2023年12月19日发(作者：闵韵梅)

网络诈骗电子数据取证技术研究

作者：季晨瑜

来源：《电脑知识与技术》2022年第29期

摘要：随着互联网技术的飞速发展，网络诈骗案件迅速增加，犯罪手法隐蔽且多样，给电子数据取证鉴定带来诸多难题，该文从计算机取证和手机取证两方面，详细分析了国内外主流的电子数据取证软硬件装备的技术特点及应用情况，就电子数据取证技术应用于网络诈骗犯罪侦查面临的难题进行了分析，并提出了相应的解决方案。

关键词：网络诈骗；电子数据；取证鉴定

中图分类号：TP393 文献标识码：A

文章编号：1009-3044（2022）29-0067-04

随着计算机与互联网技术的飞速发展，人们对计算机和网络技术的依赖性日益严重，互联网技术给人们的日常生活带来便利的同时也为犯罪分子提供了可乘之机，网络诈骗案件迅速增加。网络诈骗成功率高，犯罪手法隐蔽且多样，不受距离的限制，涉及领域广泛，造成的损失十分严重。电子数据取证技术伴随网络犯罪应运而生，包括计算机及所有与数字技术相关的取证技术。本文主要阐述网络诈骗相关电子取证技术的相关研究。

1 网络诈骗

网络诈骗，包括交友诈骗、信贷类诈骗、冒充客服、公职人员诈骗、刷单诈骗等。网络诈骗通常跨境操作，给打击诈骗和追回赃款造成了困难。网络诈骗通常涉及虚假网站、手机、聊天软件（QQ、微信）、新型网络支付应用（支付宝）等新兴科技手段。网络诈骗团伙的潜在电子证据源主要包括：计算机、语音网关、移动存储介质（移动硬盘、U盘、光盘、SD卡等）、手机、银行卡、服务器、网络电话运行支撑系统等。与传统犯罪不同，网络诈骗的案发场地是在互联网这种虚拟化的平台上，数据量大、信息流动频繁，需要运用先进的电子取证技术对计算机犯罪行为进行解剖，搜寻罪犯及其犯罪证据，进而打击网络犯罪。

2 相关取证技术

2.1 计算机取证技术

网络诈骗的实施离不开计算机和互联网，计算机会存储用户在各类平台上发布的信息、网络中通信类信息、用户行为痕迹信息和各类保存的电子文档等。在受害人将其个人信息告诉网络诈骗分子之后，网络诈骗分子登录受害人的网上银行账户，登录账户时便会留下访问记录、

痕迹、足迹。而且每一个电脑都有其唯一的IP地址，IP地址定位便在定位犯罪嫌疑人中发挥了關键性作用，因此计算机取证在网络诈骗案件中起着重要作用。

目前常用的计算机取证技术包括数字时间取证、Windows取证、Mac OS取证、聊天应用取证、移动终端取证、密码破解、硬件修复、Office文件取证、数字图像取证、数据库取证、系统环境仿真取证等。

（1）计算机取证硬件设备

硬盘复制、只读、取证分析等是电子数据取证过程中常用的手段。目前国内的计算机取证设备有Data Copy King多功能复制擦除检测一体机、Data Compass数据指南针司法取证专版等。

Data Copy King（DCK）是融合了硬盘高速拷贝、数据高速复制、安全擦除和故障自动检测的多功能一体设备。DCK硬盘复制机不仅硬盘复制速度快，同时还具备数据快速销毁功能以及硬盘检测、Log日志记录生成、只读口设计等，可自动发现解锁HPA、DCO隐藏数据区，在确保取证数据全面客观的情况下，将嫌疑硬盘中的数据完整复制到目标硬盘。

Data Compass司法取证专版是一款高度智能化的专业电子物证恢复、获取设备，它将大量先进技术完美集成于其中，对于目标电子物证快速固定、获取、分析及人为删除、人为格式化、人为软件破坏电子证据等情况均能实现电子物证获取，广泛用于犯罪现场计算机及相关存储的电子物证勘验取证、文证审查、检验鉴定[1]。

（2）计算机取证分析软件

常用计算机取证软件有美国Guidance Software公司的EnCase、美国Access Data公司的FTK，还有德国X-Ways的X-Ways Forensics，中国美亚柏科 “取证大师”等。

EnCase是一款应用广泛的多功能取证平台，拥有强大的脚本功能，可增强取证分析的针对性，根据个案需求进行二次开发，但需要取证人员拥有一定的脚本编写技术，是政府执法机构常用的取证工具，也被广泛地运用于司法、军队、公司监察等部门。相比之下，FTK操作简单，可以调查个人电脑、网络和手机，搜索速度比其他工具快。可以对取证结果集中汇总进行查看，相当直观，无须过多的培训即可实现数据分析目的。X-Ways Forensics是一款计算机综合取证分析工具，与其他竞争产品相比，X-Ways Forensics具有设备轻巧、成本低廉、运行高效等优势，可运行在Windows版本上。

计算机在线法庭科学证据提取器（Computer Online Forensic Evidence Extractor， COFEE）是Microsoft专为计算机取证专家开发设计的一款工具包，用于从Windows系统收集证据。COFEE包含了超过150个信息收集、密码破解、网络嗅探等工具。而且它的分析速度也非常

快，大概在20分钟就可以完成对目标系统的完整分析。Open Computer Forensics Architecture（OCFA）是由荷兰国家警察局负责开发的分布式开源计算机取证框架，主要用于自动化数据取证过程。SIFT是SANS推出的一个多用途的取证操作系统，SIFT以VMware虚拟映像的形式发布，包含数字取证分析所有必需的工具。

取证大师（Forensics Master）是国内最具有代表性的计算机取证工具，由厦门市美亚柏科信息股份有限公司自主研发而成。取证大师提供电子数据证据固定、分析、报告生成等取证功能，该软件可独立使用，也可以内嵌于其他综合取证设备，应用于现场勘验及计算机取证实验室的检验鉴定等不同应用场景，目前已成为公安机关、司法机关、行政执法单位、电子数据司法鉴定中心以及国内大中型企业必备的分析系统。

2.2 手机取证技术

智能化时代的到来使得人们的衣食住行越来越依赖手机，智能手机存储着银行卡、通讯录、照片等大量隐私，成为网络犯罪分子的主要工具。所以手机取证也是网络诈骗电子取证的重要组成部分。智能手机取证，是指获取、分析并固定智能手机的SIM卡、手机存储卡以及移动网络运营商数据中存储的信息的过程。

（1）手机取证硬件

UFED是以色列Cellebrite研发的最新手机司法取证设备，支持对各种品牌、型号的手机、GPS和移动设备进行物理镜像获取、逻辑提取和文件系统获取，包括已经删除的数据和密码，可应用于近95%的山寨机。支持对黑莓所有操作系统的实时解密和解析以及对iOS各版本系统的用户密码获取，兼容越狱和非越狱各版本系统。Secure View是手机取证市场上唯一能提供获取、分析（处理）和报告3个具体调查流程的產品。其优势在于技术支持、数据管理和报告制作等方面，并且Secure View可获取超过10000多种类型手机的联系人信息、通话记录、短信以及其他类型的数据。

国内电子数据取证装备主要有厦门美亚柏科研发的DC-8811取证魔方和大连睿海信息科技有限公司RH-6900手机取证分析仪。DC-8811取证魔方是具备全面勘查取证能力的便携式装备，特点在于一键式智能取证模式。同时标配万兆网卡，可以快速完成现场计算机、手机、视频的快速勘查，还可对接大屏或投影仪应用于实验室的固定、分析、仿真等取证分析工作。RH-6900的优势在于支持国产非智能手机的取证分析，支持硬件状态正常的手机免拆机、数据线连接提取方式，同样支持JTAG技术提取和芯片读取技术提取数据。

（2）手机取证软件

普通的不加密备份取证、加密备份取证和逻辑镜像取证3种不同的取证方法在IOS系统涉案设备的取证中使用最多。通过多次验证和研究发现，苹果手机IOS系统逻辑镜像提取的数据量是最大的，其次是加密备份解析，再次是不加密备份[2]。

安卓智能手机取证至今没有一个统一的标准，传统的取证方法多是从系统中获取数据，然后由鉴定人进行手工分析和提取。目前我国在对安卓智能手机系统进行取证时多是在线取证、Recovery 模式取证和芯片级取证[3]。

瑞典XRY Complete完整版是MSAB公司开发的一体化手机取证系统，XRY的软件应用在windows系统中运行，并且符合司法调查人员的所有模式要求，用户界面简单友好，使其成为司法手机取证的首要选择。

Oxygen Forensic手机取证软件是世界领先的移动设备数据提取和检验软件之一。Oxygen

Forensic是一款全方位的取证分析软件，包括XRY、BitPIM等。XRY是一个便携式取证盒，用于手机内存转储和数据采集，可以方便地完成手机数据的分析、采集及查看。BitPIM是一款电话管理软件，可以查看电话簿、日历、壁纸、铃声等数据。Oxygen Forensic能不经过手机设备屏幕锁，直接定位备份密码，从加密的应用程序中提取数据并恢复已删除信息。

3 网络诈骗犯罪电子数据取证技术面临的难题及解决措施

网络诈骗犯罪电子取证过程主要包括电子证据的调取和分析，网络诈骗犯罪电子痕迹存在于整个犯罪过程中，电子痕迹包含了客体的特征信息。在提取过程中，需要保障信息痕迹的完整性，将储存信息、处理信息和计算环境提取出来，并整理成相应的数据链。电子取证需遵循合法性、及时性、全面性、无损害性原则，实际情况中网络诈骗犯罪电子数据取证技术面临着不少难题。现就从证据留痕、固定及去伪存真三个方面进行阐述。

（1）留痕

网络诈骗犯罪留下的痕迹是网络诈骗犯罪侦查证据收集的切入口，该证据可以在调查嫌疑人信息的同时为调查人员提供有用的信息。例如从嫌疑人的计算机中恢复缓存、历史记录、cookies和下载列表等数据后，可以知道嫌疑人访问的网站、访问的时间和频率。但很多犯罪分子对网络留痕已经有所防备，会使用各种匿名网络或匿名引擎如Tor、Freenet、DuckDuckGo和Invisible Internet Project以及传统社交网站的替代品如Bit message、Diaspora来刻意隐匿或消除自己的犯罪痕迹。此外诈骗人员还会利用跳板主机、局域网、虚假IP地址、僵尸网络来隐藏自身，因此各种网络痕迹追踪软件应运而生。网络攻击源追踪技术主要有在数据包中打标记、在数据流中加入流水印、日志记录、渗透测试等方法[4]。一些取证软件也可以追踪网络痕迹，例如COFEE就可以用来探查目标电脑的信息痕迹。基于Win Hex和Disk

Imager的集成计算机取证软件X-Ways Forensics也可以找到其他取证软件会错过的已删除文件和搜索结果。

（2）固定

电子数据存在易失性和时效性，内存数据在关机时会丢失，已删除的内容会被反复地擦写利用，电子证据几乎无时无刻不在变化，因此需要对数据及时进行固定，以保证获得的数据的完整性和真实性。固定证据是否确凿、全面，能否形成完整的证据链，往往对案件的成败起决定性作用。

保全固定证据一般包括扣押电子数据的原始储存介质，及时封存，并切断电源，屏蔽信号以保证其完整性，对于不能扣押的存储设备可以通过Encase软件、镜像、硬盘等将原始储存介质备份下来，辅以拍照录像和记录[5]。在实际案例中，具体证据固定方法的选择取决于案件背景、取证难易程度、证据重要性等综合因素。要在取证前确定好取证步骤，尽可能多方位地取证，使证据之间相互印证，形成完整数据链条。

与传统犯罪数据相比，电子数据形式多样且具有脆弱性，因此对于专业技术有更高的要求。近年来，区块链取证平台已经运行，电子数据区块链通过分布式记账、数字签名、哈希运算等算法和程序来防止入链电子数据被修改或者替换，在电子数据的固定、保存和提取方面具有优势。厦门美亚柏科公司研发的存证云“公证+司法鉴定”电子证据综合服务平台就是基于区块链技术的电子数据固定设备，实现电子证据采集、固定、应用一站式服务。同时基于

Hyperledger Fabric的概念，Sathyaprakasan等提出使用区块链技术维护监管链以保持证据完整性[6]。然而区块链存证也存在局限性，仅能保障入链电子数据的实质真实性，无法保障电子数据本身的真实性和入链之前电子数据的真实性[7-8]。唐昕淼等提出数字摘要技术（Digital

Digest）通过对任意长度的数字信息生成消息摘要计算，产生信息的“指纹”数量，确保数据未被修改，用于保证信息的完整性[9]。为了及时固定违法犯罪行为留下的痕迹，IBM i2情报分析系统等可视化分析环境已被用于电子数据取证。

2.2 手机取证技术

智能化时代的到来使得人们的衣食住行越来越依赖手机，智能手机存储着银行卡、通讯录、照片等大量隐私，成为网络犯罪分子的主要工具。所以手机取证也是网络诈骗电子取证的重要组成部分。智能手机取证，是指获取、分析并固定智能手机的SIM卡、手机存储卡以及移动网络运营商数据中存储的信息的过程。

（1）手机取证硬件

UFED是以色列Cellebrite研发的最新手机司法取证设备，支持对各种品牌、型号的手机、GPS和移动设备进行物理镜像获取、逻辑提取和文件系统获取，包括已经删除的数据和密码，可应用于近95%的山寨机。支持对黑莓所有操作系统的实时解密和解析以及对iOS各版本系统的用户密码获取，兼容越狱和非越狱各版本系统。Secure View是手机取证市场上唯一能提供获取、分析（处理）和报告3个具体调查流程的产品。其优势在于技术支持、数据管理和

报告制作等方面，并且Secure View可获取超过10000多种类型手机的联系人信息、通话记录、短信以及其他类型的数据。

国内电子数据取证装备主要有厦门美亚柏科研发的DC-8811取证魔方和大连睿海信息科技有限公司RH-6900手机取证分析仪。DC-8811取证魔方是具备全面勘查取证能力的便携式装备，特点在于一键式智能取证模式。同时标配万兆网卡，可以快速完成现场计算机、手机、视频的快速勘查，还可对接大屏或投影仪应用于实验室的固定、分析、仿真等取证分析工作。RH-6900的优势在于支持国产非智能手机的取证分析，支持硬件状态正常的手机免拆机、数据线连接提取方式，同样支持JTAG技术提取和芯片读取技术提取数据。

（2）手机取证软件

普通的不加密备份取证、加密备份取证和逻辑镜像取证3种不同的取证方法在IOS系统涉案设备的取证中使用最多。通过多次验证和研究发现，苹果手机IOS系统逻辑镜像提取的数据量是最大的，其次是加密备份解析，再次是不加密备份[2]。

安卓智能手机取证至今没有一个统一的标准，传统的取证方法多是从系统中获取数据，然后由鉴定人进行手工分析和提取。目前我国在对安卓智能手机系统进行取证时多是在线取证、Recovery 模式取证和芯片级取证[3]。

瑞典XRY Complete完整版是MSAB公司开发的一体化手机取证系统，XRY的软件应用在windows系统中运行，并且符合司法调查人员的所有模式要求，用户界面简单友好，使其成为司法手机取证的首要选择。

Oxygen Forensic手机取证软件是世界领先的移动设备数据提取和检验软件之一。Oxygen

Forensic是一款全方位的取证分析软件，包括XRY、BitPIM等。XRY是一个便携式取证盒，用于手机内存转储和数据采集，可以方便地完成手机数据的分析、采集及查看。BitPIM是一款电话管理软件，可以查看电话簿、日历、壁纸、铃声等数据。Oxygen Forensic能不经过手机设备屏幕锁，直接定位备份密码，从加密的应用程序中提取数据并恢复已删除信息。

3 网络诈骗犯罪电子数据取证技术面临的难题及解决措施

网络诈骗犯罪电子取证过程主要包括电子证据的调取和分析，网络诈骗犯罪电子痕迹存在于整个犯罪过程中，电子痕迹包含了客体的特征信息。在提取过程中，需要保障信息痕迹的完整性，将储存信息、处理信息和计算环境提取出来，并整理成相应的数据链。电子取证需遵循合法性、及时性、全面性、无损害性原则，实际情況中网络诈骗犯罪电子数据取证技术面临着不少难题。现就从证据留痕、固定及去伪存真三个方面进行阐述。

（1）留痕

网络诈骗犯罪留下的痕迹是网络诈骗犯罪侦查证据收集的切入口，该证据可以在调查嫌疑人信息的同时为调查人员提供有用的信息。例如从嫌疑人的计算机中恢复缓存、历史记录、cookies和下载列表等数据后，可以知道嫌疑人访问的网站、访问的时间和频率。但很多犯罪分子对网络留痕已经有所防备，会使用各种匿名网络或匿名引擎如Tor、Freenet、DuckDuckGo和Invisible Internet Project以及传统社交网站的替代品如Bit message、Diaspora来刻意隐匿或消除自己的犯罪痕迹。此外诈骗人员还会利用跳板主机、局域网、虚假IP地址、僵尸网络来隐藏自身，因此各种网络痕迹追踪软件应运而生。网络攻击源追踪技术主要有在数据包中打标记、在数据流中加入流水印、日志记录、渗透测试等方法[4]。一些取证软件也可以追踪网络痕迹，例如COFEE就可以用来探查目标电脑的信息痕迹。基于Win Hex和Disk

Imager的集成计算机取证软件X-Ways Forensics也可以找到其他取证软件会错过的已删除文件和搜索结果。

（2）固定

电子数据存在易失性和时效性，内存数据在关机时会丢失，已删除的内容会被反复地擦写利用，电子证据几乎无时无刻不在变化，因此需要对数据及时进行固定，以保证获得的数据的完整性和真实性。固定证据是否确凿、全面，能否形成完整的证据链，往往对案件的成败起决定性作用。

保全固定证据一般包括扣押电子数据的原始储存介质，及时封存，并切断电源，屏蔽信号以保证其完整性，对于不能扣押的存储设备可以通过Encase软件、镜像、硬盘等将原始储存介质备份下来，辅以拍照录像和记录[5]。在实际案例中，具体证据固定方法的选择取决于案件背景、取证难易程度、证据重要性等综合因素。要在取证前确定好取证步骤，尽可能多方位地取证，使证据之间相互印证，形成完整数据链条。

与传统犯罪数据相比，电子数据形式多样且具有脆弱性，因此对于专业技术有更高的要求。近年来，区块链取证平台已经运行，电子数据区块链通过分布式记账、数字签名、哈希运算等算法和程序来防止入链电子数据被修改或者替换，在电子数据的固定、保存和提取方面具有优势。厦门美亚柏科公司研发的存证云“公证+司法鉴定”电子证据综合服务平台就是基于区块链技术的电子数据固定设备，实现电子证据采集、固定、应用一站式服务。同时基于

Hyperledger Fabric的概念，Sathyaprakasan等提出使用区块链技术维护监管链以保持证据完整性[6]。然而区块链存证也存在局限性，仅能保障入链电子数据的实质真实性，无法保障电子数据本身的真实性和入链之前电子数据的真实性[7-8]。唐昕淼等提出数字摘要技术（Digital

Digest）通过对任意长度的数字信息生成消息摘要计算，产生信息的“指纹”数量，确保数据未被修改，用于保证信息的完整性[9]。为了及时固定违法犯罪行为留下的痕迹，IBM i2情报分析系统等可视化分析环境已被用于电子数据取证。

2023年12月19日发(作者：闵韵梅)

网络诈骗电子数据取证技术研究

作者：季晨瑜

来源：《电脑知识与技术》2022年第29期

摘要：随着互联网技术的飞速发展，网络诈骗案件迅速增加，犯罪手法隐蔽且多样，给电子数据取证鉴定带来诸多难题，该文从计算机取证和手机取证两方面，详细分析了国内外主流的电子数据取证软硬件装备的技术特点及应用情况，就电子数据取证技术应用于网络诈骗犯罪侦查面临的难题进行了分析，并提出了相应的解决方案。

关键词：网络诈骗；电子数据；取证鉴定

中图分类号：TP393 文献标识码：A

文章编号：1009-3044（2022）29-0067-04

随着计算机与互联网技术的飞速发展，人们对计算机和网络技术的依赖性日益严重，互联网技术给人们的日常生活带来便利的同时也为犯罪分子提供了可乘之机，网络诈骗案件迅速增加。网络诈骗成功率高，犯罪手法隐蔽且多样，不受距离的限制，涉及领域广泛，造成的损失十分严重。电子数据取证技术伴随网络犯罪应运而生，包括计算机及所有与数字技术相关的取证技术。本文主要阐述网络诈骗相关电子取证技术的相关研究。

1 网络诈骗

网络诈骗，包括交友诈骗、信贷类诈骗、冒充客服、公职人员诈骗、刷单诈骗等。网络诈骗通常跨境操作，给打击诈骗和追回赃款造成了困难。网络诈骗通常涉及虚假网站、手机、聊天软件（QQ、微信）、新型网络支付应用（支付宝）等新兴科技手段。网络诈骗团伙的潜在电子证据源主要包括：计算机、语音网关、移动存储介质（移动硬盘、U盘、光盘、SD卡等）、手机、银行卡、服务器、网络电话运行支撑系统等。与传统犯罪不同，网络诈骗的案发场地是在互联网这种虚拟化的平台上，数据量大、信息流动频繁，需要运用先进的电子取证技术对计算机犯罪行为进行解剖，搜寻罪犯及其犯罪证据，进而打击网络犯罪。

2 相关取证技术

2.1 计算机取证技术

网络诈骗的实施离不开计算机和互联网，计算机会存储用户在各类平台上发布的信息、网络中通信类信息、用户行为痕迹信息和各类保存的电子文档等。在受害人将其个人信息告诉网络诈骗分子之后，网络诈骗分子登录受害人的网上银行账户，登录账户时便会留下访问记录、

痕迹、足迹。而且每一个电脑都有其唯一的IP地址，IP地址定位便在定位犯罪嫌疑人中发挥了關键性作用，因此计算机取证在网络诈骗案件中起着重要作用。

目前常用的计算机取证技术包括数字时间取证、Windows取证、Mac OS取证、聊天应用取证、移动终端取证、密码破解、硬件修复、Office文件取证、数字图像取证、数据库取证、系统环境仿真取证等。

（1）计算机取证硬件设备

硬盘复制、只读、取证分析等是电子数据取证过程中常用的手段。目前国内的计算机取证设备有Data Copy King多功能复制擦除检测一体机、Data Compass数据指南针司法取证专版等。

Data Copy King（DCK）是融合了硬盘高速拷贝、数据高速复制、安全擦除和故障自动检测的多功能一体设备。DCK硬盘复制机不仅硬盘复制速度快，同时还具备数据快速销毁功能以及硬盘检测、Log日志记录生成、只读口设计等，可自动发现解锁HPA、DCO隐藏数据区，在确保取证数据全面客观的情况下，将嫌疑硬盘中的数据完整复制到目标硬盘。

Data Compass司法取证专版是一款高度智能化的专业电子物证恢复、获取设备，它将大量先进技术完美集成于其中，对于目标电子物证快速固定、获取、分析及人为删除、人为格式化、人为软件破坏电子证据等情况均能实现电子物证获取，广泛用于犯罪现场计算机及相关存储的电子物证勘验取证、文证审查、检验鉴定[1]。

（2）计算机取证分析软件

常用计算机取证软件有美国Guidance Software公司的EnCase、美国Access Data公司的FTK，还有德国X-Ways的X-Ways Forensics，中国美亚柏科 “取证大师”等。

EnCase是一款应用广泛的多功能取证平台，拥有强大的脚本功能，可增强取证分析的针对性，根据个案需求进行二次开发，但需要取证人员拥有一定的脚本编写技术，是政府执法机构常用的取证工具，也被广泛地运用于司法、军队、公司监察等部门。相比之下，FTK操作简单，可以调查个人电脑、网络和手机，搜索速度比其他工具快。可以对取证结果集中汇总进行查看，相当直观，无须过多的培训即可实现数据分析目的。X-Ways Forensics是一款计算机综合取证分析工具，与其他竞争产品相比，X-Ways Forensics具有设备轻巧、成本低廉、运行高效等优势，可运行在Windows版本上。

计算机在线法庭科学证据提取器（Computer Online Forensic Evidence Extractor， COFEE）是Microsoft专为计算机取证专家开发设计的一款工具包，用于从Windows系统收集证据。COFEE包含了超过150个信息收集、密码破解、网络嗅探等工具。而且它的分析速度也非常

快，大概在20分钟就可以完成对目标系统的完整分析。Open Computer Forensics Architecture（OCFA）是由荷兰国家警察局负责开发的分布式开源计算机取证框架，主要用于自动化数据取证过程。SIFT是SANS推出的一个多用途的取证操作系统，SIFT以VMware虚拟映像的形式发布，包含数字取证分析所有必需的工具。

取证大师（Forensics Master）是国内最具有代表性的计算机取证工具，由厦门市美亚柏科信息股份有限公司自主研发而成。取证大师提供电子数据证据固定、分析、报告生成等取证功能，该软件可独立使用，也可以内嵌于其他综合取证设备，应用于现场勘验及计算机取证实验室的检验鉴定等不同应用场景，目前已成为公安机关、司法机关、行政执法单位、电子数据司法鉴定中心以及国内大中型企业必备的分析系统。

2.2 手机取证技术

智能化时代的到来使得人们的衣食住行越来越依赖手机，智能手机存储着银行卡、通讯录、照片等大量隐私，成为网络犯罪分子的主要工具。所以手机取证也是网络诈骗电子取证的重要组成部分。智能手机取证，是指获取、分析并固定智能手机的SIM卡、手机存储卡以及移动网络运营商数据中存储的信息的过程。

（1）手机取证硬件

UFED是以色列Cellebrite研发的最新手机司法取证设备，支持对各种品牌、型号的手机、GPS和移动设备进行物理镜像获取、逻辑提取和文件系统获取，包括已经删除的数据和密码，可应用于近95%的山寨机。支持对黑莓所有操作系统的实时解密和解析以及对iOS各版本系统的用户密码获取，兼容越狱和非越狱各版本系统。Secure View是手机取证市场上唯一能提供获取、分析（处理）和报告3个具体调查流程的產品。其优势在于技术支持、数据管理和报告制作等方面，并且Secure View可获取超过10000多种类型手机的联系人信息、通话记录、短信以及其他类型的数据。

国内电子数据取证装备主要有厦门美亚柏科研发的DC-8811取证魔方和大连睿海信息科技有限公司RH-6900手机取证分析仪。DC-8811取证魔方是具备全面勘查取证能力的便携式装备，特点在于一键式智能取证模式。同时标配万兆网卡，可以快速完成现场计算机、手机、视频的快速勘查，还可对接大屏或投影仪应用于实验室的固定、分析、仿真等取证分析工作。RH-6900的优势在于支持国产非智能手机的取证分析，支持硬件状态正常的手机免拆机、数据线连接提取方式，同样支持JTAG技术提取和芯片读取技术提取数据。

（2）手机取证软件

普通的不加密备份取证、加密备份取证和逻辑镜像取证3种不同的取证方法在IOS系统涉案设备的取证中使用最多。通过多次验证和研究发现，苹果手机IOS系统逻辑镜像提取的数据量是最大的，其次是加密备份解析，再次是不加密备份[2]。

安卓智能手机取证至今没有一个统一的标准，传统的取证方法多是从系统中获取数据，然后由鉴定人进行手工分析和提取。目前我国在对安卓智能手机系统进行取证时多是在线取证、Recovery 模式取证和芯片级取证[3]。

瑞典XRY Complete完整版是MSAB公司开发的一体化手机取证系统，XRY的软件应用在windows系统中运行，并且符合司法调查人员的所有模式要求，用户界面简单友好，使其成为司法手机取证的首要选择。

Oxygen Forensic手机取证软件是世界领先的移动设备数据提取和检验软件之一。Oxygen

Forensic是一款全方位的取证分析软件，包括XRY、BitPIM等。XRY是一个便携式取证盒，用于手机内存转储和数据采集，可以方便地完成手机数据的分析、采集及查看。BitPIM是一款电话管理软件，可以查看电话簿、日历、壁纸、铃声等数据。Oxygen Forensic能不经过手机设备屏幕锁，直接定位备份密码，从加密的应用程序中提取数据并恢复已删除信息。

3 网络诈骗犯罪电子数据取证技术面临的难题及解决措施

网络诈骗犯罪电子取证过程主要包括电子证据的调取和分析，网络诈骗犯罪电子痕迹存在于整个犯罪过程中，电子痕迹包含了客体的特征信息。在提取过程中，需要保障信息痕迹的完整性，将储存信息、处理信息和计算环境提取出来，并整理成相应的数据链。电子取证需遵循合法性、及时性、全面性、无损害性原则，实际情况中网络诈骗犯罪电子数据取证技术面临着不少难题。现就从证据留痕、固定及去伪存真三个方面进行阐述。

（1）留痕

网络诈骗犯罪留下的痕迹是网络诈骗犯罪侦查证据收集的切入口，该证据可以在调查嫌疑人信息的同时为调查人员提供有用的信息。例如从嫌疑人的计算机中恢复缓存、历史记录、cookies和下载列表等数据后，可以知道嫌疑人访问的网站、访问的时间和频率。但很多犯罪分子对网络留痕已经有所防备，会使用各种匿名网络或匿名引擎如Tor、Freenet、DuckDuckGo和Invisible Internet Project以及传统社交网站的替代品如Bit message、Diaspora来刻意隐匿或消除自己的犯罪痕迹。此外诈骗人员还会利用跳板主机、局域网、虚假IP地址、僵尸网络来隐藏自身，因此各种网络痕迹追踪软件应运而生。网络攻击源追踪技术主要有在数据包中打标记、在数据流中加入流水印、日志记录、渗透测试等方法[4]。一些取证软件也可以追踪网络痕迹，例如COFEE就可以用来探查目标电脑的信息痕迹。基于Win Hex和Disk

Imager的集成计算机取证软件X-Ways Forensics也可以找到其他取证软件会错过的已删除文件和搜索结果。

（2）固定

电子数据存在易失性和时效性，内存数据在关机时会丢失，已删除的内容会被反复地擦写利用，电子证据几乎无时无刻不在变化，因此需要对数据及时进行固定，以保证获得的数据的完整性和真实性。固定证据是否确凿、全面，能否形成完整的证据链，往往对案件的成败起决定性作用。

保全固定证据一般包括扣押电子数据的原始储存介质，及时封存，并切断电源，屏蔽信号以保证其完整性，对于不能扣押的存储设备可以通过Encase软件、镜像、硬盘等将原始储存介质备份下来，辅以拍照录像和记录[5]。在实际案例中，具体证据固定方法的选择取决于案件背景、取证难易程度、证据重要性等综合因素。要在取证前确定好取证步骤，尽可能多方位地取证，使证据之间相互印证，形成完整数据链条。

与传统犯罪数据相比，电子数据形式多样且具有脆弱性，因此对于专业技术有更高的要求。近年来，区块链取证平台已经运行，电子数据区块链通过分布式记账、数字签名、哈希运算等算法和程序来防止入链电子数据被修改或者替换，在电子数据的固定、保存和提取方面具有优势。厦门美亚柏科公司研发的存证云“公证+司法鉴定”电子证据综合服务平台就是基于区块链技术的电子数据固定设备，实现电子证据采集、固定、应用一站式服务。同时基于

Hyperledger Fabric的概念，Sathyaprakasan等提出使用区块链技术维护监管链以保持证据完整性[6]。然而区块链存证也存在局限性，仅能保障入链电子数据的实质真实性，无法保障电子数据本身的真实性和入链之前电子数据的真实性[7-8]。唐昕淼等提出数字摘要技术（Digital

Digest）通过对任意长度的数字信息生成消息摘要计算，产生信息的“指纹”数量，确保数据未被修改，用于保证信息的完整性[9]。为了及时固定违法犯罪行为留下的痕迹，IBM i2情报分析系统等可视化分析环境已被用于电子数据取证。

2.2 手机取证技术

智能化时代的到来使得人们的衣食住行越来越依赖手机，智能手机存储着银行卡、通讯录、照片等大量隐私，成为网络犯罪分子的主要工具。所以手机取证也是网络诈骗电子取证的重要组成部分。智能手机取证，是指获取、分析并固定智能手机的SIM卡、手机存储卡以及移动网络运营商数据中存储的信息的过程。

（1）手机取证硬件

UFED是以色列Cellebrite研发的最新手机司法取证设备，支持对各种品牌、型号的手机、GPS和移动设备进行物理镜像获取、逻辑提取和文件系统获取，包括已经删除的数据和密码，可应用于近95%的山寨机。支持对黑莓所有操作系统的实时解密和解析以及对iOS各版本系统的用户密码获取，兼容越狱和非越狱各版本系统。Secure View是手机取证市场上唯一能提供获取、分析（处理）和报告3个具体调查流程的产品。其优势在于技术支持、数据管理和

报告制作等方面，并且Secure View可获取超过10000多种类型手机的联系人信息、通话记录、短信以及其他类型的数据。

国内电子数据取证装备主要有厦门美亚柏科研发的DC-8811取证魔方和大连睿海信息科技有限公司RH-6900手机取证分析仪。DC-8811取证魔方是具备全面勘查取证能力的便携式装备，特点在于一键式智能取证模式。同时标配万兆网卡，可以快速完成现场计算机、手机、视频的快速勘查，还可对接大屏或投影仪应用于实验室的固定、分析、仿真等取证分析工作。RH-6900的优势在于支持国产非智能手机的取证分析，支持硬件状态正常的手机免拆机、数据线连接提取方式，同样支持JTAG技术提取和芯片读取技术提取数据。

（2）手机取证软件

普通的不加密备份取证、加密备份取证和逻辑镜像取证3种不同的取证方法在IOS系统涉案设备的取证中使用最多。通过多次验证和研究发现，苹果手机IOS系统逻辑镜像提取的数据量是最大的，其次是加密备份解析，再次是不加密备份[2]。

安卓智能手机取证至今没有一个统一的标准，传统的取证方法多是从系统中获取数据，然后由鉴定人进行手工分析和提取。目前我国在对安卓智能手机系统进行取证时多是在线取证、Recovery 模式取证和芯片级取证[3]。

瑞典XRY Complete完整版是MSAB公司开发的一体化手机取证系统，XRY的软件应用在windows系统中运行，并且符合司法调查人员的所有模式要求，用户界面简单友好，使其成为司法手机取证的首要选择。

Oxygen Forensic手机取证软件是世界领先的移动设备数据提取和检验软件之一。Oxygen

Forensic是一款全方位的取证分析软件，包括XRY、BitPIM等。XRY是一个便携式取证盒，用于手机内存转储和数据采集，可以方便地完成手机数据的分析、采集及查看。BitPIM是一款电话管理软件，可以查看电话簿、日历、壁纸、铃声等数据。Oxygen Forensic能不经过手机设备屏幕锁，直接定位备份密码，从加密的应用程序中提取数据并恢复已删除信息。

3 网络诈骗犯罪电子数据取证技术面临的难题及解决措施

网络诈骗犯罪电子取证过程主要包括电子证据的调取和分析，网络诈骗犯罪电子痕迹存在于整个犯罪过程中，电子痕迹包含了客体的特征信息。在提取过程中，需要保障信息痕迹的完整性，将储存信息、处理信息和计算环境提取出来，并整理成相应的数据链。电子取证需遵循合法性、及时性、全面性、无损害性原则，实际情況中网络诈骗犯罪电子数据取证技术面临着不少难题。现就从证据留痕、固定及去伪存真三个方面进行阐述。

（1）留痕

网络诈骗犯罪留下的痕迹是网络诈骗犯罪侦查证据收集的切入口，该证据可以在调查嫌疑人信息的同时为调查人员提供有用的信息。例如从嫌疑人的计算机中恢复缓存、历史记录、cookies和下载列表等数据后，可以知道嫌疑人访问的网站、访问的时间和频率。但很多犯罪分子对网络留痕已经有所防备，会使用各种匿名网络或匿名引擎如Tor、Freenet、DuckDuckGo和Invisible Internet Project以及传统社交网站的替代品如Bit message、Diaspora来刻意隐匿或消除自己的犯罪痕迹。此外诈骗人员还会利用跳板主机、局域网、虚假IP地址、僵尸网络来隐藏自身，因此各种网络痕迹追踪软件应运而生。网络攻击源追踪技术主要有在数据包中打标记、在数据流中加入流水印、日志记录、渗透测试等方法[4]。一些取证软件也可以追踪网络痕迹，例如COFEE就可以用来探查目标电脑的信息痕迹。基于Win Hex和Disk

Imager的集成计算机取证软件X-Ways Forensics也可以找到其他取证软件会错过的已删除文件和搜索结果。

（2）固定

电子数据存在易失性和时效性，内存数据在关机时会丢失，已删除的内容会被反复地擦写利用，电子证据几乎无时无刻不在变化，因此需要对数据及时进行固定，以保证获得的数据的完整性和真实性。固定证据是否确凿、全面，能否形成完整的证据链，往往对案件的成败起决定性作用。

保全固定证据一般包括扣押电子数据的原始储存介质，及时封存，并切断电源，屏蔽信号以保证其完整性，对于不能扣押的存储设备可以通过Encase软件、镜像、硬盘等将原始储存介质备份下来，辅以拍照录像和记录[5]。在实际案例中，具体证据固定方法的选择取决于案件背景、取证难易程度、证据重要性等综合因素。要在取证前确定好取证步骤，尽可能多方位地取证，使证据之间相互印证，形成完整数据链条。

与传统犯罪数据相比，电子数据形式多样且具有脆弱性，因此对于专业技术有更高的要求。近年来，区块链取证平台已经运行，电子数据区块链通过分布式记账、数字签名、哈希运算等算法和程序来防止入链电子数据被修改或者替换，在电子数据的固定、保存和提取方面具有优势。厦门美亚柏科公司研发的存证云“公证+司法鉴定”电子证据综合服务平台就是基于区块链技术的电子数据固定设备，实现电子证据采集、固定、应用一站式服务。同时基于

Hyperledger Fabric的概念，Sathyaprakasan等提出使用区块链技术维护监管链以保持证据完整性[6]。然而区块链存证也存在局限性，仅能保障入链电子数据的实质真实性，无法保障电子数据本身的真实性和入链之前电子数据的真实性[7-8]。唐昕淼等提出数字摘要技术（Digital

Digest）通过对任意长度的数字信息生成消息摘要计算，产生信息的“指纹”数量，确保数据未被修改，用于保证信息的完整性[9]。为了及时固定违法犯罪行为留下的痕迹，IBM i2情报分析系统等可视化分析环境已被用于电子数据取证。