专业文章

隐藏在文件背后的蛛丝马迹丨反舞弊中的电子数据取证(十八)

2019-07-24
分享到

在常规电子数据取证中,一般都较为重视文档、图片的检索、恢复,因为这些内容往往直接包含了犯罪的线索和证据。但在文件的背后,计算机还同时包含了大量的日志、元数据、缩略图等用户使用的电子痕迹,这些隐含的痕迹记录了用户行为轨迹,是案件调查取证的重要内容。 

PART1 电子痕迹是什么? 

刑事侦查学中的刑事科学技术包含三个基本原理: 

物质交换和信息转移原理 

同一认定原理 

种类认定原理 

其中的“物质交换和信息转移原理”认为,物质经过交换和转移,但物质成分和结构等特征一般不会发生变化,仍能客观真实的反映其原所在客体的本质。 

这个原理在传统的刑事犯罪现场调查中应用最多的就是现场痕迹取证,而最为典型的就是“指纹”。人的手上会分泌汗液,接触到物体后就会留下痕迹,也就是“指纹”,由于人类指纹的唯一性,通过指纹就能反向锁定相应的人,从而为确定案件侦破提供线索和证据。 

电子设备在使用中也会留下痕迹,比如:日志、元数据、缩略图等。用户在使用电子设备时,并不会以此类信息作为直接访问对象,而是由操作系统自动按一定的数据格式进行记录,这些被系统同步记录下来的信息就是所谓的“电子痕迹”。 

相较于传统的现场物证痕迹,电子痕迹同样是反映用户行为,锁定用户个体的重要线索和证据,它与用户活动息息相关,而且更加完整、全面和详细。对电子痕迹的取证,是电子数据取证中不可获取的一个重要内容。 

PART2 电子痕迹的来源 

电子数据主要是通过两种方式产生。 

一是使用者主动生成,比如:创建文档、收发邮件、拍摄图片、下载文件等,这些电子数据的产生遵循了用户的使用习惯,与其日常工作、生活相关。 

二是系统自动生成,比如:浏览器历史记录,文件系统日志等,这些数据是操作系统和应用系统按照规则和格式自动记录的信息,并且随着使用过程不断发生改变,用户在设备使用过程中往往不会察觉,一般也无法主动控制相关进程。 

值得注意的是,在办案实践中,我们也多次发现涉案人员主动对系统自动产生的电子痕迹进行清理、删除和修改,希望借此毁灭证据、逃避调查,却不知系统仍有其他的方式记录这类操作行为,所谓“触物必留痕”,通过对电子痕迹的调查,反而给描摹用户行为轨迹、还原案件真相提供了线索和证据。 

PART3 容易被忽略的几类电子痕迹 

用户使用电子设备的日常行为,在系统中会产生大量电子痕迹,进行电子数据调查不应忽视这些信息。较为常见的电子痕迹有:系统日志、应用程序日志、临时文件、元数据、快捷方式、缩略图、网络连接等。 

1 系统和应用程序日志 

系统日志和程序日志是反映用户操作行为轨迹最直接有效的证据,可以说就是一个“行为记录表”。传统刑事犯罪现场的指纹、脚印、血迹都要人工提取、分析,其中还可能出现疏漏、错误,时间也需要进行倒推判断。而电子痕迹则是非常忠实的记录用户的行为,尤其是能够准确记录行为时间,用好日志信息,对于精确还原用户行为,有着至关重要的作用。 

系统日志是一门完整的学问,要讲透的话,恐怕写一本书可不为过,这里仅作一个极其简要的介绍,不展开讨论。 

在办案实践中有个利用日志信息结合外围排查的真实案例:某高新技术企业的一个技术人员,通过偷窥系统管理员的账号密码,违规访问公司核心知识产权信息库,下载大量技术文档,以百度网盘为中间媒介,转移到个人在家中的计算机,试图寻求卖家牟利。案件调查中,取证人员通过百度网盘的日志信息数据库文件,结合系统文件访问的日志信息和办公场所监控录像,完整地将其作案过程进行了还原。 

浏览器日志也同样能够发挥巨大作用,在轰动一时的杭州保姆莫焕晶纵火案和复旦投毒案中,公安机关也是通过提取嫌疑人手机、电脑的浏览器历史记录,发现了印证作案动机重要证据,有力证明了犯罪嫌疑人蓄谋犯罪的主观故意,有效辩驳辩方提出的临时起意、冲动作案的辩护意见。 

2 元数据 

系统在存储文件本身的同时,还会生成一些隐性的、与文件数据相关的数据,如文件系统中文件检索表、路径信息、地址信息等,这些信息就是元数据(Metadata),在英文名称中又叫做“数据的数据”,它隐含在文档、图片等文件中,用来描述这个文件的结构、资源和其他辅助信息。 

比如,我们用手机拍摄一张照片,其本身显示出来的是我们拍摄的对象,而在图像属性中还包含了拍摄时间、拍摄设备、镜头型号、光圈、快门等辅助信息,这些辅助信息就是照片的元数据,而图片的元数据还有一个特别的名字——EXIF (Exchangeable image file可交换图形文件)。如果在手机设置中开启了定位功能,元数据中还会记录拍摄点的GPS信息。 

在调查一起建筑企业员工职务侵占案件的过程中,取证人员就是通过对涉案人员存留在电脑中的照片元数据分析,获取照片拍摄的时间、GPS信息,确定涉案人员在案发时间前往位于某外省工地的证据,有力地反驳了涉案人员编造的谎言,突破其心理防线。 

再比如,电子数据取证中经常用到Office文件的元数据,虽然元数据本身不包含用户主动输入的数据,但却记录了包括:标题、版本、创建者、修改者、创建时间、修改时间、访问时间、最近一次保存时间、最近一次打印时间等大量重要信息,在案件调查中为文件来源分析提供重要依据和扩大侦查的线索。 

3 临时文件 

应用程序使用过程中,为了防止突发性宕机等非常规事件,会设定某种保护机制来对数据进行实时备份。 

我们日常使用的很多软件都有“撤销”和“恢复”功能,尤其在office、PS等软件中更为常用,这种功能就是通过临时文件来完成的。当用户进行某项改动或操作时,应用软件将操作步骤和数据改动保存在一个自动生成的临时文件中,如果用户认为这种改动不符合预期,需要“撤销”,应用程序就会从临时文件中把之前保存过的原始内容提取出来,有效地保障了用户数据的安全性。 

临时文件在系统中,根据作用不同存留相应的时间,有些随着软件关闭自动清理删除,比如office软件临时文件,而有些则可能会在系统临时文件夹中存留相当长时间,甚至需要手动或借助软件人工清理,比如浏览器的页面缓存。无论存留的时间长短,临时文件都会在磁盘上留下相应的电子痕迹,这也给电子数据调查提供了对象。 

在一起企业员工受贿案件中,调查人员对其使用的笔记本电脑做了常规的数据分析,却没有找到有效的信息。而在进一步对系统进行数据恢复和全局检索的过程中,却发现系统临时文件夹中存留了手机备份的临时文件,经技术处理,还原了手机银行、即时通信等软件的重要数据,为案件有效突破提供了关键性证据和线索。 

4 快捷方式 

在windows系统下,快捷方式文件的扩展名为.lnk,用于指向其他文件,便于用户快速调用原始文件。 

快捷方式可以由用户主动创建和系统自动创建2种方式生成,这里主要讲的是系统自动创建方式。 

在使用者打开文件时,系统会在“user\用户名\AppData\Roaming\Microsoft\Windows\Recent\”目录下自动创建一个链接文件,显示在用户界面中即为“最近使用项目”。 

在部分案件中,涉案人员习惯于将用户文档存放于外置的移动硬盘和U盘,当无法获取此类存储介质时,办案很容易陷入瓶颈。这种情况下,有经验的调查人员通常会进一步检查系统快捷方式文件,通过调查快捷方式包含的原始文件名称、路径、磁盘和网络等信息,同时结合USB设备信息和插拔记录,从侧面锁定用户打开、修改文件的行为轨迹证据,为扩展侦查和收集证据提供线索。 

上述列举的电子痕迹仅仅是相对较为典型的几种类型,在实际应用中,电子痕迹的内容远大于这个范围,本文仅以一点浅薄的介绍做个普及,希望能够抛砖引玉,为大家拓展调查思路提供一点帮助。 

作者:星瀚内控与反舞弊法律中心 周晓鸣