本站小編為你精心準備了談電子存儲介質預檢指標體系參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

摘要：為適應規范化勘查取證要求，加強現場提取至實驗室送檢過程中對電子數據存儲介質性狀的預判與掌握能力，加強物證原始性監督，分別通過必要性、適用性、可行性的論證，提出加強現場預檢工作思路。從辨識屬性、健康屬性、數據屬性三個層次構建預檢指標體系，并根據介質特性，從硬盤與Flash芯片存儲分別梳理出了現場勘驗電子存儲介質預檢指標集。預檢指標體系的建立必將促進勘查取證工作的規范化。

關鍵詞：規范化；存儲介質；預檢；指標體系

引言

現今用于儲存圖像、視頻、音頻、文件等資料的介質越來越多。在現場進行證據采集時，除需要執法人員界定產品外型、類別外，還需要明確介質的型號，容量，是否可以讀取，數據是否損壞等基本情況。在轟動全國的“快播”案件中，辯訴方律師對證據的采集過程是否合法提出質疑，辯訴方對起獲的服務器真實性、有效性也提出了懷疑。并針對證物采集后是否受到人為污染[1]，人為在硬盤服務器中加入視頻數據提出了疑問，質疑證物的有效性。因此，提出一套適用于現場電子介質快速檢測指標體系，便于在公檢法機構執行扣押證據采集時候，對具有隱蔽性的介質、數據狀態[2]進行初查，明確所存電子數據的原始性狀[3]，是此次研究的目的。

1電子存儲介質預檢必要性

從我國的發展情況看，電子物證的勘驗和提取發展非常迅速，涉案數呈不斷上升趨勢，各省市基本都有了專業的電子物證的勘驗和提取機構和鑒定人員。截止“十二五”末，全國隸屬刑偵部門的電子物證檢驗鑒定機構已有219個，根據建設要求及涉案檢材檢驗、鑒定需求，專業實驗室建設將連續多年保持高速發展，專業技術人才缺口也非常大，同時技術人員還多集中在省市兩級，縣區現勘一線普遍技術人員少，缺乏系統培訓，急需通過技術裝備加強電子物證專業，使之發揮應用的作用，但此項的研究基本處于剛剛起步階段。目前，我國在電子物證勘驗提取的工作中，著重研究的方向是如何提取和分析所獲電子物證中的數據，也就是電子物證提取扣押后的階段，而忽略了在現場提取電子物證時，當事人、見證人[4]在場情況下，對電子物證存儲載體做必要的檢驗，明確存儲介質是否可讀取，是否有物理或邏輯損壞，具體損壞的情況如何等，從而為下一階段的數據提取和分析提供充足的法律依據和保障。因此，在電子物證的勘驗和提取工作中，只有同時做好以上兩個階段的專業工作，才能確保證據的真實性、合法性和完整性。

2預檢指標體系適用性

隨著電子信息技術發展，特別是物聯網時代的到來，生活中的電子儀器設備已從傳統的計算機、手機等常用類型發展成了包羅萬象各類集合，各類設備外形、標準、特性不一，但歸根結底主要為計算單元、存儲單位、IO接口等，其中存儲部分主要承擔數據、過程記錄功能，是電子物證獲取、分析的重點[5]，因此預檢指標[6]體系也主要圍繞存儲部件建立。常見的獨立存儲介質主要包括硬盤、U盤、SD/TF卡等，一體化存儲介質主要為設備電路板上集成的存儲芯片。由于集成存儲芯片介質通常物理特性穩定，加之其嵌入式存儲數據通用性差，因此現在提出的預檢指標體系主要針對獨立存儲介質。

3預檢指標體系

預檢指標體系應包括三個層次，一是辨識屬性，主要是指設備出廠型號、參數等，它通常具有設備識別的作用。二是健康屬性，主要反映設備過往及當前穩定性、可靠性，明確檢材硬件狀態，便于有針對性送檢、預測風險、劃分物證流轉責任。三是數據屬性，這是檢材作為電子物證提取物最核心的部分，是反映事實的關鍵。綜合考慮物理結構、存儲原理，設備參數[7]特點，上述獨立存儲介質大體可劃分為硬盤、FLASH芯片存儲兩大類分別建立預檢指標體系。

3.1硬盤類存儲預檢指標體系

機械硬盤與固態硬盤雖在物理結構、存儲原理上完成不同但兩者在設備參數集合上保持了延續性，因此可建立統一的測評指標。在綜合參考主流硬盤常見檢測指標的基礎上（見圖1），筆者歸納總結了硬盤類存儲預檢指標集，其中健康屬性主要基于S.M.A.R.T[8]檢測實現。當然，并非所有品牌的硬盤都會有統一的S.M.A.R.T信息標準，所以為了統一判斷信息，筆者暫定了11項常見并具有代表意義的檢測項目作為健康屬性的主要構成。具體包括：①底層數據讀取錯誤率；②啟動/停止計數；③重映射扇區數；④通電時間累計；⑤主軸起旋重試次數；⑥磁盤校準重試次數；⑦磁盤通電次數；⑧溫度；⑨當前等待中扇區數；⑩ULTRADMA奇偶校驗錯誤率；􀃊􀁉􀁓寫錯誤率（見圖2）。

3.2芯片類存儲預檢指標體系

由于Flash芯片存儲性能穩定、可靠性強，且不支持SMART自檢測，因此對比硬盤類存儲，預檢指標體系差異還是較為明顯的（見圖3）。①辨識屬性項目較多，設備、主控單元、存儲單元的軟硬件規格、版本都有明確細分。②健康屬性部分，比較普遍的檢測主要為讀取速度和壞塊數。③數據屬性部分，根據文件系統的不同，指標中存在FAT與MFT相關指標項（見圖4）。

4現場預檢可行性

現場預檢工作開展除應具備必要性外，還應具備可行性。下面分別從技術可行性與現實可操作性進行分析。①術可行性，通用硬盤檢測工具主要包括硬盤哨兵、HDDScan、HDDTUNE等，硬盤修復工具如PC3000、效率源、DFL等也都集成了硬盤檢測功能，都可以對硬盤的固件、版本、序列號、容量、以及硬盤健康狀況、不穩定扇區數、重新映射扇區計數、讀寫錯誤率[9]等SMART健康指標進行檢測。通用U盤檢測工ChipGenius、CheckUDisk等可以識別U盤等Flash存儲的主控芯片、設備ID、閃存識別號等。DISKGEN、DFL等也都支持硬盤、U盤等存儲數據目錄結構統計與在線分析。生成MD5散列值的小工具更是十分方便獲得。綜上所述，現場開展電子物證存儲介質預檢在技術上是成熟可行的，可供選擇的工具也十分豐富的。②現實可操作性，現場勘查時偵查人員、技術人員工作原本內容已較為飽滿，特別是基層人手緊張，經常是出了一個現場就要趕去下一個現場，因此是否可以在有限時間內完成預檢工作，就是現場預檢能否順利推行的重要因素。為得到真實的數據，筆者通過實測并參考其他技術人員研究成果，得出執行預檢的大體時間（見表1）。需要特別說明的是，由于計算能力、接口速度、檢測對象性能等因素差異，執行扇區掃描、生成MD5所需時間差異是比較明顯的，加電檢測、S.M.A.R.T健康檢測、文件系統識別基本不受影響。

5結論

通過分析可以看出，在現場對電子數據存儲介質進行預檢，掌握介質健康狀態及數據基本情況，必要時進行扇區快速掃描、生成散列值，對明確物證原始屬性、物證流轉責任、確保電子物證真實可信都有重要意義，在技術上、操作性上具備可行性。然而原有檢測工具都不是針對電子證據檢測設計的，無法保障對原始檢材的只讀要求，功能及設計上通常較為復雜，不適合基層操作人員快速上手。因此，要推行現場勘驗電子存儲介質預檢工作，還需要結合預檢指標體系設計研發出適合的工具，并在推行過程中不斷優化完善這一指標體系，讓其在規范現場執法與物證檢驗鑒定中發揮更大作用。

參考文獻

[1]鄒國強.電子物證提取和檢驗前的“污染”研究[J].信息網絡安全,2011.6:75-76

[2]蔣天蔚,劉啟剛.“一長四必”視閾下偵查人員犯罪現場勘查核心能力研究[J].河北公安警察職業學院學報,2018.3:18-22

[3]戴士劍,李運策,梅越.電子物證溯源性研究[J].信息網絡安全,2010.11:15-18

[4]黃少石.現場勘查見證人模式的再思考——以俄羅斯體系為研究切入點[J].江西公安專科學校學報,2010.3:43-49

[5]楊秀華,李浩.電子物證檢驗工作模式探析[J].法制博覽,2017.23:142.

[6]王永剛.對電子數據現場獲取存在問題的分析與探討[J].科技資訊,2013.26:25

[7]舒月,張毅,劉鶴.固態硬盤與機械硬盤邏輯層數據恢復比較研究[J].保密科學技術,2018.7:20-25

[8]宋云華.基于S.M.A.R.T.預測故障磁盤的研究[D].南京大學,2014.

[9]工作.為PC硬盤做健康體檢[J].電腦知識與技術(經驗技巧),2009.3:80-81

作者：韋同勝 高梓銘 崔元禎 郭妍 單位：電子信息現場勘驗應用技術公安部重點實驗室