取证的“套路”和“蹊径”——还原一个电子数据取证案例的全过程！丨反舞弊中的电子数据取证（六）-星瀚律师事务所

取证的“套路”和“蹊径”——还原一个电子数据取证案例的全过程！丨反舞弊中的电子数据取证（六）

2018-10-24

分享到

电子数据取证是一门严谨的学科，在基础条件下，取证过程必须遵从国家法律，严格按照法定程序进行，用流行的词来讲就是——“套路”，但在案件调查和司法实践中，我们往往要打破这个“套路”，以案情为核心，以破案为导向，积极转变思路，不拘一格地扩展、深挖线索，这也对取证人员的能力提出了更高的要求，优秀的取证人员往往同时具备技术、法律、侦查等多方面专业知识。

本期，我们与大家分享一个电子数据取证案例的完整过程，简要说明取证人员是如何从常规手段入手，通过合理分析推断，最终利用独特手段获取关键性证据，希望能给大家带来一点启发。

基本案情

某大型企业监察部门接到员工举报称，该公司某下属业务部门负责的一个大型项目中，有员工“吃回扣”、“收好处费”、虚假报销，致使公司利益受损，但举报人对涉案人员的人数、情况并不知情。

内部调查

尽管这是一个“风闻”式的举报，公司监察部门仍给予了高度重视，为避免公开调查可能带来的不利影响，调查人员遵循保密原则，从外围开展了隐蔽式的前期调查。

随着调查的开展，焦点逐步集中到该业务部门负责人王某和业务经理张某身上，该两名员工涉嫌利用职务上的便利，虚构业务项目，侵占公司巨额财产。

经查验业务档案发现，涉案业务的合同和票据存在伪造的嫌疑，合同为激光打印机打印，票据为针式打印机打印，此类文件必须通过计算机进行编辑。

调查人员随即以秘密取证的方式，获取了涉案人员日常工作使用的两台计算机硬盘镜像，经过电子数据分析，系统日志显示该两台计算机长期闲置，并未发现任何涉案线索。

但是，调查人员通过对伪造的合同和票据的比对发现，伪造的数据、金额与真实的业务存在一定的对应关系，涉案人员伪造文书应是同步对照真实业务数据进行的，而公司业务数据集中保存在加密的文件服务器上，必须通过公司内部网络访问，且公司配发的个人计算机安装有限制外来移动存储设备的软件，较难通过U盘等设备拷贝外带。为此，调查人员将仍旧将重点定位在公司内部，经过排查发现该部门的一台计算机为多人公共使用，于是以IT部门硬件更新升级为由回收该计算机，进行后续电子取证。

“套路”化的常规电子取证

获得该计算机后，调查人员按照常规取证流程开展了电子数据取证，主要方面如下：

1、电子数据介质证据固定

取出计算机硬盘，连接取证设备，对硬盘数据作无损对位镜像拷贝，计算HASH值，然后封存原始硬盘以备司法诉讼阶段调取质证。

2、基本信息分析

分析镜像，系统基础信息显示，该公用计算机建有多个登录账户，其中一个登录账户名即为涉案业务经理张某姓名的全拼，进一步通过检查发现保存在该账户个人文档和桌面的个人文档资料，由此确认以张某姓名全拼为用户名的计算机账户为张某使用。提取该计算机账户开关机和登录时间，为后续比对涉案伪造文件提供时间佐证。

3、文件分析

通过文件基础分析和恢复，从镜像中按常用文件后缀名如：DOCX、XLSX、PDF、RAR等找到各类文件约2000余个，导出后按文件类型分别存放，备查。

4、最近打开的文档

提取用户目录下Recent文件夹，发现涉案人员曾经下载、查看、创建、编辑的多个文件快捷方式，文件名明确显示与涉案的伪造文件有关，但快捷方式指向的路径和文件均以被删除，无法直接证明伪造文件的行为。

5、输入法用户词库

提取该用户账户使用的输入法用户自造词库，与伪造文件的部分特征关键字进行比对分析，显示涉案人员在操作计算机时曾输入若干非输入法自带的项目、设备、人员名称，可以推断涉案人员曾输入与项目有关内容，但仍无法直接证明其伪造文件的行为。

扩展侦查的“蹊径”

结合基础分析，调查人员重新研究案情，勾勒和还原了部分涉案行为轨迹，决定从以下几个容易被忽视的方面进一步深入开展电子数据取证：

1、临时文件和文件碎片关键字检索

由于最近打开文档中快捷方式指向的涉案文件和文件夹均已被删除，因此调查人员对临时文件夹、未分配簇和文件残留区进行了关键字底层排查，从中发现部分与伪造文档相关的数据碎片，没有找到完整文档。

2、数据清理软件

结合用户Recent目录下大量的快捷方式和较少的文件数据碎片，调查人员提取了系统日志，从中发现“360文件粉碎机”软件的使用痕迹，根据经验判断，该计算机硬盘中数据已基本无法完整恢复。

3、USB设备使用记录

在之前对Recent目录的检查中发现，部分快捷方式指向的一个盘符并未在硬盘中出现，怀疑为涉案人员插入USB移动存储介质进行文件操作。

由于公司计算机预设限制移动存储介质连接，因此提取USB设备连接记录，将序列号与公司移动介质领用登记表进行比对后查明，该两名涉案人员曾领用的U盘连接过该计算机。由此推断，涉案伪造文档极有可能存于相关U盘上。在确保涉案人员未作准备的情况下，突击检查办公场所，获取涉案U盘（此处提及的突击工作方法在《电子数据取证》系列文章中曾做重点说明，详见文末推荐阅读）。

4、加密文件破解

检查涉案U盘发现空无一物，但庆幸的是，涉案人员仅仅是对U盘做了格式化，而并未使用360等软件做数据清理。通过数据恢复，获取多个带有密码的DOCX、XLSX和RAR文件。

随后，调查人员结合涉案人员及主要亲属关联人的基础信息（身份证号码、生日、家庭住住、固话、手机等），利用字典软件生成专用密码字典，使用技术手段成功破解上述文档，最终完整获取关键证据文档，使得案件顺利告破。

结语

从上述案例可以看出，电子数据取证有一定的“套路”可循，比如常规的数据固定、基础信息分析、文件分类检索、系统日志勘察、关键字检索等等，部分案件仅仅用到这些常规流程就能顺利获取关键证据。

而在有些案件中，涉案人员会具备一定的反侦查意识和手段，比如通过硬盘格式化、系统重装、文件彻底清理等方式来销毁电子数据，逃避检查。在这种情况下，我们就要拓展思路，紧紧围绕案情，利用临时文件和碎片字节检索、硬盘未分配区检索、USB设备记录倒查、加密破解等等非常规技术手段对涉案线索进行深挖，尽最大可能的为突破案件提供有力的支撑。

作者：星瀚内控与反舞弊法律中心周晓鸣