|
编者按 当今时代有三个特点:信息前所未有丰富,获取信息的手段日益丰富,获取信息的门槛日益降低。因此,信息不对称能够给您带来的红利会日益减少。 前言 关于微信语音文件的两篇推文放出后,很多网友发来消息和留言,大致在说,以后电子数据取证工作如何自证清白?其实这个问题根本不是问题,对取证工作而言,最重要的原则无非两条,一是保证程序上的规范,二是不断提高能力水平。 今天跟大家探讨一个别样的话题,如何伪造电子数据不会留下痕迹。这个话题比较大,也比较复杂,更容易引起争议。但小编想说的是,只有充分了解他,才能更好的应对他。 在侦查破案中,普遍存在并遵循一个原理,那就是著名的洛卡德物质交换原理。大意是说只要有操作,就会留下痕迹。但问题是,伪造电子数据,痕迹可能遗留在电子数据的“场”内,也可能遗留在“场”外。小编试图探讨的是,如何让操作痕迹尽量遗留在“场”外,而不是“场”内呢? 一、降低对文件系统和操作系统的依赖性 能够直接记录操作痕迹的途径:操作系统、应用软件,能够间接记录操作痕迹的途径:文件系统。 这样表述比较晦涩,我举个例子。 比如,你试图把伪造好的电子文件”abc.txt”,拷贝到目标系统。此时,你既需要把伪造好的电子文件内容做到符合要求,还要确保文件运输的过程符合时间逻辑。但只要使用了复制、粘贴等操作,就必然无法跳过操作系统、文件系统的记录。最简单的,就是系统对于文件修改时间的记录,只此一处,便可发现疑似。 因此,想做到不留痕迹,需要考虑使用其他方法。 二、关注数据校验 有些情况下,数据之间是存在一定校验关系的,比如:有的数据库记录中,重要数据表的最后一列可能会是校验值字段。此时,犯罪分子如果要伪造数据的话,恐怕也不会忘了这一处的修改。还有的复合文件,文件体本身就包含有检验值,特别是一些音视频文件、专有格式文件,经常这么干。 如果犯罪分子没有关注数据校验,那我们就可以通过数据校验发现端倪,筛选疑似。 还有一种情况就更加麻烦一些,此类电子数据是双向关联的,比如:电子邮件、手机短信等具有“孪生兄弟”的电子数据。面对这种类型的电子数据,在确保一方“完美修改”的同时,对于另外一端的“孪生数据”,犯罪分子更多的会参考后面的方式,否则,他的努力可能会白费了。 三、涉及第三方的证据问题 有些电子数据可能存储在第三方的系统中。在法律实践中,第三方的角色相对没有利益关系。因此,第三方提供的证据,往往更能打动裁判者的内心确认。如何干预第三方系统中保存的电子数据呢? 说实话,第三方系统往往是在线数据、云数据,针对此类数据的取证,通常也只能做到对现有数据的固定。因此,犯罪分子往往采用传统手段对第三方保存的相关电子数据进行破坏,包括物理破坏。除此之外,恐怕也没有更好的办法了。 俗话说,魔高一尺道高一丈,没有金刚钻,不揽瓷器活。当你觉得万无一失的时候,洛卡德正梳理你留下的那些蛛丝马迹呢。 注:帮助毁灭、伪造证据罪有关释义,根据《中华人民共和国刑法》第三百零七条第二款规定,帮助当事人毁灭、伪造证据,情节严重的,处三年以下有期徒刑或者拘役。司法工作人员犯该罪的,从重处罚。 本罪不限于刑事诉讼中,还包括民事诉讼和行政诉讼。 |
|
|
