī)定》等，制定的《規(guī)則》中明確規(guī)定縣級以上公安機關負責人是電子數(shù)據偵查實驗的批準主體。當然，最高人民檢察院通過《人民檢察院刑事訴訟規(guī)則》賦予了檢察機關偵查實驗權，根據實際需要縣級公安機關負責人和檢察院檢察長可以作為該項偵查活動的審批主體。因此，偵查人員應按照相關法律文書格式，制作呈請報告書，交由相關批準主體進行該項活動的審批。

2.1.2準備

電子數(shù)據偵查實驗作為一項十分復雜的偵查活動，需要在實驗正式實施前，切實做好此次實驗的相關準備工作，這樣才能保證實驗的順利進行，取得符合客觀真實情況的實驗結果，達到實驗預期目的。具體包括以下幾個部分：確定此次實驗的目的，開展實驗的時間、地點，相應的電子設備、數(shù)據以及其他實驗物品，實驗參加人員以及分工，需要模擬的場景，實驗的內容、順序、方法，實驗的警戒工作以及其他注意事項。

2.2 電子數(shù)據偵查實驗的實施

實施是整個實驗過程的關鍵環(huán)節(jié)，是實驗結果得以固定并用于刑事訴訟的重要保障。參考一般偵查實驗的實施安排，電子數(shù)據偵查實驗中的實施分為以下幾個部分：

（1）相關實驗設施的安裝調試，建立實驗環(huán)境。注意檢查電子設備以及軟件的穩(wěn)定性和安全性，以保證偵查實驗的質量、實驗結果可靠。

具體包括：安裝實驗所需的虛擬機、程序運行環(huán)境；配置實驗所需的網絡環(huán)境，如局域網配置、端口設置、VPN設置等；部署需要驗證的偵查實驗的主體，如被入侵的網站、被破解的軟件系統(tǒng)等；安裝取證工具，如流量監(jiān)控軟件、抓包工具、內存數(shù)據dump工具等相關取證軟件。

（2）對具備保全條件的檢材及樣本進行備份保全、編號。由于電子數(shù)據具有易破壞性，在實驗過程中，一些操作可能會修改電子數(shù)據的內容。因此，需要對相應的檢材及樣本進行保全。

（3）進行調試性實驗。對實驗的條件、設備等進行實踐性檢驗，通過調試有助于偵查人員對實驗設計進行某些修正和補充，充分估計完成實驗的復雜程度和干擾因素，以便采取相應的措施，保證實驗的順利進行。

（4）實驗操作與數(shù)據采集。符合案件事實的操作是保證實驗結果可靠的重要因素，整個操作應該嚴格按照實驗方案執(zhí)行。同時，偵查實驗結果是實驗條件相互作用產生的，是一個動態(tài)的過程，待證信息可能出現(xiàn)在過程中的一瞬間，也可能產生于一次完整的實驗最終階段需要在實驗剛一開始就做好錄音錄像工作。綜上，在這個過程中具體做法包括以下幾點：系統(tǒng)與網絡監(jiān)控，進程監(jiān)控，排除混淆因素，記錄樣本的執(zhí)行狀況。

（5）設置相關配置，重新執(zhí)行。根據《規(guī)則》中第五十二條的規(guī)定，有條件的，電子數(shù)據偵查實驗應當進行二次以上。

（6）分析評估實驗結果。實驗結果是消除案（事）件中不確定信息的重要參照源，對實驗結果進行評估，是整個實驗的必經環(huán)節(jié)。一要檢查實驗的組織實施是否正確。實驗的基本條件是否與被檢事實和現(xiàn)象發(fā)生時的條件相符合；進行了幾次實驗等。二要檢查實驗是否嚴格按照規(guī)則進行，參加實驗的人是否有具備完成其實驗任務的基本素質；有無因相關設備或者軟件品質問題影響實驗結果正確性的現(xiàn)象等。三要注意實驗結果是否具有充分的實驗事實依據。

2.3 電子數(shù)據偵查實驗結果的固定

偵查實驗筆錄是一種既能證實犯罪又能排除嫌疑的重要證據，在偵查破案和刑事訴訟中都具有重要意義和作用。因此，實驗過程中需做好記錄，而且應涵蓋整個實驗過程，包括：開始的日期和時間、主持人、偵查員、見證人、實驗目的、原始檢材及樣本的完整性狀況、保全備份處理情況、電子設備以及軟件、網絡狀態(tài)等環(huán)境信息、樣本的執(zhí)行狀況和實驗結論。

3 電子數(shù)據偵查實驗內容

根據《規(guī)則》第50條規(guī)定，將電子數(shù)據偵查實驗分為四類，下文將對這幾種情形詳細論述。

3.1 驗證一定條件下電子設備發(fā)生的某種異?；蛘唠娮訑?shù)據發(fā)生的某種變化

通常來說電子設備采用二進制編碼，雖然，當前的電子設備能保證在符合正常操作情況下的持續(xù)穩(wěn)定運行，但是，只要有一點偏差，就會產生信息錯誤，導致設備異常，比如死機、關機、復位等。同理，電子數(shù)據的底層也是二進制編碼，當這些編碼發(fā)生改變的時候，電子數(shù)據也會發(fā)生改變。電子數(shù)據偵查實驗就是通過實驗的方式探究當根據案發(fā)現(xiàn)場的條件發(fā)生，對某部分二進制編碼進行干擾，查看電子設備的異?；蛘唠娮訑?shù)據的改變情況。通常這種干擾來自入侵行為，比如入侵者通過使用惡意代碼對電子設備的某些參數(shù)配置進行修改，這種惡意操作就可能導致電子設備的異常。所以，在此種類型下，需要驗證的就是惡意操作導致電子設備和電子數(shù)據穩(wěn)定運轉的環(huán)境被破壞后會發(fā)生的異常或者變化，具體的可以是：修改系統(tǒng)配置修改或者刪除某些注冊表和系統(tǒng)文件、關掉某些系統(tǒng)進程、卸載某些設備驅動、更改網絡配置等，查看電子設備與電子數(shù)據的狀態(tài)；格式化硬盤、改寫文件分配表和目錄區(qū)、覆蓋文件、占據磁盤引導扇區(qū)等情況下，查看電子設備與電子數(shù)據的狀態(tài)。

3.2 驗證在一定時間內能否完成對電子數(shù)據的某種操作行為

由于電子數(shù)據具有無形性、易破壞、易傳播、易復制等特點，導致電子數(shù)據的操作行為在某些情況下容易發(fā)生且難以被發(fā)現(xiàn)。因此，需要在驗證一定時間內能否完成對電子數(shù)據的操作行為。本文從以下兩種情況下討論。

3.2.1針對單機環(huán)境下的電子數(shù)據操作

在單機環(huán)境下，涉及的電子數(shù)據操作行為可以分為查看、復制、增加、刪除、修改等。

（1）查看。當前單機系統(tǒng)中的電子數(shù)據規(guī)模在不斷增大，在特定時間內檢索出感興趣的內容也是對操作人員的能力的考驗，而且，隨著人們的安全意識的提高，很多人在存儲機密信息時，會采用一些技術保護內容不被未授權的查看，比如文檔加密等，這種情況下查看電子數(shù)據，通常會涉及密碼破解技術，一般來說在未通過社會工程學的方法掌握充足信息的時候進行密碼破解需要花費及其長的時間。因此，需要驗證能否在一定時間內查看到某些電子數(shù)據。

（2）復制。雖然易復制性是電子數(shù)據的突出特點，但是，受限于存儲介質存儲速度以及當前電子數(shù)據的體量，在缺乏專業(yè)設備時，如硬盤復制機，想要復制大規(guī)模的電子數(shù)據同樣需要花費很長時間。因此，需要驗證能否在一定時間內復制完成某些電子數(shù)據。

（3）增加。增加分可以分為新建文件和在原有文件中追加內容。首先，在新建文件這種情況下，需要結合新增電子數(shù)據文件的內容完整度來判斷單位時間內能否。其次，在原有文件中追加內容，此時就不僅需要驗證在一定時間內能否找到特定的文件，而且需要驗證能否完成增加的操作。

（4）刪除。刪除電子數(shù)據時，在檢索到相應的電子數(shù)據文件，才能刪除。因此，不僅需要驗證在一定時間內能否找到特定的文件，而且需要驗證能否完成刪除的操作。

（5）修改。修改電子數(shù)據的操作行為，需要能查看到已有的電子數(shù)據后，才可能對電子數(shù)據部分或全部內容進行修改操作。因此，不僅需要驗證在一定時間內能否找到特定的文件并且打開，而且需要驗證能否完成修改的操作。

3.2.2針對網絡環(huán)境下的電子數(shù)據操作

網絡環(huán)境下的電子數(shù)據可以分為兩類，一類是存儲于服務器中的靜態(tài)數(shù)據，另一類是在網絡傳輸?shù)膭討B(tài)數(shù)據。針對存儲于服務器中的靜態(tài)數(shù)據的操作行為，在通過網絡滲透拿到服務器的相應權限以后，幾乎等同于在單機環(huán)境中的操作，在此不過多贅述。針對在網絡傳輸?shù)膭討B(tài)數(shù)據的操作行為，即在客戶端與服務器端進行數(shù)據交互過程中的實時操作，這種操作需要進行網絡流量劫持，通常在實現(xiàn)這種功能之后可以對傳輸?shù)臄?shù)據進行IP數(shù)據報文中的某些字段進行增加、修改、刪除等操作，當然由于網絡傳輸數(shù)據的動態(tài)特性，需要驗證在還原案件相關條件下，嫌疑人是否有能力及時完成這種字節(jié)流級的操作。

3.3 驗證在某種條件下使用特定軟件、硬件能否完成某種特定行為、造成特定后果

隨著網絡黑產的規(guī)模不斷擴大，當前網民獲得黑客工具極其便利，只需利用網上提供的工具，就可以輕易實施分布式拒絕服務攻擊、釣魚網站誘騙等攻擊行為。所以，電子數(shù)據偵查實驗其中一項重要內容就是驗證在還原案件發(fā)生時被攻擊方的所有安全措施情況下，嫌疑人使用的軟件或者硬件能否造成某些后果。具體的可以包括：驗證能否在未授權的情況下訪問或破壞系統(tǒng)、控制計算機信息系統(tǒng)、破壞系統(tǒng)功能、加密電子數(shù)據、解密電子數(shù)據。

3.4 確定一定條件下某種計算機信息系統(tǒng)應用或者網絡行為能否修改、刪除特定的電子數(shù)據

在這個數(shù)據就是財富的時代，通常情況下的網絡惡意行為是為了破壞或得到某些電子數(shù)據，如2018年的華住集團數(shù)據竊取案。所以，電子數(shù)據偵查實驗需要驗證在還原目標系統(tǒng)被入侵狀態(tài)下，模擬嫌疑人的網絡行為或者使用的特定系統(tǒng)，是否可以對電子數(shù)據進行刪除或者修改的操作。具體的可以包括：驗證能否刪除、修改入侵之后的痕跡信息，比如程序日志、安全日志、系統(tǒng)日志、DNS服務器日志、FTP日志、WWW日志等等；驗證能否與特定應用的數(shù)據庫進行連接，并刪除、修改相應的數(shù)據。

4 結語

電子數(shù)據偵查實驗作為偵查實驗的特定應用領域，在未來刑事案件偵查過程的作用會越來越重要。本文基于結合有關法律規(guī)定，探討了電子數(shù)據偵查實驗的特點、程序、相關技術、以及主要內容，具有重要的司法實踐意義。新技術的不斷發(fā)展，必然會影響電子數(shù)據偵查實驗。因此，下一步將探討如何將這些理論技術應用于電子數(shù)據偵查實驗。

[1]鄒繼蕓，高敔恒.網絡犯罪中偵查實驗方法的探討[J]. 網絡安全技術與應用，2017（4）.

[2]王清琪.論偵查實驗制度[D].湖南師范大學，2018.

[3]周加海，喻海松.《關于辦理刑事案件收集提取和審查判斷電子數(shù)據若干問題的規(guī)定》的理解與適用[J].人民司法（應用），2017（28）：31-38.

[4]李浩.偵查實驗制度研究[D].上海大學，2015.

[5]蒲泓全，郭艷芬，衛(wèi)邦國.電子取證應用研究綜述[J].計算機系統(tǒng)應用，2019，28（01）：10-16.

[6]劉浩陽.電子數(shù)據取證[M].清華大學出版社，2015.

[7]張志華.基于滲透測試的網絡安全漏洞實時偵測技術[J]. 科學技術與工程，2018，18（20）：302-307.

[8]程霄飛.偵查實驗批準程序初探[J].山西省政法管理干部學院學報，2016，29（2）.

安徽公安職業(yè)學院校內重點項目（XN2018ZDB63）。