◆翟振興 楊仕海

（重慶市公安局江北區(qū)分局 重慶 400021）

基于社交網(wǎng)絡(luò)的電子證據(jù)取證方法探討

◆翟振興 楊仕海

（重慶市公安局江北區(qū)分局 重慶 400021）

隨著網(wǎng)絡(luò)技術(shù)尤其是移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展和迅速普及，網(wǎng)絡(luò)社交成為當(dāng)今主要的一種社交方式。然而，以社交網(wǎng)絡(luò)為載體或者社交網(wǎng)絡(luò)作為入侵客體的犯罪案件頻發(fā)，這對(duì)電子證據(jù)取證技術(shù)提出了更高的要求。如何有效提取及固定社交網(wǎng)絡(luò)犯罪中留下的“痕跡”，成為刑事訴訟偵查取證的關(guān)鍵環(huán)節(jié)。本文結(jié)合社交網(wǎng)絡(luò)犯罪及電子證據(jù)取證技術(shù)的特點(diǎn)，提出了基于社交網(wǎng)絡(luò)的云取證和數(shù)據(jù)挖掘電子證據(jù)取證方法，對(duì)依法打擊社交網(wǎng)絡(luò)犯罪和刑事訴訟具有積極意義。

社交網(wǎng)絡(luò); 電子證據(jù); 取證; 方法

0 前言

社交網(wǎng)絡(luò)即社交網(wǎng)絡(luò)服務(wù)，源自英文SNS（Social Network Service）的翻譯，即提供社會(huì)性網(wǎng)絡(luò)服務(wù)的網(wǎng)站，是人類(lèi)在互聯(lián)網(wǎng)上傳播信息和進(jìn)行社會(huì)交流活動(dòng)的平臺(tái)和載體，其本質(zhì)是包括硬件、軟件、服務(wù)及應(yīng)用在內(nèi)的綜合體，其發(fā)展經(jīng)歷了早期社交網(wǎng)絡(luò)BBS時(shí)代、娛樂(lè)化社交網(wǎng)絡(luò)時(shí)代、信息社交網(wǎng)絡(luò)時(shí)代和垂直社交網(wǎng)絡(luò)應(yīng)用時(shí)代。

社交網(wǎng)絡(luò)犯罪是以接入社交網(wǎng)絡(luò)的信息系統(tǒng)及其存儲(chǔ)、傳輸?shù)男畔榉缸飳?duì)象，或者把社交網(wǎng)絡(luò)作為犯罪工具所實(shí)施的危害社會(huì)、依照刑法規(guī)定需要追究刑事責(zé)任的行為，也即是把社交網(wǎng)絡(luò)即作為犯罪對(duì)象又作為犯罪工具的犯罪。包括入侵社交網(wǎng)絡(luò)網(wǎng)站、在社交網(wǎng)站上傳授犯罪方法、傳播淫穢物品牟利、進(jìn)行網(wǎng)絡(luò)誹謗等非法活動(dòng)，且構(gòu)成刑法意義上的社會(huì)危害。與傳統(tǒng)的計(jì)算機(jī)犯罪、網(wǎng)絡(luò)犯罪相比，社交網(wǎng)絡(luò)犯罪具有鮮明的特點(diǎn)，即犯罪分子將傳統(tǒng)網(wǎng)絡(luò)犯罪的技巧與現(xiàn)在的社交工程技術(shù)相結(jié)合，逐步掌握犯罪所需的全部信息，進(jìn)而敲詐用戶(hù)錢(qián)財(cái)、冒充好友進(jìn)行詐騙、誘使用戶(hù)下載惡意信息及進(jìn)行其他的網(wǎng)絡(luò)攻擊和侵害。

1 電子證據(jù)取證

電子證據(jù)是指以應(yīng)用現(xiàn)代信息技術(shù)而產(chǎn)生的，借助電子或者相關(guān)電子設(shè)備形成的，可以用于證明案件事實(shí)或與法律事務(wù)有關(guān)事實(shí)的一切與電子信息相關(guān)的材料與信息的總稱(chēng)[1]。電子證據(jù)作為訴訟證據(jù)必須具備客觀性、關(guān)聯(lián)性和合法性的特點(diǎn)。電子證據(jù)取證是運(yùn)用計(jì)算機(jī)及網(wǎng)絡(luò)等技術(shù)獲得電子證據(jù)的過(guò)程。電子證據(jù)取證技術(shù)是隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)發(fā)展而來(lái)的新興領(lǐng)域，依據(jù)電子證據(jù)的載體劃分，分為傳統(tǒng)電子證據(jù)取證技術(shù)和網(wǎng)絡(luò)取證技術(shù)。

1.1 傳統(tǒng)電子證據(jù)取證技術(shù)

傳統(tǒng)電子證據(jù)取證對(duì)象大多是硬盤(pán)、U盤(pán)等看得見(jiàn)、摸得著的具有存儲(chǔ)功能的電子設(shè)備，取證人員可以通過(guò)物理扣押制作磁盤(pán)鏡像獲取證據(jù)，逐比特的復(fù)制鏡像能完整的記錄磁盤(pán)上已刪除文件、未分配空間和交換空間的內(nèi)容。與傳統(tǒng)證據(jù)相比，傳統(tǒng)電子證據(jù)具有表現(xiàn)形式多樣化、易破壞、易修改等特點(diǎn)，因此要求取證人員擁有相應(yīng)的知識(shí)和技術(shù)工具，按照相關(guān)的法律、法規(guī)，同時(shí)遵照取證操作規(guī)程，開(kāi)展提取和固定證據(jù)工作。然而，傳統(tǒng)電子證據(jù)取證是事后取證，存在取證設(shè)備效率低、取證設(shè)備標(biāo)準(zhǔn)缺失和不統(tǒng)一及取證設(shè)備功能滯后等問(wèn)題。

1.2 網(wǎng)絡(luò)取證技術(shù)

網(wǎng)絡(luò)取證技術(shù)主要針對(duì)網(wǎng)絡(luò)數(shù)據(jù)流、網(wǎng)絡(luò)設(shè)備日志的實(shí)時(shí)監(jiān)控和分析，發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的入侵行為，自動(dòng)記錄犯罪證據(jù)，對(duì)網(wǎng)絡(luò)的動(dòng)態(tài)信息進(jìn)行收集和對(duì)網(wǎng)絡(luò)攻擊的主動(dòng)防御[2]。網(wǎng)絡(luò)取證的電子證據(jù)來(lái)源與其他取證不同，網(wǎng)絡(luò)取證更專(zhuān)注于網(wǎng)絡(luò)流量的監(jiān)控與分析。網(wǎng)絡(luò)取證中電子證據(jù)的主要來(lái)源有：系統(tǒng)日志、IDS、防火墻、ftp、反病毒軟件日志、系統(tǒng)的審計(jì)記錄、網(wǎng)絡(luò)流量監(jiān)控、數(shù)據(jù)庫(kù)的臨時(shí)文件及連網(wǎng)設(shè)備等[3]。為保證傳輸?shù)目煽啃?，網(wǎng)絡(luò)數(shù)據(jù)流中不可避免的會(huì)有大量的冗余數(shù)據(jù)。網(wǎng)絡(luò)取證是事中取證，常用的網(wǎng)絡(luò)取證技術(shù)包括入侵檢測(cè)取證技術(shù)和痕跡取證技術(shù)[4]。入侵檢測(cè)取證技術(shù)是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)手機(jī)信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)，簡(jiǎn)稱(chēng)IDS，其可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)通信包進(jìn)行實(shí)時(shí)的監(jiān)控和分析，獲取嫌疑人的犯罪信息。痕跡取證技術(shù)是指運(yùn)用專(zhuān)門(mén)的工具軟件和技術(shù)手段，對(duì)犯罪嫌疑人使用過(guò)的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備相關(guān)記錄和痕跡信息進(jìn)行分析取證，獲得案件相關(guān)的犯罪證據(jù)。主要有文件內(nèi)容、網(wǎng)頁(yè)內(nèi)容、聊天記錄、登錄日志及網(wǎng)絡(luò)日志等。

1.3 反取證技術(shù)

實(shí)際案例中，黑客往往具備專(zhuān)業(yè)的計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)知識(shí)，因此大多黑客具有較強(qiáng)的反偵查意識(shí)，在入侵過(guò)程中采用身份隱藏、入侵后采取擦除的方式刪除相應(yīng)的“痕跡”和電子證據(jù)。犯罪分子使用數(shù)據(jù)隱藏技術(shù)、數(shù)據(jù)刪除技術(shù)和數(shù)據(jù)加密等反取證技術(shù)大大削弱取證工作的效果，給取證工作帶來(lái)很大的困難。因此，取證人員需要加大對(duì)反取證技術(shù)的研究力度，深入分析反取證技術(shù)的原理，通過(guò)專(zhuān)業(yè)的知識(shí)綜合運(yùn)用數(shù)據(jù)恢復(fù)、數(shù)據(jù)解密技術(shù)進(jìn)行取證操作，并嚴(yán)格按照取證操作規(guī)程，以獲取司法實(shí)踐中可信的電子證據(jù)。

2 基于社交網(wǎng)絡(luò)的電子證據(jù)取證

由于社交網(wǎng)絡(luò)具有信息多樣、動(dòng)態(tài)（實(shí)時(shí)）、海量、交互和可信性質(zhì)疑等特點(diǎn)，相比傳統(tǒng)的電子證據(jù)取證和網(wǎng)絡(luò)取證具有更大的困難，主要表現(xiàn)在動(dòng)態(tài)實(shí)時(shí)數(shù)據(jù)獲取問(wèn)題、海量數(shù)據(jù)內(nèi)容分析問(wèn)題、復(fù)雜交互數(shù)據(jù)展示問(wèn)題和證據(jù)的可信性問(wèn)題[5]。結(jié)合社交網(wǎng)絡(luò)犯罪的特點(diǎn)，綜合云取證及數(shù)據(jù)挖掘技術(shù)的優(yōu)勢(shì)，提出基于社交網(wǎng)絡(luò)的云取證和數(shù)據(jù)挖掘的電子證據(jù)取證方法。

2.1 基于社交網(wǎng)絡(luò)的云取證方法

社交網(wǎng)絡(luò)作為犯罪工具有兩種表現(xiàn)形式，即作為犯罪主體聯(lián)系的平臺(tái)和犯罪存儲(chǔ)的載體。隨著移動(dòng)互聯(lián)網(wǎng)和云計(jì)算的快速發(fā)展和普及，社交網(wǎng)絡(luò)的載體從PC端逐漸向移動(dòng)智能終端和云端過(guò)渡。社交網(wǎng)絡(luò)中的“QQ群”、“微信群”、“朋友圈”讓興趣相同的人緊密聯(lián)系在一起，但這也成為滋生犯罪的“溫床”。筆者結(jié)合日常取證實(shí)例：張某等人傳播隱晦物品和暴恐音視頻案。張某等人利用微信群和云盤(pán)傳播淫穢視頻及暴恐音視頻信息，該案中社交網(wǎng)絡(luò)既作為犯罪主體聯(lián)系的平臺(tái)，又作為犯罪存儲(chǔ)的載體。犯罪嫌疑人張某通過(guò)加入一些微信“歪群”，通過(guò)發(fā)紅包付費(fèi)的方式獲取群成員存儲(chǔ)在云端的隱晦視頻和暴恐音視頻下載權(quán)限，然后自己建立微信群，下載到本地再存放到大量（TB級(jí)）的淫穢視頻和暴恐視頻的115網(wǎng)盤(pán)供他人下載。如何提取和固定不同微信群成員云盤(pán)賬號(hào)下的電子證據(jù)成為取證的一大難點(diǎn)。采取遠(yuǎn)程勘驗(yàn)對(duì)每個(gè)云盤(pán)賬號(hào)下的淫穢視頻進(jìn)行下載固定，不具有可操作性?？紤]到不同云賬號(hào)下的視頻文件可能是通過(guò)最初的一個(gè)云賬號(hào)進(jìn)行分享后轉(zhuǎn)存的，不同云賬號(hào)下的同一視頻文件名列表實(shí)際指向相同的文件。取證實(shí)踐中如能證明每個(gè)云賬號(hào)中的視頻文件列表實(shí)際指向的相同文件，這樣能大大減輕取證的工作量，只需要下載一個(gè)云賬號(hào)下的視頻文件，同時(shí)向云服務(wù)提供商及時(shí)凍結(jié)和調(diào)取包括云賬號(hào)、索引、文件儲(chǔ)存位置列表在內(nèi)的證據(jù)即可。

2.2 基于社交網(wǎng)絡(luò)的數(shù)據(jù)挖掘取證方法

社交網(wǎng)絡(luò)作為犯罪客體是指犯罪分子通過(guò)各種技術(shù)手段，違反國(guó)家規(guī)定，侵入各種各樣的大型社交系統(tǒng)，他們可能會(huì)竊取賬號(hào)密碼獲取公民個(gè)人信息，或以破壞系統(tǒng)進(jìn)行敲詐勒索等犯罪活動(dòng)。大型社交網(wǎng)絡(luò)往往采用了分布式技術(shù)和云計(jì)算的技術(shù)來(lái)存儲(chǔ)各類(lèi)數(shù)據(jù)的。社交網(wǎng)絡(luò)數(shù)據(jù)的高度復(fù)雜性給電子證據(jù)取證帶來(lái)了巨大的挑戰(zhàn)。同時(shí)，社交網(wǎng)絡(luò)數(shù)據(jù)之間的關(guān)聯(lián)性使得可以綜合利用數(shù)據(jù)挖掘的思想進(jìn)行電子證據(jù)提取、分類(lèi)。社交網(wǎng)絡(luò)作為犯罪客體，可以利用多線(xiàn)程技術(shù)的抓包引擎，依據(jù)不同的協(xié)議層規(guī)則和綜合運(yùn)用各種數(shù)據(jù)挖掘技術(shù)來(lái)分析相應(yīng)層的可疑數(shù)據(jù)，提取與案件相關(guān)的電子證據(jù)，同時(shí)通過(guò)分析入侵來(lái)源和方法，將分析出的新規(guī)則存入知識(shí)庫(kù)，指導(dǎo)下一次的數(shù)據(jù)挖掘分析和入侵檢測(cè)，從而發(fā)現(xiàn)證據(jù)間的潛內(nèi)在關(guān)聯(lián)，重現(xiàn)系統(tǒng)入侵的全過(guò)程，提供準(zhǔn)確有效的電子證據(jù)，解決網(wǎng)絡(luò)取證可信性的問(wèn)題。通過(guò)數(shù)據(jù)挖掘的關(guān)聯(lián)規(guī)則和聚類(lèi)方法，對(duì)提取的海量和交互數(shù)據(jù)進(jìn)行分類(lèi)，從而解決了網(wǎng)絡(luò)數(shù)據(jù)取證對(duì)海量數(shù)據(jù)內(nèi)容分析和復(fù)雜交互數(shù)據(jù)展示的局限性問(wèn)題，在實(shí)際工作中，技術(shù)人員通過(guò)合理運(yùn)用數(shù)據(jù)挖掘技術(shù)，可以在海量的網(wǎng)絡(luò)數(shù)據(jù)中對(duì)犯罪行為的諸如文件屬性、IP日志等盡心深入分析，從而及時(shí)挖掘各種犯罪行為，進(jìn)而固定電子證據(jù)，為案件的審查移送提供強(qiáng)有力的證據(jù)支撐。

3 結(jié)論

筆者結(jié)合日常取證工作實(shí)際，提出了基于社交網(wǎng)絡(luò)的云取證和數(shù)據(jù)挖掘電子證據(jù)取證方法，具有較好實(shí)用價(jià)值。隨著社交網(wǎng)絡(luò)向縱深領(lǐng)域發(fā)展，必將對(duì)現(xiàn)有的電子證據(jù)取證方法提出更高的要求。這也將是筆者下一步研究重點(diǎn)。

[1]龐鳳宇.電子證據(jù)取證問(wèn)題研究[J].河北公安警察職業(yè)學(xué)院學(xué)報(bào)，2016.

[2]Pilli ES，Joshi RC，Niyogi R.A generic framework for network forensics.Int’l Journal of Computer Applications，2010.

[3]杜威，彭建新，毛莉.網(wǎng)絡(luò)電子證據(jù)取證技術(shù)綜述[J].刑事技術(shù)，2011.

[4]楊泉清，許元進(jìn).淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)取證技術(shù)[J].海峽科學(xué)，2010.

[5]吳信東，李亞?wèn)|，胡東輝.社交網(wǎng)絡(luò)取證初探[J].Journal of Software，2014.