【精华分享】|CDF取证训练营网课优秀作业分享（一）

伴随着疫情情况不断好转，其他省市陆续复工，在家办公的湖北同事们也陆续收到了绿色健康码！等待解封复工期间，CDF电子取证训练营2.29号开课已经过去了一周多了。除了感谢同学们在线支持我们的课程之外，也要特别感谢中国网络安全审查技术与认证中心、上海市信息安全行业协会给予我们防护物资支援，暖心的团队支持，相信我们能尽快渡过难关。CDF电子取证训练营也将持续把网课精华内容分享给大家，希望以这种方式来回馈大家，同时也希望大家能在训练营里学有所成。

本文分享的内容为第一周课后优秀作业，其他优秀作业后面也会持续更新（CDF电子取证训练营分享的作业都已取得作者同意）。

QA1:在1.3.3的一个案例中，某500强跨国公司员工在工作时间，利用公司计算机下载不雅视频，被美国总公司监管平台发现并存证。请问监管平台是如何发现下载的是不雅视频的呢？

解答（七号数字—赖晓哲）：一般的公司网络都会建立公司内部网络结构部署，采用统一的网络出入口，并经过网络末端设置上网行为管理，再由上网行为管理分发所有的网络连接和数据传输（一般的公司内部网络部署结构）。上网行为管理会记录所有网络连接端口（每一个员工网络连接）的数据IO日志。

1、对上网行为管理进行网络策略设置（黑名单、网络IO大小等），当公司某员工的IP网络传输异常可以预警通知网络管理员。如：视频为大文件格式，正常上班时间网络传输数据量不大。当长期大数据交互为异常。不雅视频地址为黑名单地址。如不在黑名单库的---忽略。

2、当预警可对上网行为管理网络日志进行分析，可以通过具体上网行为管理日志文件信息如；请求客户端IP，时间，目前IP，端口，请求url，数据类型、数据大小等。再通过客户ip请求的网络url地址进行再次访问。可以还原当时客户下载的视频内容。

如有安装网络办公云监控软件的，还可以通过软件还原客户端的具体操作日志，甚至桌

面操作录像。

QA2:取证主体从单纯的执法部门已延伸到了社会电子数据应用的方方面面，那么像执法部门和企业，律师，安全公司等等不同主体在电子数据取证技术或侧重方面有无差异？

解答（罗秋林—湖南金凯华律师事务所）：不同的主体进行电子数据取证有不同的规范，刑事案件，公安检察法院取证必须严格执行法律规范如下：最高人民法院、最高人民检察院、公安部印发《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》法发【2016】22号、《计算机犯罪现场勘验与电子证据检查规则》公信安〔2005〕161号、2019年02月01日《公安机关办理刑事案件电子数据取证规则》。

行政案件，因为举证责任倒置，应当遵守以下程序规则，如：《国家工商行政管理总局关于工商行政管理机关电子数据证据取证工作的指导意见》工商市字〔2011〕248号、《最高人民法院印发《关于审理证券行政处罚案件证据若干问题的座谈会纪要》第2条规定等。

民事案件，举证原则是谁主张谁举证，取证尽量应当依据《最高人民法院关于互联网法院审理案件若干问题的规定》已于2018年9月3日实施第11条之规定用时间戳等方式进行取证。

QA3问：1.1节中老师提到数字取证技术可以通过对一张照片的分析得到拍摄的时间、地点、设备等信息，如若有技术的人通过工具不留痕迹地进行分析，侵犯了他人的隐私却又无人知晓，对于这种行为应当如何防治？

解答（CDF062）：问题中提到的拍摄照片泄露个人隐私问题在生活和影视作品中都有体现，包括腾讯公司也澄清过有关微信朋友圈照片不会泄露地理位置隐私的问题。从预防的角度，个人应该有良好的个人数据保护意识，首先，拍摄的照片exif信息可以保存很多信息比如拍摄设备名称、型号、拍摄参数（光圈、快门等）、拍摄日期、修改日期等等，其中最为隐私可能就是地理位置信息，现在很多拍照设备比如最常用的智能手机支持拍照同时记录GPS数据，而这些数据非常容易查看，简单的在Windows系统下右键属性即可以查看，或者使用专门的工具比如exiftool（郭老师课件中提到的判断图纸是否是原始未被修改的案例使用的也是这个工具）也可以查看，那么如果保存有隐私信息的原始照片被别有用心的人获取就可能造成隐私泄露。所以首先是尽量不要在拍照的同时保存地理位置信息，比如个人使用的华为手机日常中“位置信息”选项默认是关闭的，拍照“设置”内添加地理位置信息选项默认也是关闭的，这样可以从源头上避免信息泄露。其次，如果真的需要记录地理位置信息，则要注意不要随便把保存有隐私数据的原始照片发布到网络上，以防被别有用心的人员利用。另外，就算照片参数内不包含地理位置信息也可能凭照片拍摄的内容本身推测出拍摄地点，比如根据照片特点，多张照片综合分析、比对环境照片等手段，所以综合来讲互联网时代还是应该具有更加良好的隐私保护意识，不要将任何可能包含个人隐私的数据随便发布到互联网环境中造成隐私泄露。

QA4:电子数据取证，如何保证恢复的数据，找到的数据是我们(警方)想要找到的数据，而不是犯罪份子想让我们找到的数据。

解答（路人甲）：对于涉及计算机的犯罪，如果违法嫌疑人具有一定反侦察意识，的确存在消除犯罪证据，甚至故布疑云、迷惑警方侦查视线的可能。

但电子数据作为证据的一种，不是孤立存在的，一个真实有效的证据必然与其他证据相关联，并相互印证,形成一个完整的证据链条。例如课堂中所列举的设计案例中，虽然篡改了文件的真实生成时间，但却忽视了同样相关联的软件版本问题，从而暴露了真实情况。这种关联不只是电子数据本身之间，与其他证据之间同样存在，如果我们在手机中获取了火车的订票信息，能不能就此判断其就乘坐了这趟火车呢？当然不能，我们还需要通过检票信息，视频监控信息等情况进行验证。

从一方面来说这种反侦查行为确实对侦查工作产生了干扰，但另一方面有时却反倒提供了侦查方向，暴露了违法行为本身。如在某泄密案件中，为了找到违法嫌疑人，我们先秘密将所有可疑计算机的USB使用记录进行固定，然后传播公司要追查泄密的消息，之后再对计算机USB记录进行检查，果然发现了一台计算机的使用记录被篡改，从而锁定了违法嫌疑人。

因此，只要计算机取证人员技术扎实，认真细心，办案人通过综合判断多种证据，是可以排除虚假证据的，不仅如此，合理利用还有助于案件的侦办。

QA5:现阶段很多话题，比如最近的李文亮医生案，很多都是从社交媒体的聊天截图中发起的。那么这种聊天截图，或者说聊天记录，个人感觉造假的可能性比较高，对于案件的侦破能不能作为真正的证据？还是说只能像马加爵案的硬盘中提取出来对海南三亚的多次搜索这个信息作为辅助侦破的信息？

解答（油菜花地里的黄蝶）：首先回答第一个问题：确实在公安工作时间中尤其是网安的互联网舆情引导工作中经常会遇到境外媒体、“大V意见领袖”在社交账号中以聊天内容截图为话题抨击时政、传播谣言、扰乱网络社会秩序，一些涉嫌网络诈骗案件中，“话务人员”俗称“客服人员”也会使用由软件生成的、伪造的聊天截图或者网站后台截图进行网络诈骗。所以，在案件侦破中，很少以聊天内容的截图作为证据。

但是，各种社交软件，如微信、QQ、YY、陌陌的聊天记录是可以通过电子数据取证分析，生成取证报告是可以作为案件的证据的。在一些网络诈骗案件中，我们会先期提取受害人的手机中聊天记录、转账记录，或者由受害人自己截图打印出来，写清出处和自己签名，作为报案材料附在案卷中。后期抓获嫌疑人后，再分别提取固定受害人和嫌疑人的手机内的聊天记录，相互印证、形成证据链。

针对第二个问题，是目前网安系统内电子取证分析实验室的一个主要工作，就是海量电子数据提取后的研判分析工作。打掉一个涉嫌诈骗或者侵害公民信息的窝点后，往往会扣押大量的硬盘和手机等电子检材，如何快速提取电子数据后及时向办案单位提供重要的、关键的涉案线索是我们在一线工作中服务基层实战和发挥电子数据分析技术支撑的重要工作。

这就需要同学们努力学习各种电子取证分析知识，如常见如桌面和移动终端操作系统、文件系统与文件格式、编程语言与正则表达式、数据库基础、加解密基础等。Windows、linux、mac等桌面操作系统取证、Android、ios等智能终端取证、数据恢复、数据库取证、应用程序取证、恶意代码分析、网站的重建与分析、网络数据分析、加密与解密等领域。还需要学习电子数据法律及实验室质量管理知识如《公安部、最高人民法院、最高人民检察院关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》（法发[2016]22号）、《全国人民代表大会常务委员会关于司法鉴定管理问题的决定》相关要求，司法鉴定机关需“有在业务范围内进行司法鉴定所必需的依法通过计量认证或者实验室认可的检测实验室“，最后就是学以致用，大量案件分析的积累，不断提升自己的侦查思维知识。

QA6:课件中提到取证人才需要职业素养，因为在开展工作时可能会接触到一些敏感信息如关键账号、密码等，取证者如果没有职业素养可能就会利用职务的便利为自己牟利，我想问下在现实中是否有出现过取证人利用职务便利暗中为自己牟利或者违法犯纪的情况？在取证行业中有没有一些约束措施或者监管措施防止出现这种现象？

解答（CDF062）：1.现实中确实发生过这种取证人员利用职务之便违法牟利的行为，例：江苏淮安80后民警程某将办案中查扣的赌博网站源代码提供给犯罪分子开设另一个赌博网站，在赌博网站运营期间，还成为犯罪分子的“保护伞”，通风报信、逃避查处，犯罪分子非法获取暴利高达2.3亿元。程某则以该源代码“入股”，在赌博网站公司中占30%股份，并按此股份分红，被法院认定共计收受了2000余万元的贿赂。中国裁判文书网发布有程俊山案的一审判决及二审裁定：被告人程俊山犯滥用职权罪、受贿罪，一审被判有期徒刑十七年，并处罚金人民币三百万元。2018年9月14日，淮安市中级人民法院二审裁定“驳回上诉，维持原判”。

详见：https://www.thepaper.cn/newsDetail_forward_2530425

http://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=9cc3f3753d744625a9c4a96b01841969

2.约束措施或者监管措施：

各取证机构应该都有自己相应的工作程序，管理制度和规范，比如《实验室管理规范》、《检材保管制度》等，另外有实验室等级评定（公安内部）、鉴定机构进行CNAS认可评定等方式更加规范、有效的对取证工作进行合规管理。另外，要从根本上杜绝这类违规、违法行为的发生除了有规范的管理制度外还需要从硬件、技术层面的监管，比如:

①取证实验室或者鉴定机构要设置加密门禁（面部识别、指纹等），非本机构工作人员严禁入内；

②工作区域要有摄像头覆盖，保证360度无死角监控，并且监控视频要至少能留存半年以上（有条件的留存时间越长越好）；

③涉案检材应放置在专门的物证保管室，并且设置加密门禁、加密物证保管柜（箱），物证保管和使用应由不同人员负责，且最好做到只有一人无法取出检材（比如物证保管员只可以进门，而具体检材使用人只可以打开物证柜）。

④建立实验室内部监管审计系统，对电子数据取证过程中对检材制作的镜像、所有提取的数据规范储存管理，对实验室人员分类授权，比如设置取证人员、管理人员、内审人员三种角色，取证人员正常工作时间使用涉案数据需在系统内提交申请，由管理人员批准授权后使用；在非工作时间使用涉案数据除需管理人员批准授权外还要有内审人员介入审批；对外部储存设备（U盘、移动硬盘、光盘以及各类网盘）的使用应严格限制并有审批，有记录，且内审人员可以随时收到数据导出行为的通知，并可随时查看到数据导出详细情况，如有违规情况发生可随时从系统上进行制止。

⑤工作中可能会遇到需要将涉案检材或者提取数据送至第三方鉴定机构鉴定的情况发（比如上面的案例，程某在前期办理网络赌博案件中负责技术勘验，扣押了存有网站源代码的硬盘，后拷贝到优盘送往鉴定机构鉴定，此过程中其保存了网站源代码），此类情况下也应制定严格的程序规定并有相应的技术保障，比如外送的数据储存介质应高强度加密，具体运送人不知道解密密码（或不掌握秘钥），这样既避免数据丢失泄密也避免监守自盗。

由于篇幅受限，本次摘选了部分作业分享，对于提问中的数据恢复相关知识，大家可以复习一下我们以前的内容哦：

你以为“恢复”就是把扔掉的东西再捡回来吗？| 数据恢复专题（一）

眼前的“删”不是“删”，你说的“除”是什么“除”？| 数据恢复专题（二）

算是看透了！原来你是这样的硬盘! | 数据恢复专题（三）

是时候讲讲「文件系统」了 | 数据恢复专题（四）

数据恢复中的“老大难”：文件碎片 | 专家约稿

你肯定不知道的文件签名恢复原理 | 数据恢复专题（六）

没有恢复出来数据却还要收我的钱，坑！吗？