电子数据取证

来源:重庆市人民检察院技术处,转自:

重庆检事儿

,制作:汤茜

一家正在营业的大型医药超市,来了几个穿制服的人,他们不去货架选药,而是找到门市经理,直奔收银台,对着电脑屏幕低声讨论着什么... ...

他们是C市检察院的检察官和检察技术员,他们突然造访,是要查证这家医药超市所属的公司是否与一起行贿案有关

该公司使用一个销售系统来管理所有零售批发药品,系统会自动将药品名称、出库日期、单价、数量、采购方等信息记入后台数据库。在技术人员询问下,门市经理指出了服务器及存储设备就在隔壁的机房里,并提供了销售系统账号密码和一个加密狗。

检察技术员建议,立即检查服务器。门市经理相当配合,带检察人员进入机房,登录服务器,看到的不仅仅是近几日销售记录,还有实时显示的药品销售信息。

根据办案需要,必须得扣押这台服务器。此时公司方面提出这台服务器是唯一的、实时在线的营业设备,将服务器整个扣押带走这几天可怎么营业呢?

检察技术人员也是有备而开,只见他打开一只黑色的箱子,取出几个勘验设备,临时关闭了服务器,对存储硬盘做镜像。

为了亲眼目睹断掉服务器情况后销售系统的反应,细心的检察技术人员径直走向一个恰好有顾客准备付款的收银台进行观察。本以为会看到销售失败的场景,但是,奇迹出现了,在几双眼睛的注视下,收银员正常扫码、收费、出货成功!

顾不得听门市经理尴尬的解释,检察技术人员拦住收银员,当即查看收银电脑的本地网络配置情况,记录下此时的IP地址等关键信息,随后又重回机房开启服务器,再回到电脑查询IP地址,居然二者不一致!

声称唯一的服务器都停了,前端还照常销售,说明什么?说明至少还有另一个服务器。好险!多亏技术人员在收银台中多看了一眼,否则医药公司就可蒙混过关。

这不光是偶然的幸运,也是检察人员在多年办案过程中培养出的职业敏感。

此时销售经理从开始的信誓旦旦,变成了佛系三连,“不知道、我不懂、别问我”,无法给出合理解释。

检察技术员立即展开行动,根据现场设备的实际连接情况绘制网络拓扑图,在一边清查一边绘图的过程中,终于发现交换机上连着的一条网线没有连接任何已知设备,而是不知去向。

顺藤摸瓜,在一个隐蔽的阁楼上,发现另一套服务器(以下称为服务器X)。揪出了真正的“老鬼”,其他一切就好办了。

最后查明:收银电脑上显示的服务器IP地址,正是服务器X的IP地址,服务器X提供销售系统后台服务的同时,也向机房同步数据。进一步分析表明,这种数据同步是经过人为设置的,大量没有同步过去的交易数据,正包含着涉案信息。

随后,检察技术人员利用数据库备份工具,通过现场备份的方式得到打包文件,再使用工具软件计算这个打包文件的哈希值,将文件拷贝至办案专用U盘,并校验哈希值,确认一致。最终,这些提取的电子数据在指控犯罪中起到了至关重要的作用。这正是:

有奸必藏,有证必毁,这是犯罪嫌疑人如何对待犯罪证据的一条不变的规律。而检察官正是要争锋相对地要抽丝剥茧,找到并核实证据,这是一场正义与邪恶之间的较量。随着涉及电子数据证据案件的增多,在取证中作为协助办案的检察技术人员,起到的作用尤为突出。

【 Q & A 】

[NO.1]镜像是什么?

镜像,或叫镜像文件,指将源数据,通过一定的工具,按照一定的格式制作成目标数据,以方便下载、转移以及从镜像文件还原到源数据。在电子数据取证领域,制作镜像更加严格,必须通过只读方式保证对源数据的保护。

换个通俗的讲法,把源数据看作一个人,让他站在镜子前,镜子中看到的一模一样的他,就是他本人的镜像,然后技术人员可以用笔直接在镜面图像上写写画画,并不会画花他本人的衣服。

[NO.]网络拓扑图是什么?

网络拓扑图是指由网络节点设备和通信介质构成的网络结构图。拓扑图给出网络服务器、工作站的网络配置和相互间的连接,它的结构主要有星型结构、环型结构、总线结构、分布式结构、树型结构、网状结构、蜂窝状结构等。简言之,网络拓扑图就是用直观的图形和连线的方式反映出网络中计算机等设备的连接情况。

[NO.3]哈希值、哈希校验是什么?

哈希值在电子证据领域的地位,相同于法医领域的DNA、笔迹鉴定领域的书写动力定型、指纹鉴定领域的细节特征组合。

哈希一词音译于英文的Hash,Hash本义指hash函数。如果源数据哪怕只更改一个字母,随后的哈希计算都将产生不同的值,而要找到哈希值为同一个值的两个不同的源数据,在计算上来说基本上是不可能的。

  • 发表于:
  • 原文链接:https://kuaibao.qq.com/s/20181214B00KYY00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券