正文
经常
有人问,该如何迈入电子数据取证的门槛?说实话,这不是几本书籍、资料就能保证的。但我相信,如果你有耐心看完这篇“长文”,应该会有新的感触和体会。
《你好旧时光》今天的讲述人,
田庆宜
,重庆市公安局网安总队年青的正高级大咖。曾带领团队斩获公安部网安电子取证第一名。
2013年1月1日起施行的《中华人民共和国刑事诉讼法》明确将电子数据列为法定证据形式的一种。现代社会日益信息化,个人活动越来越多在网络空间留下自己直接或者间接的痕迹,电子数据取证重要性日益凸显。进入该领域的小伙伴们越来越多。
刚进入该领域的小伙伴们往往会面临一堆困惑:初学取证,会感觉电子数据取证领域浩如烟海,有数据恢复、Windows取证、云取证、智能家居取证等等业务领域,还有名为电子数据取证的各类法律类书籍,涉及刑事诉讼法、证据法学法律领域,各类书籍汗牛充栋。还涉及国内国外系列标准,国内的公安安全行业推荐标准、司法部标准、国家标准、信安标准,国外影响较大的rfc、iso及nist系列标准和指南。还有各种国际国内培训让人目不暇接,国内公司如美亚,国际上如美国sans学院的相关培训也目不暇接。如何在电子数据取证知识的迷宫殿堂里面找到一个路线图和指南,从而不重蹈“生有涯而知无涯“,高效率的从小工成长为专家,是值得探讨的一个课题。
笔者曾经学习过医学、计算机和法律三个专业。学习电子数据取证之初,曾把国内能找得到的书籍不论良莠全部刷了一遍,走了不少弯路。长期从事取证工作一线,带领的团队曾获得该领域比武的第一。作为一个基层单位成立5年来,已承担各类科研课题19项,承担相关技术标准的撰写6项;在系列重特大案件中发挥了关键作用,团队所有人都已各级立功授奖多次。笔者根据自己的一些探索、感悟、在此抛砖引玉,希望能为新加入该领域的小伙伴给予一些参考,从而不必重走曾经走过的弯路。
For a sailing ship, all the winds are against the wind.- Habets
对于一只盲目航行的船来说,所有的风都是逆风。——哈伯特
进入电子数据取证领域的新人,首先应该明确的是为什么学习电子数据取证,明确自己所学电子数据取证的作用,这是未来航行于电子数据取证领域海洋的指南针。笔者认为,根据中国目前的司法实践,不同的平台的小伙伴电子数据取证的作用并不完全一样。国内从事电子数据取证的三类主要平台:社会第三方鉴定机构、监察检察系统技术领域、公安海关等侦查机关。
社会司法鉴定机构的小伙伴,电子数据取证的作用主要是证据作用,将涉案的各类检材运用专业知识,出具司法鉴定报告。
监察检察系统技术领域的小伙伴,电子数据取证的作用主要是证据作用(包括对侦查机关提供的电子证据进行技术性审查)、侦查作用。电子数据不仅用于提供证据,侦查作用用于在案件中指明侦查方向,寻找犯罪嫌疑人,查清案件真相。
公安海关等侦查机关的小伙伴,电子数据取证则有三重作用。证据作用、侦查作用之外,还涉及情报作用。电子数据的情报作用是为某些重大案事件提供情报线索。
总结而言,电子数据在国内的司法实践概括而言包括证据、侦查、情报三大作用。三者作用其知识架构有显著差别。如强调证据作用的小伙伴,除取证技术外,会更注重电子数据可才性的要求和规范,强调符合技术和法律规范要求。涉及侦查和情报作用的,特别是情报作用的电子数据,未来未必会转化为证据使用,因此会更强调取证人员的侦查思维、侦查意识在电子取证工作中的运用。不同平台的小伙伴可以根据自己所在的平台,选择性的对号入座。
一个用不好取证大师、encase、xway、ftk、i2,不了解python、javac、asp、php各种编程语言,不懂sqlite、sqlserver、mysql等各种数据库,各种mac、linux、windows系统平台,各种log分析、加密解密、逆向工程和恶意代码分析,知识范围不能横跨PC到移动端、从互联网到嵌入式,不能揣摩从黑客到色情狂、从骗子到斯文败类犯罪心理的“厨师”,
不是一个好的取证人员
! -笔者
总体而言,根据笔者经验,电子数据取证领域可以分为四大知识模块。具体如下:
1)
电子数据取证基础知识模块
。该模块包括从事取证领域最小的公共知识(注:计算机专业的小伙伴以下可以无视)。常见如桌面和移动终端操作系统、文件系统与文件格式、编程语言与正则表达式、数据库基础、加解密基础等。值得注意的是,这类基础的学习不用从计算机专业的课本开始学起。
有从事取证领域的小伙伴看到这些基础,第一时间想的就是学习计算机专业课本,遇到操作系统、汇编语言等课本顿时如同撞上一块铁墙,从而不免放弃。(笔者吐槽一句,国内的计算机专业教材,似乎主要目的是让人晦涩难懂,而国外经典教材往往深入浅出。)学习方法建议充分利用
网易公开课
、
新浪公开课
等公开免费优秀资源,外语好的小伙伴还可以使用
Coursera
等开展自学,可以选择较为基础的入门课程。在
取证实务
里面,实际一般不会用到太过深入的计算机基础。非计算机专业的小伙伴重点
建立基本知识架构
、
掌握基础概念
即可,另外编程语言建议学习
python
,国外很多开源取证资源都可以兼容python,另外perl也有不少安全资源,python和Perl也容易上手。
2)
电子数据取证业务知识模块
。该模块常用的主要包括Windows、linux、mac等桌面操作系统取证、Android、ios等智能终端取证、数据恢复、数据库取证、应用程序取证、恶意代码分析、网站的重建与分析、网络数据分析、加密与解密等领域。该知识模块的学习方法可以先选择一本通用基础书籍入门,然后在根据工作领域和需求,选择专著深入公开教材可以选择清华大学出版社出版的公安院校招录培养体制改革试点专业系列
《电子数据取证》
。如果是网安民警,可以选择部十一局主编的全国公安民警训练统编教材
《电子数据勘查取证》
。这两本书结合实战紧密,实用性较强,阅读后可以快速上手。国外这类经典书籍也比较多,主要集中在sygnress及Packt出版社。因篇幅关系,回头有机会再给小伙伴拉书单。
3)
电子数据法律及实验室质量管理知识模块
。电子数据取证不是纯粹的技术领域,电子数据是证据的一种,提取收集的电子数据应该满足法律对证据的可采性要求。这块领域可以进一步简易分为电子数据取证程序和证据形式的相关法律法规要求。
电子数据收集提取程序这块,国内目前最为重要的文件是
《公安部 最高人民法院 最高人民检察院关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(法发[2016]22号)
。
证据形式这一块,虽然刑诉法已经明确规定电子数据为独立的证据形式,但是在司法实践里面电子数据主要还是通过鉴定报告、勘查检查笔录等来体现。如果电子数据选择鉴定报告形式,一方面涉及国家法律相关于鉴定报告的相关要求,同时根据
《全国人民代表大会常务委员会关于司法鉴定管理问题的决定》
相关要求,司法鉴定机关需“有在业务范围内进行司法鉴定所必需的依法通过计量认证或者实验室认可的检测实验室“,因此还涉及
cnas
或
cma
质量体系认证。如果选择出具勘查检查笔录,则可以不用按照cnas或cma质量体系认证,主要遵循相关法律法规及部门规章对勘验、检查笔录的具体要求。这块领域的学习方法,主要通过小伙伴需要出具的证据种类,选择学习相应的法律法规文件。对于cnas体系,笔者要强烈推荐一本书中国人民公安大学出版社
《电子数据取证与鉴定实验室认可工作指南》
,这本书的编者具有丰富的结合电子数据实务的质量管理经验,是不可多得的学术性与可操作性俱佳的好书。这本书也已经包括关于电子证据技术标准的相关知识。
4)
侦查思维知识模块
。在国内司法实践,具备侦查职能的机关里面也有取证部门。这类部门实际不仅要承担电子数据取证作为证据的职能,同时也要具备对电子数据根据侦查和情报进行深入分析的需要。对于侦查机关的小伙伴一定要注意这一点。由于这一块往往内容比较敏感,公开资料较少,学术领域专家出版的书籍基本缺乏对该知识模块的内容,因此侦查机关初入行的小伙伴往往也会被误导忽视这个领域。对于这个领域的学习方法主要是
案例分析和总结
,从实战中去学习。
另外值得指出的一点,具备侦查思维和知识很重要的要
熟悉犯罪嫌疑人的心理
,通过对犯罪嫌疑人心理的分析去运用取证技术,往往可以在案件突破中起到四两拨千斤的突破。犯罪心理分析这块经典书籍包括美国柯特·R.巴托尔已经发表到第11版的《犯罪心理学》,也可以看看美剧
《Criminal minds》
、
《CSI:Cyber》
获得一些直观感受。
不同平台的电子数据的小伙伴可以根据自身的平台,选择性的组合上述知识模块,满足自身工作的需要。
