電子數據取證的修鍊之道——從小工到專家

編者按

經常有人問，該如何邁入電子數據取證的門檻？說實話，這不是幾本書籍、資料就能保證的。但我相信，如果你有耐心看完這篇「長文」，應該會有新的感觸和體會。

《你好舊時光》今天的講述人，田慶宜，重慶市公安局網安總隊年青的正高級大咖。曾帶領團隊斬獲公安部網安電子取證第一名。

導言

2013年1月1日起施行的《中華人民共和國刑事訴訟法》明確將電子數據列為法定證據形式的一種。現代社會日益信息化，個人活動越來越多在網路空間留下自己直接或者間接的痕迹，電子數據取證重要性日益凸顯。進入該領域的小夥伴們越來越多。

剛進入該領域的小夥伴們往往會面臨一堆困惑：初學取證，會感覺電子數據取證領域浩如煙海，有數據恢復、Windows取證、雲取證、智能家居取證等等業務領域，還有名為電子數據取證的各類法律類書籍，涉及刑事訴訟法、證據法學法律領域，各類書籍汗牛充棟。還涉及國內國外系列標準，國內的公安安全行業推薦標準、司法部標準、國家標準、信安標準，國外影響較大的rfc、iso及nist系列標準和指南。還有各種國際國內培訓讓人目不暇接，國內公司如美亞，國際上如美國sans學院的相關培訓也目不暇接。如何在電子數據取證知識的迷宮殿堂裡面找到一個路線圖和指南，從而不重蹈「生有涯而知無涯「，高效率的從小工成長為專家，是值得探討的一個課題。

筆者曾經學習過醫學、計算機和法律三個專業。學習電子數據取證之初，曾把國內能找得到的書籍不論良莠全部刷了一遍，走了不少彎路。長期從事取證工作一線，帶領的團隊曾獲得該領域比武的第一。作為一個基層單位成立5年來，已承擔各類科研課題19項，承擔相關技術標準的撰寫6項；在系列重特大案件中發揮了關鍵作用，團隊所有人都已各級立功授獎多次。筆者根據自己的一些探索、感悟、在此拋磚引玉，希望能為新加入該領域的小夥伴給予一些參考，從而不必重走曾經走過的彎路。

為什麼學電子數據取證？

For a sailing ship, all the winds are against the wind.- Habets

對於一隻盲目航行的船來說,所有的風都是逆風。——哈伯特

進入電子數據取證領域的新人，首先應該明確的是為什麼學習電子數據取證，明確自己所學電子數據取證的作用，這是未來航行於電子數據取證領域海洋的指南針。筆者認為，根據中國目前的司法實踐，不同的平台的小夥伴電子數據取證的作用並不完全一樣。國內從事電子數據取證的三類主要平台：社會第三方鑒定機構、監察檢察系統技術領域、公安海關等偵查機關。

社會司法鑒定機構的小夥伴，電子數據取證的作用主要是證據作用，將涉案的各類檢材運用專業知識，出具司法鑒定報告。

監察檢察系統技術領域的小夥伴，電子數據取證的作用主要是證據作用（包括對偵查機關提供的電子證據進行技術性審查）、偵查作用。電子數據不僅用於提供證據，偵查作用用於在案件中指明偵查方向，尋找犯罪嫌疑人，查清案件真相。

公安海關等偵查機關的小夥伴，電子數據取證則有三重作用。證據作用、偵查作用之外，還涉及情報作用。電子數據的情報作用是為某些重大案事件提供情報線索。

總結而言，電子數據在國內的司法實踐概括而言包括證據、偵查、情報三大作用。三者作用其知識架構有顯著差別。如強調證據作用的小夥伴，除取證技術外，會更注重電子數據可才性的要求和規範，強調符合技術和法律規範要求。涉及偵查和情報作用的，特別是情報作用的電子數據，未來未必會轉化為證據使用，因此會更強調取證人員的偵查思維、偵查意識在電子取證工作中的運用。不同平台的小夥伴可以根據自己所在的平台，選擇性的對號入座。

學電子數據取證是在學什麼？

一個用不好取證大師、encase、xway、ftk、i2，不了解python、javac、asp、php各種編程語言，不懂sqlite、sqlserver、mysql等各種資料庫，各種mac、linux、windows系統平台,各種log分析、加密解密、逆向工程和惡意代碼分析，知識範圍不能橫跨PC到移動端、從互聯網到嵌入式，不能揣摩從黑客到色情狂、從騙子到斯文敗類犯罪心理的「廚師」，不是一個好的取證人員！ -筆者

總體而言，根據筆者經驗，電子數據取證領域可以分為四大知識模塊。具體如下：

1）電子數據取證基礎知識模塊。該模塊包括從事取證領域最小的公共知識（註：計算機專業的小夥伴以下可以無視）。常見如桌面和移動終端操作系統、文件系統與文件格式、編程語言與正則表達式、資料庫基礎、加解密基礎等。值得注意的是，這類基礎的學習不用從計算機專業的課本開始學起。

有從事取證領域的小夥伴看到這些基礎，第一時間想的就是學習計算機專業課本，遇到操作系統、彙編語言等課本頓時如同撞上一塊鐵牆，從而不免放棄。（筆者吐槽一句，國內的計算機專業教材，似乎主要目的是讓人晦澀難懂，而國外經典教材往往深入淺出。）學習方法建議充分利用網易公開課、新浪公開課等公開免費優秀資源，外語好的小夥伴還可以使用Coursera等開展自學，可以選擇較為基礎的入門課程。在取證實務裡面，實際一般不會用到太過深入的計算機基礎。非計算機專業的小夥伴重點建立基本知識架構、掌握基礎概念即可，另外編程語言建議學習python，國外很多開源取證資源都可以兼容python，另外perl也有不少安全資源，python和Perl也容易上手。

2）電子數據取證業務知識模塊。該模塊常用的主要包括Windows、linux、mac等桌面操作系統取證、Android、ios等智能終端取證、數據恢復、資料庫取證、應用程序取證、惡意代碼分析、網站的重建與分析、網路數據分析、加密與解密等領域。該知識模塊的學習方法可以先選擇一本通用基礎書籍入門，然後在根據工作領域和需求，選擇專著深入公開教材可以選擇清華大學出版社出版的公安院校招錄培養體制改革試點專業系列《電子數據取證》。如果是網安民警，可以選擇部十一局主編的全國公安民警訓練統編教材《電子數據勘查取證》。這兩本書結合實戰緊密，實用性較強，閱讀後可以快速上手。國外這類經典書籍也比較多，主要集中在sygnress及Packt出版社。因篇幅關係，回頭有機會再給小夥伴拉書單。

3）電子數據法律及實驗室質量管理知識模塊。電子數據取證不是純粹的技術領域，電子數據是證據的一種，提取收集的電子數據應該滿足法律對證據的可采性要求。這塊領域可以進一步簡易分為電子數據取證程序和證據形式的相關法律法規要求。

電子數據收集提取程序這塊，國內目前最為重要的文件是《公安部 最高人民法院 最高人民檢察院關於辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》（法發[2016]22號）。

證據形式這一塊，雖然刑訴法已經明確規定電子數據為獨立的證據形式，但是在司法實踐裡面電子數據主要還是通過鑒定報告、勘查檢查筆錄等來體現。如果電子數據選擇鑒定報告形式，一方面涉及國家法律相關於鑒定報告的相關要求，同時根據《全國人民代表大會常務委員會關於司法鑒定管理問題的決定》相關要求，司法鑒定機關需「有在業務範圍內進行司法鑒定所必需的依法通過計量認證或者實驗室認可的檢測實驗室「，因此還涉及cnas或cma質量體系認證。如果選擇出具勘查檢查筆錄，則可以不用按照cnas或cma質量體系認證，主要遵循相關法律法規及部門規章對勘驗、檢查筆錄的具體要求。這塊領域的學習方法，主要通過小夥伴需要出具的證據種類，選擇學習相應的法律法規文件。對於cnas體系，筆者要強烈推薦一本書中國人民公安大學出版社《電子數據取證與鑒定實驗室認可工作指南》，這本書的編者具有豐富的結合電子數據實務的質量管理經驗，是不可多得的學術性與可操作性俱佳的好書。這本書也已經包括關於電子證據技術標準的相關知識。

4）偵查思維知識模塊。在國內司法實踐，具備偵查職能的機關裡面也有取證部門。這類部門實際不僅要承擔電子數據取證作為證據的職能，同時也要具備對電子數據根據偵查和情報進行深入分析的需要。對於偵查機關的小夥伴一定要注意這一點。由於這一塊往往內容比較敏感，公開資料較少，學術領域專家出版的書籍基本缺乏對該知識模塊的內容，因此偵查機關初入行的小夥伴往往也會被誤導忽視這個領域。對於這個領域的學習方法主要是案例分析和總結，從實戰中去學習。

另外值得指出的一點，具備偵查思維和知識很重要的要熟悉犯罪嫌疑人的心理，通過對犯罪嫌疑人心理的分析去運用取證技術，往往可以在案件突破中起到四兩撥千斤的突破。犯罪心理分析這塊經典書籍包括美國柯特·R.巴托爾已經發表到第11版的《犯罪心理學》，也可以看看美劇《Criminal minds》、《CSI:Cyber》獲得一些直觀感受。

不同平台的電子數據的小夥伴可以根據自身的平台，選擇性的組合上述知識模塊，滿足自身工作的需要。

如何修鍊電子數據之「道」？

靜心方可悟道，篤行始達至善。-智慧方略論

電子數據取證知識的平面主要包括上述四大模塊。但是取證領域從小工到專家，除了對知識的記憶背誦，還需要有修鍊的層級。從筆者的經驗看，取證之道的修鍊需要跨越五個層次：真知、得法、善用、篤行、悟道。

第一層級真知。主要對電子數據取證相關取證知識從看到、聽到到知其然，實現對取證相關知識的記憶。修鍊途徑主要通過閱讀、記憶相關書籍，製作讀書筆記來修鍊，實現對知識的全面了解。

第二層級得法。主要是熟練取證知識運用，知道一些常見取證技巧，逐漸積累取證經驗。如知道為什麼對光碟不能對整張光碟計算哈希值等經驗。修鍊途徑就是實踐，在案件中將上述知識運用於實踐，積累取證經驗。

第三層級善用。這一層級主要修鍊各類工具的使用，對國內外各類取證工具性能、特點、長處、短板瞭然於心。可以根據案件取證目的選擇使用各類取證工具，甚至可以自編工具或者根據取證工具提供的腳步自編插件。修鍊途徑主要包括參加各類廠家培訓，廠家培訓往往會結合實戰進行，具有較好的培訓效果。如果選擇使用開源取證軟體，則可以閱讀使用手冊，選擇經典鏡像進行練習。具體鏡像手冊等因為篇幅所限，回頭再拉清單。

第四層級篤行。這一層級即是博思而篤行，通過大量的實戰應用，培養起有效的系統化綜合思考能力和行動技能。修鍊途徑強調博思，善於自我總結和思考。在完成一些典型案件後，不只是滿足於完成，而深入思考嫌疑人心理、手法、技術特點、是否有其他更優途徑，不斷復盤修鍊。

第五層級悟道。這一層級把電子數據取證本身不只是一種技能，更是一種智慧，將電子取證相關的知識經驗廣博海洋內化於心，形成下意識的「心智模式」，知道電子數據取證在整個工作（偵查體系）中的清晰定位、長處與短處，使修鍊者本人自身更適用於業務工作需要，成長成為整個業務系統（體系）中的精英力量。

結語

如果你恨他，請帶他去紐約，因為那是地獄；

如果你愛他，請帶他去紐約，因為那是天堂。-北京人在紐約

電子數據取證也如同姜文口中的「紐約「。當你走上電子數據取證之路，那裡既是地獄也是天堂。」它是「地獄「是因為在電子數據領域，難以修鍊到一覽眾山小的水平，在你取證生涯隨著信息技術發展，總會有層出不窮的新問題新領域需要不斷探索學習、去攻克。無法像修醫道一樣，越老越吃香。說它是」天堂「是因為你從事這個領域，永遠不會厭倦，永遠都有新鮮好玩的問題、裝備去探索、去把玩，讓你的生涯充滿新鮮與快樂。

熱烈歡迎各位小夥伴進入電子數據取證領域！

請長按選擇識別圖中的二維碼並關注【信息時代的犯罪偵查】公眾號，了解犯罪手段、偵查技術、辦案心得，做到自我提升、自我救贖！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！