2012・07
(中)
Encase 企业版软件在电子证据收集过程中的运用
周国平
符一龙
摘要随着信息技术对人类生活的影响逐渐加深,与以计算机为主导电子设备相关的违法事件的明显增多。电子证据
在刑事、民事及行政等多种案件中发挥越来与重要的作用。在计算机证据取证调查过程中,美国许多法院早已认识到了运用最佳工具的重要性。最佳工具的标准是基于调查环境及新技术的革新而不断改变的。通过分析电子证据收集过程中存在的问题,并结合Encase 软件的功能,对encase 企业版软件在电
子证据收集过程中的运用进行阐述。关键词Encase 电子证据收集作者简介:周国平,重庆邮电大学法学院,研究生,主要从事诉讼法研究;符一龙,重庆邮电大学法学院。中图分类号:D925文献标识码:A 文章编号:1009-0592(2012)07-110-02一、Encase 企业版简介
Encase 是Guidance Software 公司研发的取证产品,该公司成立于1997年。Encase 的开发团队多半拥有计算机取证学专家的背景。该工具拥有强大的脚本功能,支持二次开发。可增强取证分析的针对性,使个人技能得到较大程度的发挥,是政府执法机构常用的取证工具,也被广泛的运用与司法、军队、公司监察等部门。Encase 分为单机版和企业版,本文重点讨论的是企业版即Encase Enterprise Edition 。Encase 企业版是世界上第一个可以有效执行远程企业紧急事件响应、审计、和发现任务的软件。计算机紧急事件响应工作组和计算机调查员可以利用该软件即时通过局域网或广域网识别、浏览、获取和分析远程的电子媒介。En-case 企业版与Encase 单机版软件(以Encase forensics software 著称)都基于同样的代码和功能。Encase 企业版从本质来说就是核心的Encase 单机产品,但其采用了高度兼容的网络启动模式,另外基于实际考虑,在内部增加了相应的安全策略及功能增强的数据库。
二、Encase 企业版在电子证据收集过程中的运用(一)在线进行证据收集相比单机离线收集的优势
Encase 企业版主要针对公司企业内部基于局域网或广域网的联网计算机的调查,在提倡举证主体多元
化的今天,它不应仅仅成为公司企业的监察工具,还应成为各种举证主体收集与保全证据的有力武器。因此,在阐述Encase 企业版在电子证据收集过程中的运用前,首先我们必须了解在线进行证据收集的优势。从证据效力及成本花费的立场来看,对现场计算机系统进行远程镜像或司法搜查相比关闭系统或拆除设备进行离线单机分析更具优势,主要原因如下:
1.通常关闭重要的计算机系统都会对企业正常经营或第三方利益造成实质性损害。随着Encase 企业版这类技术的出现,要进行适当的计算机取证调查并不必然需要关闭运行的服务器。
2.关键证据通常在做出调查决定后,到调查员可以直接物理访问涉嫌计算机期间灭失。因此,进行及时的远程调查比等待几个小时甚至几天时间到达目标地点或者进行离线的单机调查来
说更为合适。随着Encase 企业版这类技术的出现,前面的延迟就变得不再合理。
3.当系统运行时,会产生大量的不稳定数据,如果系统被关闭,这些数据将会灭失或无法获取。如运行进程、开放端口、内存数据、连接的设备及当前打开的文件都是一些对取证调查非常重要的实时数据,这些数据只有计算机在原生环境下运行时才可获取。
以上因素在美国众多判例中得以体现,被作为评判计算机取证调查过程中所采用方法是否适当的重要参考。
基于以上原因,许多美国
及其他国家的执法机构在刑事调查中都采用Encase 企业版以应对以下情况:(1)环境状况不容许离线控制系统;(2)需要利用广域网接入目标媒体以做出及时的调查;(3)有必要对连接到广域网内众多计算机媒体进行调查。基于这三种情况,Encase 企业版就成为了调查取证的最佳工具。
要评价在电子证据收集过程中运用Encase 企业版时证据的准确性及可靠性的问题,首先必须了解其他经常被用于远程分析及网络文件获取的程序存在的缺陷。例如,运用病毒检测工具或者系统管理工具对常用文件进行远程分析,从证据效力的立场来看存在几个问题:首先,这些应用程序可能会对被访问或调查的文件造成实质性的改变;其次,这些应用程序会改变重要文件的时间戳,包括最后访问时间以及最后修改时间;最后,通过操作系统管理程序远程打开文件将很可能导致在被调查的目标设备中生成缓存文件及其他衍生数据的结果。
Encase 企业版在用于电子证据收集过程中时能很好的解决以上的问题:Encase 企业版在磁盘标准下运行,
2012・07
(中)
数据,如时间戳、日戳及其他信息都不会发生改变。同样的,在这个过程中也不会生成相应的备份文件或其它衍生数据。当然,因为Encase 企业版软件在现实环境下运行,完全“静态”的成像过程是不可能的。只要计算机设备在原生环境下持续运行,该设备就会在持续操作过程中发生变化,例如写入交换文件或其他系统注册表。因此,Encase 企业版控制端通过网络运行目标设备的控制程序Servlet 时,该程序会在目标设备写入注册表或系统的其他部分。但Encase 企业版软件控制端自身在调查过程中并不会写入目标设备,通过Encase 软件查看或获取文件时并不会对其造成任何改变。
严格说来,运行Servlet 控制程序时在目标设备写入注册表或其他数据是存在争议的。公司监控通常做法是在网络突发事件发生前即在目标设备内装入了Servlet ,将该程序变成整个设备系统的一部分.尽管运行时该程序依然会写入注册表等信息,但美国众多法院都认可了Encase 企业版软件的效力,如以下要提到的Zubulake 案。
并生
成一份详细的安全调查审计记录;最后,所有在Encase 企业版环境下传输的数据及生成的证据文件都采用128-bit 的AES 加密技术进行加密,以确保数据传输的安全。此外,当创建证据文件时,Encase 企业版与单机取证版软件一样也会计算CRC 及MD5校验值,以确保获取的证据与目标设备的同一性。
(四)Encas 企业版关键字搜索的运用
在美国具有里程碑意义的Zubulake 系列案件,对于电子证据取证调查研究具有重大的意义。它们是建立包含调查程序、政策及普遍技术运用的程序性构架的开创性案件。在Zubulake 案中,某公司试图在一次大规模的调查中保全并收集计算机证据,
法院为此提出了一项重要的建议性技术程序规范:“就某种程度说来,律师与公司的所有利害关系人进行直接交流未必是可行的,鉴于公司的规模或者诉讼的范围,律师必须更具创造性。可通过网络在整
企业信息搜索软件个公司计算机系统运行关键字搜索,之后律师可以保存每一命中结果的备份。这听上去似乎很繁琐,但事实上并不会。律师没有必要审查这些命中的文件,他只要看到它们被保存下来就够了。例如,律师可以建立一个足够广泛的搜索字词列表,在有限的时间内运行搜索功能,然后隔离开命中响应的文件。”
虽然如此,随着科技的发展,笔者认识到这并不总是对的。在对计算机涉案现场进行证据搜查前,往往没有任何根据表明现场将会发现大量涉嫌计算机或相关设备。任意的搜查与扣押,容易构成对公民权利的侵犯。因此,使用如Encase 企业版这样的网络取证分析工具来限制并细化搜查与扣押的过程就应该成为一种义务。随着我国于2011年将电子数据作为证据写入刑事诉讼草案,我国对电子证据的搜查与扣押应与传统证据区别开来并加以严格控制。Encase 等工具在国外司法取证中的流行对我们具有重要的借鉴意义,我们在电子数据调查取证过程中,应根据调查环境的实际情况与新技术的革新而采用最合理的调查方式及调查工具。
注释:
Council of Europe ’s Convention on Cybercrime ,Explanatory Report ,
298.Zubulake v.UBS Warburg LLC ,2004WL 1620866at*8(S.D.N.Y .Jul.20,2004)
.Zubulake v.UBS Warburg LLC ,2004WL 1620866at*8(S.D.N.Y .Jul.20,2004)
.
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论