【检索主题词】国家信息中心电子数据司法鉴定中心;硬盘数据恢复;电信诈骗;时间鉴别

【鉴定机构名称】*

【鉴定事项】电子数据鉴定

【主办鉴定人】*

【鉴定完成日期】2017-03-13

【法院是否采信】是

【案情简介】

2016年4月，某国警方成功打掉一个冒充中国大陆公检法机关，向大陆群众大肆实施电信诈骗的犯罪团伙。某国执法部门经审查，决定将上述人员中的32名中国大陆犯罪嫌疑人和45名台湾犯罪嫌疑人遣返中国大陆，移交给具有管辖权的某地警方进行案件侦办，随同人员移交的还有在多个犯罪窝点查扣的笔记本电脑等电子设备。

由于侦查需要，警方将其中一个窝点的8台笔记本电脑送至司法鉴定机构进行电子数据司法鉴定，一方面对电脑中的关键数据线索进行分析、查找和固定，另一方面，从证据链完整性角度，鉴别上述关键电子数据在移交至我国公安机关后有无篡改。对应上述需求，提出对应的委托要求为：对送检8台笔记本电脑进行全盘数据恢复，重点提取word、excel、Skype聊天记录，并分析笔记本硬盘中的word、excel、Skype聊天记录文件在2016年4月8日13点之后（东八区时间）有无剪辑修改。

2017年7月，该案件经侦查、起诉后由法院一审公开开庭审理，庭审中，围绕起诉书指控事实，公诉机关运用多媒体等形式出示了电子数据、鉴定意见、书证、物证及证人证言、被害人陈述等多种类证据，各被告人及其辩护人进行了充分质证。在法庭辩论阶段，控辩双方在合议庭主持下充分发表了意见，被告人对公诉机关指控其参与诈骗的事实和罪名均无异议。在最后陈述中各被告人均表示认罪、悔罪。

【鉴定过程】

1、将检材电脑检材一至检材八顺序编号为，并拍照记录其外观特征。

2、分别拆下检材中的硬盘，将其编号并拍照记录其外观特征。

3、启动电子物证检验工作站，对整个系统进行杀毒。将编号的检材硬盘通过只读设备分别接入电子物证检验工作站，启动X-ways Forensics获取对应镜像，并将镜像盘分别编号，比对镜像结果与对应检材硬盘的哈希校验值。

4、使用R-Studio分别扫描并恢复，提取固定其中现存和恢复出的word、excel和Skype聊天记录文件，检验其时间属性，判断上述文件在2016年4月8日13点之后（东八区时间）有无修改，并将提取文件导出到电子物证检验工作站，刻录成光盘。

【分析说明】

根据指定委托要求对送检的笔记本电脑进行检验，包括电子数据的搜索、恢复以及系统文件时间检验多个技术环节，主要参照GB/T 29362-2012《电子物证数据搜索检验规程》、GB/T 29360-2012《电子物证数据恢复检验规程》等标准方法进行鉴定实施，其中涉及的技术难点有3个。首先，在系统时间方面，由于送检笔记本电脑均查扣于某国地区，其系统时间设置不一定同为北京东八区时间，需要对其时间及时区设置进行检验。此外，由于笔记本电脑的系统时间存在人为改动的可能，需要检验其系统日志是否对系统时间进行网络校准，以及校准源是否可信。第二，对于指定word、excel类型文件进行恢复时，恢复文件除了包含系统文件属性外，在文件底层还存在元数据信息，包含众多涉及文件操作的关键原始记录，比如编辑、打印时间等，对事实判断有重要帮助。因此，在恢复过程中需要尽可能提取文件的元数据信息。第三，对Skype聊天记录的提取与恢复并没有标准方法可循，在底层数据提取与恢复基础上，需要最大限度保留原始聊天的场景信息，比如聊天对象、时间等。这就需要对Skype聊天记录的固定与展示进行优化，为后续快速检索、事实判断提供支撑。

2、根据上述鉴定方法，首先对原始检材进行固定，分别拆取检材电脑中的硬盘，将其编号。

3、将编号的检材硬盘通过写保护设备制作完整镜像，并检验记录其基本存储信息。分别计算镜像结果的SHA-1校验值，并与其对应检材硬盘的SHA-1值进行对比，比对结果一致，证明镜像完整。

4、对每块硬盘的时间设置及时间源信息进行检验，逐一查看每块硬盘的系统分区，提取注册表文件和系统日志文件，判断当前系统设置的时区信息以及有无时间同步事件，检验结果如下：

每块硬盘中所有文件的时间属性信息都是以当前操作系统的系统时间为基准，而系统时间与设置时区及是否同步相关。从系统日志中查看时间同步事件，就是确认系统时间是否与网络服务器上的标准时间源进行过同步校准。

通过上述检验分析，可以确认送检硬盘中的系统时间设置均为东八区时间，且均经过网络标准时间源校准。

5、使用R-Studio分别打开筛选出其中现存的word和excel文件，将筛选结果导出到电子物证检验工作站，并将筛选结果打包。记录筛选结果的时间属性，并判断筛选结果文件中是否存有其最后修改时间在2016年4月8日13点之后（东八区时间）的文件，检验结果如下：（略）

6、使用R-Studio分别扫描并打开，分别使用目录树重构和文件指纹定位的方法对硬盘中删除的word和excel文件进行恢复，将恢复结果导出到电子物证检验工作站，并将恢复结果打包，其中，部分数据文件由于被覆盖等原因存在无法打开的情况。

逐一检验恢复结果文件的时间属性，判断恢复文件中是否存在最后修改时间在2016年4月8日13点之后（东八区时间）的情况。其中，使用文件指纹定位方法恢复出的文件，由于时间记录属性缺失，无法进行判断。对上述检验结果汇总如下：（略）

7、使用R-Studio分别打开搜索定位是否存有Skype聊天记录文件，将搜索结果导出到电子物证检验工作站，并将搜索结果打包。

首先，检验Skype聊天记录文件的系统时间属性，判断是否存有最后修改时间在2016年4月8日13点之后（东八区时间）的文件。此外，对上述聊天记录文件进行解析，将具体聊天内容导出到电子物证检验工作站，整理打包，并判断聊天内容中是否存有在2016年4月8日13点之后（东八区时间）产生的记录，检验结果如下：（略）

所有检材硬盘中现存的Skype聊天记录文件在2016年4月8日13点之后（东八区时间）状态未发生变化。

8、使用R-Studio分别扫描并打开搜索定位是否存有被删除的Skype聊天记录文件，将恢复结果导出到电子物证检验工作站，并将恢复结果打包。

检验恢复出的Skype聊天记录文件的系统时间属性，判断是否存有最后修改时间在2016年4月8日13点之后（东八区时间）的文件，具体检验结果见表7（略）。

进一步对恢复出的skype聊天记录文件进行解析，提取对应的聊天记录内容。其中，部分恢复出的Skype聊天记录文件结构已被破坏，无法提取，仅有两个记录文件可以被正常解析，对上述聊天内容中是否存有在2016年4月8日13点之后（东八区时间）产生的记录进行检验。

将上述检验过程中导出到电子物证检验工作站打包整理，并刻录形成光盘。

【鉴定意见】

对送检8台笔记本电脑进行全盘数据恢复，重点提取word、excel、Skype聊天记录，恢复数据内容详见附件二（略）。经鉴定，笔记本硬盘中现存及恢复的word、excel、Skype聊天记录文件及内容在2016年4月8日13点之后（东八区时间）未发现修改痕迹。