電子數據取證是如何幫助警察蜀黍抓壞人的？

作為網偵行業的「老司機」，刑警學院副教授秦玉海對幾年前的一起詐騙案記憶猶新。

時間退回到 2015 年，正是 P2P 金融詐騙瘋狂跑路的時候，秦玉海接到一個來自山東省濱州市的取證案子。

在官方的介紹中，這起案子是這樣描述的：「濱州市公安局彰化分局對濱州市崔某某等人組織領導傳銷活動案經過幾個月的立案偵查，抓捕，打掉了以周某某、楊某、張某等人為首的全國特大網路傳銷團伙。經查，2015 年 4 月至 10 月，該團伙在短短半年內瘋狂斂財，涉案金額高達 35.9 億元，獲利 21.86 億元，範圍涉及全國 24 個省，90 余萬人，嚴重擾亂了社會經濟秩序。」

雖然從詐騙金額來看，這絕對可以讓這些騙子判重刑，但由於案情複雜、涉案人員眾多、數據量龐大，在打掉傳銷團伙之後，電子取證工作成為影響最終審判的重點和難點，這起案子的電子數據鑒定涉及註冊單數 499 萬單，涉案伺服器容量高達 7.5T，之前在第一次庭審的時候，由於沒能對數據進行有效分析，所以無法對犯罪嫌疑人進行審判。

如何把龐雜的數據進行分門別類的整理和鑒定，最終以此來作為最終審判的依據？這是擺在秦玉海面前最大的問題。

與普通的取證不同，電子數據取證所涉及的知識比較多，不僅需要掌握計算機專業知識（計算機操作系統、資料庫原理等），還要有信息安全知識（密碼學原理等）和法學基礎（證據科學等）。簡直是學霸才能幹的職業~~~

簡單來說，就是既要懂技術，還要懂法律！

在網路犯罪高發的今天，如何具備快速獲取新知識、新技術的能力，以更好地適應不同案件偵查、調查的需要，是擺在很多辦案人員面前的問題。

秦玉海在到達彰化后同樣遇到了這樣的問題，「我們拿到被繳獲的兩台設備后，發現還挺複雜，有磁碟、固態硬碟，磁碟存的是數據，固態硬碟有一套系統，兩個機器還不一樣。」

怎麼讀取數據？是直接在伺服器上讀還是放在模擬機里讀？計算機運行起來會不會破壞原始的素材？即使是克隆了硬碟，但應該用什麼方法讀？硬碟之間存在什麼關係？這些技術問題都一一擺在了秦玉海的面前。

除此之外，法律知識也是必不可少的！

秦玉海介紹，之所以這個傳銷組織在半年內就發展成 90 萬人，是因為營利模式看起來很好，「你拿800塊錢我就給你建一個賬戶，建完賬戶你這個賬戶每天會增加 18 元，在你建賬戶的時候你發展一個下線，你直接得 240 元，你去報單，你如果有報單許可權還得 40，所以很快賬戶就翻番，所有人都給自己建下線。」

「參與司法檢驗，我要求我們所有鑒定人要鑒定一個案件必須了解這個案件的法律規定，以前我們沒做過傳銷案，那你必須了解這個司法解釋什麼叫傳銷案。」秦玉海介紹，首先是立案就要 3×30 人，它的層級，下線人數是多少要搞清楚，這是立案的基本依據，獲利與涉案金額還有返利功能要建立出來。在第一庭審中，嫌疑人就不承認，說我下面就 3 個人，我根本構不成3級，就一層，別人再發展他根本不計算。

由於第一次開庭並沒有得到專業的電子數據證據，對傳銷團伙的審判遇到了困難，秦玉海去的時候馬上就要第二次開庭。

看了第一次庭審時的資料，他對其中涉及的問題進行解決。「數據分析程序我們進行了重新編寫，但 3 天才跑了20 萬個賬戶的統計，數據很慢，後來改成分散式存儲過程，400 多萬賬戶秒出。」

但一個人可以註冊多個賬戶，當賬戶被檢測出來后，如何對應在人頭上呢（只有超過30人才能立案）？

「機器里全是賬戶，賬戶數和人數我們採用了五級去重法，比如同一個 IP 即使註冊了多個賬戶，我們也只算一個人，身份證相同的算一個人，或者幾個賬戶用同一個名字我們也算一個人，另外我們在法庭也做了展示系統，能做重複實驗，可以讓你看上面都是誰，這就坐實了他們的傳銷之實！」秦玉海說。

針對秦玉海第一次庭審所遇到的問題，一位來自電子取證的安全公司的技術專家對此也深有感觸，他所在的企業是一家做電子數據取證設備的，在平常所接觸到的一線辦案人員中，秦玉海所描述的問題經常出現。

據他介紹，電子數據取證相比於傳統的，痕迹檢驗，文件檢驗等取證，具有證據不好固定且容易被篡改的特點。所以不太容易被法庭等相關單位部門採信。

「對於電子數據的取證，一線辦案人員確實非常需要去培訓。」他坦言，一線辦案人員了解電子數據取證的人員太少，對新興設備的處理能力和分析能力需要加強，與此同時，對新興電子物證相關案件的處理，取證設備也要跟上變化，隨時進行升級，這樣才能保證證據第一時間固定，不被污染和篡改。

又是法律，又是技術的，電子數據取證是不是離我們很遠呢？

NONONO！它其實就是我們身邊！不信？還是先來回答幾個問題吧！

你去醫院看病時請醫生開過葯么？你平時發微博么？刷朋友圈么？

如果是，那你有可能就會同電子數據打交道。

來自國家信息中心電子數據司法鑒定中心業務主管魏連就介紹了一個這樣的案例。

「我們現在經常發生的醫患糾紛，患者拿著電子病例給到說這上面有問題，我當時診斷的時候不是這個結果，醫生是誤診。但是對這張列印出來的紙張進行分析會很困難，我們必須要調取當時生成這個電子病例的系統。」

魏連解釋，真的做分析的時候，要讓系統停止或者用虛擬的方式模擬出來一套，然後還要獲取所有日誌信息，分析它的系統有沒有留後門。

「因為我們知道人都會犯錯的，有的時候醫生寫一些東西會寫錯，有一些電子病例就是留後門，他要去審核，比如實習生、醫生有審核，就是有修改的許可權，修改到什麼程度？是不是有一些防篡改的措施？」魏連坦言，這種工作量是非常大的，通常來說一個系統級別的分析，從時間上來說肯定以月計，從金錢上來說，從耗費的人力評估上面來說，不下 10 萬也是做不下來的。

這個問題困擾她非常久，不過，現在已經探討出來一個新的思路。「這個方案叫電子證據全生命周期的鑒定解決方案，從糾紛發生的時候事後的鑒定往前推，我們在信息系統建設完成的時候，就對他的數據法律風險做一個評估，比如這個信息系統就是郵件或者電子合同，它當時在設計的時候是怎麼做身份確認的，怎麼生成、產生和傳遞這些數據的，這些數據在有效的證據鏈裡面是不是有防篡改的措施？」

魏連表示，他們會根據我們多年司法實踐的經驗，在信息系統上線之前，就對它做法律風險評估，這個評估會給出一些建議，多增加一些日誌或者許可權的設置，或者簽名的技術加入進去，以使得由這個信息系統所產生的數據以及它的法律有效性能夠大大的增加。

未完待續，下期將有電子取證的詳細技術介紹。

▼

▼

戰鬥民族野生聊天 App

草榴社區這類色情網站為什麼封不掉

什麼樣的漏洞買得起北京二環一套房？

上了個「假」黃網，誤入了7億黑產的大門

13歲小黑客自學一年挖到了微軟、谷歌的漏洞

中學教材現黃色網站 人教社回應遭網友質疑

乾貨！top白帽子 Gr36_ 手把手教你挖漏洞

我們可以用「免疫系統」對抗黑客入侵嗎？

這位叔叔要教勒索軟體一些做人的道理

有個網站叫「我知道你下載了什麼」

無線電攻擊居然還能用來打飛機

「道哥」透露從業初心

人物篇

▼

---

「喜歡就趕緊關注我們」

宅客『Letshome』

雷鋒網旗下業界報道公眾號。

專註先鋒科技領域，講述黑客背後的故事。

並識別關注