其时，刑事诉讼中涉及电子数据恢复的案件十分普遍，通说以为，电子数据恢复是技术与法则高度结合的产品，假设不能在技术和法则两个层面上结束心里承认，则很难做到寻求案件实体公正与确保程序合法的有机共同。

一、司法辨别要做实践判别，仍是价值判别、法则判别？

司法辨别本质上是一种判别定见。此处的判别只能定位为“实践判别”，这儿的“实践”指的是辨别人运用科学技术或许专门知识可以认识的客观情况。

案例一：某司法辨别组织根据托付部分要求，在检材（移动硬盘）中提取淫秽视频83个、淫秽图片10332个。

案例二：某司法辨别组织根据托付部分要求，在检材（移动硬盘）中提取公民个人信息100000条。

案例三：某司法辨别组织根据托付部分要求，作出被损坏的计算机系统达到了特别严峻程度的定见。

“淫秽视频”“淫秽图片”“淫秽音频”在群众的认知范围上边界并不明显。《刑法》第三百六十七条规定，淫秽物品是指具体描绘性行为或许显露宣传色情的诲淫性的书刊、影片、录像带、录音带、图片及其他淫秽物品。国内对淫秽色情音视频的辨别并没有一套通行的标准，一般通过行政承认的方法进行。通过司法辨别组织给出“淫秽物品”的数量承认，带有不恰当的价值倾向。

相同，根据“两高”《关于处理侵略公民个人信息刑事案件适用法则若干问题的说明》，“公民个人信息”是指以电子或许其他方法记载的可以单独或许与其他信息结合辨认特定自然人身份或许反映特定自然人活动情况的各种信息，包括名字、身份证件号码、通讯通讯联系方法、住址、账号暗码、产业情况、行迹轨迹等。能否被点评为“公民个人信息”，要结合信息的实践情况进行承认，严峻来讲这归于法则判别的范畴。而“情节严峻”“情节特别严峻”更是典型的法则判别用语。

上面三个案例的处理方法，必定程度上看似便利了办案，实则后患无穷。在以审判为中心的刑事诉讼制度下，这样的司法辨别定见极有或许被作为不合法根据予以排除。

二、留心差异电子数据“本体”与“呈现”之间的联系

电子数据是以“0”“1”码存储的数字序列集结，不或许被人们直接感知，这儿面存在一个当然的说明进程。挑选运用恰当的说明东西成为必定。举例而言，关于二进制数0x3132，运用不同的字节序，可以得出彻底不同的成果。当然，这还只是微观层面的说明。

在微观层面上，也需求留心电子数据“本体”与“呈现”之间的联系问题。

案例：在一起运用互联网传达淫秽物品案件中，某司法辨别组织根据办案部分托付要求，提取了服务器硬盘上存储的视频文件数量。有关部分以此作为定案根据。

通过互联网等揭露前语传达淫秽物品，其实存在一个预设的条件。那就是，广大网民必定要通过一个入口（网站、论坛、云盘等）访问这些资源。那么，关于刑事诉讼来讲，就存在一个承认的问题，以存储在服务器硬盘上存储的悉数视频文件作为定案根据，仍是以群众可以访问到的存储在服务器上的视频文件作为定案根据呢？

两者显然是不同的，差异在哪里呢？一方面，通过网站访问这些视频文件，是需求权限的；另一方面，服务器上的有些视频文件或许并未列入网站管理程序，因此归于“肯定不或许”被群众访问到的。

笔者以为，根据两高《关于处理运用互联网、移动通讯终端、声讯台制造、拷贝、出书、贩卖、传达淫秽电子信息刑事案件具体运用法则若干问题的说明（二）》有关规定，这儿的“数量”应当理解为“传达”（至少是“可以传达”）的数量，而不应当把存储在服务器上的全部视频文件都列为“数量”构成。

三、辨别对象与辨别东西存在混淆风险

手机中的电子数据现已成为侦破和指控违法的“根据之王”。因此，针对手机电子数据的提取和辨别是其时电子数据司法辨别范畴最为重要的内容之一。其时市场干流的手机取证东西都可以标准化的提取手机中保存的各类数据信息，但关于保存在云端的手机app数据的处理，还存在一些需求理清的观念。

根据《法庭科学电子根据手机经历技术标准》5.3.1.3规定，“若需通过搜集提取手机云端数据等网络数据时，可以在手机数据已固定的条件下衔接互联网，运用相关查验软件下载相关数据，或选用照相、录像方法固定相关数据，生成查验陈说”，这儿明确指出手机取证其实存在着两个进程，当针对手机机身进行数据提取时，手机充当了辨别对象（即检材）的人物，当针对云端数据进行数据获取时，手机此刻充当了辨别东西的人物。

惋惜的是，许多辨别人员在实践操作时，往往运用软件一起履行机身数据提取和云端数据下载，而忽视了《标准》中一个重要的限定词——若需。

四、电子数据送检、保管环节存在不共同风险

笔者在辅佐检察官检查电子数据作业中，常常发现一些的程度不同的问题，其间在电子数据保管、送检环节发生的风险需求引起高度重视。

案例一：某地侦查机关托付司法辨别组织对一起“黑客”案件的涉案笔记本电脑进行辨别，托付书登记的笔记本电脑序列号与扣押清单中的序列号不共同。

案例二：某地侦查机关通过勘验的方法，固定了一起网络传销组织的电子数据。托付司法辨别组织辨别时，勘验得到的电子数据与送检电子数据的哈希值不同。

案例三：某地侦查机关处理一起强奸案件，移交检查申述后，可以证明嫌疑人与被害人之间具有亲密联系的手机中，存储芯片石沉大海。

案例四：某地侦查机关处理一起不合法吸纳群众存款案件，在移交检查的材猜中，检查发现扣押的物品相片色彩差异巨大。经核实，一个重要的根据优盘在保管进程中丢掉，有关人员为逃避责任，新购一个同品牌类型的优盘替代了原始根据优盘。

坚持根据的原始性是刑事诉讼中很重要的一项任务。上述案例一和案例二抉择了该根据能否进入该案件的根据门槛，案例三和案例四则潜藏着有关人员故意违法或许重大过失行为。上述四个案例均存在根据开裂的实践风险，那么接下来的法庭审理中，检察机关将不可避免的面对被迫。假设律师聘请了资深专家团队并提出合理置疑，轻则带来案件反复，重则作出无罪判决，那将是司法难以承受之重。

五、重辨别轻取证的司法办案理念急需改动

2013年修订后刑诉法施行以来，电子数据成了法定根据方法。此次修法还有一个更大的变化，“辨别定论”改为了“辨别定见”，这是司法实践范畴的一次重要调整。

但是，广大司法人员期望通过辨别承认某些专门问题，甚至达到一锤定音的主见还没有得到有效消除，换句话说，司法人员对“辨别定论”的依托并没有及时得到调整。在电子数据的问题上，这一点尤其明显。侦查机关通过现场勘验获取的电子数据、通过第三方调取的电子数据、通过施行检查等技术手法得到的电子数据……，这些都是电子数据，都现已是法定的根据方法。但有些检察人员对侦查部分任劳任怨获取的电子数据不做详查、不做分析，有的听之任之，有的甚至要求办案部分去做个辨别。在所谓“旧理念”的指导下，有些辨别定见不伦不类。

案例：某地侦查机关处理一起网络传销案件，根据有关办案人员的要求，辨别组织出具了“该组织运转方法契合传销组织特征”的辨别定见。

在这个案例中，司法辨别组织依然越权做出了“法则判别”，但清楚明晰，这儿面包括着一种过错的倾向，有关办案人员依然期望通过司法辨别的方法对有关法则问题进行承认。

六、信息加密成为约束电子数据取证和辨别的一道门槛

暗码破解一直是电子数据恢复取证和辨别中需求面对的问题。信息加密技术在为用户供给数据安全的一起，也对电子数据取证人员提出了更高的要求。从BIOS暗码、操作系统用户暗码到Android全盘加密、文件级加密再到iOS加密，电子数据取证面对着越来越高的取证门槛。下面对其时常见的信息加密方法进行介绍，并将其对电子数据取证的影响进行阐明。

难点一：BitLocker是内置于WindowsVista及其之后系统的全盘加密功用，通过对磁盘卷进行加密来保护数据。它运用128位或256位密钥的AES加密算法加密数据，加密强度很高。

其时破解Bitlocker的技术除了通过社会工程学等手法直接获取暗码外，主要有以下方法：一是通过对BitLocker加密设备的内存或Windows休眠文件进行提取，在其间查找Bitlocker密钥，二是在获取用户的微软账户和暗码后通过微软账户查询BitLocker恢复密钥，三是运用Bitlocker运用固态硬盘进行硬件加密的缝隙，从固态硬盘中获取Bitlocker密钥。上述方法在实践中都有必定的局限性，导致对Bitlocker加密卷的破解成功率无法保证。

难点二：Android在4.4版中引入了全盘加密（FDE），并在5.0中对全盘加密功用进行了优化。全盘加密是运用密钥（密钥本身也通过加密）对Android设备上的全部用户数据进行编码的进程。设备通过加密后，全部由用户创立的数据在存入磁盘之前都会主动加密，而且全部读取操作都会在将数据返回给调用进程之前主动解密数据。

Android7.0及更高版别支撑文件级加密（FBE）。选用文件级加密时，可以运用不同的密钥对不同的文件进行加密，而且可以对加密文件进行单独解密。文件级加密会对文件名和文件内容进行加密。

关于Android系统加密，除了获取暗码或运用指纹、人脸辨认解锁外，主要是通过屏蔽锁屏暗码和暴力破解的方法进行解密。其间暴力破解的方法由于速度约束（系统运算才能和Gatekeeper请求次数约束），导致不知道原暗码情况下破解时长无法控制。

难点三：从iPhone3GS初步，苹果运用硬件对iOS设备进行数据加密，这被称为数据保护（DataProtection）。重要的iOS系统运用，比方信息、邮件、日历、通讯录、相片和健康数据会默许被数据保护加密。而从iOS7初步，第三方运用数据也会主动被数据保护加密。iOS设备的硬件加密方法导致直接对芯片进行提取数据后无法进行解密。

其时可行的iOS提取方法只需通过获取或破解iOS锁屏暗码来处理，主要方法包括：通过Lockdown文件绕过锁屏暗码进行提取；通过硬件对暗码进行暴力破解；通过指纹或人脸辨认解锁。上述方法在实践查验中有着各种约束，Lockdown文件不必定可以找到，即使找到也有或许现已过期无法运用；暴力破解或许有iOS版别约束，或许为商业技术，本钱高昂。

七、数据恢复实践面对应战

电子数据取证和司法辨别中的数据恢复，是指通过软件东西对检材（样本）进行数据恢复操作的进程。删去电子数据文件时，操作系统只对文件系统中被删去文件的记载项进行批改，其真实的数据区域并不会被直接批改，而是做为未分配空间供后续运用。换句话说，数据恢复的条件是，删去的数据未被批改。

跟着存储技术的开展，新式存储设备初步呈现。固态硬盘因其低功耗、高读写速度、无噪音、体积小等长处，跟着价格的下降运用者越来越多。但固态硬盘与传统机械硬盘在存储原理、方法上有着根柢不同，对电子数据取证中的电子数据恢复作业造成了很大影响。与机械硬盘次第写入受到块碎片和坏扇区的影响，机械硬盘并不彻底是次第存储。不同，固态硬盘不运用次第写入。在固态硬盘中，数据会被分红不同的数据块，一起写入到不同的NAND存储芯片中，这种平行写入的方法使固态硬盘的写入速度远高于机械硬盘。

即使是单NAND存储芯片的固态硬盘也不会运用次第写入的方法存储数据[或许只需全新的，从未写入过数据的固态硬盘会运用次第存储的方法]。存储芯片中每个块对应的逻辑地址LBA都是动态分配的，便于主控进行损耗平衡。这导致了从NAND存储芯片中直接读取到的数据就好像拼图相同，将数据打散成碎片后随意的组合在一起。假设没有固态硬盘主控的协助，想要通过芯片提取的方法恢复一个文件是十分困难的。

除了数据存储方法的不同之外，固态硬盘还设置了后台废物收回机制。当删去存储在固态硬盘上的文件时，操作系统会履行trim指令，以奉告固态硬盘该文件将不会再被运用。只需处于通电情况，固态硬盘就会发起后台的废物收回机制，擦除现已trim的数据块。即使运用只读接口衔接固态硬盘也无法阻挠这一进程，这导致了固态硬盘上删去数据的恢复变得十分困难。

当然实践情况或许会有所不同。假设操作系统、固态硬盘（或许闪存存储器）以及它们之间的传输协议中有不支撑trim的部分，那么trim以及后续的废物收回机制将无法运作，使得情况或许有所好转。但由于NAND存储芯片写入和擦除大小不同等问题，使得trim成为了固态硬盘一切必要的一部分，因此未来关于固态硬盘的数据恢复形势依然并不达观。

机械硬盘数据恢复未来的情况也并非一片光亮。跟着叠瓦式磁记载技术（ShingledMagneticRecording）的运用，机械硬盘也面对着和NAND存储芯片相同的问题。其时市场上现已呈现了支撑trim指令的运用叠瓦式磁记载技术的机械硬盘，关于这种硬盘进行数据恢复也将会面对着固态硬盘相同的问题。

八、海量电子数据的处理陷入困境

海量电子数据的运用，是其时司法实践中不得不考虑的重要问题。涉案电子数据载体数量爆发式增加，单个载体的数据容量爆发式增加，这两个要素导致在任何一个案件中，都或许搜集到海量的电子数据恢复。

案例一：某地侦查机关在处理一起不合法集资案件中，查封扣押涉案电脑200余台，从阿里云空间勘验数据40TB。如此规模的电子数据，给有关部分运用根据带来巨大压力。

案例二：某地侦查机关处理一起网络电信欺诈案件，经核实仅承认了1名受害者。移交检查申述后，在技术人员的辅佐下，从100余万条微信记载中，追加承认了70余名受害者以及相应的转账记载。其间的排查作业量相当大。

海量电子数据是一个比较完好的虚拟空间，是另一种方法的“违法现场”。该“违法现场”给深挖违法供给了广大空间，却也带来了许多技术处理上的应战。假设说案例一仅仅是技术人员数量上的捉襟见肘，案例二则对海量数据的分析作业提出了更高的要求。实践上，公检法机关现有的技术力量根柢无法应对海量电子数据，具有老练数据分析技术的人员更是严峻缺少。此外，契合实践的海量数据处理东西也是一个严峻的短板。

截至现在，针对海量电子数据恢复的处理，依然没有很好的处理方法。