数据碎片提取技术破案2例
引用本文
康艳荣, 范玮, 周冬林, 郭丽莉. 数据碎片提取技术破案2例[J]. 刑事技术,2012,37(3): 62-63
Permissions
Copyright©2012, 《刑事技术》编辑部
《刑事技术》编辑部
数据碎片提取技术破案2例
关键词:
电子物证; 文件碎片; 未分配空间
中图分类号:DF793.2
文献标志码:B
文章编号:1008-3650(2012)03-0062-02
1 案件简介
案例1 某年10月, 某地发生一起某人被诈骗案, 犯罪嫌疑人骗取受害人人民币70余万元后携款潜逃, 办案单位将犯罪嫌疑人与受害人合用的台式电脑送检, 希望从中获取一些犯罪嫌疑人的信息。
送检的检材是犯罪嫌疑人和受害人共同使用的电脑硬盘, 犯罪嫌疑人曾使用该电脑通过邮箱和QQ玩网络游戏, 但已将检材中与自己相关的QQ号及所包含的内容删除, 曾经使用过的QQ号也从不上线。为从检材中获得一些有价值的线索, 本实验室使用数据碎片提取技术对该检材进行检验。首先, 使用FinalData对检材进行恢复, 得到一些删除的QQ号码, 然后使用取证大师设定这些QQ号和一些常用邮箱为关键词进行搜索。通过手工恢复[1, 2, 3], 得到5个重点QQ号并在临时交换文件及未分配空间找到了包含这些QQ号相关好友列表的文件碎片, 包括QQ家园好友列表(见图1A)、QQ农场好友列表(见图1B)及邮箱信息的碎片文件(见图2)等。经过对文件碎片的分析, 发现犯罪嫌疑人与QQ农场好友列表中的某甲关系密切, 根据这条线索, 办案单位将某甲锁定, 并一举抓获犯罪嫌疑人。
 | 图1 A.QQ家园好友列表; B.QQ农场好友列表 |
 | 图2 邮箱信息碎片文件 |
案例2 某年10月, 某地发生一起某公司被敲诈案, 犯罪嫌疑人通过网络邮箱给该公司发送敲诈信并在网络论坛上发布对该公司不利的信息, 办案单位将犯罪嫌疑人使用的电脑硬盘送检, 并提供了犯罪嫌疑人在某一论坛发布的帖子样本, 希望找到犯罪嫌疑人实施敲诈的证据。
犯罪嫌疑人已事先将送检的检材中相关数据删除, 检验首先使用取证大师对检材进行邮件分析, 找到了与样本内容相关的邮件, 但邮件已损坏, 无法确定收件人和发件人, 通过分析邮件编码, 将未分配空间中该邮件所在位置的上下文进行分析, 得到了敲诈信内容及信的发送者和接收者的完整碎片(见图3A)。然后将样本中提供的用户名和注册时间作为关键字, 使用取证大师进行搜索, 在未分配空间得到与论坛用户名有关的数据片段, 通过对该片段的上下文分析, 判断该区域可能是与样本内容相似的数据区域, 在二进制查看工具下对此区域以二进制方式进行分析, 发现一些其他的数据已覆盖了此区域的原始内容, 但还有一些零碎的片段未被覆盖, 通过区分该区域不同格式的编码, 找到犯罪嫌疑人在某论坛注册的用户名、注册时间、登陆该论坛发布与送检单位所提供样本中内容一致的信息发布时间(见图3B)。在这些证据面前, 犯罪嫌疑人不再抵抗, 办案单位成功破获此案。
 | 图3 A.邮件碎片; B.论坛登录信息碎片 |
2 讨 论
电子物证检验中很多案件利用常规数据恢复工具和检验方法[4]往往只能得到一部分甚至得不到案件中需要的数据, 但这并不表示数据真的不存在, 往往可能以碎片的方式孤立地分布在硬盘的不同位置, 很多时候这些碎片因其中一部分被覆盖导致数据恢复工具无法再重组原先的数据, 而那些无法重组看似独立的碎片数据中隐含着犯罪嫌疑人或受害人的个人信息以及这些信息之间的重要关联关系, 如何提取这些数据是电子物证检验人员在很多案件中遇到的难题。本文两个案例有一个共同点, 即都是通过碎片分析得到有助于案件侦破的关键数据, 通过提取这些数据, 最终获得了犯罪嫌疑人的重要个人信息及犯罪证据, 为后续案件的侦破提供了重要线索和证据, 提高了电子物证检验的数据检出率。
The authors have declared that no competing interests exist.
参考文献
| [1] |
|
| [2] |
|
| [3] |
|
| [4] |
|