转自:新安晚报
讲述:蚌埠市检察院办公室二级主任科员钱长远
作为一名电子证据鉴定人,这些年来我参与办理了很多案件,其中不乏疑难复杂案件,下面这两起案件让我最难相忘。
在办理一起公职人员帮助犯罪分子逃避处罚案时,犯罪嫌疑人在自己的办公电脑上以被害人的口吻编造了一份“情况说明”,编辑完成后直接进行了打印,并没有保存文档。由于此案中被害人陈述、犯罪嫌疑人供述及辩解等言词证据的证明力都比较单薄,能否成功获取犯罪嫌疑人电脑上录入的文档数据,就成了“砸实”案件的关键。
按照常规,恢复电脑数据,是对电脑中已被删除的曾经存储过的数据进行还原处理。而本台电脑中涉案文档提交打印后并未保存,也就不存在存储后被删除的过程,所以无从恢复。面对这一挑战,我决定从底层数据入手,尝试寻找恢复文档相关的临时文件内容,但是没有取得突破。接着,我又尝试在打印涉案文档的打印机和复印该文档的复印机上“做文章”,但该打印机存储量极小,涉案文档打印数月以来,该打印机一直处于使用中,存储数据早已被覆盖,无法提取到特定数据。同时我还了解到,该文档未曾在具有较大存储功能的复印机上复印过。
怎么办?经过反复研究,我结合自己对操作系统各种遗留痕迹的深入了解,利用专业的取证软件,辅之以手动分析,终于从嫌疑人电脑中成功获取到了关键信息。这不仅逐步还原了被删除文件在系统内各处的遗留痕迹,还根据“情况说明”中的修改痕迹,再现了犯罪嫌疑人对文档进行编辑等作案过程。上述关键信息不仅证明了该公职人员与犯罪分子之间的联系,还为案件的侦破提供了重要证据。后来,我所采取的这一电子取证方法在全省范围内得到推广应用,对提升全省检察机关电子取证水平起到了积极作用。
在办理另一起磁盘阵列恢复案件中,办案人员提供了数十块服务器硬盘。可惜的是,由于办案人员对技术工作不了解,没有记录硬盘的顺序、编号等信息,这些硬盘间的顺序已经被打乱,需要找到正确的组合才能正确读取。而要寻找的数据格式也比较特别,常规的恢复方法无法奏效。因此,要恢复这些数据,必须从底层数据入手,恢复磁盘阵列,并对所要寻找的数据在磁盘上的编码存放方式进行深入分析。我首先对所有硬盘作了镜像备份,以确保原始数据不被破坏。随后,根据分析和计算,推断出了硬盘的分组情况,将硬盘按多个分组重新组合起来,再通过对所要寻找数据的底层编码格式进行研究和反复提取验证,从而逐步找到了恢复数据的关键线索。
在此基础上,我根据找到的数据存放及编码规律,尝试手动将散乱的文件残片重新拼凑起来。经过数天的不懈努力,成功恢复了几乎全部数据!这些数据完整地重现了嫌疑人在特定时间段的行动轨迹,为后来案件的侦破提供了关键证据。
每一次成功的取证,都为案件的侦破提供了关键支持,而每一起案件的成功办理,不仅将犯罪分子绳之于法,也锻炼了我的技术能力,更让我在电子证据专业领域内不断成长,并被最高检荣记个人一等功。未来,我将继续努力,不断提升自己的技术水平,为检察机关的电子证据工作贡献更多的力量。整理:检宣
VIP课程推荐
APP专享直播
热门推荐
收起
24小时滚动播报最新的财经资讯和视频,更多粉丝福利扫描二维码关注(sinafinance)
