計算機數據分析

計算機數據分析，也可稱為計算機調查或者電子數據鑑定。在計算機犯罪中，計算機扮演的角色無非兩種：一種是作為犯罪的工具，一種是受侵害的對象，而計算機數據分析工作就是對計算機數據進行獲取、保存，然後進行分析、提取，最大限度地再現或還原計算機犯罪的過程，還原操作者的行為。

隨著計算機犯罪的越來越嚴重，政府機構也通過法律制裁了一些利用計算機進行犯罪的嫌疑人，因此，調查人員如何通過系統的方法對計算機犯罪的案件進行定性和量刑等，對人們越來越具有吸引力。計算機數據分析工作是一種全新的調查方法，由於調查對象的特殊性，其調查手段，調查的設備，調查的方法，正在逐漸成為業界的熱門話題，也漸漸展現在人們的面前。

計算機數據分析技術是調查人員通過特定的方法手段、特殊的調查工具，對電子介質進行發現、固定、鑑別、分析、提取、記錄和展式的一系列工作。它也是調查工作的一種，是需要遵守一定的方法和程式的，然而它又是在虛擬空間範圍裡面工作，因此在調查過程中又需要靈活應變的處理方法。

計算機數據分析的原則有關聯性、合法性、客觀性等原則。

分析計算機數據或信息與案件事實有關聯，關聯程度如何，是否實質性關聯，其中附屬信息與系統環境往往要相互結合，才能與案件事實發生實質性關聯。確定能夠證明案件事實的電子證據、附屬信息證據和系統環境證據，並排隊相互之間的矛盾。因此，根據案件當事人與電子證據的關聯，可以決定電子證據的可采性。我國《民事訴訟法》第七十條規定：“凡是知道案件情況的單位和個人，都有義務出庭作證。”《最高人民法院關於民事訴訟證據的若干問題的規定》第七十五條規定：“有證據證明一方當事人持有證據無正當理由拒不提供，如果對方當事人主張該證據的內容不利於證據持有人，可以推定該主張成立。”聯合國《電子商務示範法》第九條第一款指出：“在任何法律程式中，在套用有關證據的任何規則時，如果涉及一條數據電文作為證據的可接受性，就不能以它僅僅是一條數據電文為理由予以拒絕，更不能在當它是提供者在合理情況下所能提供的最好證據時，僅以它不是原初形式為理由加以否認。”《最高人民法院關於民事訴訟證據的若干規定》第七十條規定：“一方當事人提出的下列證據，對方當事人提出異議但沒有足以反駁的相關證據的，人民法院應當確認其證明力：

（一）書證原件或者書證原件核對無誤的複印件、照片、副本、節錄本；

（二）有其他證據佐證並以合法手段取得的、無疑點的視聽資料或者與視聽資料核對無誤的複製件”。

違反法定程式取得的證據應予以排除。我國《刑事訴訟法》第四十三條規定：“審判人員、檢察人員、偵查人員必須依照法定程式，收集能夠證實犯罪嫌疑人、被告人有罪或者無罪、犯罪情節輕重的各種證據，嚴禁嚴刑逼供和以威脅、引誘、欺騙以及其他非法的方法收集證據”。根據《電子簽名法》第一條規定：“符合下列條件的數據電文，視為滿足法律、法規規定的原件形式要求：

（一）能夠有效地表現所載內容並可供隨時調取查用；

（二）能夠可靠地保證自最終形成時，內容保持完整，未被更改。但是，在數據電文上增加背書以及數據交換、存儲和顯示過程中發生的形式變化不影響數據電文的完整性。除非有相反證據，否則法官應當有理由相信基於CA認證體系下的電子數據都是真實的，有數字簽名並通過其驗證的文檔也都是真實的”。

考察電子證據在生成、存儲、傳輸過程有無剪接、刪改、替換的情況，其內容是否前後一致愛、通順、符合邏輯。我國《電子簽名法》第八條規定：“審查數據電文作為證據的真實性，應當考慮以下因素：

（一）生成、存儲或者傳遞數據電文方法的可靠性；

（二）保持內容完整性方法的可靠性；

（三）用以鑑別發件人方法的可靠性；

（四）其他相關因素。這一規定的範圍不能夠包括所有電子證據所產生的訴訟、仲裁等”。

計算機犯罪是一種在虛擬空間、使用虛擬身份、通過虛擬手段來完成，但是卻可以在現實空間獲得利益的犯罪方式。由於其犯罪證據本身也是虛擬的，而且很多證據可以通過一定的技術手段將其重新恢復出來，因此對虛擬空間的搜查比對現實空間的偵查更有意義。因此要求調查人員了解如何獲取存儲在計算機中的電子證據，如網路記錄檔案、電子郵件、文檔處理檔案，JPG圖片檔案等，發揮這些電子證據的作用，甚至是關鍵性的作用。

電子數據調查分析一方面包括對存儲在計算機硬碟、光碟、軟碟、隨身碟等介質中的電子數據進行恢復、固化、查找、提起、分析並最終出具鑑定結論等。同時電子證據處於嚴格的監控保護下，保證調查過程中證據的完整性、有效性，以及調查過後證據的妥善保存等。

另一方面，還能對網頁、BBS等網路環境下的數據進行證據的固化、查找、提取、分析並最終出具鑑定結論。對計算機病毒、間諜軟體、木馬程式等破壞性程式進行查找、提取與功能鑑定分析。

同時，還有一些情況如下：涉案的計算機硬碟數據丟失，需要找回丟失數據；在計算機犯罪中，需要對涉案的計算機硬碟中存儲的計算機軟體和原告擁有著作權的軟體進行比對，認同其同一性；在調查中，需要查明涉案硬碟的被操作情況，如：數據被刪除的時間和次數、數據內容是否曾經被刻錄成光碟等；需要對涉案計算機硬碟進行搜尋 ，尋找特定證據材料；需要對涉案硬碟進行分析，查找曾經在該硬碟上安裝使用的QQ號碼等線索。

我國在計算機犯罪方面的立法存在明顯的不足，如搜查程式、證據扣押、賬號凍結等等都缺乏對應的規定給。同時，電子證據又具有易修改性等特點，因此，在對電子證據進行甄別、蒐集、處理的過程中，稍有不慎，就很容易使原始的電子證據受到破壞。受到破壞的電子證據，如果不能提供完整的修改情況說明，則其作為原始證據的法律地位將受到質疑，甚至失去其作為原始證據的法律地位。

Guidance Software是計算機調查和事件回響解決方案領域的領導者，創建於1997年，總部在美國中部的帕塞迪納州，並在加利福尼亞、維吉尼亞和英國設立了辦事處和培訓機構，全球有超過15000個法人團體和政府調查機構套用了EnCase軟體。

EnCase軟體是計算機分析人員和信息安全專業人員使用的一款計算機調查分析軟體，是全世界計算機分析人員交流的一個平台。EnCase軟體已經被全球眾多的法庭所接受，被當做標準的調查工具來使用。

（1）Encase安裝。跟大部分軟體一樣，Encase的安裝十分簡單，只需要執行簡單的操作就可以完成，但是要注意的是，Encase的軟體授權採用硬體加密狗的方式，如果加密狗沒有正確安裝，則只能運行Encase獲取版。因此除了安裝主稱序檔案外，還需要安裝加密狗驅動。

（2）新建Encase案例。要新建一個案例，當運行完Encase軟體以後，選擇“檔案”——“新建”命令或者直接單擊“新建”按鈕，然後在彈出的“案例選項”對話框中填入對應的選項，定義好各個路徑後，單擊“確定”按鈕即可完成一個案例的新建。新建完案例後，選擇“檔案”——“保存”命令或者單擊工具列中的“保存”按鈕保存案例檔案。瀏覽到需要保存案例的位置，並輸入案例名稱，單擊保存按鈕即可。

（3）Encase備份檔案。Encase為了保證工作的順利進行，會為案例檔案自動創建一個備份。該檔案名稱與用戶名的案例檔案名稱是一致的，只是擴展名不同，案例的備份檔案擴展名是cbak（Encase版本4的擴展名為cbk）。

（4）配置Encase。第一次安裝Encase後，可以通過對Encase進行配置，使Encase滿足我們的工作習慣，提高工作效率。可以先建立一個案例，然後在Encase選單欄中選擇“工具”——“選項”命令，進入Encase的配置對話框。Encase的對話框包含了8個選項卡：全局、調式、NAS、色彩、字型檔、EnScript、存儲路徑，如果已經打開了一個案例，那么還會多出一個案例選項出來。調查人員可根據需要，對每個選項進行修改。

（5）Encase證據檔案的格式。

（6）Encase證據檔案的組成。Encase證據檔案由三個主要的部分組成：檔案頭、檔案一致性檢查組件（CRC和MD5）和數據塊，這三個部分共同提供了分析對象磁碟的一個可靠的、具有自校驗值的狀態描述信息。

（7）獲取Encase證據檔案。把一個已經添加到Encase案例中的設備獲取成證據檔案是一個很簡單的工作，可在需要獲取成證據檔案的設備上右擊，選擇“獲取”命令，也可以選擇設備後，在工具列中單擊“獲取”按鈕。

（8）添加證據檔案。先新建一個案例，然後添加設備，此時會發現在“添加設備”對話框裡有一個證據檔案的選項，如果需要添加證據檔案，那么可以在證據檔案的選項上右擊，然後選擇“新建”命令，新建的選項允許用戶創建一個路徑，該路徑指向證據檔案所在的資料夾。當新建完路徑之後，就可以看到一個新的路徑出現在下方，單擊該路徑，如果該資料夾下面有Encase可以識別的證據檔案，那么證據檔案的圖示就可以出現。經過兩次確認後，就可以把證據檔案添加到案例裡面了。

（9）驗證Encase證據檔案。