电子数据取证是如何帮助警察蜀黍抓坏人的？

作为网侦行业的“老司机”，中国刑警学院副教授秦玉海对几年前的一起诈骗案记忆犹新。

时间退回到 2015 年，正是 P2P 金融诈骗疯狂跑路的时候，秦玉海接到一个来自山东省滨州市的取证案子。

在官方的介绍中，这起案子是这样描述的：“滨州市公安局彰化分局对滨州市崔某某等人组织领导传销活动案经过几个月的立案侦查，抓捕，打掉了以周某某、杨某、张某等人为首的全国特大网络传销团伙。经查，2015 年 4 月至 10 月，该团伙在短短半年内疯狂敛财，涉案金额高达 35.9 亿元，获利 21.86 亿元，范围涉及全国 24 个省，90 余万人，严重扰乱了社会经济秩序。”

虽然从诈骗金额来看，这绝对可以让这些骗子判重刑，但由于案情复杂、涉案人员众多、数据量庞大，在打掉传销团伙之后，电子取证工作成为影响最终审判的重点和难点，这起案子的电子数据鉴定涉及注册单数 499 万单，涉案服务器容量高达 7.5T，之前在第一次庭审的时候，由于没能对数据进行有效分析，所以无法对犯罪嫌疑人进行审判。

如何把庞杂的数据进行分门别类的整理和鉴定，最终以此来作为最终审判的依据？这是摆在秦玉海面前最大的问题。

左手技术，右手法律，这样才能同坏人斗智斗勇

与普通的取证不同，电子数据取证所涉及的知识比较多，不仅需要掌握计算机专业知识（计算机操作系统、数据库原理等），还要有信息安全知识（密码学原理等）和法学基础（证据科学等）。简直是学霸才能干的职业~~~

简单来说，就是既要懂技术，还要懂法律！

在网络犯罪高发的今天，如何具备快速获取新知识、新技术的能力，以更好地适应不同案件侦查、调查的需要，是摆在很多办案人员面前的问题。

秦玉海在到达彰化后同样遇到了这样的问题，“我们拿到被缴获的两台设备后，发现还挺复杂，有磁盘、固态硬盘，磁盘存的是数据，固态硬盘有一套系统，两个机器还不一样。”

怎么读取数据？是直接在服务器上读还是放在仿真机里读？计算机运行起来会不会破坏原始的素材？即使是克隆了硬盘，但应该用什么方法读？硬盘之间存在什么关系？这些技术问题都一一摆在了秦玉海的面前。

除此之外，法律知识也是必不可少的！

秦玉海介绍，之所以这个传销组织在半年内就发展成 90 万人，是因为营利模式看起来很好，“你拿800块钱我就给你建一个账户，建完账户你这个账户每天会增加 18 元，在你建账户的时候你发展一个下线，你直接得 240 元，你去报单，你如果有报单权限还得 40，所以很快账户就翻番，所有人都给自己建下线。”

“参与司法检验，我要求我们所有鉴定人要鉴定一个案件必须了解这个案件的法律规定，以前我们没做过传销案，那你必须了解这个司法解释什么叫传销案。”秦玉海介绍，首先是立案就要 3×30 人，它的层级，下线人数是多少要搞清楚，这是立案的基本依据，获利与涉案金额还有返利功能要建立出来。在第一庭审中，嫌疑人就不承认，说我下面就 3 个人，我根本构不成3级，就一层，别人再发展他根本不计算。

很多一线办案人员没有电子物证基础常识

由于第一次开庭并没有得到专业的电子数据证据，对传销团伙的审判遇到了困难，秦玉海去的时候马上就要第二次开庭。

看了第一次庭审时的资料，他对其中涉及的问题进行解决。“数据分析程序我们进行了重新编写，但 3 天才跑了20 万个账户的统计，数据很慢，后来改成分布式存储过程，400 多万账户秒出。”

但一个人可以注册多个账户，当账户被检测出来后，如何对应在人头上呢（只有超过30人才能立案）？

“机器里全是账户，账户数和人数我们采用了五级去重法，比如同一个 IP 即使注册了多个账户，我们也只算一个人，身份证相同的算一个人，或者几个账户用同一个名字我们也算一个人，另外我们在法庭也做了展示系统，能做重复实验，可以让你看上面都是谁，这就坐实了他们的传销之实！”秦玉海说。

针对秦玉海第一次庭审所遇到的问题，一位来自电子取证的安全公司的技术专家对此也深有感触，他所在的企业是一家做电子数据取证设备的，在平常所接触到的一线办案人员中，秦玉海所描述的问题经常出现。

据他介绍，电子数据取证相比于传统的，痕迹检验，文件检验等取证，具有证据不好固定且容易被篡改的特点。所以不太容易被法庭等相关单位部门采信。

“对于电子数据的取证，一线办案人员确实非常需要去培训。”他坦言，一线办案人员了解电子数据取证的人员太少，对新兴设备的处理能力和分析能力需要加强，与此同时，对新兴电子物证相关案件的处理，取证设备也要跟上变化，随时进行升级，这样才能保证证据第一时间固定，不被污染和篡改。

连看个病也涉及电子数据取证？医生每打一个字都会成为呈堂证供！

又是法律，又是技术的，电子数据取证是不是离我们很远呢？

NONONO！它其实就是我们身边！不信？还是先来回答几个问题吧！

你去医院看病时请医生开过药么？你平时发微博么？刷朋友圈么？

 如果是，那你有可能就会同电子数据打交道。

来自国家信息中心电子数据司法鉴定中心业务主管魏连就介绍了一个这样的案例。

 “我们现在经常发生的医患纠纷，患者拿着电子病例给到说这上面有问题，我当时诊断的时候不是这个结果，医生是误诊。但是对这张打印出来的纸张进行分析会很困难，我们必须要调取当时生成这个电子病例的系统。”

魏连解释，真的做分析的时候，要让系统停止或者用虚拟的方式模拟出来一套，然后还要获取所有日志信息，分析它的系统有没有留后门。

“因为我们知道人都会犯错的，有的时候医生写一些东西会写错，有一些电子病例就是留后门，他要去审核，比如实习生、医生有审核，就是有修改的权限，修改到什么程度？是不是有一些防篡改的措施？”魏连坦言，这种工作量是非常大的，通常来说一个系统级别的分析，从时间上来说肯定以月计，从金钱上来说，从耗费的人力评估上面来说，不下 10 万也是做不下来的。

这个问题困扰她非常久，不过，现在已经探讨出来一个新的思路。“这个方案叫电子证据全生命周期的鉴定解决方案，从纠纷发生的时候事后的鉴定往前推，我们在信息系统建设完成的时候，就对他的数据法律风险做一个评估，比如这个信息系统就是邮件或者电子合同，它当时在设计的时候是怎么做身份确认的，怎么生成、产生和传递这些数据的，这些数据在有效的证据链里面是不是有防篡改的措施？”

魏连表示，他们会根据我们多年司法实践的经验，在信息系统上线之前，就对它做法律风险评估，这个评估会给出一些建议，多增加一些日志或者权限的设置，或者签名的技术加入进去，以使得由这个信息系统所产生的数据以及它的法律有效性能够大大的增加。

未完待续，下期将有电子取证的详细技术介绍。

戳蓝字查看更多精彩内容 探索篇 ▼   暗网【上】|  暗网【下】 草榴社区 | 女鉴黄师 | 以图搜图 心脏滴血 | 撞库攻击 | 潜行追踪 刷票 | 人肉 | 勒索 | 内鬼 超级欺骗系统 真相篇 ▼ 战斗民族野生聊天 App 草榴社区这类色情网站为什么封不掉 什么样的漏洞买得起北京二环一套房？ 上了个“假”黄网，误入了7亿黑产的大门 13岁小黑客自学一年挖到了微软、谷歌的漏洞 中学教材现黄色网站 人教社回应遭网友质疑 干货！top白帽子 Gr36_ 手把手教你挖漏洞 我们可以用“免疫系统”对抗黑客入侵吗？ 这位叔叔要教勒索软件一些做人的道理 有个网站叫“我知道你下载了什么” 无线电攻击居然还能用来打飞机 “道哥”透露从业初心 人物篇 ▼ 道哥：重回阿里的29个月 黑客老王：一个人的黑客史 吴石：站在0和1之间的男人 黑客衰大：45天攻入姑娘的心 黑客段子手“呆子不开口” “特斯拉破解第一人”刘健皓 唐青昊：虚拟世界的越狱者 MOSEC：盘古团队的野心优雅 让周鸿祎“三顾茅庐” 的 黑客 MJ 美女黑客张婉桥的“爱丽丝奇遇记” TK教主和玄武实验室的几个小故事 把老婆训练成女黑客的漏洞大神黄正 “真爱”黑客 Fooying 手把手教你追妹子 更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域，讲述黑客背后的故事。

长按下图二维码并识别关注