上海辰星电子数据司法鉴定中心对电子物证文件一致性进行检验的司法鉴定案
- 案例时间:2019-09-02 00:00:00
- 浏览量:0
- 案例编号:SHSJYW1562318474
- 案例类型:司法鉴定出庭作证案例
【案情简介】
据委托人介绍,苏州市公安局相城分局正在办理一起“冯某侵犯著作权案”,现针对涉案主板需要鉴定中心进行司法鉴定。
【鉴定过程】
(一) 鉴定方法
本次鉴定依据中华人民共和国标准GB/T 29361-2012《电子物证文件一致性检验规程》和和中华人民共和国公共安全行业标准GA/T 756-2008《数字化设备证据数据发现提取固定方法》进行检验。
(二) 鉴定设备
本次鉴定使用了鉴定工作站、芯片读取工具DS28E01-100 Eval Kit Version 1.0、RH-6900手机数据取证分析仪V3.0.0.2、X-ways Forensic18.0和校验码计算工具Karen’s Hasher v2.3等设备进行检验。
(三) 鉴定过程
1. 检材1的检验
将检材1中指定“ds28e01”芯片和“epcs1”芯片从主板上拆下。
使用RH-6900手机数据取证分析仪V3.0.0.2读取检材1的“epcs1”芯片,将其中存储的数据保存为文件“2017-47-检材1-epcs1.bin”,并拷贝至鉴定工作站上的“D:case20172017-47涉案数据检材1”目录下。
将检材1的“ds28e01”芯片放入读卡器,使用芯片读取工具DS28E01-100 Eval Kit Version 1.0加载该芯片,因该软件功能限制,需要分四次读取芯片中存储的涉案数据。随后点击软件界面上的“Memory”选项卡,在“Memory Range Selection”面板中选择“00h to 1Fh R/W Data Memory Page 0”,在“Command”面板中选择“Read”选项,在“Options”面板上将“Starting Address”项选择“00h”,将“Read Length”项选择“32”,点击“Execute Command”按钮,数据读取结果如图1所示,界面截屏保存为“图1.png”。
在“Memory Range Selection”面板中选择“20h to 3Fh R/W Data Memory Page 1”,在“Command”面板中选择“Read”选项,在“Options”面板上将“Starting Address”项选择“20h”,将“Read Length”项选择“32”,点击“Execute Command”按钮,数据读取结果如图2所示,界面截屏保存为“图2.png”。
在“Memory Range Selection”面板中选择“40h to 5Fh R/W Data Memory Page 2”,在“Command”面板中选择“Read”选项,在“Options”面板上将“Starting Address”项选择“40h”,将“Read Length”项选择“32”,点击“Execute Command”按钮,数据读取结果如图3所示,界面截屏保存为“图3.png”。
在“Memory Range Selectiom”面板中选择“60h to 7Fh (R)/(W)Data Memory Page 3”,在“Command”面板中选择“Read”选项,在“Options”面板上将“Starting Address”项选择“60h”,将“Read Length”项选择“32”,点击“Execute Command”按钮,数据读取结果如图4所示,界面截屏保存为“图4.png”。
将上述检材1的“ds28e01”芯片的四部分十六进制数据进行整合,保存为文件“2017-47-检材1-ds28e01.bin”,将其拷贝至鉴定工作站上的“D:case20172017-47涉案数据检材1”目录下。
2. 检材2的检验
将检材2中指定“ds28e01”芯片和“epcs1”芯片从主板上拆下。
使用RH-6900手机数据取证分析仪V3.0.0.2读取检材2的“epcs1”芯片,将其中存储的数据保存为文件“2017-47-检材2-epcs1.bin”,将其拷贝至鉴定工作站上的“D:case20172017-47涉案数据检材2”目录下。
将检材2的“ds28e01”芯片放入读卡器,使用芯片读取工具DS28E01-100 Eval Kit Version 1.0加载该芯片,因该软件功能限制,需要分四次读取芯片中存储的涉案数据。随后点击软件界面上的“Memory”选项卡,在“Memory Range Selection”面板中选择“00h to 1Fh R/W Data Memory Page 0”,在“Command”面板中选择“Read”选项,在“Options”面板上将“Starting Address”项选择“00h”,将“Read Length”项选择“32”,点击“Execute Command”按钮,数据读取结果如图5所示,界面截屏保存为“图5.png”。
在“Memory Range Selection”面板中选择“20h to 3Fh R/W Data Memory Page 1”,在“Command”面板中选择“Read”选项,在“Options”面板上将“Starting Address”项选择“20h”,将“Read Length”项选择“32”,点击“Execute Command”按钮,数据读取结果如图6所示,界面截屏保存为“图6.png”。
在“Memory Range Selection”面板中选择“40h to 5Fh R/W Data Memory Page 2”,在“Command”面板中选择“Read”选项,在“Options”面板上将“Starting Address”项选择“40h”,将“Read Length”项选择“32”,点击“Execute Command”按钮,数据读取结果如图7所示,界面截屏保存为“图7.png”。
在“Memory Range Selection”面板中选择“60h to 7Fh (R)/(W) Data Memory Page 3”,在“Command”面板中选择“Read”选项,在“Options”面板上将“Starting Address”项选择“60h”,将“Read Length”项选择“32”,点击“Execute Command”按钮,数据读取结果如图8所示,界面截屏保存为“图8.png”。
将上述检材2的“ds28e01”芯片的四部分十六进制数据进行整合,保存为文件“2017-47-检材2-ds28e01.bin”,将其拷贝至鉴定工作站上的“D:case20172017-47涉案数据检材2”目录下。
3. 检材3的检验
将检材3中指定“ds28e01”芯片和“epcs1”芯片从主板上拆下。
使用RH-6900手机数据取证分析仪V3.0.0.2读取检材3的“epcs1”芯片,将其中存储的数据保存为文件“2017-47-检材3-epcs1.bin”,将其拷贝至鉴定工作站上的“D:case20172017-47涉案数据检材3”目录下。
将检材3的“ds28e01”芯片放入读卡器,使用芯片读取工具DS28E01-100 Eval Kit Version 1.0加载该芯片,因该软件功能限制,需要分四次读取芯片中存储的涉案数据。随后点击软件界面上的“Memory”选项卡,在“Memory Range Selection”面板中选择“00h to 1Fh R/W Data Memory Page 0”,在“Command”面板中选择“Read”选项,在“Options”面板上将“Starting Address”项选择“00h”,将“Read Length”项选择“32”,点击“Execute Command”按钮,数据读取结果如图9所示,界面截屏保存为“图9.png”。
在“Memory Range Selectiom”面板中选择“20h to 3Fh R/W Data Memory Page 1”,在“Command”面板中选择“Read”选项,在“Options”面板上将“Starting Address”项选择“20h”,将“Read Length”项选择“32”,点击“Execute Command”按钮,数据读取结果如图10所示,界面截屏保存为“图10.png”。
在“Memory Range Selection”面板中选择“40h to 5Fh R/W Data Memory Page 2”,在“Command”面板中选择“Read”选项,在“Options”面板上将“Starting Address”项选择“40h”,将“Read Length”项选择“32”,点击“Execute Command”按钮,数据读取结果如图11所示,界面截屏保存为“图11.png”。
在“Memory Range Selection”面板中选择“60h to 7Fh (R)/(W) Data Memory Page 3”,在“Command”面板中选择“Read”选项,在“Options”面板上将“Starting Address”项选择“60h”,将“Read Length”项选择“32”,点击“Execute Command”按钮,数据读取结果如图12所示,界面截屏保存为“图12.png”。
将上述检材3的“ds28e01”芯片的四部分十六进制数据进行整合,保存为文件“2017-47-检材3-ds28e01.bin”,将其拷贝至鉴定工作站上的“D:case20172017-47涉案数据检材3”目录下。
4. 样本的检验
使用RH-6900手机数据取证分析仪V3.0.0.2读取样本1“epcs1”芯片,将其中存储的数据保存为文件“2017-47-样本1-epcs1.bin”,将其拷贝至鉴定工作站上的“D:case20172017-47涉案数据样本1”目录下。
使用RH-6900手机数据取证分析仪V3.0.0.2读取样本2“epcs1”芯片,将其中存储的数据保存为文件“2017-47-样本2-epcs1.bin”,将其拷贝至鉴定工作站上的“D:case20172017-47涉案数据样本2”目录下。
使用RH-6900手机数据取证分析仪V3.0.0.2读取样本3“epcs1”芯片,将其中存储的数据保存为文件“2017-47-样本3-epcs1.bin”,将其拷贝至鉴定工作站上的“D:case20172017-47涉案数据样本3”目录下。
【分析说明】
1. 芯片“ds28e01”的分析
使用X-ways Forensic 18.0打开文件“2017-47-检材1-ds28e01.bin”,选取“简体中文 GB2312”读取文件的十六进制数据,截图保存为“图13.png”,如图13所示。
使用X-ways Forensic 18.0打开文件“2017-47-检材2-ds28e01.bin”,选取“简体中文 GB2312”读取文件的十六进制数据,截图保存为“图14.png”,如图14所示。
使用X-ways Forensic 18.0打开文件“2017-47-检材3-ds28e01.bin”,选取“简体中文 GB2312”读取文件的十六进制数据,截图保存为“图15.png”,如图15所示。
2. 芯片“epcs1”的分析
计算芯片“epcs1”中获取数据的SHA256校验码,具体信息如表1所示。
表1
|
序号 |
文件名 |
SHA256校验码 |
|
1. |
2017-47-检材1-epcs1.bin |
FF3531D45C721DDBAA6AECB31DAEB8E4B3D83B0794965BAC368CFEB08BA5A296 |
|
2. |
2017-47-检材2-epcs1.bin |
3DC1A2CB494B0613EE61EA5F8F5AD1611741FD4E3472F0A7CDF3FC134E25F88F |
|
3. |
2017-47-检材3-epcs1.bin |
F3A11B443B3B5DA173AE0C48A3567493DDDAD60983DE09B3F106E970C680CC81 |
|
4. |
2017-47-样本1-epcs1.bin |
FF3531D45C721DDBAA6AECB31DAEB8E4B3D83B0794965BAC368CFEB08BA5A296 |
|
5. |
2017-47-样本2-epcs1.bin |
3DC1A2CB494B0613EE61EA5F8F5AD1611741FD4E3472F0A7CDF3FC134E25F88F |
|
6. |
2017-47-样本3-epcs1.bin |
F3A11B443B3B5DA173AE0C48A3567493DDDAD60983DE09B3F106E970C680CC81 |
经检验,检材1中的“epcs1”芯片存储的涉案数据与样本1“epcs1”芯片中存储的数据完全一致;检材2中的“epcs1”芯片存储的涉案数据与样本2“epcs1”芯片中存储的数据完全一致;检材3中的“epcs1”芯片存储的涉案数据与样本3“epcs1”芯片中存储的数据完全一致。
计算上述所有涉案文件的SHA256校验码,并将其保存至鉴定工作站上的“D:case20172017-47校验码”目录下的“2017-47-SHA256.txt”文件中,文件“2017-47-SHA256.txt”的SHA256校验码为“763782572A3D0EAE3929FC4E4C53B0BBA51C5EE77AFA3B40531D35F8588CE7CE”。
鉴定中心制作的编号为2017-47-dvd的光盘中包含了鉴定过程中固定保全的涉案数据文件、截图文件和校验码文件。
【鉴定意见】
根据委托人的要求,本次鉴定对送检检材中的涉案数据进行了固定保全,结果如下:
1.对检材1、检材2和检材3中的“ds28e01”芯片和“epcs1”芯片中的数据进行了固定保全;
2.经检验,检材1中的“epcs1”芯片存储的涉案数据与样本1“epcs1”芯片中存储的数据完全一致;检材2中的“epcs1”芯片存储的涉案数据与样本2“epcs1”芯片中存储的数据完全一致;检材3中的“epcs1”芯片存储的涉案数据与样本3“epcs1”芯片中存储的数据完全一致。
.0?]tm`?[ erning:1.0000pt;" >芯片“ds28e01”的分析
使用X-ways Forensic 18.0打开文件“2017-47-检材1-ds28e01.bin”,选取“简体中文 GB2312”读取文件的十六进制数据,截图保存为“图13.png”,如图13所示。
使用X-ways Forensic 18.0打开文件“2017-47-检材2-ds28e01.bin”,选取“简体中文 GB2312”读取文件的十六进制数据,截图保存为“图14.png”,如图14所示。
使用X-ways Forensic 18.0打开文件“2017-47-检材3-ds28e01.bin”,选取“简体中文 GB2312”读取文件的十六进制数据,截图保存为“图15.png”,如图15所示。
2. 芯片“epcs1”的分析
计算芯片“epcs1”中获取数据的SHA256校验码,具体信息如表1所示。
表1
|
序号 |
文件名 |
SHA256校验码 |
|
1. |
2017-47-检材1-epcs1.bin |
FF3531D45C721DDBAA6AECB31DAEB8E4B3D83B0794965BAC368CFEB08BA5A296 |
|
2. |
2017-47-检材2-epcs1.bin |
3DC1A2CB494B0613EE61EA5F8F5AD1611741FD4E3472F0A7CDF3FC134E25F88F |
|
3. |
2017-47-检材3-epcs1.bin |
F3A11B443B3B5DA173AE0C48A3567493DDDAD60983DE09B3F106E970C680CC81 |
|
4. |
2017-47-样本1-epcs1.bin |
FF3531D45C721DDBAA6AECB31DAEB8E4B3D83B0794965BAC368CFEB08BA5A296 |
|
5. |
2017-47-样本2-epcs1.bin |
3DC1A2CB494B0613EE61EA5F8F5AD1611741FD4E3472F0A7CDF3FC134E25F88F |
|
6. |
2017-47-样本3-epcs1.bin |
F3A11B443B3B5DA173AE0C48A3567493DDDAD60983DE09B3F106E970C680CC81 |
经检验,检材1中的“epcs1”芯片存储的涉案数据与样本1“epcs1”芯片中存储的数据完全一致;检材2中的“epcs1”芯片存储的涉案数据与样本2“epcs1”芯片中存储的数据完全一致;检材3中的“epcs1”芯片存储的涉案数据与样本3“epcs1”芯片中存储的数据完全一致。
计算上述所有涉案文件的SHA256校验码,并将其保存至鉴定工作站上的“D:case20172017-47校验码”目录下的“2017-47-SHA256.txt”文件中,文件“2017-47-SHA256.txt”的SHA256校验码为“763782572A3D0EAE3929FC4E4C53B0BBA51C5EE77AFA3B40531D35F8588CE7CE”。
鉴定中心制作的编号为2017-47-dvd的光盘中包含了鉴定过程中固定保全的涉案数据文件、截图文件和校验码文
