论文部分内容阅读
摘 要 随着信息技术对人类生活的影响逐渐加深,与以计算机为主导电子设备相关的违法事件的明显增多。电子证据在刑事、民事及行政等多种案件中发挥越来与重要的作用。在计算机证据取证调查过程中,美国许多法院早已认识到了运用最佳工具的重要性。最佳工具的标准是基于调查环境及新技术的革新而不断改变的。通过分析电子证据收集过程中存在的问题,并结合Encase软件的功能,对encase企业版软件在电子证据收集过程中的运用进行阐述。
关键词 Encase 电子证据 收集
作者简介:周国平,重庆邮电大学法学院,研究生,主要从事诉讼法研究;符一龙,重庆邮电大学法学院。
中图分类号:D925文献标识码:A文章编号:1009-0592(2012)07-110-02
一、Encase企业版简介
Encase是Guidance Software公司研发的取证产品,该公司成立于1997年。Encase的开发团队多半拥有计算机取证学专家的背景。该工具拥有强大的脚本功能,支持二次开发。可增强取证分析的针对性,使个人技能得到较大程度的发挥,是政府执法机构常用的取证工具,也被广泛的运用与司法、军队、公司监察等部门。Encase分为单机版和企业版,本文重点讨论的是企业版即Encase Enterprise Edition。Encase企业版是世界上第一个可以有效执行远程企业紧急事件响应、审计、和发现任务的软件。计算机紧急事件响应工作组和计算机调查员可以利用该软件即时通过局域网或广域网识别、浏览、获取和分析远程的电子媒介。Encase企业版与Encase单机版软件(以Encase forensics software著称)都基于同样的代码和功能。Encase企业版从本质来说就是核心的Encase单机产品,但其采用了高度兼容的网络启动模式,另外基于实际考虑,在内部增加了相应的安全策略及功能增强的数据库。
二、Encase 企业版在电子证据收集过程中的运用
(一)在线进行证据收集相比单机离线收集的优势
Encase企业版主要针对公司企业内部基于局域网或广域网的联网计算机的调查,在提倡举证主体多元化的今天,它不应仅仅成为公司企业的监察工具,还应成为各种举证主体收集与保全证据的有力武器。因此,在阐述Encase企业版在电子证据收集过程中的运用前,首先我们必须了解在线进行证据收集的优势。从证据效力及成本花费的立场来看,对现场计算机系统进行远程镜像或司法搜查相比关闭系统或拆除设备进行离线单机分析更具优势,主要原因如下:
1.通常关闭重要的计算机系统都会对企业正常经营或第三方利益造成实质性损害。随着Encase企业版这类技术的出现,要进行适当的计算机取证调查并不必然需要关闭运行的服务器。
2.关键证据通常在做出调查决定后,到调查员可以直接物理访问涉嫌计算机期间灭失。因此,进行及时的远程调查比等待几个小时甚至几天时间到达目标地点或者进行离线的单机调查来说更为合适。随着Encase企业版这类技术的出现,前面的延迟就变得不再合理。
3.当系统运行时,会产生大量的不稳定数据,如果系统被关闭,这些数据将会灭失或无法获取。如运行进程、开放端口、内存数据、连接的设备及当前打开的文件都是一些对取证调查非常重要的实时数据,这些数据只有计算机在原生环境下运行时才可获取。
以上因素在美国众多判例中得以体现,被作为评判计算机取证调查过程中所采用方法是否适当的重要参考。
(二)Encase企业版只读功能的运用
在网络突发事件(如电脑入侵、病毒攻击等)反应调查中,必须尽可能迅速做出反应以减少损失并提高获取可靠证据的可能性。就如《欧洲网络犯罪公约》提到的,“要收集有效的电子形式类证据就需要做出非常迅速的反应。” 基于以上原因,许多美国及其他国家的执法机构在刑事调查中都采用Encase企业版以应对以下情况:(1)环境状况不容许离线控制系统;(2)需要利用广域网接入目标媒体以做出及时的调查;(3)有必要对连接到广域网内众多计算机媒体进行调查。基于这三种情况,Encase企业版就成为了调查取证的最佳工具。
要评价在电子证据收集过程中运用Encase企业版时证据的准确性及可靠性的问题,首先必须了解其他经常被用于远程分析及网络文件获取的程序存在的缺陷。例如,运用病毒检测工具或者系统管理工具对常用文件进行远程分析,从证据效力的立场来看存在几个问题:首先,这些应用程序可能会对被访问或调查的文件造成实质性的改变;其次,这些应用程序会改变重要文件的时间戳,包括最后访问时间以及最后修改时间;最后,通过操作系统管理程序远程打开文件将很可能导致在被调查的目标设备中生成缓存文件及其他衍生数据的结果。
Encase企业版在用于电子证据收集过程中时能很好的解决以上的问题:Encase企业版在磁盘标准下运行, 容许Encase软件在只读状态下分析目标媒介而不会影响其内部的操作系统。当通过Encase软件读取本地文件时,与这些文件相关的各种元数据,如时间戳、日戳及其他信息都不会发生改变。同样的,在这个过程中也不会生成相应的备份文件或其它衍生数据。当然,因为Encase企业版软件在现实环境下运行,完全“静态”的成像过程是不可能的。只要计算机设备在原生环境下持续运行,该设备就会在持续操作过程中发生变化,例如写入交换文件或其他系统注册表。因此,Encase企业版控制端通过网络运行目标设备的控制程序Servlet时,该程序会在目标设备写入注册表或系统的其他部分。但Encase企业版软件控制端自身在调查过程中并不会写入目标设备,通过Encase软件查看或获取文件时并不会对其造成任何改变。
严格说来,运行Servlet控制程序时在目标设备写入注册表或其他数据是存在争议的。公司监控通常做法是在网络突发事件发生前即在目标设备内装入了Servlet,将该程序变成整个设备系统的一部分.尽管运行时该程序依然会写入注册表等信息,但美国众多法院都认可了Encase企业版软件的效力,如以下要提到的Zubulake案。 笔者认为,在电子证据收集过程中,应综合考虑调查环境和技术革新两种因素,以运用最佳的取证工具,不应该以技术上微小瑕疵就对取证工具加以全盘否定。况且Encase企业版软件在运行过程中并不会对被查看或获取的文件造成任何改变,没理由因此反对证据的可靠性。此外,国外的许多成功判例也给我们提供了重要的启示。 (三)Encase企业版安全报告及加密算法的运用
在电子证据收集过程中,常常会涉及这样的问题,即当通过网络远程对实时系统进行查看或获取数据时,如何确保所获取的数据是否真实并且与案件争议中的计算机是否具有关联性的问题。Encase企业版从三个方面解决这个问题:首先,即以上曾提到的,Encase企业版与传统系统管理工具不同,在调查过程中任何时候都不会对目标媒介写入数据。在使用Encase企业版的过程中,任何找到的关联性数据都不会发生改变;其次,在对目标服务器进行调查取证的过程中,Encase企业版内部基于实际考虑而特别设计的安全策略能够禁止未授权的访问、记录安全日志并验证所有用户和活动。因此,其能够证明重要的证据保管链 并生成一份详细的安全调查审计记录;最后,所有在Encase企业版环境下传输的数据及生成的证据文件都采用128-bit的AES加密技术进行加密,以确保数据传输的安全。此外,当创建证据文件时,Encase企业版与单机取证版软件一样也会计算CRC及MD5校验值,以确保获取的证据与目标设备的同一性。
(四)Encas企业版关键字搜索的运用
在美国具有里程碑意义的Zubulake系列案件,对于电子证据取证调查研究具有重大的意义。它们是建立包含调查程序、政策及普遍技术运用的程序性构架的开创性案件。在Zubulake案中,某公司试图在一次大规模的调查中保全并收集计算机证据,法院为此提出了一项重要的建议性技术程序规范:“就某种程度说来,律师与公司的所有利害关系人进行直接交流未必是可行的,鉴于公司的规模或者诉讼的范围,律师必须更具创造性。可通过网络在整个公司计算机系统运行关键字搜索,之后律师可以保存每一命中结果的备份。这听上去似乎很繁琐,但事实上并不会。律师没有必要审查这些命中的文件,他只要看到它们被保存下来就够了。例如,律师可以建立一个足够广泛的搜索字词列表,在有限的时间内运行搜索功能,然后隔离开命中响应的文件。”
不管该法院是否有意为之,这是一次电子证据收集与保全过程中对如Encase企业版这类技术需求的重要认可,Encase企业版的内核提供了非常独特的功能,它可对整个系统执行关键字搜索并在之后保留每一命中结果的备份。Zubulake一案有着重大的意义,使用Encase企业版进行证据收集与保全的公司可以从该案中寻找到重要的指导,Zubulake主审法院实质上认可了Encase企业版在公司监察中保全或收集计算机证据时作为最佳工具的功能性。
三、结语
在美国众多案件都曾认为,在证据搜查过程中,对计算机、计算机磁盘及随后对具体证据进行分析的记录进行大规模的扣押是唯一合理的方式。
虽然如此,随着科技的发展,笔者认识到这并不总是对的。在对计算机涉案现场进行证据搜查前,往往没有任何根据表明现场将会发现大量涉嫌计算机或相关设备。任意的搜查与扣押,容易构成对公民权利的侵犯。因此,使用如Encase企业版这样的网络取证分析工具来限制并细化搜查与扣押的过程就应该成为一种义务。随着我国于2011年将电子数据作为证据写入刑事诉讼草案,我国对电子证据的搜查与扣押应与传统证据区别开来并加以严格控制。Encase等工具在国外司法取证中的流行对我们具有重要的借鉴意义,我们在电子数据调查取证过程中,应根据调查环境的实际情况与新技术的革新而采用最合理的调查方式及调查工具。
注释:
See United States v. Campos,221 F.3d 1143,1147(10th Cir. 2000);United States v. Upham,168 F.3d 532,535(1st Cir. 1999)
Council of Europe’s Convention on Cybercrime, Explanatory Report, 298.
Encase企业版的推送功能容许在与目标设备连接的只读设备中(如只读闪存、软盘等)运行控制程序servlet.
Zubulake v. UBS Warburg LLC,2004 WL 1620866 at*8(S.D.N.Y.Jul.20,2004).
指证据连续保管:向法庭提交证据的人,如在毒品案件中向法庭提交麻醉品作为物证的人,必须说明从他开始保管该物证直至他向法庭提交该物证的期间,他一直保管该物证的情况。
Zubulake v. UBS Warburg LLC,2004 WL 1620866 at*8(S.D.N.Y.Jul.20,2004).
See Hay,231,F.3d at637(未作出适当分析特工有理由将所有的计算机系统带离现场);lacy,119 F.3d at746;United States v. Upham 168 F.3d 532,534(1st Cir.1999).
参考文献:
[1]EnCase Enterprise administration Manual,Guidance software,inc.2007.
[2]EnCase Legal Journal,Guidance Software,inc.2011.
[3] 刘品新.电子取证的法律规则.中国法制出版社.2010.
关键词 Encase 电子证据 收集
作者简介:周国平,重庆邮电大学法学院,研究生,主要从事诉讼法研究;符一龙,重庆邮电大学法学院。
中图分类号:D925文献标识码:A文章编号:1009-0592(2012)07-110-02
一、Encase企业版简介
Encase是Guidance Software公司研发的取证产品,该公司成立于1997年。Encase的开发团队多半拥有计算机取证学专家的背景。该工具拥有强大的脚本功能,支持二次开发。可增强取证分析的针对性,使个人技能得到较大程度的发挥,是政府执法机构常用的取证工具,也被广泛的运用与司法、军队、公司监察等部门。Encase分为单机版和企业版,本文重点讨论的是企业版即Encase Enterprise Edition。Encase企业版是世界上第一个可以有效执行远程企业紧急事件响应、审计、和发现任务的软件。计算机紧急事件响应工作组和计算机调查员可以利用该软件即时通过局域网或广域网识别、浏览、获取和分析远程的电子媒介。Encase企业版与Encase单机版软件(以Encase forensics software著称)都基于同样的代码和功能。Encase企业版从本质来说就是核心的Encase单机产品,但其采用了高度兼容的网络启动模式,另外基于实际考虑,在内部增加了相应的安全策略及功能增强的数据库。
二、Encase 企业版在电子证据收集过程中的运用
(一)在线进行证据收集相比单机离线收集的优势
Encase企业版主要针对公司企业内部基于局域网或广域网的联网计算机的调查,在提倡举证主体多元化的今天,它不应仅仅成为公司企业的监察工具,还应成为各种举证主体收集与保全证据的有力武器。因此,在阐述Encase企业版在电子证据收集过程中的运用前,首先我们必须了解在线进行证据收集的优势。从证据效力及成本花费的立场来看,对现场计算机系统进行远程镜像或司法搜查相比关闭系统或拆除设备进行离线单机分析更具优势,主要原因如下:
1.通常关闭重要的计算机系统都会对企业正常经营或第三方利益造成实质性损害。随着Encase企业版这类技术的出现,要进行适当的计算机取证调查并不必然需要关闭运行的服务器。
2.关键证据通常在做出调查决定后,到调查员可以直接物理访问涉嫌计算机期间灭失。因此,进行及时的远程调查比等待几个小时甚至几天时间到达目标地点或者进行离线的单机调查来说更为合适。随着Encase企业版这类技术的出现,前面的延迟就变得不再合理。
3.当系统运行时,会产生大量的不稳定数据,如果系统被关闭,这些数据将会灭失或无法获取。如运行进程、开放端口、内存数据、连接的设备及当前打开的文件都是一些对取证调查非常重要的实时数据,这些数据只有计算机在原生环境下运行时才可获取。
以上因素在美国众多判例中得以体现,被作为评判计算机取证调查过程中所采用方法是否适当的重要参考。
(二)Encase企业版只读功能的运用
在网络突发事件(如电脑入侵、病毒攻击等)反应调查中,必须尽可能迅速做出反应以减少损失并提高获取可靠证据的可能性。就如《欧洲网络犯罪公约》提到的,“要收集有效的电子形式类证据就需要做出非常迅速的反应。” 基于以上原因,许多美国及其他国家的执法机构在刑事调查中都采用Encase企业版以应对以下情况:(1)环境状况不容许离线控制系统;(2)需要利用广域网接入目标媒体以做出及时的调查;(3)有必要对连接到广域网内众多计算机媒体进行调查。基于这三种情况,Encase企业版就成为了调查取证的最佳工具。
要评价在电子证据收集过程中运用Encase企业版时证据的准确性及可靠性的问题,首先必须了解其他经常被用于远程分析及网络文件获取的程序存在的缺陷。例如,运用病毒检测工具或者系统管理工具对常用文件进行远程分析,从证据效力的立场来看存在几个问题:首先,这些应用程序可能会对被访问或调查的文件造成实质性的改变;其次,这些应用程序会改变重要文件的时间戳,包括最后访问时间以及最后修改时间;最后,通过操作系统管理程序远程打开文件将很可能导致在被调查的目标设备中生成缓存文件及其他衍生数据的结果。
Encase企业版在用于电子证据收集过程中时能很好的解决以上的问题:Encase企业版在磁盘标准下运行, 容许Encase软件在只读状态下分析目标媒介而不会影响其内部的操作系统。当通过Encase软件读取本地文件时,与这些文件相关的各种元数据,如时间戳、日戳及其他信息都不会发生改变。同样的,在这个过程中也不会生成相应的备份文件或其它衍生数据。当然,因为Encase企业版软件在现实环境下运行,完全“静态”的成像过程是不可能的。只要计算机设备在原生环境下持续运行,该设备就会在持续操作过程中发生变化,例如写入交换文件或其他系统注册表。因此,Encase企业版控制端通过网络运行目标设备的控制程序Servlet时,该程序会在目标设备写入注册表或系统的其他部分。但Encase企业版软件控制端自身在调查过程中并不会写入目标设备,通过Encase软件查看或获取文件时并不会对其造成任何改变。
严格说来,运行Servlet控制程序时在目标设备写入注册表或其他数据是存在争议的。公司监控通常做法是在网络突发事件发生前即在目标设备内装入了Servlet,将该程序变成整个设备系统的一部分.尽管运行时该程序依然会写入注册表等信息,但美国众多法院都认可了Encase企业版软件的效力,如以下要提到的Zubulake案。 笔者认为,在电子证据收集过程中,应综合考虑调查环境和技术革新两种因素,以运用最佳的取证工具,不应该以技术上微小瑕疵就对取证工具加以全盘否定。况且Encase企业版软件在运行过程中并不会对被查看或获取的文件造成任何改变,没理由因此反对证据的可靠性。此外,国外的许多成功判例也给我们提供了重要的启示。 (三)Encase企业版安全报告及加密算法的运用
在电子证据收集过程中,常常会涉及这样的问题,即当通过网络远程对实时系统进行查看或获取数据时,如何确保所获取的数据是否真实并且与案件争议中的计算机是否具有关联性的问题。Encase企业版从三个方面解决这个问题:首先,即以上曾提到的,Encase企业版与传统系统管理工具不同,在调查过程中任何时候都不会对目标媒介写入数据。在使用Encase企业版的过程中,任何找到的关联性数据都不会发生改变;其次,在对目标服务器进行调查取证的过程中,Encase企业版内部基于实际考虑而特别设计的安全策略能够禁止未授权的访问、记录安全日志并验证所有用户和活动。因此,其能够证明重要的证据保管链 并生成一份详细的安全调查审计记录;最后,所有在Encase企业版环境下传输的数据及生成的证据文件都采用128-bit的AES加密技术进行加密,以确保数据传输的安全。此外,当创建证据文件时,Encase企业版与单机取证版软件一样也会计算CRC及MD5校验值,以确保获取的证据与目标设备的同一性。
(四)Encas企业版关键字搜索的运用
在美国具有里程碑意义的Zubulake系列案件,对于电子证据取证调查研究具有重大的意义。它们是建立包含调查程序、政策及普遍技术运用的程序性构架的开创性案件。在Zubulake案中,某公司试图在一次大规模的调查中保全并收集计算机证据,法院为此提出了一项重要的建议性技术程序规范:“就某种程度说来,律师与公司的所有利害关系人进行直接交流未必是可行的,鉴于公司的规模或者诉讼的范围,律师必须更具创造性。可通过网络在整个公司计算机系统运行关键字搜索,之后律师可以保存每一命中结果的备份。这听上去似乎很繁琐,但事实上并不会。律师没有必要审查这些命中的文件,他只要看到它们被保存下来就够了。例如,律师可以建立一个足够广泛的搜索字词列表,在有限的时间内运行搜索功能,然后隔离开命中响应的文件。”
不管该法院是否有意为之,这是一次电子证据收集与保全过程中对如Encase企业版这类技术需求的重要认可,Encase企业版的内核提供了非常独特的功能,它可对整个系统执行关键字搜索并在之后保留每一命中结果的备份。Zubulake一案有着重大的意义,使用Encase企业版进行证据收集与保全的公司可以从该案中寻找到重要的指导,Zubulake主审法院实质上认可了Encase企业版在公司监察中保全或收集计算机证据时作为最佳工具的功能性。
三、结语
在美国众多案件都曾认为,在证据搜查过程中,对计算机、计算机磁盘及随后对具体证据进行分析的记录进行大规模的扣押是唯一合理的方式。
虽然如此,随着科技的发展,笔者认识到这并不总是对的。在对计算机涉案现场进行证据搜查前,往往没有任何根据表明现场将会发现大量涉嫌计算机或相关设备。任意的搜查与扣押,容易构成对公民权利的侵犯。因此,使用如Encase企业版这样的网络取证分析工具来限制并细化搜查与扣押的过程就应该成为一种义务。随着我国于2011年将电子数据作为证据写入刑事诉讼草案,我国对电子证据的搜查与扣押应与传统证据区别开来并加以严格控制。Encase等工具在国外司法取证中的流行对我们具有重要的借鉴意义,我们在电子数据调查取证过程中,应根据调查环境的实际情况与新技术的革新而采用最合理的调查方式及调查工具。
注释:
See United States v. Campos,221 F.3d 1143,1147(10th Cir. 2000);United States v. Upham,168 F.3d 532,535(1st Cir. 1999)
Council of Europe’s Convention on Cybercrime, Explanatory Report, 298.
Encase企业版的推送功能容许在与目标设备连接的只读设备中(如只读闪存、软盘等)运行控制程序servlet.
Zubulake v. UBS Warburg LLC,2004 WL 1620866 at*8(S.D.N.Y.Jul.20,2004).
指证据连续保管:向法庭提交证据的人,如在毒品案件中向法庭提交麻醉品作为物证的人,必须说明从他开始保管该物证直至他向法庭提交该物证的期间,他一直保管该物证的情况。
Zubulake v. UBS Warburg LLC,2004 WL 1620866 at*8(S.D.N.Y.Jul.20,2004).
See Hay,231,F.3d at637(未作出适当分析特工有理由将所有的计算机系统带离现场);lacy,119 F.3d at746;United States v. Upham 168 F.3d 532,534(1st Cir.1999).
参考文献:
[1]EnCase Enterprise administration Manual,Guidance software,inc.2007.
[2]EnCase Legal Journal,Guidance Software,inc.2011.
[3] 刘品新.电子取证的法律规则.中国法制出版社.2010.