原标题:用电子取证“砸实”案件
钱长远在研究电脑数据。
讲述人:钱长远
单位:安徽省蚌埠市检察院
岗位:电子证据、信息技术
岗龄:10年
爱好:军事模型制作、编程等
作为一名电子证据鉴定人,这些年来,我参与办理了很多案件,其中不乏疑难复杂案件,下面这两起案件让我最难忘。
在办理一起公职人员帮助犯罪分子逃避处罚案时,犯罪嫌疑人在自己的办公电脑上以被害人的口吻编造了一份“情况说明”,编辑完成后直接打印,并没有保存文档。由于此案中被害人陈述、犯罪嫌疑人供述及辩解等言词证据的证明力都比较单薄,能否成功获取犯罪嫌疑人电脑上录入的文档数据,就成了“砸实”案件的关键。
按照常规,恢复电脑数据是对电脑中已被删除的曾经存储过的数据进行还原处理。而本台电脑中涉案文档提交打印后并未保存,也就不存在存储后被删除的过程,所以无从恢复。面对这一挑战,我决定从底层数据入手,尝试寻找恢复文档相关的临时文件内容,但是没有取得突破。接着我又尝试在打印涉案文档的打印机上“做文章”,但该打印机存储量极小,存储数据早已被覆盖。
经过反复研究,我利用专业取证软件,辅之以手动分析,终于从犯罪嫌疑人电脑中获取到关键信息,再现了犯罪嫌疑人对文档进行编辑等作案过程。上述关键信息证明了该公职人员与犯罪分子之间的联系,为案件的侦破提供了重要证据。后来,我的这一电子取证方法在全省范围内得到推广应用,对提升全省检察机关电子取证水平起到了积极作用。
在办理另一起磁盘阵列数据恢复案件过程中,办案人员提供了数十块服务器硬盘。由于办案人员没有记录硬盘编号,硬盘间的顺序已经被打乱,需要找到正确的组合才能正确读取。我首先对所有硬盘做了镜像备份,确保原始数据不被破坏。随后,根据分析和计算,推断出硬盘的分组情况,将硬盘按多个分组重新组合起来,再通过对所要寻找数据的底层编码格式进行研究和反复提取验证,逐步找到了恢复数据的关键线索。
在此基础上,我根据找到的数据存放及编码规律,尝试手动将散乱的文件残片重新拼凑起来。经过数天的不懈努力,我成功恢复了几乎全部数据!这些数据完整地重现了犯罪嫌疑人在特定时间段的行动轨迹,为案件后来的侦破提供了关键证据。
案件的成功办理,不仅将犯罪分子绳之以法,也锻炼了我的技术能力,更让我在电子证据专业领域内不断成长,并于2018年被最高人民检察院荣记个人一等功。
(本报记者吴贻伙整理)(吴贻伙)
(检察日报)
两男子车上吵架,高速公路上怒撒4.3万现金:钱扔出去就后悔了
