国家信息中心电子数据司法鉴定中心对某地交警违规执法案件的电子数据司法鉴定
国家信息中心电子数据司法鉴定中心;行车记录仪;数据恢复;文件时间
*
电子数据鉴定
*
2016-03-21
是
2016年2月7日,徐某驾驶机动车与董某发生交通事故,因事故双方对责任划分存在争议,赔偿问题协商无果,交由交警进行事故处理,并对徐某车上的行车记录仪进行扣押。3月初,警方对行车记录仪查验完毕后将其交还于徐某,并告知其行车记录仪内没有记录下事故影像资料。
徐某因对事故处理结果不满,为了达到少付或不付事故赔偿款的目的,伙同其朋友等人共同策划编造录制虚假内容的投诉视频。3月10日,其炮制一篇文章的实名举报视频上传优酷视频并通过审核,引爆朋友圈。3月11日,公安获知视频情况后,立即组成工作组,就视频反映情况进行调查,并于当日在三家官方微信就此事件向公众做出回应。当日,专案组积极联系举报人员获取行车记录仪,展开后续调查工作。3月15日,专案组委托司法鉴定机构就行车记录仪内影像及删除记录进行鉴定,具体委托要求为:查找送检行车记录仪在2016年2月7日17:00(北京时间)后的视频记录文件及删除痕迹。
3月21日,司法鉴定机构出具鉴定报告,徐某行车记录仪内存卡内最后一段完整影像记录为2月7日下午2时36分,没有2016年2月7日17时后发生的交通事故视频文件。由此可以证实办案交警没有删除徐某行车记录仪内的相关视频。3月25日,经过14天调查和司法鉴定机构的鉴定,警方一举破获包括徐某在内的四人网络寻衅滋事案。
1、对送检行车记录仪进行编号,并拍照记录其外观特征。
2、提取检材记录仪内置存储卡,编号,并拍照记录其外观特征。
3、检验电子设备的基本信息及相关配置信息。
4、启动电子物证检验工作站,并对整个系统进行杀毒。将编号的检材行车记录仪存储卡通过写保护设备接入电子物证检验工作站,启动X-ways Forensics获取镜像,生成镜像文件,并比对确认镜像结果的哈希校验值。
5、将镜像文件的属性改为“只读”,使用R-Studio打开文件,进行全盘扫描恢复。
6、根据委托要求查找指定时间的视频记录文件及删除痕迹。
根据指定委托要求对送检的行车记录仪进行检验,包括电子数据恢复和系统文件时间检验2个技术环节,主要参照GB/T 29360-2012《电子物证数据恢复检验规程》进行鉴定实施,其中涉及的技术难点有2个。首先,在系统时间方面,由于行车记录仪本身是一个独立封闭的信息系统,其时间来源依托于人为设置,非标准可信的时间源。因此,在分析过程中首先需要对行车记录仪内的系统时间状态进行检验,并计算同标准时间的差值,为后续分析提供基准。其次,对行车记录仪内置存储空间进行数据恢复存在多种技术方法,不同恢复方法得到的结果中,数据文件内容、时间属性状态等都不尽相同,需要采用多种数据恢复技术方法以提取尽可能多的数据文件,并对文件内容、时间属性、元数据等进行综合分析,从而为鉴定意见提供事实依据。
具体分析中,首先对送检行车记录仪的系统时间状态进行检验,发现其开机时间设置同现实北京时间存在差异,行车记录仪开机检验时间为2015-3-9 23:57,当时北京时间为2016-3-16 16:34。根据委托要求,需要对现实北京时间2016年2月7日17:00之后形成的视频记录文件进行检验,通过换算,则行车记录仪中对应的时间应为2015-1-31 00:39。
提取行车记录仪中的存储卡编号,通过写保护设备接入检验工作站并制作完整镜像,镜像文件。计算镜像文件SHA1校验值为“F39760F9FF F0F58016C722EBDF1D987AFB854B73”,计算原始存储卡SHA1校验值为“F39760F9FFF0F58016C722EBDF1D987AFB854B73”,二者哈希值一致,说明镜像完整。
对镜像文件进行初步检验,原存储卡镜像中包含1个可用分区,基本信息如下:
表1: 记录仪存储卡基本信息
|
分区数 |
分区类型 |
分区容量 |
基本信息 |
|
Disk1 |
FAT32 |
14.8G |
已使用13.7G,现存文件包括47个前置视频记录及47个后视视频记录。 |
对上述所有现存的视频记录进行检验分析,重点查看文件的最后修改时间及内置时间戳,所有文件的时间属性信息分布在2015-1-2 01:47到2015-1-30 22:05(行车记录仪时间)时间段内,每个视频记录文件时长为两分钟,文件的时间属性信息同内置时间戳信息相符合,未发现异常。
根据时间比照关系,在现存文件中未发现委托要求指定的2015-1-31 00:39(行车记录仪时间)之后的视频记录。此外,逐一查看现存视频记录,未发现包含车祸事故的视频记录。
3、对镜像文件进行深层数据恢复,分别使用目录树重构和文件指纹定位的方法查找删除数据,共恢复出1.17 TB已删除视频数据。
根据恢复原理不同,恢复出的删除数据可能存在时间属性信息缺失或无法正常打开的情况。对所有删除文件进行逐一查看,根据最后修改时间及内置时间戳信息进行筛查,在委托要求指定的2015-1-31 00:39(行车记录仪时间)之后,发现两个删除文件,信息如下:
表2: 指定时间之后删除文件信息
|
文件名 |
文件大小 |
最后修改时间(行车记录仪时间) |
最后修改时间(北京时间) |
|
20150131_032018A.mp4 |
0字节 |
2015.1.31 3:20 |
2016.2.7 20:07 |
|
20150131_032018A.map |
30字节 |
2015.1.31 3:20 |
2016.2.7 20:07 |
上述文件为一个视频记录文件和一个位置记录文件,根据文件大小、文件头特征及时间属性信息综合判断,这两个删除文件并非完整记录文件,应为缓存文件或由开机初始化等原因形成。
综合现存文件分析和恢复文件分析,在行车记录仪存储卡中,在委托要求指定的2015-1-31 00:39(行车记录仪时间)之后,未发现完整的视频记录文件。在所有可读取的现存视频和恢复视频中,最晚一段记录的行车视频为2015-1-30 22:05(行车记录仪时间),换算北京时间为2016-2-7 14:36。
经检验,送检行车记录仪的现存文件中,未发现2016年2月7日17:00(北京时间)后形成的视频记录。
通过深层数据恢复,对行车记录仪存储卡中恢复出的文件进行分析与筛查,在2016年2月7日17:00(北京时间)后发现两个删除文件信息(基本信息见表2),但未发现相应视频内容。除此之外,未发现其它视频记录文件。
