今天，小編決定帶大家“入行”電子數(shù)據(jù)取證行業(yè)，看看網(wǎng)絡犯罪案件的依據(jù)是怎么來的。說不定，一個不小心你就成了專家呢。

       經(jīng)過WannaCry勒索病毒事件，網(wǎng)絡犯罪已經(jīng)史無前例地成為了大眾焦點，如何懲治這些在網(wǎng)絡中的違法之人是大家都關心的問題。本文旨在揭開電子數(shù)據(jù)取證的神秘面紗，用最簡單的語言和方式讓大家了解網(wǎng)絡犯罪在法律面前是如何“伏法”的，若有描述不當之處，還請各位取證專家不吝指教。

       為打擊網(wǎng)絡犯罪而生的電子數(shù)據(jù)取證，是計算機學科與法學學科交叉的一門學科，而這門學科還可能涉及到邏輯學、密碼學、數(shù)據(jù)學等等，確實是個難度較大、對取證人員的素質(zhì)要求較高的行業(yè)。（但誰說咱們就不行呢？）

一、 什么是取證？

常規(guī)取證：有調(diào)查取證權的組織或個人為了查明案件事實的需要，向有關單位或個人依法進行調(diào)查和收集證據(jù)。

要理解取證，我們首先要知道一個概念：

物質(zhì)交換原理

       又稱為“洛卡德物質(zhì)交換原理”，這個原理指出：犯罪的過程實際上是一個物質(zhì)交換的過程，作案人作為一個物質(zhì)實體在實施犯罪的過程中總是跟各種各樣的物質(zhì)實體發(fā)生接觸和互換關系；因此，犯罪案件中物質(zhì)交換是廣泛存在的，是犯罪行為的共生體，這是不以人的意志為轉(zhuǎn)移的規(guī)律。

       簡單來說，就是兩個對象接觸就一定會交換物質(zhì)并在對方處留下痕跡。

       形象地說，如果你打我一巴掌，我的臉上會留下你的手印、汗?jié)n、劃痕等，而你的手上也會有我的皮膚組織、汗?jié)n等，這樣一來通過證據(jù)的吻合度是可以判斷出究竟是誰打了我（真不明白為什么要舉這么個例子……）

       電子數(shù)據(jù)同樣遵循這個原理，網(wǎng)絡罪犯也會留下“手印”，但這個痕跡只有專業(yè)的取證人員才能看得到。物質(zhì)交換原理是電子數(shù)據(jù)取證的理論基礎，而取證就是尋找各種犯罪交換后留下的痕跡作為證據(jù)的活動。

二、電子數(shù)據(jù)就是電子證據(jù)嗎？

是的！

       1991年，在美國召開的第一屆國際計算機調(diào)查專家會議上首次提出“計算機證據(jù)（Computer Evidence）”的概念，隨之有更多的名稱如“電子證據(jù)”、“數(shù)字證據(jù)”、“電子物證”等讓人迷茫不已。后來我國的訴訟法將“電子數(shù)據(jù)”列為證據(jù)類型，由此統(tǒng)一了名稱。也就是說，在取證行業(yè)里所說的電子數(shù)據(jù)，就是指的電子證據(jù)。

       小編查閱了不少中外資料，發(fā)現(xiàn)對于電子數(shù)據(jù)的定義并沒有一個完全一致的說法。

       等等等等。但大體上沒有太多差別，因此小編結合了劉浩陽主編的《電子數(shù)據(jù)取證》一書，將定義內(nèi)容歸納如下，方便大家理解：

“電子數(shù)據(jù)”定義

1. 數(shù)字形式的數(shù)據(jù)（信息）

2. 能夠證明案件的的真實情況

       好，那么電子數(shù)據(jù)究竟在哪里獲得？

       這就到了大家熟悉的部分了——電子數(shù)據(jù)的載體。說白了，就是你現(xiàn)在拿著的手機！當然還不止于此，所有能夠儲存電子數(shù)據(jù)的設備都能算，電腦、平板、數(shù)碼相機、路由器、GPS、復印機、打印機……（省略一千字）

三、電子數(shù)據(jù)取證是個什么過程？

       明白了取證和電子數(shù)據(jù)的概念，接下來我們聊聊兩者的結合。

       前面提到了，關于電子數(shù)據(jù)的定義難以統(tǒng)一，那么說到電子數(shù)據(jù)取證的流程就更是眾說紛紜。在這里，小編給大家一個簡單粗暴的理解范本，學術定義還請參考各權威機構的文獻。

       就不舉例各家的定義了，根據(jù)小編自己的理解，電子數(shù)據(jù)取證的過程可以用一句話概括：

       把數(shù)字形式的證據(jù)轉(zhuǎn)化為報告形式的過程。

       但是，這個轉(zhuǎn)化形式的過程卻涉及法律標準、技術手段、工具使用等等多領域復雜的內(nèi)容，那可不是幾句話能說得清楚的。本文重點是整體了解電子數(shù)據(jù)取證，至于細節(jié)我們以后慢慢深究。

下圖是電子數(shù)據(jù)取證過程步驟：

▍證據(jù)收集

       證據(jù)收集這個步驟也是爭議的一個焦點：究竟要不要算在取證過程中？因為現(xiàn)場收集證據(jù)一般被看作是警察的職責。

       小編之所以把它歸進來，一是想告訴大家完整的流程，二是認為證據(jù)收集的過程會影響后面的取證結果，因此應該被納為取證的環(huán)節(jié)之一。

       首先我們要知道電子數(shù)據(jù)的脆弱性，它很容易被破壞：病毒、刪除、覆蓋等都會導致電子數(shù)據(jù)改變和丟失。因此在現(xiàn)場收集證據(jù)的時候，常規(guī)收集物證的警察可能會在不知情的情況下改變了關鍵的證據(jù)（比如切斷電源）或者遺漏了重要的證據(jù)，甚至是保存電子證據(jù)不當。

       鑒于電子證據(jù)的特殊性，現(xiàn)場必須要專業(yè)的取證人員給予指導和協(xié)助，才能最大程度上地保存所有的證據(jù)，因此這也應該是取證人員要參與的環(huán)節(jié)——始于取證對象的鎖定和收集。

▍數(shù)據(jù)獲取

       在收集完了所有證據(jù)后，接下來就得把無形的電子證據(jù)從有形的設備中獲取出來。說起來是給數(shù)據(jù)換個地方存儲，但實施起來卻是個不簡單的過程。

我們要考慮到這兩點：

1. 轉(zhuǎn)儲過程是否會改變原始設備上的原始數(shù)據(jù)？（證據(jù)一旦被改變了就沒有法律效應了）

2. 怎么證明你在轉(zhuǎn)儲過程中沒有改變?nèi)魏螖?shù)據(jù)？

       這就涉及到“鏡像”和“寫保護”的概念了，這兩個概念就是專門解決以上兩個問題的，后期我們還會分別介紹這兩個概念的原理以及需要使用的工具。

▍數(shù)據(jù)分析

       獲取到數(shù)據(jù)后，分析是找到罪證的關鍵。要從各種信息數(shù)據(jù)中找到嫌疑人與犯罪事實之間的聯(lián)系，其中涉及到的專業(yè)技術和取證工具就更多了，不同案件要用到的分析方法也不同，這需要調(diào)動取證人員綜合能力，靠的是經(jīng)驗積累。

       數(shù)據(jù)分析中的技術點每一個都能作為一個單獨的課題來研究很久，這是取證的重中之重，敬請期待我們高階的各項專題干貨吧。

▍報告撰寫

       將整個取證過程以日志的形式詳細記錄下來，尤其是能證明犯罪事實的關鍵證據(jù)。

四、電子數(shù)據(jù)取證的目標

       電子數(shù)據(jù)取證的終極目標是：為法庭審判提供合法的證據(jù)。

       為實現(xiàn)這個終極目標，取證人員可能會設置一些小目標，如：恢復數(shù)據(jù)、破解密碼等等。但是這些小目標只是取證的技術手段之一，找到犯罪證據(jù)才是核心。因此，取證人員不會單單囿于一個技術點的突破上，而是會從邏輯出發(fā)，分析尋找證據(jù)。只要能夠合法地找到完整的證據(jù)鏈，可以為法庭提供有說服力的報告，這個過程就算圓滿完成。

       總之，如今的生活，電子數(shù)據(jù)幾乎參與到了方方面面直至每個細節(jié)，你想得到或想不到的地方都存在關于你的電子數(shù)據(jù)，這些電子數(shù)據(jù)能客觀記錄許多你不曾留意的信息，所以才能夠給嫌疑人一錘定音，成為定罪的關鍵依據(jù)。

參考文獻

[1] 劉浩陽, 李錦. 劉曉宇, 等. 電子數(shù)據(jù)取證[M].  北京：清華大學出版社, 2015.

[2] 孫波, 孫玉芳. 張相峰, 等. 電子數(shù)據(jù)取證研究概述[J]. 計算機科學, 2005, 32(2).

[3] 王玲, 錢華林. 計算機取證技術及其發(fā)展趨勢[J]. 軟件學報, 2003, 14(9).

[4] Gary Palmer. A Road Map for Digital Forensics Research[R]. NewYork, 2001.

[5] Technical Working Group for ECSI. Electronic Crime Scene Investigation: A Guide for First Responders[R]. U.S. Department of Justice.