【再刊说明】当下热议的“快播”案件第二次庭审中,鉴定人通过鉴定电子证据的时间信息得出“未发现”视频文件“被从外部拷入或修改”的“痕迹”。这一鉴定方法是否科学?鉴定意见是否可信?需要从基础理论——电子证据时间鉴定的科学基础——谈起。这一理论也是信息化侦查的基础理论,旨在回答虚拟空间案件事实重建的原理。此次只刊论文。至于“快播”案件鉴定的科学性,容以后撰文评说。
论电子证据时间鉴定的科学基础*
刘品新 胡忞**
(中国人民大学法学院,北京 100872)
摘要
电子证据时间鉴定是判断电子证据所记录时间信息是否受到篡改的一种专门性活动。当前学术界和实务界对其科学性颇有疑议。本文从信息转移原理和信息系统理论出发,深入阐述了电子证据时间鉴定的科学性,指出篡改电子证据的时间必然会引发信息转移现象、必然会破坏其时间体系的内在关联。本文对于构建电子证据鉴定的科学理论具有一定的示范意义。
关键词
电子证据 时间鉴定 科学基础 信息转移原理
Is Digital Evidence’s Time System Identification
Scientific?
Abstract:Time System Identification of digital evidence is a special activity which to authenticates its original time information. However, in nowadays many doubts about this activity are raised. From the information transfer theory and information system theory, this paper expounds the scientific foundation of Digital Evidence’s Time System Identification and points out any unauthorized modification can trigger information transfer and time information conflicts. The approach is useful to construct the new scientific theory of digital forensics.
Keywords:Digital Evidence; Time System Identification; Scientific Foundation; Locard Exchange Principle
引言
电子证据时间鉴定是当前司法实践中一种崭新的鉴定类型。随着人类社会走向信息化,越来越多的书面文件以电子形式呈现出来。为了判断电子证据的真伪及形成过程,一种基于传统文书时间鉴定的新型鉴定应运而生。然而,由于电子证据所寓存的信息空间不同于传统的时空世界,因此关于电子证据时间鉴定的科学性争论也被提出来。
一种普遍存在的错误观点认为,电子证据赖以存在的数字式空间不同于物理空间,其时间属性完全不同于物理空间的时间属性,因此电子证据的时间鉴定是行不通的。然而,在信息时代书面文件的电子化是大势所趋,传统的文书时间鉴定必然会演变为电子证据的时间鉴定,而且电子取证技术的迅猛发展也为电子证据时间鉴定提供了积极的探索。实践表明,电子证据的时间鉴定不但有助于揭示电子证据的形成过程,还能帮助判断是否存在篡改和伪造的情况,具有极为重要的司法价值。基于此,本文结合当前实践的经验和发展,深入剖析了电子证据时间鉴定的机理,并升华为电子证据时间鉴定的科学基础,希望能对电子证据鉴定的基础建设起到抛砖引玉的作用。
二、电子证据时间鉴定的内容与机理
电子证据时间鉴定是判断电子证据记录的时间信息是否受到篡改的一种活动。举例来说,在一起入侵网络银行的案件中,入侵者修改网络银行数据库的文件之后,为掩盖作案痕迹遂将所修改文件的最后一次修改时间提前,行为过程如图2.1所示。在这种情况下,电子证据时间鉴定就是要逆向分析,判定是否存在图2.1中灰色部分表示的行为过程。这种逆向判断之所能够进行是因为电子证据的时间和操作行为紧密相关,是操作行为的记录,作用类似于事件日志(log of events),[1]不仅能够揭示电子证据的数据是如何产生的,还能够重现当时的操作过程[2]。通过分析电子证据的时间信息,建立操作模型可以逆向推断该电子证据的时间是否受到篡改。
图2.1
电子证据时间鉴定不同于传统书写时间鉴定的地方在于要解决电子证据时间和物理空间时间的关联性问题。电子证据存在于虚拟空间,从表面上看来其时间信息自成体系,和物理空间的时间完全不同,实则通过各种途径直接或者间接地与物理空间的时间保持一致。如图2.2所示,电子证据的时间不仅来自于本机的系统时钟,还可以来自网络服务器或者他人的系统,甚至可以直接来自于物理空间。电子证据时间来源的多样性为判断是否存在篡改行为提供了又一种途径,即可以通过电子证据所包含的多个来源的时间信息之间的印证或者矛盾关系来判断。
图2.2 电子证据的时间与物理空间时间的关系
电子证据的时间来源于本级系统时钟以外的一些典型例子:
1:从他人系统拷贝所得文件的最后修改时间直接继承源文件中的最后修改时间,该时间来自他人的系统时钟;
2:eml格式的电子邮件会记录所经过服务器时的时间,该时间来自网络服务器的时钟;
3:网页缓存文件内容中包含了打开该网页时的时间信息;
4,5表示的情况是他人系统、本机系统都设置了自动与网络服务同步,系统时间来自网络服务器。
三、电子证据时间鉴定的科学性
电子证据时间鉴定具有科学性,表现在信息转移存在必然性和电子证据的时间信息存在体系性。具体来说就是,任何篡改电子证据时间的行为必然会引起工具信息和时间信息的转移,留下痕迹;因篡改行为而转移的时间信息会破坏该电子证据原有时间体系的规律,形成矛盾。因此,通过详细的分析我们可以推断出电子证据的时间是否遭到了篡改。
(一)信息转移存在必然性
洛卡德物质交换原理是指任何客体接触都会在接触面上产生物质转移的现象,此种转移是广泛存在的,是不以人的意志为转移的。随后,为适应信息社会的发展,在物质交换原理的基础上又发展出了信息转移原理,明确犯罪过程必然会发生信息转移[3]。信息转移原理运用到电子证据的时间鉴定中则是指任何篡改时间信息的行为都会引起信息转移,这种转移存在必然性,表现在以下两个方面:
首先,从篡改的行为过程来看,动作的施行者需要改变原有的时间信息,势必就要向电子证据写入新的信息,或是通过完全写入新信息的方式,或是在原有信息的基础上进行修改。无论属于哪一种,篡改的过程都必然会引起信息转移,或者更确切的说,篡改电子证据时间的过程本身就是转移时间信息的过程。
图3.1.1 篡改电子证据时间的操作过程
其次,计算机系统的结构决定了信息转移必然发生。在计算机系统中,用户发起的任何操作都是先编译成相应的信息指令,然后传递给相应的处理设备,最后才执行输出的。操作执行的过程就是信息转移的过程,篡改时间信息的操作也一样。具体来说,篡改电子证据时间的过程是通过应用程序修改存储在磁盘上数据的过程,然而计算机系统的层次关系决定了篡改操作的信息指令必然要依次经历由系统软件层、操作系统层,到磁盘存储设备层的转移,如图3.1.2所示。这个过程必然会引起操作系统文件或是相关的文件的变化,甚至留下工具使用的痕迹。以windows操作系统为例,任何应用程序(包括篡改时间的程序)启动之时,操作系统会自动生成相应的预读文件和最近使用程序的注册表项,记录程序的名称和运行的时间[4]。
图3.1.2 计算机系统的层次关系
(二)电子证据的时间具有体系性
所谓体系是指集合内的元素按照一定的方式构成整体。电子证据时间的体系性是指电子证据的时间并不是某一个孤立存在的元素,而是由不同的时间信息按照既定的规则和方式构成一个整体。这首先是由电子证据的逻辑结构决定的。电子证据包括属性和内容两部分,属性中包含了创建时间、最后修改时间、最后访问时间等。人们熟知的,在操作系统下右键点击“属性”可以看到的时间信息就是存储于属性部分的。电子证据的内容中也包含时间信息:一种情况是,电子证据的内容就是时间,如PFRO.log日志文件的内容就是软件运行的时间。另一种情况是,电子证据内容中包含各部分的时间信息,常见于有结构的电子证据当中。如doc格式的电子证据,内容中包含了其各个组成部分(图片、表格等)的创建时间和最后修改时间,部分时间信息可以从WORD程序文件菜单的属性项目下看到。前三种情况构成了存储于电子证据内部时间的集合。另外,计算机系统的结构以及运行机制决定了电子证据的时间还可以以内容的方式存储于其他关联文件中,这样就构成了电子证据外部时间的集合。以IE缓存文件为例,其最后访问时间不仅存储于属性部分,还以内容的方式存在于cookies、index.dat等其他文件中。
另外,该集合的组成元素——所谓的时间信息,不仅包括以日期和时间的方式表示的信息,还包括通过其他方式,如数字的大小,表达时间先后的信息。举例来说,事务序列号(LSN)就是典型的通过数字的大小来表示操作发生的先后顺序。
由上不难看出,电子证据的时间并不是指某一个孤立存在的元素,而是所有与之相关的时间信息的集合,既包括其本身存储的时间信息,也包括关联文件中存储的时间信息,如图3.2.1所示。
图3.2.1 电子证据的时间的构成
该集合中所有的时间信息相互之间存在关联,或是先后关系,如一般情况下,创建时间早于最后修改时间;或是继承关系,如doc文件格式的电子证据中,ObjectPool的最后修改时间继承自root entry的最后修改时间;还可以是大小关系以及其他。此种内在联系即是应用程序和操作系统预先设定的规则,是不可改变的,因为在操作系统和应用程序设计之初就已固定下来,是可靠的,因为计算机文件的正常管理有赖于此。基于这些内在联系,我们便可以捕获打破规律的篡改行为。目前,国内外有关电子证据时间的技术研究大都着眼于此,已有丰硕的成果。
四、一个案例的解析
下面以案例的方式说明如何根据信息转移的必然性和时间的体系性鉴定电子证据的时间是否受到篡改。例如,需鉴定某嫌疑优盘(NTFS文件系统)中电子证据a.doc的时间是否遭到了恶意的修改。首先,构建该电子证据时间信息的集合:(1)查看并记录属性和内容中包含的时间信息,得到表4.1;(2)使用16进制数据查看软件查看并记录最后修改时间的数据表示,如表4.2。
表4.1 a.doc的时间信息
| | | 创建时间 | 最后修改时间 | 最后访问时间 | 入口最后修改时间 | LSN |
a.doc | 属性 | $SI | 2012/1/14,07:28:56 | 2010/10/29 12:27:28
① | 2012/01/14 07:28:56 | 2012/01/14 08:19:14 | 8411333 |
$FN | 2012/01/14 07:28:54 | 2012/01/14 07:28:54 | 2012/01/14 07:28:54 | 2012/01/14 07:28:54 |
内容 | RT | | 2010/11/29 05:27:27
② | | |
注:$SI=$STANDARD_INFORMATION,
$FILE_NAME=$FN, RT=Root Entry
表4.2 a.doc的最后修改时间
| 最后访问时间(表示成时间) | 最后访问时间(数据表示) |
a.doc | 2010/10/29
12:27:28 | 01CB7764A6427800(16进制) 12932828848×107(10进制)③ |
其次,分析各项时间信息之间的关系:(1)从表4.1中可以发现①<②,而在NTFS文件系统中应当满足①>=②,否则就是曾有将最后修改时间提前的篡改操作[4]。(2)通过分析表4.2中的③发现最后修改时间的精度为秒,而NTFS文件系统所使用filetime的精度为百纳秒(1秒=107百纳秒),属于典型的使用软件修改时间导致精度降低的情况[3]。因此,认定该文件的最后修改时间有受到人为的篡改。
五、结语
作为新兴的领域,电子证据时间鉴定尚未被大多数的法律从业人员所了解,他们普遍存在着不同程度的担心。研究电子证据时间鉴定的科学基础,最终是为了完善电子证据鉴定结论的科学性。前述分析表明,信息科学的系统性理论从根本上保障了电子证据时间鉴定的科学性。当然,实际鉴定过程仍然受个案条件的限制,始终无法排除检材状况对结果的影响,造假者的行为也会增加鉴定的难度。但是,这一难题也是各种司法鉴定所面临的共同难题,并不会削弱电子证据时间鉴定的科学性。
[参考文献]
[1] Brian, H. Eugene, ‘Defining
event reconstruction of a digital crime scene’, Journal of Forensic
Sciences 2004.
[2] Renico Koen, Martin S. Olivier,
‘The Use Of File Timestamp In Digital Forensic’ ,Proceedings of the ISSA 2008 Innovative
Minds Conference.D.
[3] 刘品新,[J],《论犯罪过程中的信息转移原理》,2002
[4] Ronbison, ‘what time are you
anyway? ’
http://www.4shared.com/document/zW9RoI_y/DEFCON-19-Robinson-Time.html
[5] Xiaoqin Ding, Hengming Zou,
‘Reliable Time Based Forensics in NTFS’,
www.acsac.org/2010/program/posters/ding.pdf
*本文原载《山东警察学院学报》, 2012, 24(3):68-71。感谢胡忞同学(中国人民大学法律硕士)的睿智专业、合作精神与辛勤付出!
