手机物证检验原则*
手机物证检验原则*
关键词:
电子证据; 手机物证; 检验原则
中图分类号:DF793.2
文献标志码:B
文章编号:1008-3650(2012)03-0046-03
手机作为现代社会最重要的通讯工具之一, 被越来越广泛的使用, 随着移动通讯技术的不断发展, 手机的功能也日渐强大, 除了语音、短信等基本功能外, 视频通话、无线上网、手机支付、移动认证等服务增加了手机使用的范围, 但是手机在给人们生活带来极大便利的同时, 利用手机从事诈骗、售假、造谣、煽动作案、传播有害信息等违法犯罪活动也日益猖獗, 各类案件中涉及手机取证的比例越来越高。侦查实践表明, 犯罪嫌疑人使用的手机上往往存储着大量的与犯罪有关的信息, 而手机电子信息可为侦查破案提供一定的线索或证据, 手机已经成为物证检验鉴定新的对象。手机物证检验是指用物证鉴定的原理、方法和程序, 提取和分析手机中包含的信息, 用于犯罪侦查线索或法庭证据[1]。
取证的原则对物证检验工作有着重要的指导作用, 为保证手机电子信息的完整性和有效性, 侦查人员应遵循必要的取证原则, 按照一定规则, 才能完成取证工作, 确保手机电子证据可采、可信、可用, 更好的打击犯罪。2005年公安部制定了《计算机犯罪现场勘验与电子证据检查规则》, 只是从总体上对电子证据检查的流程进行了规范, 至于手机物证检验原则没有明确。虽然手机取证与计算机取证有很多相似之处, 在计算机取证领域的很多研究成果和实践经验可以应用于手机取证, 但是和计算机相比, 手机有其自身的特点, 计算机取证的方法并不完全适用于手机取证, 因此手机物证检验的相关问题还需专门研究。本文根据手机物证检验的特点, 借鉴计算机取证的原则, 结合手机取证的实践, 对手机物证检验原则进行探讨, 并应用于手机物证检验的实践, 进而规范手机物证检验的工作。
1 手机取证的原则
1.1 合法性[2]
严格依法取证是手机取证的基本原则, 在手机取证过程中, 应由法定机构执法人员按照相应的法律、法规、规章等的要求, 对特定对象使用合法手段和方法, 完成取证工作, 打击犯罪。
1.2 及时取证
及时是手机取证的必要原则。手机电子信息形成后, 容易受到各种因素的影响, 具有易破坏、易修改、易删除等特点, 如手机内存容量小, 其内存数据动态更新很快, 新形成的通信信息会覆盖手机中现存或已删除的通信记录; 手机型号众多, 其电池持续供电的时间不易确定, 而充电接口的不统一, 一旦电池电量耗尽导致手机自动关机; 网络供应商处保存的某些手机用户数据是周期性更新。因此, 一旦确定取证对象, 应当尽早、及时地采取适当的取证措施, 以防止手机电子信息遭到删除、破坏或修改, 确保手机电子信息的真实、客观和关联。
1.3 无损取证
无损取证是手机取证的根本原则。在无线通信网络服务区内, 只要手机处于正常开机状态, 就会不断地与无线通信网络进行信息交互, 这会导致手机电子信息的改变。如果在没有屏蔽的条件下开机检验, 会造成收到新的短信或新的打入电话, 改变原有的信息内容[3]。因此, 手机取证无损原则中最重要一点的就是, 在提取手机电子数据之前, 必须屏蔽手机与无线通信网络的信息交互, 以保持其存储内容的原始完整性, 避免因为数据交换而破坏手机电子信息的完整性。其次, 手机中电子信息主要利用专门软件分析提取, 为保障手机电子信息的证明力, 物证检验中须使用经过强制认证的正版软件, 禁止使用盗版软件或互联网上下载的软件。检验工具最重要的特点就是确保提取信息的完整性, 虽然某些检验工具(如被美国、英国、德国、荷兰、澳大利亚等国家广泛使用Oxygen Forensic Suite手机检验工具)需要将驱动程序输入到手机中才能进行检验, 但是通过单向只读方式读取手机信息, 使用加密的哈希值实现数据完整性和可信性, 确保原始手机数据不被改变, 允许随后任何的调查, 都使用相同的标准进行分析[4]。
1.4 全面取证
全面是手机取证的重要原则。侦查实践表明, 由于侦查人员重破案、轻办案的思想根深蒂固, 侦查人员缺乏手机取证的意识, 对手机上留存信息利用多局限于通话清单, 作为办理案件的线索, 而疏于对手机上的其他电子信息的利用, 不能充分发挥手机电子信息的证据作用。因此, 手机取证中, 侦查人员必须树立整体意识, 手机取证的对象不仅包括通话记录清单, 还包括手机内/外存储卡、手机识别卡、移动运营网络和短信服务提供商以及相关设备中的电子信息, 也包括手机上可能存在的手印、微量物证等传统证据, 不可偏废或忽视某一环节和某一方面。
2 手机物证检验
2.1 准备阶段
准备阶段应重点注意合法、及时和无损原则的运用。(1)接警后, 及时赶赴现场, 分析犯罪的动机和目的, 向报警人、被害人、犯罪嫌疑人等询问手机的有关情况, 全面了解涉案手机的特点, 考虑到检验过程中可能要遇到的问题和困难, 制定相应的物证检验方案, 准备好物证检验使用的设备和软件。(2)至少两名具备取证资格的人员参与取证工作。(3)冻结犯罪现场中的与案件相关的一切设备和物品。(4)隔离目标设备, 禁止未授权人员靠近可疑设备。(5)防止正在运行的程序破坏证据, 如删除短信、通话记录、杀毒等。(6)禁止对手机进行开机或关机的操作。(7)屏蔽手机信号, 防止新的通信信息进入。并注意手机当前的剩余电量, 如果电量过低, 应及时给予充电, 防止由于手机自动关机导致的电子数据的丢失。(8)技侦人员及时到移动运营商获取手机用户的姓名、证件号码、住址、主/被叫用户手机号码、主/被叫用户手机IMEI、通话时间、服务类型、短信内容、在网或呼叫/接听或发送/接受短信地理位置、多媒体信息、上网记录等。(9)短信服务商的数据库中记录手机号码, 发送/接受短信时间、内容等相关信息, 技侦人员也应及时获取。
2.2 搜查证物
搜查证物阶段应重点注意合法和全面原则的运用。(1)检查与目标手机互联的系统, 查看是否接入互联网, 红外、蓝牙是否开启。(2)收集目标手机的相关附属设备, 如电池、手机充电器、数据线等。(3)检验所有可能存储有电子信息的实体对象, 如与目标手机相连接的电子设备、内外存储介质等。
2.3 数据提取
数据提取阶段应重点注意无损和全面原则的运用。(1)注意提取手机后盖内侧、电池等处的指纹、手印和听筒、话筒和打机按钮凹进处的皮肤碎屑等DNA检材[5]。(2)确认手机的品牌、型号和移动网络服务商。(3)使用照相或录像记录手机特征和状态, 如服务状态、屏幕显示的信息、日期时间、主叫或被叫用户、接受或发送短信的内容、电池电量和其他显示图标等。(4)确认手机的品牌、型号, 选择正确的工具和提取方法。(5)如果手机处于关机状态, 则不应开启手机; 如果手机处于开机状态, 则应将手机信号屏蔽后再进行数据提取, 避免新的通信信息引起手机电子信息的改变。(6)提取手机串号, 电话簿资料, 拨出、接收或未接收电话的记录, 接收、发送、编辑存储的短信或彩信, 照片、视频和声音, WAP和Internet的设置信息以及上网的缓存记录, 日程安排信息, 记事本、被存储的可执行文件和其他文件等的提取[6]。如果手机处于关机状态, 先进行SIM卡、机身内存、可替换的存储卡[7]及其存储信息的提取后, 打开手机, 待新的通信信息进入手机后, 再次进行手机电子信息的提取。(7)提取数据的过程是写保护的, 并应进行数据的完整性检验, 如计算哈希值。(8)进行逻辑拷贝或镜像前, 须对目标存储介质进行数据擦除。
2.4 证据固定
证据固定阶段应重点注意合法和无损原则的运用。(1)制作现场勘查记录, 记录手机取证的全过程。(2)计算逻辑拷贝或镜像文件的哈希值(便于今后验证逻辑拷贝或镜像是否与源证据相同), 至少应复制二份检材。(3)侦查人员、犯罪嫌疑人、见证人应在提取和扣押的证据材料上签字或盖章。(4)提取的电子证据应妥善保管, 避免遭受电磁、水等自然因素的破坏, 使用防静电、防火、防潮的介质封装。(5)运输过程中, 避免对电子设备造成撞击或过度振动而损毁。
侦查实践表明, 手机在破案中发挥着越来越重要的作用, 虽然侦查机关在实践中积累了一些成功的经验和做法, 但是相对于已基本成熟的计算机取证, 手机物证检验的研究仍然处于起步阶段, 手机物证检验的原则、对象、流程等取证相关概念尚不明确。随着3G手机等各种新型电子产品不断出现和成熟, 手机取证的领域也将继续扩大, 如何做好手机取证工作, 打击犯罪, 成为司法机关面临的新挑战。为此, 应积极开展相应的立法和手机取证技术方面的研究, 通过完善法律, 比较手机取证与其他己有的取证技术之间的相同点和差异点, 总结侦查实践中成功的经验、技巧和失败的错误、教训, 进而提高手机取证的水平, 更好地为侦查实践服务。
The authors have declared that no competing interests exist.
参考文献
| [1] |
|
| [2] |
|
| [3] |
|
| [4] |
|
| [5] |
|
| [6] |
|
| [7] |
|