談電子存儲介質(zhì)預(yù)檢指標(biāo)體系范文

本站小編為你精心準(zhǔn)備了談電子存儲介質(zhì)預(yù)檢指標(biāo)體系參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

摘要：為適應(yīng)規(guī)范化勘查取證要求，加強(qiáng)現(xiàn)場提取至實(shí)驗(yàn)室送檢過程中對電子數(shù)據(jù)存儲介質(zhì)性狀的預(yù)判與掌握能力，加強(qiáng)物證原始性監(jiān)督，分別通過必要性、適用性、可行性的論證，提出加強(qiáng)現(xiàn)場預(yù)檢工作思路。從辨識屬性、健康屬性、數(shù)據(jù)屬性三個層次構(gòu)建預(yù)檢指標(biāo)體系，并根據(jù)介質(zhì)特性，從硬盤與Flash芯片存儲分別梳理出了現(xiàn)場勘驗(yàn)電子存儲介質(zhì)預(yù)檢指標(biāo)集。預(yù)檢指標(biāo)體系的建立必將促進(jìn)勘查取證工作的規(guī)范化。

關(guān)鍵詞：規(guī)范化；存儲介質(zhì)；預(yù)檢；指標(biāo)體系

引言

現(xiàn)今用于儲存圖像、視頻、音頻、文件等資料的介質(zhì)越來越多。在現(xiàn)場進(jìn)行證據(jù)采集時，除需要執(zhí)法人員界定產(chǎn)品外型、類別外，還需要明確介質(zhì)的型號，容量，是否可以讀取，數(shù)據(jù)是否損壞等基本情況。在轟動全國的“快播”案件中，辯訴方律師對證據(jù)的采集過程是否合法提出質(zhì)疑，辯訴方對起獲的服務(wù)器真實(shí)性、有效性也提出了懷疑。并針對證物采集后是否受到人為污染[1]，人為在硬盤服務(wù)器中加入視頻數(shù)據(jù)提出了疑問，質(zhì)疑證物的有效性。因此，提出一套適用于現(xiàn)場電子介質(zhì)快速檢測指標(biāo)體系，便于在公檢法機(jī)構(gòu)執(zhí)行扣押證據(jù)采集時候，對具有隱蔽性的介質(zhì)、數(shù)據(jù)狀態(tài)[2]進(jìn)行初查，明確所存電子數(shù)據(jù)的原始性狀[3]，是此次研究的目的。

1電子存儲介質(zhì)預(yù)檢必要性

從我國的發(fā)展情況看，電子物證的勘驗(yàn)和提取發(fā)展非常迅速，涉案數(shù)呈不斷上升趨勢，各省市基本都有了專業(yè)的電子物證的勘驗(yàn)和提取機(jī)構(gòu)和鑒定人員。截止“十二五”末，全國隸屬刑偵部門的電子物證檢驗(yàn)鑒定機(jī)構(gòu)已有219個，根據(jù)建設(shè)要求及涉案檢材檢驗(yàn)、鑒定需求，專業(yè)實(shí)驗(yàn)室建設(shè)將連續(xù)多年保持高速發(fā)展，專業(yè)技術(shù)人才缺口也非常大，同時技術(shù)人員還多集中在省市兩級，縣區(qū)現(xiàn)勘一線普遍技術(shù)人員少，缺乏系統(tǒng)培訓(xùn)，急需通過技術(shù)裝備加強(qiáng)電子物證專業(yè)，使之發(fā)揮應(yīng)用的作用，但此項(xiàng)的研究基本處于剛剛起步階段。目前，我國在電子物證勘驗(yàn)提取的工作中，著重研究的方向是如何提取和分析所獲電子物證中的數(shù)據(jù)，也就是電子物證提取扣押后的階段，而忽略了在現(xiàn)場提取電子物證時，當(dāng)事人、見證人[4]在場情況下，對電子物證存儲載體做必要的檢驗(yàn)，明確存儲介質(zhì)是否可讀取，是否有物理或邏輯損壞，具體損壞的情況如何等，從而為下一階段的數(shù)據(jù)提取和分析提供充足的法律依據(jù)和保障。因此，在電子物證的勘驗(yàn)和提取工作中，只有同時做好以上兩個階段的專業(yè)工作，才能確保證據(jù)的真實(shí)性、合法性和完整性。

2預(yù)檢指標(biāo)體系適用性

隨著電子信息技術(shù)發(fā)展，特別是物聯(lián)網(wǎng)時代的到來，生活中的電子儀器設(shè)備已從傳統(tǒng)的計算機(jī)、手機(jī)等常用類型發(fā)展成了包羅萬象各類集合，各類設(shè)備外形、標(biāo)準(zhǔn)、特性不一，但歸根結(jié)底主要為計算單元、存儲單位、IO接口等，其中存儲部分主要承擔(dān)數(shù)據(jù)、過程記錄功能，是電子物證獲取、分析的重點(diǎn)[5]，因此預(yù)檢指標(biāo)[6]體系也主要圍繞存儲部件建立。常見的獨(dú)立存儲介質(zhì)主要包括硬盤、U盤、SD/TF卡等，一體化存儲介質(zhì)主要為設(shè)備電路板上集成的存儲芯片。由于集成存儲芯片介質(zhì)通常物理特性穩(wěn)定，加之其嵌入式存儲數(shù)據(jù)通用性差，因此現(xiàn)在提出的預(yù)檢指標(biāo)體系主要針對獨(dú)立存儲介質(zhì)。

3預(yù)檢指標(biāo)體系

預(yù)檢指標(biāo)體系應(yīng)包括三個層次，一是辨識屬性，主要是指設(shè)備出廠型號、參數(shù)等，它通常具有設(shè)備識別的作用。二是健康屬性，主要反映設(shè)備過往及當(dāng)前穩(wěn)定性、可靠性，明確檢材硬件狀態(tài)，便于有針對性送檢、預(yù)測風(fēng)險、劃分物證流轉(zhuǎn)責(zé)任。三是數(shù)據(jù)屬性，這是檢材作為電子物證提取物最核心的部分，是反映事實(shí)的關(guān)鍵。綜合考慮物理結(jié)構(gòu)、存儲原理，設(shè)備參數(shù)[7]特點(diǎn)，上述獨(dú)立存儲介質(zhì)大體可劃分為硬盤、FLASH芯片存儲兩大類分別建立預(yù)檢指標(biāo)體系。

3.1硬盤類存儲預(yù)檢指標(biāo)體系

機(jī)械硬盤與固態(tài)硬盤雖在物理結(jié)構(gòu)、存儲原理上完成不同但兩者在設(shè)備參數(shù)集合上保持了延續(xù)性，因此可建立統(tǒng)一的測評指標(biāo)。在綜合參考主流硬盤常見檢測指標(biāo)的基礎(chǔ)上（見圖1），筆者歸納總結(jié)了硬盤類存儲預(yù)檢指標(biāo)集，其中健康屬性主要基于S.M.A.R.T[8]檢測實(shí)現(xiàn)。當(dāng)然，并非所有品牌的硬盤都會有統(tǒng)一的S.M.A.R.T信息標(biāo)準(zhǔn)，所以為了統(tǒng)一判斷信息，筆者暫定了11項(xiàng)常見并具有代表意義的檢測項(xiàng)目作為健康屬性的主要構(gòu)成。具體包括：①底層數(shù)據(jù)讀取錯誤率；②啟動/停止計數(shù)；③重映射扇區(qū)數(shù)；④通電時間累計；⑤主軸起旋重試次數(shù)；⑥磁盤校準(zhǔn)重試次數(shù)；⑦磁盤通電次數(shù)；⑧溫度；⑨當(dāng)前等待中扇區(qū)數(shù)；⑩ULTRADMA奇偶校驗(yàn)錯誤率；􀃊􀁉􀁓寫錯誤率（見圖2）。

3.2芯片類存儲預(yù)檢指標(biāo)體系

由于Flash芯片存儲性能穩(wěn)定、可靠性強(qiáng)，且不支持SMART自檢測，因此對比硬盤類存儲，預(yù)檢指標(biāo)體系差異還是較為明顯的（見圖3）。①辨識屬性項(xiàng)目較多，設(shè)備、主控單元、存儲單元的軟硬件規(guī)格、版本都有明確細(xì)分。②健康屬性部分，比較普遍的檢測主要為讀取速度和壞塊數(shù)。③數(shù)據(jù)屬性部分，根據(jù)文件系統(tǒng)的不同，指標(biāo)中存在FAT與MFT相關(guān)指標(biāo)項(xiàng)（見圖4）。

4現(xiàn)場預(yù)檢可行性

現(xiàn)場預(yù)檢工作開展除應(yīng)具備必要性外，還應(yīng)具備可行性。下面分別從技術(shù)可行性與現(xiàn)實(shí)可操作性進(jìn)行分析。①術(shù)可行性，通用硬盤檢測工具主要包括硬盤哨兵、HDDScan、HDDTUNE等，硬盤修復(fù)工具如PC3000、效率源、DFL等也都集成了硬盤檢測功能，都可以對硬盤的固件、版本、序列號、容量、以及硬盤健康狀況、不穩(wěn)定扇區(qū)數(shù)、重新映射扇區(qū)計數(shù)、讀寫錯誤率[9]等SMART健康指標(biāo)進(jìn)行檢測。通用U盤檢測工ChipGenius、CheckUDisk等可以識別U盤等Flash存儲的主控芯片、設(shè)備ID、閃存識別號等。DISKGEN、DFL等也都支持硬盤、U盤等存儲數(shù)據(jù)目錄結(jié)構(gòu)統(tǒng)計與在線分析。生成MD5散列值的小工具更是十分方便獲得。綜上所述，現(xiàn)場開展電子物證存儲介質(zhì)預(yù)檢在技術(shù)上是成熟可行的，可供選擇的工具也十分豐富的。②現(xiàn)實(shí)可操作性，現(xiàn)場勘查時偵查人員、技術(shù)人員工作原本內(nèi)容已較為飽滿，特別是基層人手緊張，經(jīng)常是出了一個現(xiàn)場就要趕去下一個現(xiàn)場，因此是否可以在有限時間內(nèi)完成預(yù)檢工作，就是現(xiàn)場預(yù)檢能否順利推行的重要因素。為得到真實(shí)的數(shù)據(jù)，筆者通過實(shí)測并參考其他技術(shù)人員研究成果，得出執(zhí)行預(yù)檢的大體時間（見表1）。需要特別說明的是，由于計算能力、接口速度、檢測對象性能等因素差異，執(zhí)行扇區(qū)掃描、生成MD5所需時間差異是比較明顯的，加電檢測、S.M.A.R.T健康檢測、文件系統(tǒng)識別基本不受影響。

5結(jié)論

通過分析可以看出，在現(xiàn)場對電子數(shù)據(jù)存儲介質(zhì)進(jìn)行預(yù)檢，掌握介質(zhì)健康狀態(tài)及數(shù)據(jù)基本情況，必要時進(jìn)行扇區(qū)快速掃描、生成散列值，對明確物證原始屬性、物證流轉(zhuǎn)責(zé)任、確保電子物證真實(shí)可信都有重要意義，在技術(shù)上、操作性上具備可行性。然而原有檢測工具都不是針對電子證據(jù)檢測設(shè)計的，無法保障對原始檢材的只讀要求，功能及設(shè)計上通常較為復(fù)雜，不適合基層操作人員快速上手。因此，要推行現(xiàn)場勘驗(yàn)電子存儲介質(zhì)預(yù)檢工作，還需要結(jié)合預(yù)檢指標(biāo)體系設(shè)計研發(fā)出適合的工具，并在推行過程中不斷優(yōu)化完善這一指標(biāo)體系，讓其在規(guī)范現(xiàn)場執(zhí)法與物證檢驗(yàn)鑒定中發(fā)揮更大作用。

參考文獻(xiàn)

[1]鄒國強(qiáng).電子物證提取和檢驗(yàn)前的“污染”研究[J].信息網(wǎng)絡(luò)安全,2011.6:75-76

[2]蔣天蔚,劉啟剛.“一長四必”視閾下偵查人員犯罪現(xiàn)場勘查核心能力研究[J].河北公安警察職業(yè)學(xué)院學(xué)報,2018.3:18-22

[3]戴士劍,李運(yùn)策,梅越.電子物證溯源性研究[J].信息網(wǎng)絡(luò)安全,2010.11:15-18

[4]黃少石.現(xiàn)場勘查見證人模式的再思考——以俄羅斯體系為研究切入點(diǎn)[J].江西公安專科學(xué)校學(xué)報,2010.3:43-49

[5]楊秀華,李浩.電子物證檢驗(yàn)工作模式探析[J].法制博覽,2017.23:142.

[6]王永剛.對電子數(shù)據(jù)現(xiàn)場獲取存在問題的分析與探討[J].科技資訊,2013.26:25

[7]舒月,張毅,劉鶴.固態(tài)硬盤與機(jī)械硬盤邏輯層數(shù)據(jù)恢復(fù)比較研究[J].保密科學(xué)技術(shù),2018.7:20-25

[8]宋云華.基于S.M.A.R.T.預(yù)測故障磁盤的研究[D].南京大學(xué),2014.

[9]工作.為PC硬盤做健康體檢[J].電腦知識與技術(shù)(經(jīng)驗(yàn)技巧),2009.3:80-81

作者：韋同勝 高梓銘 崔元禎 郭妍 單位：電子信息現(xiàn)場勘驗(yàn)應(yīng)用技術(shù)公安部重點(diǎn)實(shí)驗(yàn)室