案例内容
【案情简介】
贵州省XX市XXX县人民检察院在办理某某涉嫌贪污案时,需要对嫌疑人是否在涉案电脑主机上于特定时间对U盘中的证据表格文件进行过访问和修改。为核实案情,贵州省人民检察院技术处委托鉴定中心,对送检的电子物证进行鉴定,提取其中的涉案信息,证实电脑主机在2014年6月23日18时至24时之间的操作使用记录及与案件相关文件,提取送检U盘与案件相关的文件,U盘在2014年6月23日18时至24时之间在鉴定电脑主机上的使用情况。
【鉴定过程】
(一)技术规范 1、《数字化设备证据数据发现提取固定方法》GA/T 756-2008 2、《电子物证数据搜索检验规程》GB/T 29362-2012 (二)鉴定工具 设备:鉴定工作站(SB2098)、SOLO4拷贝机(SB2051) 软件:X-Ways ForensicsV17.8(以下简称X-Ways)、取证大师V4.1.19903(以下简称取证大师)。 (三)鉴定步骤 1.对送检电子物证进行唯一性编号如下: (1)型号为Kingston的白紫相间U盘检材编号J2014094-001; (2)型号为Lenovo 黑色U盘检材编号J2014094-002; (3)型号为联想天启M7160电脑主机检材编号J2014094-003。 2.使用X-Ways通过鉴定工作站只读接口对J2014094-001制作镜像,镜像文件名称为“备份J2014094-001”,计算检材和镜像文件SHA1值均为67659C0A97F37C5B4A197B93563219B325854EEF。对J2014094-002制作镜像,镜像文件名称为“备份J2014094-002”,计算检材和镜像文件SHA1值均为092C2F940047D24DADC42DA02025BE73422682A3。使用硬盘拷贝机对J2014094-003中硬盘制作镜像,镜像文件名称为“备份J2014094-003”,计算检材和镜像文件SHA1值均为25C4629FCA2A8062C46FAF73383AA65DA365C37E。 3.使用取证大师对备份的镜像文件进行分析,提取出以下涉案数据: (1)在“备份J2014094-001”提取出文件“Book1.xls”和“复件 Book1.xls”。“Book1.xls”的创建时间为:“2012-03-02 09:15:20”,修改时间为:“2014-06-23 21:14:14”,访问时间为:“2014-06-23 00:00:00”。“复件 Book1.xls”的创建时间为:“2013-02-16 13:47:50”,修改时间为:“2013-03-22 09:18:18”,访问时间为:“2013-06-20 00:00:00”。两个文件内容相似,每个文件中包含2个数据表,表名称为“录入”和“修改”。“Book1.xls”截图如图1和图2所示。 图1 “录入”表截图 图2 “修改”表截图 (2)在“备份J2014094-003”中提取出下列涉案数据: a.电脑主机没有固定IP地址,MAC地址为:44-37-E6-69-52-E2。 b.提取出了电脑主机在2014年6月23日使用USB的记录。记录显示2014年6月23日19:51使用过名称为“Kingston DataTraveler2.0 USB Device”的设备。经分析,该设备与J2014094-001为同一设备。 c.提取了最近访问的文档记录,如表1所示。其中H盘为移动设备。“H:Book1.xls”的创建时间、修改时间和最后访问时间与“备份J2014094-001”中“Book1.xls”属性相同。 最近访问的文档 文件类型 完整路径 创建时间 修改时间 最后一次访问时间 系统 用户 Book1 文件 H:Book1.xls 2012-03-02 09:15:21 2014-06-23 21:14:14 2014-06-23 00:00:00 Microsoft Windows XP Administrator d.提取了电脑在6月23日晚的上网记录,如表2所示。 名称 最后访问时间 解码后的URL 用户名 最后修改时间 l.jsp 2014-06-23 20:04:08 http://10.168.193.4/l.jsp Administrator 2014-06-24 04:04:08 indexTj.do 2014-06-23 20:04:16 http://10.168.193.4/indexTj.do Administrator 2014-06-24 04:04:16 pauseBenefitAction.do 2014-06-23 21:08:55 http://10.168.193.4/yhxnb/benfit/pauseBenefitAction.do Administrator 2014-06-24 05:08:55 e.提取了网页缓存文件,提取的文件列表如表3所示,提取的文件截图如图3-图5所示。 名称 文件大小(字节) 访问时间 创建时间 最后修改时间 topMenu[7].htm 22,165 2014-06-23 19:51:34 2014-06-23 19:51:34 2014-06-23 19:51:36 topMenu[1].htm 15,794 2014-06-23 20:03:45 2014-06-23 20:03:45 2014-06-23 20:03:45 topMenu[2].htm 19,065 2014-06-23 20:04:16 2014-06-23 20:04:16 2014-06-23 20:04:16 图3 topMenu[1].htm截图 图4 topMenu[2].htm截图 图5 topMenu[7].htm截图 (3)在“备份J2014094-002”中未提取到涉案文件。
【分析说明】
“备份J2014094-001”中的“Book1.xls”和“复件 Book1.xls”均为加密文件,经破解其密码为11235。Windows操作系统中对U盘的使用记录主要记录在系统注册表中,因此在分析时需要对注册表文件进行提取和解析。
【鉴定意见】
1.在J2014094-001中提取出“Book1.xls”和“复件 Book1.xls”2个excel表格文件; 2.在J2014094-003中提取出电脑主机2014年6月23日19:51使用过J2014094-001的记录; 3.在J2014094-003中提取出电脑主机操作过J2014094-001上“Book1.xls”文件的记录; 4.在J2014094-003中提取出电脑主机于2014年6月23日18时至24时之间3条涉案上网记录和3个涉案网页缓存文件。
