【转载】修炼成取证大师的秘籍

2013年1月1日起施行的《中华人民共和国刑事诉讼法》明确将电子数据列为法定证据形式的一种。现代社会日益信息化，个人活动越来越多在网络空间留下自己直接或者间接的痕迹，电子数据取证重要性日益凸显。进入该领域的小伙伴们越来越多。

刚进入该领域的小伙伴们往往会面临一堆困惑：初学取证，会感觉电子数据取证领域浩如烟海，有数据恢复、Windows取证、云取证、智能家居取证等等业务领域，还有名为电子数据取证的各类法律类书籍，涉及刑事诉讼法、证据法学法律领域，各类书籍汗牛充栋。还涉及国内国外系列标准，国内的公安安全行业推荐标准、司法部标准、国家标准、信安标准，国外影响较大的rfc、iso及nist系列标准和指南。还有各种国际国内培训让人目不暇接，国内公司如美亚，国际上如美国sans学院的相关培训也目不暇接。如何在电子数据取证知识的迷宫殿堂里面找到一个路线图和指南，从而不重蹈“生有涯而知无涯“，高效率的从小工成长为专家，是值得探讨的一个课题。

笔者曾经学习过医学、计算机和法律三个专业。学习电子数据取证之初，曾把国内能找得到的书籍不论良莠全部刷了一遍，走了不少弯路。长期从事取证工作一线，带领的团队曾获得该领域比武的第一。作为一个基层单位成立5年来，已承担各类科研课题19项，承担相关技术标准的撰写6项；在系列重特大案件中发挥了关键作用，团队所有人都已各级立功授奖多次。笔者根据自己的一些探索、感悟、在此抛砖引玉，希望能为新加入该领域的小伙伴给予一些参考，从而不必重走曾经走过的弯路。

      For a sailing ship, all the winds are against the wind.- Habets

        对于一只盲目航行的船来说,所有的风都是逆风。——哈伯特

进入电子数据取证领域的新人，首先应该明确的是为什么学习电子数据取证，明确自己所学电子数据取证的作用，这是未来航行于电子数据取证领域海洋的指南针。笔者认为，根据中国目前的司法实践，不同的平台的小伙伴电子数据取证的作用并不完全一样。国内从事电子数据取证的三类主要平台：社会第三方鉴定机构、监察检察系统技术领域、公安海关等侦查机关。

社会司法鉴定机构的小伙伴，电子数据取证的作用主要是证据作用，将涉案的各类检材运用专业知识，出具司法鉴定报告。

监察检察系统技术领域的小伙伴，电子数据取证的作用主要是证据作用（包括对侦查机关提供的电子证据进行技术性审查）、侦查作用。电子数据不仅用于提供证据，侦查作用用于在案件中指明侦查方向，寻找犯罪嫌疑人，查清案件真相。

公安海关等侦查机关的小伙伴，电子数据取证则有三重作用。证据作用、侦查作用之外，还涉及情报作用。电子数据的情报作用是为某些重大案事件提供情报线索。

总结而言，电子数据在国内的司法实践概括而言包括证据、侦查、情报三大作用。三者作用其知识架构有显著差别。如强调证据作用的小伙伴，除取证技术外，会更注重电子数据可才性的要求和规范，强调符合技术和法律规范要求。涉及侦查和情报作用的，特别是情报作用的电子数据，未来未必会转化为证据使用，因此会更强调取证人员的侦查思维、侦查意识在电子取证工作中的运用。不同平台的小伙伴可以根据自己所在的平台，选择性的对号入座。

     一个用不好取证大师、encase、xway、ftk、i2，不了解python、javac、asp、php各种编程语言，不懂sqlite、sqlserver、mysql等各种数据库，各种mac、linux、windows系统平台,各种log分析、加密解密、逆向工程和恶意代码分析，知识范围不能横跨PC到移动端、从互联网到嵌入式，不能揣摩从黑客到色情狂、从骗子到斯文败类犯罪心理的“厨师”，不是一个好的取证人员！   -笔者

    总体而言，根据笔者经验，电子数据取证领域可以分为四大知识模块。具体如下：

1）电子数据取证基础知识模块。该模块包括从事取证领域最小的公共知识（注：计算机专业的小伙伴以下可以无视）。常见如桌面和移动终端操作系统、文件系统与文件格式、编程语言与正则表达式、数据库基础、加解密基础等。值得注意的是，这类基础的学习不用从计算机专业的课本开始学起。

有从事取证领域的小伙伴看到这些基础，第一时间想的就是学习计算机专业课本，遇到操作系统、汇编语言等课本顿时如同撞上一块铁墙，从而不免放弃。（笔者吐槽一句，国内的计算机专业教材，似乎主要目的是让人晦涩难懂，而国外经典教材往往深入浅出。）学习方法建议充分利用网易公开课、新浪公开课等公开免费优秀资源，外语好的小伙伴还可以使用Coursera等开展自学，可以选择较为基础的入门课程。在取证实务里面，实际一般不会用到太过深入的计算机基础。非计算机专业的小伙伴重点建立基本知识架构、掌握基础概念即可，另外编程语言建议学习python，国外很多开源取证资源都可以兼容python，另外perl也有不少安全资源，python和Perl也容易上手。

2）电子数据取证业务知识模块。该模块常用的主要包括Windows、linux、mac等桌面操作系统取证、Android、ios等智能终端取证、数据恢复、数据库取证、应用程序取证、恶意代码分析、网站的重建与分析、网络数据分析、加密与解密等领域。该知识模块的学习方法可以先选择一本通用基础书籍入门，然后在根据工作领域和需求，选择专著深入公开教材可以选择清华大学出版社出版的公安院校招录培养体制改革试点专业系列《电子数据取证》。如果是网安民警，可以选择部十一局主编的全国公安民警训练统编教材《电子数据勘查取证》。这两本书结合实战紧密，实用性较强，阅读后可以快速上手。国外这类经典书籍也比较多，主要集中在sygnress及Packt出版社。因篇幅关系，回头有机会再给小伙伴拉书单。

3）电子数据法律及实验室质量管理知识模块。电子数据取证不是纯粹的技术领域，电子数据是证据的一种，提取收集的电子数据应该满足法律对证据的可采性要求。这块领域可以进一步简易分为电子数据取证程序和证据形式的相关法律法规要求。

电子数据收集提取程序这块，国内目前最为重要的文件是《公安部 最高人民法院 最高人民检察院关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》（法发[2016]22号）。

证据形式这一块，虽然刑诉法已经明确规定电子数据为独立的证据形式，但是在司法实践里面电子数据主要还是通过鉴定报告、勘查检查笔录等来体现。如果电子数据选择鉴定报告形式，一方面涉及国家法律相关于鉴定报告的相关要求，同时根据《全国人民代表大会常务委员会关于司法鉴定管理问题的决定》相关要求，司法鉴定机关需“有在业务范围内进行司法鉴定所必需的依法通过计量认证或者实验室认可的检测实验室“，因此还涉及cnas或cma质量体系认证。如果选择出具勘查检查笔录，则可以不用按照cnas或cma质量体系认证，主要遵循相关法律法规及部门规章对勘验、检查笔录的具体要求。这块领域的学习方法，主要通过小伙伴需要出具的证据种类，选择学习相应的法律法规文件。对于cnas体系，笔者要强烈推荐一本书中国人民公安大学出版社《电子数据取证与鉴定实验室认可工作指南》，这本书的编者具有丰富的结合电子数据实务的质量管理经验，是不可多得的学术性与可操作性俱佳的好书。这本书也已经包括关于电子证据技术标准的相关知识。

     4）侦查思维知识模块。在国内司法实践，具备侦查职能的机关里面也有取证部门。这类部门实际不仅要承担电子数据取证作为证据的职能，同时也要具备对电子数据根据侦查和情报进行深入分析的需要。对于侦查机关的小伙伴一定要注意这一点。由于这一块往往内容比较敏感，公开资料较少，学术领域专家出版的书籍基本缺乏对该知识模块的内容，因此侦查机关初入行的小伙伴往往也会被误导忽视这个领域。对于这个领域的学习方法主要是案例分析和总结，从实战中去学习。

另外值得指出的一点，具备侦查思维和知识很重要的要熟悉犯罪嫌疑人的心理，通过对犯罪嫌疑人心理的分析去运用取证技术，往往可以在案件突破中起到四两拨千斤的突破。犯罪心理分析这块经典书籍包括美国柯特·R.巴托尔已经发表到第11版的《犯罪心理学》，也可以看看美剧《Criminal minds》、《CSI:Cyber》获得一些直观感受。

    不同平台的电子数据的小伙伴可以根据自身的平台，选择性的组合上述知识模块，满足自身工作的需要。

                   静心方可悟道，笃行始达至善。-智慧方略论

 电子数据取证知识的平面主要包括上述四大模块。但是取证领域从小工到专家，除了对知识的记忆背诵，还需要有修炼的层级。从笔者的经验看，取证之道的修炼需要跨越五个层次：真知、得法、善用、笃行、悟道。

第一层级真知。主要对电子数据取证相关取证知识从看到、听到到知其然，实现对取证相关知识的记忆。修炼途径主要通过阅读、记忆相关书籍，制作读书笔记来修炼，实现对知识的全面了解。

第二层级得法。主要是熟练取证知识运用，知道一些常见取证技巧，逐渐积累取证经验。如知道为什么对光盘不能对整张光盘计算哈希值等经验。修炼途径就是实践，在案件中将上述知识运用于实践，积累取证经验。

第三层级善用。这一层级主要修炼各类工具的使用，对国内外各类取证工具性能、特点、长处、短板了然于心。可以根据案件取证目的选择使用各类取证工具，甚至可以自编工具或者根据取证工具提供的脚步自编插件。修炼途径主要包括参加各类厂家培训，厂家培训往往会结合实战进行，具有较好的培训效果。如果选择使用开源取证软件，则可以阅读使用手册，选择经典镜像进行练习。具体镜像手册等因为篇幅所限，回头再拉清单。

第四层级笃行。这一层级即是博思而笃行，通过大量的实战应用，培养起有效的系统化综合思考能力和行动技能。修炼途径强调博思，善于自我总结和思考。在完成一些典型案件后，不只是满足于完成，而深入思考嫌疑人心理、手法、技术特点、是否有其他更优途径，不断复盘修炼。

第五层级悟道。这一层级把电子数据取证本身不只是一种技能，更是一种智慧，将电子取证相关的知识经验广博海洋内化于心，形成下意识的“心智模式”，知道电子数据取证在整个工作（侦查体系）中的清晰定位、长处与短处，使修炼者本人自身更适用于业务工作需要，成长成为整个业务系统（体系）中的精英力量。

     如果你恨他，请带他去纽约，因为那是地狱；

    如果你爱他，请带他去纽约，因为那是天堂。-北京人在纽约

 电子数据取证也如同姜文口中的“纽约“。当你走上电子数据取证之路，那里既是地狱也是天堂。”它是“地狱“是因为在电子数据领域，难以修炼到一览众山小的水平，在你取证生涯随着信息技术发展，总会有层出不穷的新问题新领域需要不断探索学习、去攻克。无法像修医道一样，越老越吃香。说它是”天堂“是因为你从事这个领域，永远不会厌倦，永远都有新鲜好玩的问题、装备去探索、去把玩，让你的生涯充满新鲜与快乐。

热烈欢迎各位小伙伴进入电子数据取证领域！

转载自微信公众号：【信息时代的犯罪侦查】

请长按选择识别图中的二维码并关注【信息时代的犯罪侦查】公众号，了解犯罪手段、侦查技术、办案心得，做到自我提升、自我救赎！