选择规则 | 可信电子数据取证工具研究

(一)取证中选择电子数据取证工具的原则

随着高新技术的发展和犯罪手段的不断更新，技术实现的取证工具不断涌现，为取证源源不断提供了取证支持。虽有官方机构认可或经过知名组织认证的取证工具，但数量不多，面对繁多的取证工具，总体上还缺乏一定的评估和指标评价体系。借鉴美国Daubert准则的相关内容，从法律层面对取证工具应用进行分析，笔者认为取证实践中选择电子数据取证工具应遵循如下几个原则。

1.适用性原则

案件的性质和特点决定了取证工具的选用类型和选择方式。不同的案件、不同的取证环境和场景的取证人员应采取不同的取证工具，取证工具的选用应视取证案件的实际情况来定。从科学角度看，取证工具要能够为案件服务，通过能为案件提供实际的应用这一目的来确定电子数据取证工具的适用性。

2.优先性原则

官方机构认可或经过知名组织认证的取证工具表明该取证工具或者该工具所采用的技术能够(或者已经)经受检验。因此，在取证实践中，在选择取证工具开展取证时应当遵循这类工具优先选择的原则。

3.可重复性原则

不是所有的取证工具都经过检验，在取证目的和任务确定的前提下，应选择具备相同功能的多种取证工具进行取证，保障取证结果的有效性。从科学的角度看，取证工具或取证工具采用的理论或技术是可以相互检阅的。

4.可复核性原则

在考虑取证工具或其所采用的技术方法是否可信时，法庭都会关心这一工具或其采用的技术方法是否得到了适当的支持，是否经其他人的复核。但是由于技术的飞速发展，取证工具的推陈出新，而且这种可复核性需要时间的积累，所以在取证实践中为节省时间，提高效率，应尽量选择圈内广泛认可或者被圈内同行复核过的取证工具。

(二)可信电子数据取证工具选择规则

电子数据收集提取、固定及分析直接依赖取证工具，取证工具的可靠与否直接关系到所取得电子数据的真实性、完整性等可信判断。然而在目前电子数据取证的司法实践应用中，可用的取证工具数量种类多，取证工具功能特色各异，总体上缺乏一定评估标准、手段和体系，取证工具的评估也是司法实践面临的一个问题。借鉴美国Daubert准则的相关内容，笔者从法律层面对取证工具应用进行分析，提出了可信电子数据取证工具的选择规则，其具体的运用规则如下。

第一条　电子数据取证工具是指在对计算机犯罪、网络犯罪的调查取证过程中，为保护证据的真实性、完整性和证据的有效性所使用的一些辅助工具。取证工具作为相关取证技术的重要承载和体现，应用于电子数据的发现、保全、手机、检验、分析和呈堂的每个阶段。

第二条　电子数据取证自身效能以及对其的运用是否正确将直接影响所获得的电子数据的证据能力有无或证明力强弱，正确采取和运用适合的取证工具是确保所获得的电子数据能否被法庭采纳的重要环节。

第三条　从电子数据取证工具的选取角度，将电子数据取证工具分为:已经验证的取证工具、未认证但能提供验证的取证工具、未认证但能提供部分验证的取证工具、未认证不能提供验证的取证工具、未认证但广泛使用的取证工具。

已经验证的取证工具指的是用于取证的计算机硬件和软件产品，其性能、质量、稳定性经过国家有关权威部门认证或承认的取证工具。

未认证但能提供验证的取证工具指的是用于取证的计算机硬件和软件产品，未经国家有关权威部门的认证，但产品的性能能通过事后认证，能确认产品的质量可靠。一般具备设计开发的软件或程序有软件源代码，并且具备产品功能和性能规定说明文档。

未认证但能提供部分验证的取证工具指的是用于取证的计算机硬件和软件产品，未经国家有关权威部门的认证，但产品的性能能通过事后部分的认证，也能确认产品质量的可靠性。如具备设计开发的软件或程序有软件源代码，或具备产品功能和性能规定说明文档。

未认证也不能提供验证的取证工具指的是用于取证的计算机硬件和软件产品，未经过国家有关权威部门的认证，但产品的性能不能通过事后的认证，产品质量可靠性难以确定，通过互联网下载了声称某功能的软件，无源代码、产品功能和性能规定说明文档，也难以确定软件的开发者等。

未认证但广泛使用的取证工具指的是用于取证的计算机硬件和软件产品，未经过国家有关权威部门的认证，但在取证领域该取证工具所依赖的理论、技术方法是具有普遍性的。如收集易失性电子数据证据的一些取证软件采用批处理命令设计，这些命令一般均是操作系统维护或计算机网络维护中常用的管理命令，经过计算机用户长期使用并未发现异常，因此，可推定该取证工具具有较好的可靠性和稳定性。

第四条　在取证过程中，根据实际取证需求，优先选用国家专门的检测机构或权威部门认定的取证产品。^[31]

第五条　在取证过程中，根据案件调查的需要，将涉案的电子数据源分为不同类型，制定证据的取证需求。根据不同的取证需求，建议选择在公开的地方采用有证明文件并经过相关部门核查过的取证工具，如经过CFTT认证或NIST发布的取证工具。^[32]

表7-2　经过CFTT 认证或NIST发布的常用取证工具

续表

续表

续表

续表

续表

续表

续表

续表

续表

续表

续表(www.xing528.com)

续表

续表

续表

第六条　根据案件的实际情况，在需选取未认证但能提供验证的取证工具时，在取证过程中，应文件记录取证过程和本次取证结果，在法庭中应同时提供软件程序的源代码和具备产品功能和性能规定说明文档。

第七条　根据案件的实际情况和取证需求，在需选取未认证但能提供部分验证的取证工具时，在取证过程中，应文件记录取证过程和本次取证结果，在法庭中应提供软件程序的源代码或具备产品功能和性能规定说明文档。同时通过另外一种或几种相似性取证工具复查用以确保取证结果之准确、可靠。

第八条　在取证过程中，选用未认证也不能提供验证的取证工具操作电子数据的取证，原则上通过该取证工具获取的电子数据应予以排除。在针对同样的案例、同样的取证功能需求，采用多款相似性取证工具的取证结果比较一致或在一定的允许存在的误差率内，在法庭中应提供文件记录各自的取证过程和取证结果，以及取证的分析。

第九条　在取证过程中，选用了未认证但广泛使用的取证工具，在法庭中应提供该取证工具成功应用案例的说明，或该取证工具应用场景说明等，同时附上文件记录的取证的过程和本次的取证结果。

【注释】

[1]蒋平、黄淑华、杨丽丽著:《数字取证》，中国人民大学出版社2007年版，第145页。

[2]杜春鹏著:《电子证据取证和鉴定》，中国政法大学出版社2014年版，第96页。

[3]孙波:《计算机取证方法关键问题研究》，中国科学院研究生院(软件研究所)2004年博士学位论文。

[4]孙波、孙玉芳、张相锋、梁彬:《电子数据取证研究概述》，载《计算机科学》2005年第2期。

[5]殷联甫:《计算机取证工具分析》，载《计算机系统应用》2005年第8期。

[6]陈祖义、龚俭、徐晓琴:《计算机取证的工具体系》，载《计算机工程》2005年第5期。

[7]丁丽萍、王永吉:《计算机取证的技术方法及工具研究》，载《信息安全与通信保密》2005年第8期。

[8]杜春鹏著:《电子证据取证和鉴定》，中国政法大学出版社2014年版，第101页。

[9]参见Larry E.Daniel，Lars E.Daniel.“Overview of Digital Forensics Tools”.https://www.sciencedirect.com/science/article/pii/B9781597496438000055，2019年10月17日访问。

[10]除了文中介绍的工具外，国际上的FINALForensics、Smart、ilook、Paraben、Helix3 Ente rp rise、Virtual Forensic Computing、Belkasoft Forensic Studio、i2 Analyst's Notebook、Intella电子邮件分析软件、Mount Image Pro，国内的盘石介质取证分析系统(SafeAnalyzer)、取证大师(Forensics Master)都是出色的计算机法证工具。

[11]黄淑华、赵志岩:《数字取证工具及应用》，载《警察技术》2012年第1期。

[12]参见“Encase”，载百度百科，https://baike.baidu.com/item/Encase/5780175，2019年10月15日访问。

[13]参见“Free Computer Forensic Software”，https://forensiccontrol.com/resources/free-software/＃general，2019年12月17日访问。

[14]刘志军、麦永浩:《取证工具及产品的评估方法浅探》，载《警察技术》2006年第4期。

[15]Radhika Padmanabhan，Karen Lobo，Mrunali Ghelani，Dhanika Sujan:“Comparative Analysis of Commercial and Open Source Mobile Device Forensic Tools”，In 2016 Ninth International Conference on Contemporary Computing(IC3)，2016，pp.1-6.

[16]杜春鹏著:《电子证据取证和鉴定》，中国政法大学出版社2014年版，第125页。

[17]仇新梁、李敏:《国家电子物证检验标准分析》，载《保密科学技术》2010年第3期。

[18]杜春鹏著:《电子证据取证和鉴定》，中国政法大学出版社2014年版，第127页。

[19]刘志军、麦永浩:《取证工具及产品的评估方法浅探》，载《警察技术》2006年第4期。

[20]罗威丽、杨永川:《电子数据司法鉴定工具可靠性评估研究》，载《刑事技术》2010年第2期。

[21]刘晓宇、翟晓飞、杨雨春:《计算机取证分析工具测试方法研究》，载《第23届全国计算机安全学术交流会论文集》2008-10-12。

[22]秦海权、赵利:《磁盘镜像类取证软件的检测研究》，载《第24次全国计算机安全学术交流会论文集》2009-09-04。

[23]参见F Flandrin，WJBuchanan，R Macfarlane，B Ramsay:“A Smales:Evaluating Digital Forensic Tools(DFTs)”，载豆丁网，http://www.docin.com/p-1647124189.html，2019年4月21日访问。

[24]Beckett，Jason；Slay，Jill:“Digital Forensics:Validation and Verification in a Dynamic Work Environment”，In Proceedings of the 40th Annual Hawaii International Conference on System Sciences，2007，pp.266-276.

[25]杜春鹏著:《电子证据取证和鉴定》，中国政法大学出版社2014年版，第128页。

[26]黄步根:《存储介质上电子证据的发现和提取技术》，载《计算机应用与软件》2008年第1期。

[27]徐军:《计算机取证的证明力》，载《数字图书馆论坛》2009年第9期。

[28]参见Mary Brandel:“Rules of Evidence-Digital Forensics Tools”，https://www.csoonline.com/article/2117658/investigations-forensics/rules-of-evidence---digital-forensics-tools.htm l，2019年11月21日访问。

[29]刘志军、麦永浩:《取证工具及产品的评估方法浅探》，载《警察技术》2006年第4期。

[30]廖根为:《数字取证工具对电子数据证据的影响及法律规制》，载《计算机科学》2014年第10A期。

[31]公安部认可国外专业软件中数据恢复软件11款:Encase、Forensic Toolkit、XWays Forensis、FinalData、EasyRecovery、File Recovery、PhotoRecovery、Recovery My File、Recover4all、R-Studio、Macforensiclab；数据搜索软件3款:Encase、Forensic Toolkit、XWay Forensic，以及操作系统提供的资源(文件)管理器。参见仇新梁、李敏:《国家电子物证检验标准分析》，载《保密科学技术》2010年第3期。

[32]笔者归纳整理了经过CFTT认证或NIST发布的常用取证工具，见表7-2。