|
来源:疯人杂说 ID:YCWD_Lzl 作者:@烟草味道 一、电子取证永远不要被工具束缚 到今天,还有人会时不时问疯人,你平时工作取证喜欢用什么软件?回头想想,其实疯人也经历过工具引导工作的阶段。刚接触电子取证,可能会接触一到两种综合取证工具,然后会听到、见到各种综合取证工具,纠结于到底用什么软件取证能取到令人满意的效果,要不就纠结于这个我还不会用,那个我还不会用,怎么办啊。我觉得这是入这行的必经阶段,不过随着办案的增多,经验的积累,后来你会发现,电子取证的本质就是电子发现,是完成取证目标,而不是哪种工具能达到目标,真正的牛人给他一个二进制编辑器就能完成绝大多数工作。 不过这只是在说取证本质,实际工作中还是需要用工具去达到目标,因为这样会大大提升效率。电子取证不能有工具万能论的观点,也不能有工具无用论的看法:不能只会使用一种工具,也不能摒弃一种工具,实务中往往需要根据案件的具体情况,从委托需求出发,综合运用不同的取证工具,来达到取证目标,当然很多情形是工具无法完成的,这就需要真正发挥人的主观能动性,去手工做一些工作,这对取证人员就有较高的要求了。 总之,取证工具五花八门,厂商对自己产品的宣传也是天花乱坠,这时候您要保持冷静,没有一个厂家的工具是万能的,当然也是各有特色的,这还需要您从案件出发,别让工具束缚了自己,而是要轻松驾驭各种工具。 二、电子取证永远不要在取证前对结果下定论 总有办案人会这么问:嫌疑人说电脑里有这个文件,不过他删除了,还能恢复吗?嫌疑人手机里的微信聊天记录能恢复吗?此时作为取证人员,在取证之前,永远不要给对方肯定的答复。因为取证前取证人并不知道嫌疑人的电脑、手机究竟是怎么使用的。 就拿电脑来说,磁盘的存储原理、文件系统机制、操作系统的原理等等注定了在操作系统层面数据被删除具备恢复的可能。但是,取证人在取证前并不知道电脑的使用者在删除文件后具体还做了什么操作,计算机操作系统默认打开了什么磁盘管理机制,被删除的数据会以怎样一个状态存在于磁盘上,谁也说不好。因此,取证前无法给出一个肯定或者否定的结论,取证结论要随着取证工作的展开来给出。 三、永远不要试图仅依靠电子取证去证明人物所属 总有办案人会跟疯人提出这样的需求:证明某台电脑或者手机是某人的。对不起,得不到这样的结论。因为仅仅依靠电子数据你无法判断某一台电脑或者手机究竟是属于一个人还是一条狗。电子取证的结果是对某一取证对象提取出来数据的客观呈现,而单凭这些数据去证明取证对象的所属关系,这是不可能的,取证人只能告诉你提取出的这些数据具备什么特征,可以重点关注什么。后续需要做的事情还要委托取证的人去做。 例如,某盗窃案,嫌疑人偷了张三的笔记本电脑,办案人委托对起获的笔记本电脑进行取证来确认电脑就是张三的,对不起,取证人员给不出这样的结论。那可以给出怎样的结论呢?取证人员可以对电脑的文件进行恢复、搜索、分析,提取其中的个人文档、图片、即时通讯工具的注册人信息等等客观呈现出来,并可以对提取数据的关注程度为办案人提供一些指导。至于后续,那是办案人的事情了。 四、取证技术永远滞后于产品的安全技术 圈里人都知道,总有人会预测电子取证的发展趋势,但永远预测不了下一步电子取证技术的细节应该是什么。因为电子取证技术永远滞后于取证对象的安全技术,电子取证永远是去破解产品的安全。目前电子取证绝大多数情况还是对电脑、手机的取证,有的时候是利用某个漏洞达到取证目标,而不论是电脑还是手机制造商,对于数据的态度永远是保护消费者的隐私和数据安全,而不是便易司法取证工作。 总有一些厂商,当突破了某个技术难点,采用某个漏洞完成了对特定产品的取证,就会大肆宣传,结果没多久产品的生产厂商就会轻而易举的堵住这个漏洞,你的取证技术失效了。弥补一个漏洞可能只需要一周,突破一款产品的取证可能需要几个月甚至更长。电子取证技术的发展就是电子产品厂商和取证厂商的一种博弈,矛盾之争,只不过加固盾牌可能很快,但是磨利矛锋可能很久。所以疯人总想对某些取证厂商说,技术进步可喜可贺,不过没必要什么场合下都嘚瑟。 五、永远不要指望一个取证人员精通所有取证技术 疯人学计算机出身,工作后干的还是这一行,总有人咨询计算机相关的问题,回答不上来的时候多的是,可是这会儿对方会说一句,你不是学计算机的吗?每每听到这句话,疯人特别想乐,不过可以理解,不知者不怪。一句你不是学计算机的吗?就好像学计算机的人能解决涉及计算机的所有问题,明确说,这是一个认知误区!计算机科学是一个学科的统称,下面涉及的领域太多了,有研究硬件的就有研究软件的,有研究集成的就有研究部署的,有研究数据库的就有研究互联网的,有研究网络安全的就有研究黑客攻击的,当然有玩概念的也有钻技术的。你不能指望一个学计算机的精通计算机所有的领域,这是扯淡。 放到电子取证中一样,电子取证说白了还是玩计算机的,玩信息技术的。因此一个取证人员不可能精通所有取证技术。不过话说回来,电子取证人员一般都能适应绝大多数取证需求和场景,那是因为有各类工具予以辅助,这并不高深,就像使用办公软件一样,会用取证软件就能完成基本的取证工作,这也是为什么一些非计算机学科出身的人也能干取证的原因。但是能完成取证不代表能做精做好取证工作,通过工具完成取证工作,谁都一样。不过想把某一个领域取证搞精成为高手,没有相关的知识背景和大量的案件喂着那是不可能的;想把所有领域都高精,成为全天候的专家那也叫胡扯。 六、永远不要中断学习,取证要知其所以然 有句特俗但是特别有道理的话:干中学,学中干。上面疯人说了,完成取证不代表能做精做好取证工作,通过工具完成取证工作,谁都一样。一名普通取证技术人员遇到一个案子取证完了也就完了,是谓知其然;一名好的取证技术人员会把每个案子当成艺术去看待,完成一个案子就是完成了一件艺术品,心里还会自己问为什么,为什么会得到这样的结果,其最底层的原理是什么,是谓知其然亦知其所以然。一名普通的取证技术人员做完一个案子,机械完成一个任务,或许不会留下什么记忆;一名好的取证技术人员遇到案子,当是自己熟悉的领域,做完后会把经验积累起来,遇到未知或者陌生的领域,即使取证工具可以完成工作,也会在取证过程中大量翻阅资料,变未知为已知,变陌生为熟悉,不断提升自己的水平。 信息技术每天都在发生日新月异的变化,搞计算机的不学习,打个盹可能就落后了。电子取证说白了还是玩计算机,所以既然入了这行,何不让自己的水平越来越高呢?您说是吧。有个名词叫什么来着?对了,匠人精神,电子取证是手艺活,而且每个案子在取证前都是未知的,都是新的挑战,为什么不把每个机会利用好,好好学习呢,在把每一个案子做成艺术品的同时提升自我的能力,何乐而不为啊。搞电子取证是个需要耐住寂寞的活儿,屁股得沉,得能坐得住,静下心,学习也得真学,决不能天天炒概念,吹牛逼。 七、永远不要只从技术角度看取证,取证要有创造性 说起电子取证,都会说这是技术活。可是真正放到实务中,仅仅依靠技术并不能解决所有问题,电子取证除了要有技术之外,还需要有一定的侦查思维,想象力和代入感。换句话说,有的时候要跳出技术看取证,突破思维定式,回溯取证对象使用者的使用行为,分析其性格特点,重建基于取证对象的虚拟场,要有一定的取证创造性。 疯人亲历过一个案子,需要破解嫌疑人的某个密码,而这个密码嫌疑人也深知其重要性,拒不供述。综合运用了目前所有的技术手段,要么无法破解,要么需要不现实的时间成本,没有任何意义,可这又是案件的关键证据,无奈之下,疯人和小伙伴们一起翻阅卷宗,从嫌疑人的供述中取查找有用信息和行为习惯,功夫不负有心人,我们发现虽然没有供述需要的密码,但是嫌疑人供述了其他一些应用的用户名和密码,且其常年使用相似密码。于是我们整理这些有用的信息,排列组合,最终破解了嫌疑人密码,获得案件关键证据。所以电子取证决不能把自己禁锢在技术上,被工具所左右,要充分发挥自身的想象力(不是胡思乱想)和创造力去解决问题。每当这个时候,你会发现山穷水尽疑无路,柳暗花明又一村。 八、永远不要认为电子数据是冰冷的,它有温度有生命 多少个案子,疯人从嫌疑人电脑中的上网记录可以看到案发前嫌疑人的匆忙和绝望,多少个案子,可以从嫌疑人手机中的通信记录、聊天记录看到嫌疑人的气急败坏和穷凶极恶,多少个案子,可以从数据库中看到嫌疑人自以为高明的愚蠢行为。 从检材中收集提取的电子数据往往是取证对象使用者留下的电子痕迹,永远不要认为这些数据是冰冷的,其实它是活的,是有温度的。一个案子中收集来的电子数据可以描绘一个人的行为轨迹、内心活动、性格特点甚至隐私怪癖。电子取证是取证人员通过取证对象和其使用者在对话,而且最关键的是电子数据不会说谎。 电子取证说到底是个手艺活儿,深谙了其中的道道儿,最起码掌握了一门吃饭的手艺,走到哪儿都不至于饿着肚子。 电子取证全面兴起也就一二十年的时间,这里面的道道儿绝不仅仅就疯人说的这几个,而且这只是疯人自己的感悟,别人会不会这么想,疯人不知道。还有就是有的道道儿也实在不方便拿到公开场合来说,看官自行体会吧……别问,问了疯人也不知道。 |
|
|
