电子证据及计算机取证技术发展

当前，在电子数据研究领域，有几个术语：E-Discovery、Computer Forensics、Digital
Forensics、Cyber Forensics，从这些不同的术语可以看出，电子数据研究主要涉及重要数据的发现、分析、证明和揭示几个环节。


在国际上，军队、警察、海关、反贪、金融、税务、律师、保险等部门是电子证据的主要应用部门。而与此同时，由于各个行业涉及计算机、局域网、互联网的高科
技犯罪、商业欺诈、白领犯罪等行为越来越多，因此有越来越多的咨询顾问公司、商业调查机构、会计师行、私人调查公司开始从事电子证据服务。



法证硬件发展减速

美国、英国是开展电子证据研究最早的国家。目前，国际上广泛应用的计算机法证硬件产品约有80%产自美国、英国。

近三五年，是国际电子证据研究硬件产品发展最为鼎盛的时期。各种硬盘复制机的速度不断攀升，写保护接口从原来单一的IDE硬盘接口到现在的SCSI、SATA、USB、1394接口，种类层出不穷，PC、Mac、Linux平台下的取证设备越来越多。

取证分析计算机也各具特色，出现了便携型、工控型，服务器型等。这些产品的大量出现，对国际计算机法证技术的发展起到了极大的推动作用。

但从2006年开始，各国计算机法证相关硬件产品的发展速度渐缓，除简单的升级换代之外，再没有具有创新意义的产品出现。



法证分析软件层出不穷

与硬件发展缓慢相对应的是，国际电子证据分析软件产品却如雨后春笋般，涌现出很多优秀的产品。老牌法证工具软件的代表是Encase和FTK。这两个软件已经发展了若干年，几乎成为计算机法证的代名词。

在近两年，美国Guidance公司的Encase软件发展势头很猛，从4.0到6.0版，差不多每年推出一个新版本。

相比之下，美国AccessData公司的FTK的进展可就慢了许多。一年前有传闻AccessData公司要推出FTK
2.0版。各国用户苦苦等了快两年，却没有见FTK 2.0版的踪影。 （注：2007高科技犯罪调查协会亚太区年会中，FTK
2.0Beta版终于面世，的确很有特点，不枉多年等待。）

最近一年来，国际上最有潜质的产品要算德国X-ways公司的X-ways Forensics和澳大利亚Nuix公司的FBI Forensic Desktop。对欧美等具有一流计算机法证技术的国家来说，这两个软件的出现明显带动了冷清的市场。


国内很多用户都知道Winhex这个数据恢复和十六进制编辑软件。由于电子证据研究离不开二进制、十六进制，也离不开数据恢复，因此Winhex的作者
Stefan将这个产品进一步开发成计算机法证工具。由于其强大的数据恢复功能、灵活的数据编辑能力、快速的升级服务，X-ways
Forensics一经推出，立刻在世界各地受到热烈欢迎。

FBI Forensic
Desktop更是一个不可多得的数据分析工具，它将关注点放在各行业最为重要、最为复杂的电子邮件及办公文档的分析处理上，不仅能够直接搜索、察看电子
邮件和附件内容，更可以通过图形方式展示不同用户之间的信件联络关系，加上其出色的多语言支持能力，fbi Forensic
Desktop已经成为名副其实的法证工具。

虽然国际上还有Smart、ilook、Paraben等出色的分析工具，但它们终究无法阻止以上四大分析软件瓜分天下的局面。

法证领域逐步拓宽

从多年来一直关注的PC、互联网、局域网到今天新兴的Mac、数码相机、手机、iPod，电子证据的研究领域越来越广泛。

当今社会，计算机虽然非常普及，但也只是平均几个人拥有一台。手机的拥有量和更新换代速度却令人叹为观止，一个普通人的一生可能会拥有十多部甚至几
十部手机。如此大的拥有量、如此快的更新速度和其中可能发现的各种电子证据，让世界各国各行业都在全力应对。受此影响，进入2007年，世界计算机法证界
热议的三大话题是：手机、Mac、Vista。


值得一提的是，中国上海盘石公司、厦门美亚柏科、韩国FinalData公司，都针对亚洲地区手机型号开展研究，他们的研究成果并不逊于欧美国家。特别是
FinalMobileForensic套件，可以针对韩国生产的所有CDMA和GSM手机型号，强于欧美等国产品，更适用于中国的状况。

Windows Vista作为世界软件巨头Microsoft推出的换代操作系统，令世界瞩目。这种轰动虽不如当初DOS过渡到Windows 3.0时那样巨大，但由于Vista系统可能会对电子证据产生影响，因而令法证界不敢掉以轻心。
目前，各国专家都在对Vista系统的取证分析开展研究。Mac作为另类时尚一直只是少数人的热爱，但自推出双核、双系统概念之后，大量Windows用户也加入到Mac的阵营。


几年前，各国计算机法证专家还在发愁如何有效分析Mac数据，但今年，作为Mac数据分析技术的领跑者，美国SubrosaSoft公司将具有数据恢复、
获取和分析工能的MacForensicsLab软件推向国际舞台。与此同时，可以同时搭载Mac、PC数据分析软件的Macbook和Mac
Pro更成为今年计算机法证领域创新和高性能的代表。


世界各国电子证据技术研究和发展，带动了中国计算机法证技术的发展。中国电子证据法规和行业的发展，也吸引着世界各国的眼球。目前在亚太地区，韩国、日
本、新加坡等国以及中国香港、中国台湾地区，计算机法证技术发展非常迅猛。特别是在中国香港，HTCIA高科技犯罪调查协会亚太区分会、ACFE国际反欺
诈调查官协会香港分会、ISFS资讯保安及鉴证公会香港分会等民间机构，有效推动了该地区的计算机法证技术的发展。

在中国大陆，作为唯一一个计算机法证民间团队，中国计算机法证技术研究组联络了香港地区各专业协会及国际计算机法证技术主要国家的知名公司、专家、学者，为推动计算机法证技术的国际交流起到了桥梁和纽带作用。

随着中国计算机取证机术峰会的逐步成熟和HTCIA国际高科技犯罪调查协会培训年会的引入，相信国内专业人士将能够更全面地了解国际计算机法证技术的发展，从而有效提高执法部门和民间服务机构打击高科技犯罪、白领犯罪、商业欺诈的能力。



鉴定风险提示



1、鉴定结论属于证据

鉴定结论是鉴定人根据相关学科的专业知识，依据法律规定，客观、公正、科学地提出的专业性意见，属于法律规定的证据之一。证据是否被法庭采用，取决于办案机关的审查和判断，鉴定人无权影响法官采信鉴定结果。

2、鉴定可能得不出明确的鉴定结论

鉴定人只能根据现有送检介质的客观条件和检查情况给出鉴定结论。在没有得到办案机关授权的情况下，不能自行调取鉴定资料，也不能采用举证责任的分配方式要求当事人提供新的鉴定材料。因此，由于鉴定介质的限制或客观条件的制约，有时可能得不出明确的鉴定结论。

3、鉴定结论可能对被告不利，也可能对原告不利

鉴定需要解决的问题是办案机关处理案件的疑难专业问题，鉴定人遵循科学、公正的宗旨，鉴定活动也是围绕委托方提出的鉴定目的来进行的。因此，鉴定结论可能对被告不利，也可能对原告不利。

4、鉴定费用的承担

鉴定活动由办案机关启动，鉴定需要交纳费用，无论是任何一方支付鉴定费，都属于垫付，最终由哪一方承担，由办案机关决定。如果需要鉴定人出庭质证，申请出庭质证的一方还必须支付相关的出庭费用。

5、鉴定活动具有严肃性

鉴定人出具的鉴定文书一经发出，不得收回。鉴定人可以就鉴定委托方和当事人提出的有关鉴定文书中的问题进行解释，如果当事人仍然有意见或者异议，只能通过庭审质证或者申请其他鉴定机构重新鉴定来解决。