孫 奕，李 巖，沈長達(dá)，郭 弘，黃志煒，毛 曉，李致君

（1.廈門市美亞柏科信息股份有限公司，福建 廈門361008； 2.司法鑒定科學(xué)研究院 上海市司法鑒定專業(yè)技術(shù)服務(wù)平臺(tái) 司法部司法鑒定重點(diǎn)實(shí)驗(yàn)室，上海200063）

2021 年4 月，上海車展上一位特斯拉車主由于剎車失靈發(fā)生事故而維權(quán)，同年8 月，“美一好”創(chuàng)始人林某某駕駛開啟自動(dòng)駕駛功能的蔚來汽車與正在作業(yè)的工程車相撞身亡。上述公眾關(guān)注度較高的案件中均提及了汽車電子數(shù)據(jù)鑒定，并將鑒定過程作為證明事實(shí)的關(guān)鍵環(huán)節(jié)。 隨著我國城市建設(shè)的高速發(fā)展和人民生活水平的日益提高，汽車已經(jīng)逐漸成為人們?nèi)粘Ｉ钪胁豢苫蛉钡囊徊糠帧?根據(jù)公安部公布的數(shù)據(jù)，截至2021 年9 月，全國機(jī)動(dòng)車保有量高達(dá)3.9 億輛，其中汽車2.97 億輛，全國機(jī)動(dòng)車駕駛?cè)烁哌_(dá)4.76 億，其中汽車駕駛?cè)擞?.39 億。 與此同時(shí)，在新能源造車企業(yè)的帶動(dòng)下，隨著車聯(lián)網(wǎng)、自動(dòng)駕駛等技術(shù)的廣泛應(yīng)用，汽車的智能化水平迅速提高，其中包含的電子數(shù)據(jù)種類和數(shù)量均顯著增長。

1 背景和現(xiàn)狀

1.1 汽車電子數(shù)據(jù)的價(jià)值

20 世紀(jì)70 年代，美國通用公司在汽車中安裝了用于記錄碰撞時(shí)安全氣囊數(shù)據(jù)的裝置，汽車中的電子數(shù)據(jù)發(fā)展起源于該裝置，是事件數(shù)據(jù)記錄系統(tǒng)（Event Data Recorder，EDR）的雛形。 通過在此基礎(chǔ)上不斷擴(kuò)充完善，于20 世紀(jì)90 年代基本形成了現(xiàn)代EDR。 2006 年美國國家公路交通安全管理局（NHTSA）將 EDR 寫入法規(guī)中，我國于 2017 年頒布的GB 7258—2017《〈機(jī)動(dòng)車運(yùn)行安全技術(shù)條件〉國家標(biāo)準(zhǔn)第2 號(hào)修改單》強(qiáng)制要求自2022 年1 月1 日起新生產(chǎn)的機(jī)動(dòng)車輛都應(yīng)配備符合GB 39732—2020《汽車事件數(shù)據(jù)記錄系統(tǒng)》，或者符合GB/T 38892—2020《車載視頻行駛記錄系統(tǒng)》。 目前，EDR作為不可或缺的汽車組件，已成為汽車中關(guān)鍵的電子數(shù)據(jù)來源。

在信息技術(shù)飛速發(fā)展和交通管理水平顯著提高的背景下，公共交通車輛、出租車、大型貨車、危險(xiǎn)物質(zhì)運(yùn)輸車輛以及新能源汽車上的車載電子設(shè)備種類和數(shù)量均有較大提升。 20 世紀(jì)70 年代，歐盟、日本等國家就開始以立法形式在部分客運(yùn)車輛及貨車上強(qiáng)制安裝使用汽車行駛記錄儀。 我國自20世紀(jì)80 年代后期開始研制使用汽車行駛記錄儀，2003 年9 月1 日開始實(shí)施推薦性國家標(biāo)準(zhǔn)GB/T 19056—2003 《汽車行駛記錄儀》。 自 2004 年 7 月起，汽車行駛記錄儀開始在全國營運(yùn)客車車輛上逐步推廣應(yīng)用。 與此同時(shí)，行車記錄儀、娛樂系統(tǒng)、導(dǎo)航系統(tǒng)、T-Box 等新型設(shè)備也出現(xiàn)在各類車輛上，使得汽車從單純的交通運(yùn)輸工具逐步演變?yōu)橐粋€(gè)可移動(dòng)的智能空間，且其所承載的數(shù)據(jù)也更為豐富和復(fù)雜，蘊(yùn)含更大的證據(jù)價(jià)值。

1.2 汽車電子數(shù)據(jù)鑒定的典型需求

汽車電子數(shù)據(jù)鑒定的第一類需求是事故調(diào)查，即確定交通事故的原因和責(zé)任。 在涉及人的層面，主要關(guān)注駕駛?cè)耸钦l、駕駛?cè)嗽谑掳l(fā)時(shí)是否有操作失誤、駕駛?cè)耸欠裼羞`法違規(guī)行為（比如接打電話、使用手機(jī)、超速、疲勞駕駛、隨意停車等）；在涉及車的層面，主要關(guān)注車輛的剎車、轉(zhuǎn)向等控制系統(tǒng)是否正常運(yùn)作、車上的傳感器是否正常工作、行車記錄儀是否錄制了事發(fā)時(shí)的畫面等；其他層面的關(guān)注點(diǎn)主要包括車輛起火原因、周圍的行人、障礙物位置和狀態(tài)等。 第二類需求是根據(jù)電子數(shù)據(jù)查找操作痕跡或者溯源。 智能網(wǎng)聯(lián)汽車面臨被入侵的風(fēng)險(xiǎn)，如遠(yuǎn)程控制車輛并干擾駕駛、鎖定車輛勒索錢財(cái)?shù)榷际且酝币姷姆缸镄袨椤?事故的利益相關(guān)方可能采用刪除、篡改數(shù)據(jù)或記錄的方式來隱匿對(duì)自身不利的證據(jù)。 此外，通過篡改汽車的系統(tǒng)或數(shù)據(jù)以達(dá)到突破功能或安全性的限制， 或者通過篡改車輛識(shí)別號(hào)來“洗白”盜搶車輛，這些都可通過電子數(shù)據(jù)來溯源。第三類需求是對(duì)汽車電子數(shù)據(jù)的功能性鑒定，通常發(fā)生在侵權(quán)訴訟或者合規(guī)性審查中。 而自動(dòng)駕駛系統(tǒng)的功能性鑒定將成為未來具有潛力的需求。

除了以上三類需求外，汽車電子數(shù)據(jù)在案件偵查和保險(xiǎn)理賠中也有廣泛的需求，例如提取汽車中的聯(lián)系人和通話記錄、藍(lán)牙/Wi-Fi/USB 設(shè)備連接記錄、被盜車輛的行駛軌跡，收集車輛駕駛?cè)说恼Z音、人像和操作習(xí)慣等信息。

1.3 汽車電子數(shù)據(jù)鑒定標(biāo)準(zhǔn)與工具

2012 年，美國國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）和聯(lián)邦調(diào)查局（FBI）下屬的數(shù)字取證科學(xué)工作組（SWGDE）發(fā)布了Best Practices for Vehicle Infotainment and Telematics Systems 標(biāo)準(zhǔn)，對(duì)于汽車電子數(shù)據(jù)的保全、處理、設(shè)備要求、提取和分析提出了系統(tǒng)性要求，該標(biāo)準(zhǔn)在2021 年發(fā)布了3.0 版本草案。 結(jié)合國內(nèi)司法鑒定工作的實(shí)際需求，司法部于2020 年5 月正式發(fā)布并實(shí)施了司法行政行業(yè)標(biāo)準(zhǔn)《汽車電子數(shù)據(jù)檢驗(yàn)技術(shù)規(guī)范》，這也是國內(nèi)首個(gè)面向汽車電子數(shù)據(jù)檢驗(yàn)與鑒定的標(biāo)準(zhǔn)。 該標(biāo)準(zhǔn)對(duì)汽車電子數(shù)據(jù)檢驗(yàn)中所涉及的儀器設(shè)備、現(xiàn)場檢驗(yàn)和實(shí)驗(yàn)室檢驗(yàn)的基本流程要求進(jìn)行了分類闡述。

目前，國際上知名度較高的汽車取證專用工具是博世（BOSCH）公司的CDR 和Berla 公司的iVe。由于上述工具的主要客戶都是在海外市場，廠商前期對(duì)國內(nèi)車型研究較少，對(duì)于中外合資及國產(chǎn)車型的支持有限，特別是暫無法支持特斯拉等較為矚目的新興品牌。 國內(nèi)許多電子數(shù)據(jù)取證企業(yè)也在研發(fā)相關(guān)的本土化產(chǎn)品，但尚未打造形成完整的生態(tài)鏈。

2 汽車電子數(shù)據(jù)的來源

汽車作為一個(gè)極為復(fù)雜的系統(tǒng)，整合了多個(gè)不同類型的子系統(tǒng)，其中負(fù)責(zé)在多個(gè)電子控制系統(tǒng)間進(jìn)行數(shù)據(jù)傳輸?shù)耐ㄐ艆f(xié)議是車輛總線。 目前，應(yīng)用最為廣泛的車輛總線是博世公司開發(fā)的控制器局域網(wǎng)絡(luò)（Cantroller Area Network, CAN）總線，其構(gòu)成如圖 1 所示。

圖1 汽車CAN 總線結(jié)構(gòu)

車輛總線連接了多個(gè)不同的子系統(tǒng)，這些子系統(tǒng)是汽車電子數(shù)據(jù)的主要來源。 另一種車輛數(shù)據(jù)交互方式是車聯(lián)網(wǎng)（Internet of Vehicles，IoV）。 一個(gè)典型的車聯(lián)網(wǎng)系統(tǒng)由主機(jī)、車載T-Box、手機(jī)APP 及后臺(tái)系統(tǒng)四個(gè)部分構(gòu)成，具體如圖2 所示。 其中，車載T-Box 主要用于和后臺(tái)系統(tǒng)/手機(jī)APP 通信，實(shí)現(xiàn)手機(jī)APP 的車輛信息顯示與控制。 T-Box 通過4G/5G 遠(yuǎn)程無線通信、GPS 衛(wèi)星定位、加速度傳感器和CAN 通信功能，實(shí)現(xiàn)車輛遠(yuǎn)程監(jiān)控、遠(yuǎn)程控制、安全監(jiān)測和報(bào)警、遠(yuǎn)程診斷等多種在線應(yīng)用。

圖2 車聯(lián)網(wǎng)架構(gòu)

筆者現(xiàn)將汽車中主要的數(shù)據(jù)來源列舉如下：

（1）電子控制單元（Electronic Control Unit，ECU），又稱“行車電腦”“車載電腦”“電控單元”。 同普通的單片機(jī)一樣，由微處理器（CPU）、存儲(chǔ)器（ROM、RAM）、輸入/輸出接口（I/O）、模數(shù)轉(zhuǎn)換器（A/D）以及整形、驅(qū)動(dòng)等大規(guī)模集成電路組成。 常見的ECU 包括發(fā)動(dòng)機(jī)管理系統(tǒng)（Engine Management System，EMS）、自動(dòng)變速箱控制單元（Transmission Control Unit，TCU）、車身控制模塊（Body Control Module，BCM）、車身電子穩(wěn)定控制系統(tǒng)（Electronic Stability Program，ESP）、電池管理系統(tǒng)（Battery Management System，BMS）以及整車控制器（Vehicle Control Unit，VCU）。

汽車電控單元主要服務(wù)于汽車的行駛控制，通常存儲(chǔ)容量較小，其中除了存儲(chǔ)電控單元的基本信息外， 在電控單元發(fā)生故障時(shí)還會(huì)存儲(chǔ)故障信息。以發(fā)動(dòng)機(jī)控制單元為例，其存儲(chǔ)的信息包括車架號(hào)、IBS 零件號(hào)、生產(chǎn)日期、編程數(shù)據(jù)以及故障碼等信息。 此外，為了更好地改進(jìn)車輛的排放水平，減少污染物的排放，國際標(biāo)準(zhǔn)針對(duì)排放系統(tǒng)提出故障檢測的需求并提出凍結(jié)幀的概念，即當(dāng)排放系統(tǒng)出現(xiàn)故障碼時(shí)，ECU 也會(huì)同時(shí)存儲(chǔ)出現(xiàn)故障碼時(shí)的數(shù)據(jù)及相關(guān)參數(shù)，比如發(fā)生故障時(shí)的車速、時(shí)間等信息。

（2）EDR 是一種監(jiān)控汽車數(shù)據(jù)記錄的系統(tǒng)，整合于車輛氣囊控制模塊內(nèi)部，用于記錄車輛碰撞前（激活前或到觸發(fā)條件）特定時(shí)間段內(nèi)的車輛速度、發(fā)動(dòng)機(jī)轉(zhuǎn)速、油門踏板位置、制動(dòng)踏板操作情況，以及車輛碰撞后一定時(shí)間段內(nèi)的速度和加速度的變化情況。 EDR 數(shù)據(jù)記錄內(nèi)容通常包括以下幾類：

①事件恢復(fù)時(shí)車輛的系統(tǒng)狀態(tài)，數(shù)據(jù)包含車輛車架號(hào)、電腦零件號(hào)、設(shè)備供應(yīng)商和事件恢復(fù)時(shí)車輛的點(diǎn)火周期等。

②發(fā)生事故時(shí)的系統(tǒng)狀態(tài)，數(shù)據(jù)包含事件記錄的完整情況、事故發(fā)生時(shí)的車輛點(diǎn)火周期、駕駛位和副駕駛位的安全帶狀態(tài)、安全氣囊報(bào)警燈狀態(tài)、事件數(shù)、水平車輛最大變化車速及時(shí)間、橫向車輛最大變化車速及時(shí)間、事件發(fā)生時(shí)ECU 的供電電壓等。

③氣囊展開命令相關(guān)數(shù)據(jù)，數(shù)據(jù)包括駕駛員前部安全氣囊展開指令及時(shí)間、乘客前部安全氣囊展開指令及時(shí)間、駕駛員和乘客膝部安全氣囊展開指令、左側(cè)和右側(cè)安全氣囊及氣簾展開指令。

④碰撞前5 s 數(shù)據(jù)，數(shù)據(jù)包括車速、加速踏板位置、發(fā)動(dòng)機(jī)節(jié)氣門百分比、剎車狀態(tài)、發(fā)動(dòng)機(jī)轉(zhuǎn)速、ABS 狀態(tài)、方向盤轉(zhuǎn)角、四輪轉(zhuǎn)速、四輪胎壓及狀態(tài)、定速巡航狀態(tài)等。

⑤碰撞后數(shù)據(jù)，數(shù)據(jù)包括車輛橫向和縱向速度變化量等。

（3）車載信息娛樂系統(tǒng)（In-Vehicle Infotainment，IVI），俗稱“車機(jī)”，是利用車載專用中央處理器基于車身總線系統(tǒng)和互聯(lián)網(wǎng)服務(wù)形成的車載綜合信息處理系統(tǒng)。 目前，車輛所安裝的車機(jī)能夠?qū)崿F(xiàn)包括導(dǎo)航、輔助駕駛、故障檢測、車輛信息顯示、車身控制、無線通信、在線娛樂以及與手機(jī)聯(lián)動(dòng)等一系列應(yīng)用。 根據(jù)安裝的時(shí)間點(diǎn)進(jìn)行分類，車機(jī)可分為原裝車機(jī)（也稱前裝車機(jī)）和加裝車機(jī)（也稱后裝車機(jī)）。表1 列出了常見的車機(jī)類型和操作系統(tǒng)。原裝車機(jī)系統(tǒng)一般都接入了車載CAN 總線中，因此可提取到車輛信息、狀態(tài)信息（如開關(guān)門狀態(tài)、座椅狀態(tài)、油門踏板狀態(tài)、剎車踏板狀態(tài)）、車輛速度以及行駛里程等信息。加裝車機(jī)通常無法接入車輛CAN總線，通常不會(huì)保存車輛的狀態(tài)和傳感器信息。 以目前最常見的基于Android 操作系統(tǒng)的加裝車機(jī)為例，其硬件方案多數(shù)采用CPU+eMMC（Embedded Multi Media Card，嵌入式多媒體卡）架構(gòu)。

表1 常見的車機(jī)系統(tǒng)及其平臺(tái)

（4）行駛記錄儀俗稱汽車的“黑匣子”，是對(duì)車輛行駛速度、時(shí)間、里程以及有關(guān)車輛行駛的其他狀態(tài)信息進(jìn)行記錄、存儲(chǔ)，并可通過接口實(shí)現(xiàn)數(shù)據(jù)輸出的數(shù)字式電子記錄裝置。 現(xiàn)階段市面上安裝使用的不同行駛記錄儀產(chǎn)品具有多種形態(tài)，常見的產(chǎn)品形態(tài)包括普通汽車行駛記錄儀、視頻行駛記錄儀和智能行駛記錄儀。根據(jù)國家標(biāo)準(zhǔn)GB/T 19056—2012《汽車行駛記錄儀》，行駛記錄儀上存儲(chǔ)的數(shù)據(jù)主要有行駛速度、位置記錄信息、事故疑點(diǎn)（停車前20 s速度、位置、信號(hào)狀態(tài)等）、超時(shí)駕駛記錄、車輛行駛狀態(tài)信號(hào)、總里程、駕駛員登錄信息、記錄儀供電信息等（設(shè)備應(yīng)保存數(shù)據(jù)周期為7 d）。

（5）行車記錄儀。 區(qū)別于根據(jù)國家規(guī)定強(qiáng)制安裝的“行駛記錄儀”，行車記錄儀是車主或駕駛?cè)藶榱吮苊馐鹿始m紛等原因， 在車內(nèi)安裝的能夠循環(huán)攝錄行車過程影像的記錄設(shè)備。 隨著物聯(lián)網(wǎng)和移動(dòng)計(jì)算技術(shù)的發(fā)展，行車記錄儀也從早期的單一攝錄功能，發(fā)展為集影像攝錄、動(dòng)態(tài)導(dǎo)航、4G/5G 聯(lián)網(wǎng)、AI 助手以及流媒體后視鏡等功能于一身的綜合智能設(shè)備。

行車記錄儀中存儲(chǔ)的數(shù)據(jù)主要以視頻數(shù)據(jù)為主，多數(shù)行車記錄儀采用了外置可移動(dòng)存儲(chǔ)卡（如TF/SD 卡），設(shè)備開始工作后按照設(shè)定的配置（如錄制時(shí)間段和視頻分辨率），將行車過程中錄制的視頻直接保存到存儲(chǔ)卡中。 行車記錄儀的視頻格式根據(jù)廠商不同而不同，部分行車記錄儀會(huì)采用私有格式或編碼， 需要特定的解碼器進(jìn)行解碼才能播放，部分具備GPS 定位模塊的行車記錄儀，可將GPS 車速以及定位信息和GPS 時(shí)間直接標(biāo)注在視頻中。若發(fā)生事故時(shí)，此類數(shù)據(jù)對(duì)車輛整體狀態(tài)的分析有較大幫助。

（6）車載 T-Box（Telematics Box），是車聯(lián)網(wǎng)系統(tǒng)的組成部分。 T-Box 根據(jù)安裝時(shí)間可分為前裝和后裝， 前裝主要是T-Box 廠商通過OEM 的方式提供相關(guān)服務(wù)，將汽車生產(chǎn)與CAN 總線直接相連，可獲得車規(guī)級(jí)的系統(tǒng)保證，提供完整的供電設(shè)計(jì)，保證可靠性；后裝主要是通過汽車診斷口進(jìn)行插接，可代替OBD（On-Board Diagnostic）設(shè)備，也可通過破線方式進(jìn)行安裝。

目前，車輛上的T-Box 應(yīng)用大致分為兩類：一類主要安裝于新能源汽車，數(shù)據(jù)內(nèi)容包括整車數(shù)據(jù)、驅(qū)動(dòng)電機(jī)數(shù)據(jù)、燃料電池?cái)?shù)據(jù)、發(fā)動(dòng)機(jī)數(shù)據(jù)、車輛位置數(shù)據(jù)、極值數(shù)據(jù)以及報(bào)警數(shù)據(jù)等；另一類安裝于部分燃油動(dòng)力汽車，主要用于汽車租賃等行業(yè)。

3 汽車電子數(shù)據(jù)提取方法

根據(jù)汽車電子數(shù)據(jù)的來源和交互方式，提取其中的電子數(shù)據(jù)主要有以下幾種基本方法，各種方法并不是相互獨(dú)立的，需要根據(jù)實(shí)際情況綜合使用。

（1）基于 OBD 接口的數(shù)據(jù)提取，主要適用于CAN 總線連接的設(shè)備，如 ECU 和 EDR 等。 數(shù)據(jù)提取使用專用提取工具進(jìn)行。 當(dāng)前大部分車輛使用的OBD 接口是符合 SAE J1962 標(biāo)準(zhǔn)的 OBD-II 接口。 在汽車可以正常啟動(dòng)的情況下，可在方向盤下方等位置找到該接口。 數(shù)據(jù)提取過程使用車內(nèi)供電系統(tǒng)，不需要額外電源。 在汽車無法正常啟動(dòng)的情況下，由于缺少供電，需要拆卸模塊并使用外部電源供電后提取。 根據(jù)車型不同，需使用不同的連接線。 在提取過程中應(yīng)避免翻轉(zhuǎn)、碰撞、移動(dòng)模塊，否則新產(chǎn)生的事件記錄可能會(huì)覆蓋原有數(shù)據(jù)。通常情況下，EDR 安裝在安全氣囊控制模塊的內(nèi)部，因此對(duì)EDR 數(shù)據(jù)的提取主要針對(duì)安全氣囊的控制模塊進(jìn)行，而安全氣囊模塊屬于ECU 的一種，故EDR 的數(shù)據(jù)提取方式通常跟ECU 的提取方式基本一致。

（2）數(shù)據(jù)導(dǎo)出至外接存儲(chǔ)介質(zhì)，主要適用于具有USB、SD 卡插槽等通用物理接口的設(shè)備，如行駛記錄儀、T-Box、信息娛樂系統(tǒng)等。 數(shù)據(jù)提取使用設(shè)備自帶的導(dǎo)出功能進(jìn)行。 在國家強(qiáng)制要求安裝行駛記錄儀設(shè)備的車輛上，行駛記錄儀的安裝位置相對(duì)較為固定，通常安裝在駕駛室頂部、中控臺(tái)面、中控收音機(jī)附近或副駕駛手套箱附近。 不同形態(tài)的行駛記錄儀設(shè)備都預(yù)留有外部物理接口，用于提取設(shè)備內(nèi)部記錄數(shù)據(jù)。 通?？赏ㄟ^車輛給行駛記錄儀設(shè)備供電，用U 盤接入行駛記錄儀USB 口，根據(jù)設(shè)備提示操作按鍵導(dǎo)出VDR 文件。 針對(duì)視頻行駛記錄儀或智能行駛記錄儀設(shè)備，行車數(shù)據(jù)和視頻數(shù)據(jù)一般存在SD 卡或內(nèi)置硬盤中，除通過U 盤文件導(dǎo)出方法，還可直接讀取SD 卡或硬盤獲取行車數(shù)據(jù)和視頻數(shù)據(jù)。

（3）拆卸模塊或存儲(chǔ)介質(zhì)，拆卸模塊主要為了暴露內(nèi)部的隱藏接口或觸點(diǎn)，或解決無法供電、無法進(jìn)行數(shù)據(jù)交互等問題。 拆卸存儲(chǔ)介質(zhì)主要適用于具有可見、可拆卸存儲(chǔ)介質(zhì)的設(shè)備，如行車記錄儀、信息娛樂系統(tǒng)等。

汽車中常見的存儲(chǔ)介質(zhì)是SD 存儲(chǔ)卡、硬盤和閃存芯片，拆卸存儲(chǔ)介質(zhì)宜在斷電后進(jìn)行，拆下的存儲(chǔ)介質(zhì)即可按照常規(guī)方式進(jìn)行提取和分析。 拆卸模塊或存儲(chǔ)介質(zhì)通常在斷電時(shí)進(jìn)行，以避免帶電操作造成數(shù)據(jù)存儲(chǔ)異常。 部分行駛記錄儀設(shè)備配有內(nèi)部電源，如需拆卸設(shè)備提取數(shù)據(jù)，應(yīng)先關(guān)閉設(shè)備背部電源開關(guān)進(jìn)行斷電，否則由于拆卸過程產(chǎn)生的新數(shù)據(jù)可能造成舊數(shù)據(jù)覆蓋丟失。

寶馬等品牌的信息娛樂系統(tǒng)包含的內(nèi)置硬盤帶有ATA 加密，且加密密鑰根據(jù)以太網(wǎng)MAC 地址、藍(lán)牙MAC 地址、序列號(hào)等信息生成。 如果ATA 密鑰被移除，硬盤裝回車機(jī)后將不能被正常識(shí)別，因此在檢驗(yàn)完成后仍需還原該ATA 加密。 使用JTAG或者直接拆焊芯片讀取的方式通常作為其他數(shù)據(jù)提取方法都無效時(shí)的最后選擇。

（4）基于協(xié)議交互的數(shù)據(jù)提取，對(duì)于具有串口的行駛記錄儀、信息娛樂系統(tǒng)等設(shè)備可通過命令行發(fā)送指令提取對(duì)應(yīng)數(shù)據(jù)，數(shù)據(jù)交換格式也較為統(tǒng)一。 在通過CAN 總線或者車聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)交互時(shí)，通過 UDS（Unified Diagnostic Services）及 DoIP（Diagnostic over IP）協(xié)議的數(shù)據(jù)包進(jìn)行捕獲和解析，可以得到大量有用的信息。

使用eMMC 存儲(chǔ)芯片的信息娛樂系統(tǒng)、T-Box等設(shè)備， 制造商為了方便燒錄程序和后期升級(jí)，會(huì)在電路板上預(yù)留讀寫eMMC 的測試點(diǎn)，通過焊線或?qū)?yīng)的夾具引出到TF 卡的PCB 上，可將eMMC 掛載讀取或制作鏡像。針對(duì)特定文件系統(tǒng)（如QNX6FS）的鏡像可進(jìn)一步恢復(fù)數(shù)據(jù)。 一些T-Box 設(shè)備電路板上具有ST-LINK 等特定接口，也適用該方法進(jìn)行提取。 使用Android 系統(tǒng)的信息娛樂系統(tǒng)， 可使用adb 進(jìn)行數(shù)據(jù)提取。對(duì)于需要獲取root 權(quán)限的情形，可參照Android 手機(jī)取證進(jìn)行。

（5）基于車聯(lián)網(wǎng)的數(shù)據(jù)提取，主要適用于接入車聯(lián)網(wǎng)的T-Box 和信息娛樂系統(tǒng)等。 針對(duì)車聯(lián)網(wǎng)APP 的取證是其中一個(gè)重要途徑，目前主流品牌車輛都推出了可遠(yuǎn)程操控的車聯(lián)網(wǎng)APP，如奧迪的myAudi、寶馬的myBMW 等。 其數(shù)據(jù)存儲(chǔ)也分為汽車端、操控端（手機(jī)等）和云端幾部分。

（6）基于安全漏洞的數(shù)據(jù)提取。 早期基于WinCE系統(tǒng)的信息娛樂系統(tǒng)，廠商為了方便升級(jí)和減少開發(fā)成本，將第三方導(dǎo)航程序放在外部存儲(chǔ)中，即可在外部存儲(chǔ)路徑執(zhí)行。 通過制作相應(yīng)版本的數(shù)據(jù)提取程序替換導(dǎo)航程序，即可獲取文件系統(tǒng)的鏡像。 由于漏洞利用的技術(shù)門檻較高，實(shí)踐中通常由信息安全或取證行業(yè)的廠商針對(duì)漏洞開發(fā)相應(yīng)的工具。

4 改進(jìn)的汽車電子數(shù)據(jù)鑒定通用技術(shù)框架

在實(shí)踐操作中，汽車取證同樣遵循電子數(shù)據(jù)取證的一般流程。 參考德國聯(lián)邦信息安全辦公室（BSI）發(fā)布的指南以及文獻(xiàn)[16]提出的技術(shù)框架，本文提出一種改進(jìn)的汽車電子數(shù)據(jù)鑒定技術(shù)框架，主要分為以下六個(gè)階段：

（1）方案策劃。 根據(jù)委托人提供的需檢車輛信息（車型、出廠年份、識(shí)別號(hào)等），收集相關(guān)手冊(cè)與技術(shù)文檔，查閱知識(shí)庫中該車型的檢驗(yàn)策略與步驟，指派具有資質(zhì)的鑒定人員。 對(duì)于特殊狀態(tài)的需檢車輛（如涉水、涉爆）還需制定安全措施，以防止對(duì)檢驗(yàn)人員造成意外傷害。

（2）操作準(zhǔn)備。 通過現(xiàn)場勘驗(yàn)，逐一發(fā)現(xiàn)并識(shí)別待檢汽車上的接口和組件，評(píng)估提取操作對(duì)數(shù)據(jù)完整性的影響，確定各個(gè)數(shù)據(jù)來源的檢驗(yàn)順序和檢驗(yàn)方式，準(zhǔn)備數(shù)據(jù)提取工具和適配的連接線纜與轉(zhuǎn)接口。

（3）數(shù)據(jù)獲取。 根據(jù)（1）的方案和（2）的發(fā)現(xiàn)，分別在現(xiàn)場和實(shí)驗(yàn)室獲取檢驗(yàn)所需的原始數(shù)據(jù)。 其中：現(xiàn)場檢驗(yàn)主要通過OBD、USB 等接口讀取或?qū)С鰯?shù)據(jù)；實(shí)驗(yàn)室檢驗(yàn)主要針對(duì)可拆卸的模塊和存儲(chǔ)介質(zhì)、JTAG 提取等難度較高的操作，以及云端數(shù)據(jù)獲取等對(duì)環(huán)境和時(shí)效沒有特別要求的檢驗(yàn)過程。

（4）數(shù)據(jù)檢驗(yàn)。 利用廠商工具、汽車取證工具和一般電子數(shù)據(jù)取證工具對(duì)各個(gè)來源獲取的數(shù)據(jù)進(jìn)行解密和解碼，篩選與委托要求相關(guān)的數(shù)據(jù)，轉(zhuǎn)化為可直接處理的數(shù)據(jù)格式。

（5）數(shù)據(jù)分析。 根據(jù)委托要求對(duì)各類數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析和計(jì)算，形成與委托要求相對(duì)應(yīng)的鑒定意見，為案件調(diào)查提供有用信息。 必要時(shí)給出潛在的關(guān)聯(lián)數(shù)據(jù)來源提示。

（6）形成報(bào)告。 與其他電子數(shù)據(jù)鑒定類似，形成的鑒定報(bào)告需包括檢驗(yàn)方法、工具、數(shù)據(jù)獲取情況、檢驗(yàn)步驟、分析說明和鑒定意見。 報(bào)告內(nèi)容應(yīng)確保各個(gè)環(huán)節(jié)的使用者均可以正確理解。

5 汽車電子數(shù)據(jù)鑒定案例

5.1 小型客車EDR 模塊數(shù)據(jù)鑒定

2019 年5 月，某高速公路發(fā)生一起大貨車追尾轎車的重大交通事故，事故造成轎車乘員一死一傷。 根據(jù)大貨車司機(jī)描述，發(fā)生碰撞事故時(shí)前車處于停止?fàn)顟B(tài)。 由于事發(fā)路段較為偏僻，無現(xiàn)場監(jiān)控視頻和途徑現(xiàn)場車輛的行車記錄儀數(shù)據(jù)，辦案機(jī)關(guān)委托某機(jī)構(gòu)對(duì)事故車輛進(jìn)行鑒定，以確定事故發(fā)生時(shí)的車輛狀態(tài)。

案件中被追尾的轎車已嚴(yán)重?fù)p壞，委托人送檢時(shí)已經(jīng)由專業(yè)人員將車輛的EDR 模塊從事故車輛中拆下，本案例在實(shí)驗(yàn)室中對(duì)送檢EDR 模塊進(jìn)行數(shù)據(jù)提取。 通過查詢廠商資料，分別確定電源正、電源接地、CAN_H 以及 CAN_L 針腳位置，如圖 3 所示。 再通過USB 轉(zhuǎn)CAN 連接線與檢驗(yàn)工作站連接，使用EDR 數(shù)據(jù)提取工具讀取數(shù)據(jù)。

圖3 EDR 接口定義

由于提取所獲得的數(shù)據(jù)為加密的私有格式，進(jìn)一步使用廠商提供的配置文件和工具進(jìn)行轉(zhuǎn)換解碼后，即可獲得該EDR 中所導(dǎo)出的原始數(shù)據(jù)記錄，其中包括該車碰撞前5 s 的狀態(tài)數(shù)據(jù)，如表2所示。

表2 車輛碰撞前5 s 的EDR 數(shù)據(jù)

經(jīng)分析， 事故轎車事發(fā)前5 s 車速為0， 發(fā)動(dòng)機(jī)轉(zhuǎn)速保持在640 r·min，剎車、油門踏板均為未踩下狀態(tài)。 據(jù)此可推斷，該車在事故發(fā)生時(shí)處于發(fā)動(dòng)機(jī)怠速的停止?fàn)顟B(tài)。 由于轎車后方被大貨車碰撞，觸發(fā)了安全氣囊彈出，因此安全氣囊起爆前的數(shù)據(jù)能夠客觀反映出車輛碰撞發(fā)生前的狀態(tài)。 最終，電子數(shù)據(jù)鑒定結(jié)果與現(xiàn)場痕跡勘驗(yàn)結(jié)果、駕駛員的口供均能相互印證，成為辦案機(jī)關(guān)的定案依據(jù)。

5.2 大型貨車行駛記錄儀數(shù)據(jù)鑒定

某市市郊高速公路發(fā)生一起由大貨車導(dǎo)致的16 車連環(huán)相撞的交通事故，由于事故現(xiàn)場情況較為復(fù)雜，辦案機(jī)關(guān)將肇事大貨車的車載行駛記錄儀送檢，要求鑒定大貨車在事發(fā)時(shí)間的行駛狀態(tài)，以確定事故原因。

從大貨車駕駛室中拆下的型號(hào)為BSJ_A6BD的“北斗雙?！毙旭傆涗泝x，正面檢見USB 接口，背面檢見連接通信天線和車輛的數(shù)據(jù)接口，未檢見內(nèi)置電源。使用背面的24 針接口為其供12V 直流電，將空白U 盤連接到USB 接口， 通過菜單中的導(dǎo)出選項(xiàng)導(dǎo)出數(shù)據(jù)，得到以“D+年月日_ 時(shí)分_ 車牌號(hào).VDR”形式命名的文件。

經(jīng)過檢驗(yàn)發(fā)現(xiàn)，該VDR 文件數(shù)據(jù)格式符合GB/T 19056—2012《汽車行駛記錄儀》附錄 A 的規(guī)定：在03H 數(shù)據(jù)幀處，解析得到車輛在2021-05-19 的累計(jì)行駛里程數(shù)為430 210.9km；在05H 數(shù)據(jù)幀處，解析得到本車輛識(shí)別碼、車輛號(hào)牌信息（如圖4 所示）；后續(xù)可繼續(xù)解析得到行駛速度記錄、位置信息記錄、事故疑點(diǎn)記錄、超時(shí)駕駛記錄等重點(diǎn)數(shù)據(jù)。 其中，行駛速度記錄信息如表3 所示，超時(shí)駕駛記錄數(shù)據(jù)如表4 所示，部分?jǐn)?shù)據(jù)已經(jīng)過脫敏處理。

表3 車輛行駛速度記錄

表4 超時(shí)駕駛記錄

圖4 VDR 文件數(shù)據(jù)示例

經(jīng)分析可知：該車在事發(fā)時(shí)最高行駛速度為76 km·h；事發(fā)當(dāng)天，車輛駕駛員自早上 6 時(shí) 45 分開始駕駛車輛，直至中午12 時(shí)18 分事發(fā)，已連續(xù)駕駛5.5 h。 根據(jù)以上結(jié)果，辦案機(jī)關(guān)結(jié)合現(xiàn)場勘驗(yàn)（事發(fā)路段限速80 km·h）以及司機(jī)供述（該車僅有一名隨車駕駛員）綜合分析認(rèn)定，造成該起事故的主要原因是大貨車司機(jī)疲勞駕駛、精力不集中，因而未及時(shí)采取有效制動(dòng)而追尾。

隨著汽車智能化程度的日益提高和新能源汽車的快速普及推廣，汽車中包含的海量電子數(shù)據(jù)能夠?yàn)榻煌ㄊ鹿收{(diào)查和現(xiàn)場重建、刑事案件偵查分析工作提供很多幫助。 同時(shí)，自動(dòng)駕駛、人工智能和車聯(lián)網(wǎng)等技術(shù)使得汽車和云服務(wù)器、手機(jī)智能終端的結(jié)合也更為緊密，因此，汽車電子數(shù)據(jù)鑒定必將很快成為電子數(shù)據(jù)檢驗(yàn)鑒定不可或缺的組成部分。 由于智能網(wǎng)聯(lián)汽車涉及的品牌、車型和系統(tǒng)眾多，針對(duì)不同車型的取證技術(shù)研究將有多個(gè)研究分支，在該層面上各種汽車取證工具預(yù)期將形成差異化競爭。 此外，相當(dāng)數(shù)量的車載電子模塊尚無統(tǒng)一的標(biāo)準(zhǔn)約束，其安裝位置、硬件平臺(tái)、系統(tǒng)平臺(tái)再到上層應(yīng)用都不盡相同，通常涉及復(fù)雜的技術(shù)和操作方法，而這些不確定性將成為汽車電子數(shù)據(jù)鑒定的另一挑戰(zhàn)。