记一次司法鉴定能力验证——2014年电子数据提取、固定与恢复能力验证

ava1314

2014/08/13

私聊

能力验证

一说明
我所在的领域是电子物证，领域比较特殊，想必听说过的人不多，实验室也不多，所这方面能请教学习的人也比较少，有幸通过论坛学到了很多东西，也认识了几位这一领域的老师。
本文是在此次能力验证结束后，利用空闲时间把整个能力验证过程整理了一下，发出来与大家共同交流。

二能力验证要求
本次能力验证计划模拟某网络赌球案件，赌球网站域名为www.betball.com(中文名为贝博公司)。警方查抄了某涉案人员的电脑，据该犯罪嫌疑人交代：电脑内有该公司与其他分销商的合同doc文本4个、彩票奖金统计xls表格5个、彩票统计截图png文件5个。其中部分文件已被删除，部分文件用rar压缩，部分rar文件有压缩密码，但嫌疑人已不记得密码，只记得加密文件是通过web邮件下载的，密码在邮件内。警方对查抄的电脑进行了硬盘复制，生成供检验的硬盘镜像文件，现需对该硬盘镜像文件进行鉴定检验，提取、固定与恢复相关电子证据。
鉴定要求是：
1.计算送检U盘（样品）和送检U盘中硬盘镜像文件的SHA256校验码。
2.提取、固定与恢复本次案件的相关电子证据。

三鉴定过程
1.记录检材情况，对检材拍照留证。
2．对取证塔FL-800进行开机检查，确定设备正常工作，运行XX杀毒软件（病毒库版本：2014.07.21.17）扫描未发现异常，运行win7系统自带截图工具。
3．将贴有“Z0024-XXX”标签的检材U盘通过电子证据只读锁连接到取证塔（FL-800）上，运行取证大师专业版（版本V4.1.19903RTM）加载检材，对U盘和镜像文件的SHA256值进行校验，校验结果截图如下：

图1:检材U盘SHA256值

图2:镜像文件SHA256值
检材U盘SHA256值：xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx；
镜像文件SHA256值：xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx。
4.本案检材中为镜像文件，因此只将镜像文件完整复制到专用存储介质中，使用取证大师专业版（版本V4.1.19903RTM）加载备份的镜像文件。
4.1 使用文件过滤功能进行文件检索。
4.1.1过滤*.doc文件，检出“贝博合同20130401.doc”和“贝博合同20130926.doc”(后者正常情况下无法打开，使用取证大师查看其unicode编码下的文本)，路径为：D:\lottery；检出已删除的“贝博合同20130625.doc”，路径为：D:\lottery old（已删除）。部分截图如下：

图3: 贝博合同20130401.doc路径和内容截图

图4: 贝博合同20130926.doc路径和内容截图

图5: 贝博合同20130625.doc路径和内容截图

4.1.2过滤*.xls文件，检出“betball_prizelist_halffour.xls”，路径为：D:\lottery；检出已删除的“betball_prizelist_totalgoals.xls”，路径为：D:\lottery old（已删除）。部分截图如下：

图6: betball_prizelist_halffour.xls路径和内容截图

图7: betball_prizelist_totalgoals.xls路径和内容截图

4.1.3过滤*.png文件，检出“betball13045.png”，路径为：D:\lottery；检出已删除的“betball13050.png”，路径为：D:\lottery old（已删除）。部分截图如下：

图8: betball13045.png路径和内容截图

图9: betball13050.png路径和内容截图

4.1.4过滤*.rar文件，检出“betball_13051.rar”（有密码），路径为：D:\lottery；检出已删除的“betball_prizelist_score.rar”，路径为：D:\lottery old（已删除）。部分截图如下：

图10: betball_13051.rar路径截图

解压“betball_prizelist_score.rar”，检出“betball_prizelist_score.xls”和“betball13067.png”。

图11: betball_prizelist_score.rar路径和内容截图

4.2 使用签名恢复功能进行数据恢复，勾选“办公文档”、“png文件”和“电子邮件”选项，勾选“未分配簇”。操作过程截图如下：

图12: 签名恢复过程截图

4.2.1检出“未分配簇_00069.doc”和“未分配簇_00071.doc”，路径为：D:\未分配簇，其中“未分配簇_00069.doc”内容与前面检出文件重复。部分截图如下：

图13: 未分配簇_00071.doc路径和内容截图

4.2.2检出“未分配簇_00068.xls”和“未分配簇_00070.xls”，，路径为：D:\未分配簇，其中“未分配簇_00068.xls” 内容与前面检出文件重复。部分截图如下：

图14: 未分配簇_00070.xls路径和内容截图

4.2.3检出“未分配簇_00398.png”和“未分配簇_00399.png”，路径为：D:\未分配簇，其中“未分配簇_00398.png”内容与前面检出文件重复。部分截图如下：

图15: 未分配簇_00399.png路径和内容截图

4.2.4检出“mini-webmail[1]_00053.eml”，路径为：C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\MQP3HU72\mini-webmail[1].htm，从中获得“betball_13051.rar”的解压密码为：63649544。部分截图如下：

图16: mini-webmail[1]_00053.eml路径和内容截图
解压“betball_13051.rar”，检出“betball_prizelist_wcsixhalf.xls”和“betball13051.png”。

图17: betball_13051.rar内容截图

综上所述，经过比对，共检出涉案公司与其他分销商的合同doc文本4个、彩票奖金统计xls表格5个、彩票统计截图png文件5个。

4.3 对浏览器历史记录进行取证，检出访问www.betball.com网站的记录。部分截图如下：

图18: 浏览器访问www.betball.com网站截图

5. 导出获取的证据数据（包括文件、截图、录像等），计算导出数据的MD5值，列出导出数据清单如下：

表1: 提取电子证据清单

6．导出的证据数据（包括文件、截图、录像等）采用封盘刻录在不可擦写的空白光盘上，并计算光盘MD5值：XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

四鉴定结论
1、送检“Z0024-XXX”U盘的SHA256检验码：XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
文件镜像的SHA256检验码：XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
2、经对“Z0024-XXX”的检材采用GA/T 756-2008、GA/T 825-2009、GA/T 826-2009方法，使用取证大师进行技术鉴定，在检材中提取（恢复）固定与案情有关可疑文件17个，其中xls表格5个，png图片5个，doc文本4个，web邮件1个，rar文件2个，详见附件固定电子证据清单。
五总结
此次能力验证已明确了需要提取、固定的文件数量，所以总体来说相比去年简单。不过今年也提出了新的要求，要求参加者提供一份鉴定过程记录，这也说明了能力验证关注的重点是鉴定过程和鉴定文书格式。
司法鉴定并不神秘，同样有标准的鉴定方法和固定的操作流程需要遵守，当然鉴定文书做为司法证据，就对鉴定人和鉴定规范有其更严格的要求。

PS:在此特别感谢花生老师，他去年发的帖子（http://bbs.instrument.com.cn/shtml/20131015/5012146/）对我启发很大，本文也是在他的指导下完成。