电子证据时间研究
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电子证据时间问题研究
在实务案件中,以计算机及其网络为依托的电子数据对于证明事实、判定案件的价值日益突出。电子证据不仅在查办典型的计算机犯罪时必不可少,而且在处理以数字化信息设备作为犯罪辅助工具的案件中与其他证据互相印证,可以加强指控。有些案件中,电子证据还对于认定刑事责任年龄,发现线索,突破案件起到重要作用。电子证据作为证据的种类之一,必须对其真实性加以审查,判断电子证据是否真实,其形成时间尤为重要。
电子证据的数据和信息只能由“U”和“1”组成的二进制代码进行数值运算和逻辑运算,所有的输入都必须转化为机器可以直接读写而人不能直接读写的由“U”和“1”组成的机器语言在设备中进行计算,然后再将运算结果输出到相应设备上让人们读取。电子证据的存储形式及介质的特殊性决定了它很容易被伪造、篡改,并且不通过专业的计算机知识很难察觉和识别该伪造、篡改。
所有的电子证据都有不同程度的不确定性,不确定性的电子证据可能带来不完整的犯罪轮廓构建。面对海量的电子数据,通过分析电子数据的时间属性特征,可以发现潜在的证据源,电子证据的时间分析对证据源的评估有着重要的意义,而且电子证据调查人员在对电子证据的处理过程中可以通过证据的时间分析技术过滤一些不相关的电子数据。
电子证据的时间可以经过伪造、篡改等活动,如果不正确地处理电子证据的时间,那么这些电子证据可能错误地引导电子证据取证人员去处理电子证据,甚至可能犯罪活动从未发生过,但处理结果确指向了无辜的人员。在电子设备中,如电脑、手机等其时间可划分为本地时间与网络时间。什么情况下认定显示的是本地时间呢?检查电脑设备是否自动联网授时,有自动联网授时的,则为网络时间,一般为标准时间。网络时间又分为局域网络之中的时间和授时服务器的时间,一般而言,检查电脑时间是否准确,可到百度网站搜索“时间”,直接跳出国家授时标准时间,与电脑时间对比。电脑系统时间出现问题可能的原因有:
(1)系统时间以CMOS时间作为基准,CMOS时钟是操作系统的时间来源,电池电量不足或者晶振频率不准,可能会导致CMOS时钟变慢或者变快,从而影响操作系统的时间。
(2)大量的计算机犯罪涉及到网络环境,在网络环境中一些网络服务用GMT创建文件的时间戳,而用户(或嫌疑人)的计算机系统使用本地时间去记录文件的时间戳,导致时间的描述难以界定。
(3)在一些涉嫌计算机犯罪的案件中,用户可以轻易地配置计算机系统的系统时间,有意识的修改系统时间,提取的系统时间可能误导电子证据分析人员。
(4)在计算机系统中一个文件可能被覆盖多次或一个文件被有意或无意地删除多时是经常发生的事情,但需要获取这个被覆盖或删除多时的文件的某时刻(时间戳)可能是整个事件推理、重建犯罪轮廓的关键部分之一。
具体而来,电脑windows系统的文件时间分为创建时间、修改时间和访问时间。正常情况下,直接点击word,输入文档内容后保存的,创建的新文件,其创建时间早于或者等于修改时间,误差在1-3秒之内,误差时间多长,则文件有可能被移动过。访问时间可能晚于、早于或者等于修改时间,不可能早于创建时间。跨系统复制粘贴,或者直接挪过去的修改时间早于创建时间和访问时间,如果跨系统剪切粘贴文件,创建时间和修改时间不变,访问时间发生变化,晚于创建和修改时间。分区移动,文件被替换,创建时间为原创建时间,修改时间发生变化,访问时间不变,文件压缩,将压缩文件剪切,把内部文件解压,修改时间不变,创建时间晚于修改时间,文件被刻录成光盘,文件的修改时间与创建时间一样。
具体而言,电子证据的时间问题划分为视频、音频和图片的时间问题研究。对于视频而言,在实务中可分为监控视频、执法记录视频、手机录制的视频、相机拍摄视频以及同
步录音录像视频,如何判断其真假呢?
监控视频应当从第一帧开始观察其时间与最后一帧的时间跨度与播放时间的跨度是否一致,如果是一致的,该视频则为真实的视频,如播放画面显示的时间大于视频实际长度,则丢帧,视频采集时丢帧。但是播放画面显示的时间小于视频实际长度,该视频存在伪造问题。手机录制的视频,修改时间等于结束时间减去开始时间等于视频的实际长度,该视频是真实视频,未经篡改。
对于图片而言,曝光速度<1s,修改时间等于创建时间,该图片为真实图片。相机拍摄的视频根据不同品牌的看命名,以尼康为代表的DSC,和以索尼为代表的img格式。文件移动修改时间一般不变,创建时间和访问时间变化较大。
对于音频而言,可能保存于手机、录音笔之中。保存在手机里的音频若涵盖在视频之中,按照视频处理;单独存在的,根据手机是国产还是苹果的不同,命名格式不一样。国产机以开始时间命名,现在普遍的是格式ma4,老国产机是U2D。苹果这是按照音频1、2、3来命名,格式为ma4。对于保存于录音笔中的音频,可以参照视频方式来处理。
判断电子数据是否被修改,还可以通过查找元数据,虽然其具有一定的可靠性但是仍然有被篡改的可能性。可以访问操作日志审查电子数据是否被增加、删除或者修改,这是计算机信息系统自动生成的对电子数据访问、操作情况的详细记录。
要对文件被删除或被覆盖进行还原成本来面目,涉及到数据恢复操作。数据恢复就是把遭受破坏、或由硬件缺陷导致不可访问,或不可获得,或由于误操作等各种原因导致丢失的数据还原成正常数据,即恢复至它本来的“面目”。数据恢复可以恢复物理损伤的磁盘数据,恢复不同操作系统的数据,也可对已丢失的文件进行恢复。
目前数据恢复技术应用主要集中在误删除、误格式化等操作而进行的数据恢复。基本
原理是在误删除、误格式化等操作情况下,数据区的数据都不会被破坏,主要是破坏了FDT和FAT表或MFT中对文件或目录的实际存储结构的描述,造成系统无法确定哪些簇属于该文件或目录。按照系统的存储原理,根据可观察的信息反过来确定记录文件或目录存储位置的FAT和MFT中的值,从而寻找丢失的数据。
使用这些工具进行文件的恢复的前提是硬盘中还保留文件信息和数据块。但在删除文件、格式化硬盘等操作后,再对分区内写入了大量新信息,需要恢复的数据就可能被覆盖,这时很难以找到想要的数据。在一些特殊情况下的数据很难被恢复,如数据被覆盖、低级格式化清零等。
现有的数据恢复软件对于多次覆盖数据或删除很长一段时间的数据恢复不是很理想。电子证据被覆盖多次或删除多时,真实时间问题以及在该时刻电子证据的状态问题,如何利用电子证据真实时间轴进行电子证据的完整推理分析等问题仍是目前的研究仍然难以解决的问题。