檢察風(fēng)采
檢察技術(shù)40年人物特別報道 | 安徽錢長遠:用電子取證“砸實”案件
時間:2024-12-27  作者:  新聞來源: 【字號: | |

2024年12月27日《檢察日報·先鋒周刊》

檢察技術(shù)40年先進人物特別報道

他們從蛛絲馬跡中探尋案件真相

編者按 1984年,最高人民檢察院批復(fù)在辦公廳設(shè)立刑事技術(shù)室,檢察技術(shù)工作也隨之在全國檢察機關(guān)推開。今年是檢察技術(shù)工作全面開展40年,本期《檢察日報》周刊帶大家認(rèn)識幾位頗具傳奇色彩的檢察技術(shù)人,他們憑借專業(yè)的知識、縝密的思維和極大的耐性,從“不可能”中還原真相,在海量數(shù)據(jù)中發(fā)現(xiàn)“秘密”,協(xié)助檢察官突破疑難案件瓶頸,讓僅存的證據(jù)“開口說話”。

原標(biāo)題

用電子取證“砸實”案件

本報記者 吳貽伙 整理

▲錢長遠在研究電腦數(shù)據(jù)。

講述人:錢長遠

單位:安徽省蚌埠市檢察院

崗位:電子證據(jù)、信息技術(shù)

崗齡:10年

愛好:軍事模型制作、編程等

作為一名電子證據(jù)鑒定人,這些年來,我參與辦理了很多案件,其中不乏疑難復(fù)雜案件,下面這兩起案件讓我最難忘。

在辦理一起公職人員幫助犯罪分子逃避處罰案時,犯罪嫌疑人在自己的辦公電腦上以被害人的口吻編造了一份“情況說明”,編輯完成后直接打印,并沒有保存文檔。由于此案中被害人陳述、犯罪嫌疑人供述及辯解等言詞證據(jù)的證明力都比較單薄,能否成功獲取犯罪嫌疑人電腦上錄入的文檔數(shù)據(jù),就成了“砸實”案件的關(guān)鍵。

按照常規(guī),恢復(fù)電腦數(shù)據(jù)是對電腦中已被刪除的曾經(jīng)存儲過的數(shù)據(jù)進行還原處理。而本臺電腦中涉案文檔提交打印后并未保存,也就不存在存儲后被刪除的過程,所以無從恢復(fù)。面對這一挑戰(zhàn),我決定從底層數(shù)據(jù)入手,嘗試尋找恢復(fù)文檔相關(guān)的臨時文件內(nèi)容,但是沒有取得突破。接著我又嘗試在打印涉案文檔的打印機上“做文章”,但該打印機存儲量極小,存儲數(shù)據(jù)早已被覆蓋。

經(jīng)過反復(fù)研究,我利用專業(yè)取證軟件,輔之以手動分析,終于從犯罪嫌疑人電腦中獲取到關(guān)鍵信息,再現(xiàn)了犯罪嫌疑人對文檔進行編輯等作案過程。上述關(guān)鍵信息證明了該公職人員與犯罪分子之間的聯(lián)系,為案件的偵破提供了重要證據(jù)。后來,我的這一電子取證方法在全省范圍內(nèi)得到推廣應(yīng)用,對提升全省檢察機關(guān)電子取證水平起到了積極作用。

在辦理另一起磁盤陣列數(shù)據(jù)恢復(fù)案件過程中,辦案人員提供了數(shù)十塊服務(wù)器硬盤。由于辦案人員沒有記錄硬盤編號,硬盤間的順序已經(jīng)被打亂,需要找到正確的組合才能正確讀取。我首先對所有硬盤做了鏡像備份,確保原始數(shù)據(jù)不被破壞。隨后,根據(jù)分析和計算,推斷出硬盤的分組情況,將硬盤按多個分組重新組合起來,再通過對所要尋找數(shù)據(jù)的底層編碼格式進行研究和反復(fù)提取驗證,逐步找到了恢復(fù)數(shù)據(jù)的關(guān)鍵線索。

在此基礎(chǔ)上,我根據(jù)找到的數(shù)據(jù)存放及編碼規(guī)律,嘗試手動將散亂的文件殘片重新拼湊起來。經(jīng)過數(shù)天的不懈努力,我成功恢復(fù)了幾乎全部數(shù)據(jù)!這些數(shù)據(jù)完整地重現(xiàn)了犯罪嫌疑人在特定時間段的行動軌跡,為案件后來的偵破提供了關(guān)鍵證據(jù)。

案件的成功辦理,不僅將犯罪分子繩之以法,也鍛煉了我的技術(shù)能力,更讓我在電子證據(jù)專業(yè)領(lǐng)域內(nèi)不斷成長,并于2018年被最高人民檢察院榮記個人一等功。