警惕电子取证检验技术应用中的几个误区
原标题:警惕电子取证检验技术应用中的几个误区
电子数据检验技术让数据“说出”真相.办案人员依托电子数据检验技术,获取到许多疑难案件的关键线索,但是在应用这项技术时,却容易让很多人走进误区,本文简单介绍在应用电子数据检验技术时,应该避免走入哪些误区.
误区一:追求一键式数据分析操作
一键式数据分析——方便快捷,确实是电子数据检验的发展方向之一,但是此类工具的初衷是帮助一线人员进行初检和筛查.客观地说,一键式操作无法有针对性的主动根据事件的信息进行特定检查和分析,也就是说,面对涉黑案件、涉毒案件中的手机,电信诈骗案件中的手机或者是硬盘数据,若全部使用一键式操作手法,因目标针对性不同,在这个过程中,减少人工干预就从一个优点彻底变成了缺点,表明了这些产品在功能上的单薄性.没有深度分析、没有技术人员的介入、没有案件情况的辅助,不能浏览提出数据的整体文件结构,这样的取证产品,是不严谨和不全面的.实战中,由于单一相信一键式操作而遗漏重要数据的情况是屡有发生.
如在电脑取证中,一键式分析可以自动支持主流的各种数据分析.但是,如果用户使用非主流文档工具,那么可能因工具无法识别而错失(如国际工具可能不识别金山办公软件,而国内工具可能不识别IBM的SSPS统计表格软件).又如在手机取证中,一键式分析虽然支持主流应用程序,但必然也有大量无法识别的第三方应用程序(如国际工具不识别抖音视频,而国内工具不识别Instagram).在这样的情况下,我们无法纯粹的借助一键式分析工具进行主动二次查看分析,这样就可能导致我们所甄别的数据遭到了遗漏.
此时,具有主动查看且全面分析的工具就显得尤为重要,这类工具可以直接分析文档内容,即使不识别的数据格式也会单独列出并可以通过多种方式进行浏览或搜索.这也是为何国际一键式取证工具也在逐步融入后端的主动分析功能.
误区二:过分相信取证工具自动分析结果
没有任何软件能够支持市面上所有手机App的自动解析,同样,手机机身获取的数据文件夹是有目录结构的,这就要求我们使用的取证工具要具有手动分析能力,如数据库浏览器甚至SQLite Query功能,或Python脚本功能.同理,在电脑上,即使取证工具也无法自动给出答案,但只要具有手动分析能力,我们就可以找出应用程序中的大量内容.当今,在比较完善的电子数据提取工具上,一定要留出更多人工干预的操作,提示技术人员用更多的路径进行相关分析.
如我们现在广泛应用的各种地图软件,虽然国内大部分取证工具都支持百度、高德等App的地理位置分析甚至路线分析,但基本没有能够支持其中的关联应用程序或账户分析,例如我们要在地图工具中查看其关联呼叫的出租车的相关信息,那么软件自动分析中是不会显示此类数据的,我们必须通过打开App的原始数据库,有针对性的去查看,否则就可能遗漏重要数据.这个操作要求我们使用的取证工具必须具有手动数据分析能力.
对于电脑取证而言也是一样的,我们安装了大量电脑应用程序,如不同的浏览器、工作软件或游戏等,那么自动分析工具可以帮助我们分析出主要的数据类型和文件内容,但是如果需要分析游戏中的聊天信息或应用程序的使用及安装情况,单纯的自动分析就不好用了.这类数据即使保存在本地也会是压缩包,或以某些元数据或日志进行保存,只有我们手动去搜索查看,才能够比较准确的进行数据的定位及浏览.
误区三:把手机取证能力等同于手机密码破解能力
不同厂家的密码破解进展新闻,一直是手机取证商家赚取用户眼球的主要手段.据业内人士披露,国内外取证厂家确实在根据不同手机系统的后门缺陷进行密码破解的研究,但由于手机厂家对于系统及产品升级速度的提升,电子取证厂家只是在利用各类现有技术进行密码破解,并且很多技术归属同源.
但是,手机密码破解绝不等同于手机取证,虽然无法破解手机密码确实会对手机取证工作带来一定困难(多数场景中的手机取证是可以要求手机持有人提供密码的).更为关键的是手机中提取技术的合法性,程序性,手机数据源的可验证性,以及通过手机检验工具中的自动和手动解析,关联,地理位置分析,时间轴分析,社会关系分析等功能来确认手机中数据的证据作用.
假设我们需要了解目标人员的时间位置及通讯信息,这就需要取证工具将具有短消息、通话、第三方App聊天记录或通话App记录、地理位置信息等多种数据综合关联并进行分析,这样的操作不仅需要取证工具能够分析各种手机本身短信和通话记录信息,更要支持多种第三方App分析,并具有地理位置分析,而后将所有数据进行完整关联.
例如,手机持有人在特定时间内进行了通话,并使用微信进行文字沟通,同时还使用了地图进行了定位甚至乘车操作,那么取证工具不仅需要将这些数据都进行解析,还需同时具有时间轴分析、将联系人的微信数据与通话关联、地理位置分析等多种功能,否则我们很难判断其是否在特定时间在特定地点与特定人士接触,并用过多种通讯.上面的功能若缺一,就有可能导致我们无法完整的进行数据拼图分析.
任何一种技术都不是完美的,或多或少会存在一定局限,万不可将某种技术当做“包治百病的万精油”,在应用电子取证技术时,切忌夸大,避免走入误区.没有哪种技术是至善至美的,那么如何弥补技术上的缺陷呢我们可以根据自己的取证需求、取证环境等去选择合适的电子取证产品.据了解,主打“公共安全领域一站式电商平台”的弘德商城售有上百款电子取证产品,汇集国际专业厂商,如FTK、Logicube、Black Bag、Oxygen、Elcomsoft等,以及国内优质产品,如EDEC系列,VDEC系列等,满足用户的不同需求.