執筆関連

取证的“套路”和“蹊径”——还原一个电子数据取证案例的全过程!丨反舞弊中的电子数据取证(六)

2018-10-24
分享到

电子数据取证是一门严谨的学科,在基础条件下,取证过程必须遵从国家法律,严格按照法定程序进行,用流行的词来讲就是——“套路”,但在案件调查和司法实践中,我们往往要打破这个“套路”,以案情为核心,以破案为导向,积极转变思路,不拘一格地扩展、深挖线索,这也对取证人员的能力提出了更高的要求,优秀的取证人员往往同时具备技术、法律、侦查等多方面专业知识。

本期,我们与大家分享一个电子数据取证案例的完整过程,简要说明取证人员是如何从常规手段入手,通过合理分析推断,最终利用独特手段获取关键性证据,希望能给大家带来一点启发。

基本案情

某大型企业监察部门接到员工举报称,该公司某下属业务部门负责的一个大型项目中,有员工“吃回扣”、“收好处费”、虚假报销,致使公司利益受损,但举报人对涉案人员的人数、情况并不知情。

内部调查

尽管这是一个“风闻”式的举报,公司监察部门仍给予了高度重视,为避免公开调查可能带来的不利影响,调查人员遵循保密原则,从外围开展了隐蔽式的前期调查。

随着调查的开展,焦点逐步集中到该业务部门负责人王某和业务经理张某身上,该两名员工涉嫌利用职务上的便利,虚构业务项目,侵占公司巨额财产。

经查验业务档案发现,涉案业务的合同和票据存在伪造的嫌疑,合同为激光打印机打印,票据为针式打印机打印,此类文件必须通过计算机进行编辑。

调查人员随即以秘密取证的方式,获取了涉案人员日常工作使用的两台计算机硬盘镜像,经过电子数据分析,系统日志显示该两台计算机长期闲置,并未发现任何涉案线索。

但是,调查人员通过对伪造的合同和票据的比对发现,伪造的数据、金额与真实的业务存在一定的对应关系,涉案人员伪造文书应是同步对照真实业务数据进行的,而公司业务数据集中保存在加密的文件服务器上,必须通过公司内部网络访问,且公司配发的个人计算机安装有限制外来移动存储设备的软件,较难通过U盘等设备拷贝外带。为此,调查人员将仍旧将重点定位在公司内部,经过排查发现该部门的一台计算机为多人公共使用,于是以IT部门硬件更新升级为由回收该计算机,进行后续电子取证。

“套路”化的常规电子取证

获得该计算机后,调查人员按照常规取证流程开展了电子数据取证,主要方面如下:

1、电子数据介质证据固定

取出计算机硬盘,连接取证设备,对硬盘数据作无损对位镜像拷贝,计算HASH值,然后封存原始硬盘以备司法诉讼阶段调取质证。

2、基本信息分析

分析镜像,系统基础信息显示,该公用计算机建有多个登录账户,其中一个登录账户名即为涉案业务经理张某姓名的全拼,进一步通过检查发现保存在该账户个人文档和桌面的个人文档资料,由此确认以张某姓名全拼为用户名的计算机账户为张某使用。提取该计算机账户开关机和登录时间,为后续比对涉案伪造文件提供时间佐证。

3、文件分析

通过文件基础分析和恢复,从镜像中按常用文件后缀名如:DOCX、XLSX、PDF、RAR等找到各类文件约2000余个,导出后按文件类型分别存放,备查。

4、最近打开的文档

提取用户目录下Recent文件夹,发现涉案人员曾经下载、查看、创建、编辑的多个文件快捷方式,文件名明确显示与涉案的伪造文件有关,但快捷方式指向的路径和文件均以被删除,无法直接证明伪造文件的行为。

5、输入法用户词库

提取该用户账户使用的输入法用户自造词库,与伪造文件的部分特征关键字进行比对分析,显示涉案人员在操作计算机时曾输入若干非输入法自带的项目、设备、人员名称,可以推断涉案人员曾输入与项目有关内容,但仍无法直接证明其伪造文件的行为。

扩展侦查的“蹊径”

结合基础分析,调查人员重新研究案情,勾勒和还原了部分涉案行为轨迹,决定从以下几个容易被忽视的方面进一步深入开展电子数据取证:

1、临时文件和文件碎片关键字检索

由于最近打开文档中快捷方式指向的涉案文件和文件夹均已被删除,因此调查人员对临时文件夹、未分配簇和文件残留区进行了关键字底层排查,从中发现部分与伪造文档相关的数据碎片,没有找到完整文档。

2、数据清理软件

结合用户Recent目录下大量的快捷方式和较少的文件数据碎片,调查人员提取了系统日志,从中发现“360文件粉碎机”软件的使用痕迹,根据经验判断,该计算机硬盘中数据已基本无法完整恢复。

3、USB设备使用记录

在之前对Recent目录的检查中发现,部分快捷方式指向的一个盘符并未在硬盘中出现,怀疑为涉案人员插入USB移动存储介质进行文件操作。

由于公司计算机预设限制移动存储介质连接,因此提取USB设备连接记录,将序列号与公司移动介质领用登记表进行比对后查明,该两名涉案人员曾领用的U盘连接过该计算机。由此推断,涉案伪造文档极有可能存于相关U盘上。在确保涉案人员未作准备的情况下,突击检查办公场所,获取涉案U盘(此处提及的突击工作方法在《电子数据取证》系列文章中曾做重点说明,详见文末推荐阅读)。

4、加密文件破解

检查涉案U盘发现空无一物,但庆幸的是,涉案人员仅仅是对U盘做了格式化,而并未使用360等软件做数据清理。通过数据恢复,获取多个带有密码的DOCX、XLSX和RAR文件。

随后,调查人员结合涉案人员及主要亲属关联人的基础信息(身份证号码、生日、家庭住住、固话、手机等),利用字典软件生成专用密码字典,使用技术手段成功破解上述文档,最终完整获取关键证据文档,使得案件顺利告破。

结语

从上述案例可以看出,电子数据取证有一定的“套路”可循,比如常规的数据固定、基础信息分析、文件分类检索、系统日志勘察、关键字检索等等,部分案件仅仅用到这些常规流程就能顺利获取关键证据。

而在有些案件中,涉案人员会具备一定的反侦查意识和手段,比如通过硬盘格式化、系统重装、文件彻底清理等方式来销毁电子数据,逃避检查。在这种情况下,我们就要拓展思路,紧紧围绕案情,利用临时文件和碎片字节检索、硬盘未分配区检索、USB设备记录倒查、加密破解等等非常规技术手段对涉案线索进行深挖,尽最大可能的为突破案件提供有力的支撑。

作者:星瀚内控与反舞弊法律中心 周晓鸣