用戶痕跡是用戶在使用計算機、手機、平板計算機等設備時產生的電子數據記錄,因此它與用戶活動息息相關。
電子數據證據有生成證據、存儲證據和混合證據之分,這是根據電子數據的身世來確定的。電子數據可以是人為生成、自動生成或者兩者結合而生成的,用戶痕跡數據也是這樣。
人為生成的電子數據是以用戶的主觀意志創造、復制或者衍生出的新數據,是用戶主動創造的痕跡,記錄著用戶當時的使用情景和狀態。通常這些電子數據痕跡的產生是用戶經常使用產生的,而且有查閱歷史信息的需要,一般不會特意清除,如使用郵件客戶端收發的郵件、通過下載工具下載的文檔資料、選擇自動保存的登錄密碼信息等。
自動生成的電子數據是操作系統或者應用系統自動生成的記錄一定信息的數據不被用戶的主觀意志左右。但隨著用戶的計算機知識和反取證意識的提升,這些數據很可能會被清除或篡改。通常這些數據是從系統啟動開始,在用戶不經意間不斷產生的,而且會在用戶的使用過程中隨時變化,如操作系統的開關機時間、USB設備的插拔記錄、通過瀏覽器上網產生的緩存記錄等。
兩者結合生成的電子數據是結合了上述兩種情形產生的,也是用戶痕跡數據產生的主要方式之一。很多嫌疑人自認為聰明地修改或者清除一些痕跡數據,卻不知道系統還會有其他的信息記錄著他們的這一系列行為。例如,人為篡改系統時間留下的事件日志記錄、Word文檔打開時自動保存的臨時文件等。人為、自動和兩者結合方式產生的用戶痕跡數據貫穿了使用計算機等設備的整個過程,也使第三方調查者能夠通過這些痕跡數據對嫌疑人進行用戶行為串聯和分析,從而給還原案件的真相提供了可能。
用戶痕跡電子數據具備電子數據的普遍特點:無形性、多樣性、客觀性、易破壞性、隱蔽性等。
由于痕跡產生于用戶使用計算機等設備的過程,因此還具備記錄用戶操作歷史行為軌跡、通信記錄、密碼信息等隱私數據的特點。
用戶使用計算機、手機、平板電腦等設備都會產生用戶痕跡。
用戶在常規的文檔類工作中會產生很多的痕跡數據,包括Link文件、Metadata(元數據)、Thumbnail(縮略圖)、回收站、網絡信息等。
1. Link文件
Link文件是指擴展名為。lnk的文件,一般叫作鏈接文件或快捷方式文件。。lnk是Windows系統默認的快捷方式的擴展名,如果“文件夾選項”下設置為“隱藏已知文件類型的擴展名”,那么正常情況下,。lnk是不顯示的。
Link文件由Windows自動創建,通常包含以下內容:卷信息、原始位置、系統名稱。Link文件具備以下特點:用于指向其他文件的Link文件,通常稱為快捷方式文件,以方便使用者快速調用原始文件。Link文件不一定是用戶主動建立的,特別是在作為快捷方式以外的鏈接文件出現時。當用戶打開和使用文件時,Windows自動創建鏈接文件并顯示在“RecentDocument/Files Folder”中。如果用戶從USB設備中打開并編輯一個文件,但從未復制到系統中,那么該文件的Link文件將被創建在用戶賬戶目錄下的“Recent Items Folder”文件夾中。Link文件會包含原始文件的MAC時間、存儲路徑以及所在磁盤的卷信息或網絡共享信息。
2. Metadata
元數據(Metadata)又稱中介數據、詮釋數據,也稱為數據的數據。
Metadata名詞起源于1969年,由Jack E·Myers提出。Metadata的基本定義出自OCLC與NCSA所主辦的“Metadata Workshop”研討會,它將Metadata定義為描述數據的數據(Data about Data),此后各種有關Metadata的定義紛紛出現。現存很多Metadata的定義,主要因使用情境而不同。如有關數據的數據、有關信息對象之結構的信息(Structured Information about an Information Object)、描述資源屬性的數據(Data Describes Attributes of Resources)等。
一個數據存儲在共享卷里時,我們可以直接看到它是一個文檔、圖片、視頻或數據庫文件,這些都是數據本身。然而在存儲該數據時,文件系統還會產生很多無法直接看到的與該數據有關的數據,如文件系統中文件檢索表、路徑信息、地址信息等,這些數據稱之為文檔、圖片、視頻等在共享卷中的元數據。
我們可以在很多地方看到元數據的存儲,網上下載的電影本身是一個視頻文件數據。單擊右鍵查看到的視頻文件屬性,如存儲路徑、碼率、文件大小、導演、演員、制作單位等,就是視頻文件的元數據。在地理空間信息中用于描述地理數據集的內容、質量、表示方式、空間參考、管理方式以及數據集的其他特征,也都是元數據。
在案件的調查取證過程中,一些數據(如存儲在計算機里的電子郵件、附件等所包含的元數據往往成為一些案件的破案依據。Microsoft Office元數據常常也是討論的關鍵,Office元數據嵌入文件自身并包含了相當有用的信息,在實際運用中已在多起訴訟案件的根源分析中發揮了作用。信息的類型在案件中也許會是關鍵點比如,被盜來的Office文檔,能夠通過檢查元數據顯示內部信息證明該文檔的原始來源是另一個公司。圖1反映了一個Word文檔中的元數據情況。
圖1 Word文檔中的元數據
圖片是一種特殊的文件形式,包含大量的元數據信息,圖片中的元數據通常叫作可交換圖形文件(EXIF,Exchangeable Image File),這個格式是專門為數碼相機照片設定的。這個格式可以記錄數字照片屬性信息。
EXIF作為一種圖像文件格式,它的數據存儲與JPEG格式完全相同。實際上,EXIF格式就是在JPEG格式頭部插入數碼照片的信息,包括拍攝時的光圈、快門、白平衡、 ISO、焦距、日期時間等各種和拍攝條件,相機品牌、型號、色彩編碼、拍攝時錄制的聲音,以及全球定位系統(GPS)、縮略圖等信息。簡單地說,EXIF=JPEG+拍攝參數。因此,可以利用任何能夠查看JPEG文件的看圖軟件瀏覽EXIF格式的照片,但并不是所有的圖形程序都能處理EXIF信息。通過分析EXIF中包含的GPS信息,更是成為諸多案件偵破的重要線索和摧毀不在場證明的利器。圖2反映了一張圖片EXIF中的GPS信息。
圖2 圖片EXIF中的GPS信息
元數據的存在,在法律界已經引起了非常大的爭議,焦點在于:在案件訴訟期間是否應該提供元數據。在許多情況下,并不要求公訴方提供帶有元數據的文件;如果此時辯方要求附加提供元數據,則在當前情況下,法官應要求公訴方補充證據否則不能要求訴訟開始。
3. Thumbnail
Thumbs.db是一個用于Microsoft Windows或Mac OS X緩存Windows Explorer縮略圖的文件。Thumbs.db保存在每一個包含圖片或照片的目錄中,可緩存圖像文件的格式包括jpeg、bmp、gif、tif、pdf以及htm。Thumbs.db文件是一個數據庫文件,里面保存了這個目錄下所有圖像文件的縮略圖(格式為jpeg)當以縮略圖查看時(展示一幅圖片或電影膠片),將會生成一個thumbs.db文件而且其體積隨著文件夾中圖片數量增加而增大。
Windows XP Media Center Edition也生成了一個Ehthumbs.db,保存了視頻文件預覽。Thumbs.db是Windows XP/2003為了提高文件夾在縮略圖查看方式下的響應速度而對當前文件夾下的圖像文件建立的緩存,這個文件本身并無大礙,因為本身是“系統文件+隱藏文件”,缺省時,為隱藏文件。
Windows為了更快地顯示圖片,會自動將文件夾中的圖片縮略圖保存為索引文件“Thumbs.db”。如果將沒用的圖片刪除,由于“Thumbs.db”不能立即自動更新,當出現新文件與原文件名稱相同時,便直接將原縮略圖取了出來,其實圖片本身并沒變,改變的只是圖片的縮略圖。這樣當嫌疑人將涉案的圖片刪除后,因為有工具可以查看Thumbs.db的內容,甚至導出其中的圖像,調查人員可以通過Thumbs.db得到此文件夾中的所有文件名及縮略內容,然后使用Thumbs.db瀏覽器下載此目錄下的所有圖像文件并瀏覽。圖3是進行縮略圖的顯示。
圖3 縮略圖的顯示
4. 回收站
回收站是Windows文件系統中的重要區域,能夠幫助調查人員在取證過程中調查已被刪除的文件信息。回收站recycle.bin是一個隱藏的目錄。
在Window NT/2000/XP/2003系統中,當用戶刪除一個文件時,它唯一的安全標識符(SID,Security Identifier)將被用于在目錄“RECYCLER”中創建一個子目錄,另外,這個路徑的內部還有另一個隱藏的二進制文件“INFO2”,它用于映射回收站中的文件名與其實際的原始名稱和路徑。回收站的RECYCLER目錄結構如圖4所示。
圖4 RECYCLER目錄結構
5. 網絡信息
隨著互聯網技術的發展,通過網絡傳輸的信息種類越來越多,大致可以分為瀏覽器記錄、郵件記錄、即時通信記錄、文件傳輸記錄等。
瀏覽器類型隨著發展也是五花八門,其中最具代表性的IE記錄中含有Cookies收藏夾、緩存、搜索歷史、歷史記錄等。
Cookies指的是存儲在用戶本地終端上的數據,服務器可以利用Cookies包含信息的任意性來篩選并經常性維護這些信息,以判斷在HTTP傳輸中的狀態。Cookies的一個重要應用是“購物車”之類的處理。用戶可能會在一段時間、在同一家網站的不同頁面中選擇不同的商品,這些信息都會寫入Cookies,以便在最后付款時提取信息。
歷史記錄中包含歷史記錄名稱、URL、最后訪問時間、訪問者、映射文件。
郵件具有一個相對簡單的文件結構,主要由三部分組成:郵件頭、消息主體(Message Body)以及附件。郵件頭包含主題、發件人、收件人、發送時間、接收時間等信息。消息主體是指郵件發送者鍵入的文本內容。附件是可選項,可以包含任意文件。郵件客戶端(如Outlook客戶端)包含主要的郵件頭中的各個項,但是大部分會被隱藏起來,尤其是用戶不關注的項。
