司法鉴定科学研究院对涉嫌侵犯商业秘密罪涉案计算机软件相似性进行电子数据鉴定案

公安机关在受理一起侵犯商业秘密案时发现，犯罪嫌疑人王某实际控制经营的两家公司剽窃了其它公司的教学软件产品。王某通过对外售卖这些侵权软件获利24万余元，造成被侵权公司销售损失高达5000万元。

为查明案件真相，公安机关委托我院对涉案软件的相似性进行司法鉴定。

本鉴定依据GB/T 29362-2012电子物证数据搜索检验规程、GB/T 29361-2012 电子物证文件一致性检验规程、SF/Z JD0403001-2014 软件相似性鉴定实施规范、GA/T 756-2008数字化设备证据数据发现提取固定方法等鉴定规范进行。

本鉴定使用电子数据检验工作站、只读接口、X-Ways Forensics 19.7、Beyond Compare 4.0.7、WinSCP 5.1.7、fHash 1.5.9.0、Lightscreen 2.4、Camtasia Studio 7.1等设备和工具进行检验。

（一）“cloud.fuhui.tech”服务器内容的固定保全

使用委托方提供的用户名和密码通过WinSCP登录域名为“cloud.fuhui.tech”的服务器，对服务器中名为“ZhihuiCloud-20181122V2.zip”的文件进行固定保全并校验哈希值。固定保全的过程全程屏幕录像。

（二）文件代码的相似性比对

对样本进行拍照固定，照片略。样本是品牌为“WD”、序列号为“WX81A68NVP76”的移动硬盘。制作样本的镜像文件并校验哈希值。之后的检验使用镜像文件进行，从中检出供比较的样本文件“1.web_edu.zip”。将该文件提取至鉴定工作站并解压为文件夹“1.web_edu”。

将固定保全的检材文件“ZhihuiCloud-20181122V2.zip”提取至鉴定工作站并解压为文件夹“ZhihuiCloud”。

1.总体比较

将样本文件夹“1.web_edu”映射为磁盘M，将检材文件夹“ZhihuiCloud”映射为磁盘N，使用文件夹比较的方式对上述两个文件夹进行比较，比较内容方式采用二进制比较。

样本文件夹“1.web_edu”中共有5818个文件，855个文件夹，检材文件夹“ZhihuiCloud”中共有6601个文件，1016个文件夹。

经检验，样本文件夹“1.web_edu”与检材文件夹“ZhihuiCloud”中共有5040个文件相同。此外，两文件夹内还有669个文件名一致但文件内容不一致的文件，样本文件夹“1.web_edu”中独有的文件有109个，检材文件夹“ZhihuiCloud”中独有的文件有892个。669个文件名一致但文件内容不一致的文件中，后缀名为“php”的文件总计279个，后缀名为“phtml”的文件总计178个,后缀名为“png”的文件总计169个，后缀名为“js”的文件总计14个，后缀名为“css”的文件总计13个，后缀名为“jpg”的文件总计6个，后缀名为“gif”的文件总计6个，后缀名为“ico”的文件总计2个，后缀名为“ini”和“html”的文件各1个。样本文件夹“1.web_edu”独有的109个文件中，后缀名为“php”的文件总计1个，后缀名为“phtml”的文件总计28个,后缀名为“png”的文件总计28个，后缀名为“js”的文件总计2个，后缀名为“css”的文件总计8个，后缀名为“jpg”的文件总计15个，后缀名为“gif”的文件总计17个，后缀名为“conf”的文件总计1个，后缀名为“txt”的文件总计1个，后缀名为“swf”的文件总计8个。

2.排除第三方文件后的源代码比较

据委托人介绍，后缀名为“php”、“js”、“phtml”和“html”的文件均为源代码文件。对这4个类型的源代码文件分别进行比较。

（1）“php”文件的比较

对样本文件夹“1.web_edu”与检材文件夹“ZhihuiCloud”中的后缀名为“php”的第三方代码文件以及备份产生的重复文件进行排除。排除后，样本文件夹“1.web_edu”中共有329个后缀名为“php”的文件，检材文件夹“ZhihuiCloud”中共有372个后缀名为“php”文件。

经检验，样本文件夹“1.web_edu”与检材文件夹“ZhihuiCloud”中共有50个“php”文件相同。此外，两文件夹内还有278个文件名一致但文件内容不一致的“php”文件，样本文件夹“1.web_edu”中独有的“php”文件有1个，检材文件夹“ZhihuiCloud”中独有的“php”文件有44个。

将样本文件夹“1.web_edu”中的329个后缀名为“php”的文件合成为文件“all_edu_php.txt”，将检材文件夹“ZhihuiCloud”中的372个后缀名为“php”文件合成为文件“all_fh_php.txt”，对这两个文件进行比较，比较内容方式采用文本比较，忽略空格和注释中作者信息造成的差异，比较结果见图1（略）。

将样本文件夹“1.web_edu”中的329个后缀名为“php”的文件与检材文件夹“ZhihuiCloud”中对应的后缀名为“php”文件分别进行文本比较，忽略空格造成的差异，比较结果见表1（略）。

（2）“js”文件的比较

对样本文件夹“1.web_edu”与检材文件夹“ZhihuiCloud”中的后缀名为“js”的第三方代码文件以及备份产生的重复文件进行排除。排除后，样本文件夹“1.web_edu”中共有41个后缀名为“js”的文件，检材文件夹“ZhihuiCloud”中共有47个后缀名为“js”文件。

经检验，样本文件夹“1.web_edu”与检材文件夹“ZhihuiCloud”中共有28个“js”文件相同。此外，两文件夹内还有13个文件名一致但文件内容不一致的“js”文件，检材文件夹“ZhihuiCloud”中独有的“js”文件有6个。

将样本文件夹“1.web_edu”中的41个后缀名为“js”的文件合成为文件“all_edu_js.txt”，将检材文件夹“ZhihuiCloud”中的47个后缀名为“js”文件合成为文件“all_fh_js.txt”，对这两个文件进行比较，忽略空格造成的差异，比较结果见图2（略）。

将样本文件夹“1.web_edu”中的41个后缀名为“js”的文件与检材

文件夹“ZhihuiCloud”中对应的后缀名为“js”文件分别进行文本比较，忽略空格造成的差异，比较结果见表2（略）。

（3）“phtml”文件的比较

样本文件夹“1.web_edu”中共有280个后缀名为“phtml”的文件，检材文件夹“ZhihuiCloud”中共有276个后缀名为“phtml”文件。

样本文件夹“1.web_edu”与检材文件夹“ZhihuiCloud”中共有74个“phtml”文件相同。此外，两文件夹内还有178个文件名一致但文件内容不一致的“phtml”文件，样本文件夹“1.web_edu”中独有的“phtml”文件有28个，检材文件夹“ZhihuiCloud”中独有的“phtml”文件有24个。

将样本文件夹“1.web_edu”中文件名一致的280个后缀名为“phtml”的文件合成为文件“all_edu_phtml.txt”，将检材文件夹“ZhihuiCloud”中的276个后缀名为“phtml”文件合成为文件“all_fh_phtml.txt”，对这两个文件进行比较，比较内容方式采用文本比较，忽略公司名称和空格造成的差异，比较结果见图3（略）。

经检验，样本和检材文件夹中的“applicationmodulesdefaultviewsscriptsdownloadupload-iframe.phtml”和“applicationmodulesmanagerviewsscriptsindexindex.phtml”内容均为空，将这两个文件排除后，对样本文件夹“1.web_edu”中的250个后缀名为“phtml”的文件与检材文件夹“ZhihuiCloud”中对应的后缀名为“phtml”文件分别进行文本比较，忽略空格造成的差异，比较结果见表3（略）。

（4）“html”文件的比较

对样本文件夹“1.web_edu”与检材文件夹“ZhihuiCloud”中的后缀名为“html”的第三方代码文件以及备份产生的重复文件进行排除，排除后，样本文件夹“1.web_edu”中共有2个后缀名为“html”的文件，检材文件夹“ZhihuiCloud”中共有2个后缀名为“html”文件。

经检验，样本文件夹“1.web_edu”与检材文件夹“ZhihuiCloud”中共有1个“html”文件相同。此外，两文件夹内还有1个文件名一致但文件内容不一致的“html”文件。

将样本文件夹“1.web_edu”中的2个后缀名为“html”的文件合成为文件“all_edu_html.txt”，将检材文件夹“ZhihuiCloud”中的2个后缀名为“html”文件合成为文件“all_fh_html.txt”，对这两个文件进行比较，比较内容方式采用文本比较，忽略空格造成的差，，比较结果见图4（略）。

将样本文件夹“1.web_edu”中的2个后缀名为“html”的文件与检材文件夹“ZhihuiCloud”中对应的后缀名为“html”文件分别进行文本比较，忽略空格造成的差异，比较结果见表4（略）。

（一）在未排除第三方代码等文件的情况下，样本文件夹“1.web_edu”与检材文件夹“ZhihuiCloud”中共有5040个文件相同，669个文件的文件名一致但文件内容不一致，样本文件夹“1.web_edu”中独有的文件有109个，检材文件夹“ZhihuiCloud”中独有的文件有892个。

因此，在未排除第三方代码的情况下，样本文件夹“1.web_edu”与检材文件夹“ZhihuiCloud”的文件结构相似度为（5040+669）/5818=98.13%，相同文件占样本文件的比例为5040/5818=86.63%。

（二）样本文件夹“1.web_edu”中后缀名为“php”、“js”、“phtml”和“html”的文件均为源代码文件。对这四个类型的源代码文件分别进行比较。

1.“php”文件的比较

排除第三方代码文件和备份产生的重复文件后，样本文件夹“1.web_edu”中共有329个后缀名为“php”的文件，检材文件夹“ZhihuiCloud”中共有372个后缀名为“php”文件。将样本文件夹中的329个后缀名为“php”的文件合成后的文件与检材文件夹中的372个后缀名为“php”文件合成后的文件进行比较，忽略注释中作者信息和空格造成的差异，两者的文件相似度为（115772+9102）/（115772+9102+2925+1490）=96.59%。

对样本文件夹“1.web_edu”与检材文件夹“ZhihuiCloud”内的“php”文件逐一进行比较，共有50个相同文件，278个文件名一致但文件内容不一致的文件,样本文件夹中的独有文件“applicationEdutechController.php”与检材文件夹中的独有文件“applicationFuhanTechController.php”可对应。对两个文件夹内对应的后缀名为“php”文件分别进行文本比较，忽略空格造成的差异，文件内容相同的文件个数为273个，文件的内容相似度大于等于90%且小于100%的文件个数为46个，文件的内容相似度大于等于80%且小于90%的文件个数为4个，文件的内容相似度大于等于70%且小于80%的文件个数为5个,文件的内容相似度大于等于60%且小于70%的文件个数为1个。因此，后缀名为“php”文件中，内容相同文件占样本文件的比例为273/329=82.98%，文件相似度大于90%的文件占样本文件的比例为（273+46）/329=96.96%，文件相似度大于80%的文件占样本文件的比例为（273+46+5）/329=98.48%，文件相似度大于70%的文件占样本文件的比例为99.70%。

2.“js”文件的比较

排除第三方代码文件和备份产生的重复文件后，样本文件夹“1.web_edu”中共有41个后缀名为“js”的文件，检材文件夹“ZhihuiCloud”中共有47个后缀名为“js”文件。

将样本文件夹中的41个后缀名为“js”的文件合成后的文件与检材文件夹中的47个后缀名为“js”文件合成后的文件进行比较，忽略空格造成的差异，两者的文件相似度为（26471+858）/（26471+858+98+71）=99.39%。

对样本文件夹“1.web_edu”与检材文件夹“ZhihuiCloud”内的“js”文件逐一进行比较，共有28个相同文件，13个文件名一致但文件内容不一致的文件。对两个文件夹内对应的后缀名为“js”文件分别进行文本比较，忽略空格造成的差异，文件内容相同的文件个数为29个，文件的内容相似度大于等于90%且小于100%的文件个数为12个。因此，后缀名为“js”文件中，内容相同文件占样本文件的比例为29/41=70.73%，文件相似度大于90%的文件占样本文件的比例为100%。

3.“phtml”文件的比较

排除备份产生的重复文件后，样本文件夹“1.web_edu”中共有280个后缀名为“phtml”的文件，检材文件夹“ZhihuiCloud”中共有276个后缀名为“phtml”文件。

将样本文件夹中文件名一致的280个后缀名为“phtml”的文件合成后的文件与检材文件夹中的276个后缀名为“phtml”文件合成后的文件进行比较，忽略公司名称和空格造成的差异，两者的文件相似度为（62201+5975）/（62201+5975+7376+3396）=86.36%。

对样本文件夹“1.web_edu”与检材文件夹“ZhihuiCloud”内的“phtml”文件逐一进行比较，共有74个相同文件，178个文件名一致但文件内容不一致的文件。排除两个内容为空的文件后，对两个文件夹内对应的后缀名为“phtml”文件分别进行文本比较，忽略空格造成的差异，文件内容相同的文件个数为72个，文件的内容相似度大于等于90%且小于100%的文件个数为139个，相似度大于等于80%且小于90%的文件个数为16个，相似度大于等于70%且小于80%的文件个数为5个，相似度大于等于60%且小于70%的文件个数为6个，相似度小于60%的文件个数为12个。因此，后缀名为“phtml”文件中，相同文件占样本文件的比例为72/250=28.80%，文件相似度大于90%的文件占样本文件的比例为（72+139）/250=84.40%，文件相似度大于80%的文件占样本文件的比例为（72+139+16）/250=90.80%，文件相似度大于70%的文件占样本文件的比例为（72+139+16+5）/250=92.80%，文件相似度大于60%的文件占样本文件的比例为（72+139+16+5+6）/250=95.20%。

4.“html”文件的比较

排除第三方代码文件和备份产生的重复文件后，样本文件夹“1.web_edu”中共有2个后缀名为“html”的文件，检材文件夹“ZhihuiCloud”中共有2个后缀名为“html”文件。

将样本文件夹中的2个后缀名为“html”的文件合成后的文件与检材文件夹中的2个后缀名为“js”文件合成后的文件进行比较，忽略空格造成的差异，两者的文件相似度为51/（51+1）=98.08%。

对样本文件夹“1.web_edu”与检材文件夹“ZhihuiCloud”内的“html”文件逐一进行比较，共有1个相同文件，1个文件名一致但文件内容不一致的文件。对两个文件夹内对应的后缀名为“js”文件分别进行文本比较，忽略空格造成的差异，文件内容相同的文件个数为1个，文件的内容相似度大于等于90%且小于100%的文件个数为1个。因此，后缀名为“html”文件中，内容相同文件占样本文件的比例为1/2=50%，文件相似度大于90%的文件占样本文件的比例为100%。

对固定保全的文件“ZhihuiCloud-20181122V2.zip”与样本中文件“1.web_edu.zip”的文件代码的相似性进行比对，结果如下：

在未排除第三方代码文件的情况下，样本中文件“1.web_edu.zip”解压后的样本文件夹“1.web_edu”与检材文件夹“ZhihuiCloud”中共有5040个文件相同，669个文件的文件名一致但文件内容不一致，文件结构相似度为98.13%，相同文件占样本文件的比例为86.63%。

排除第三方代码文件后，样本文件夹中的“php”文件与检材文件夹中的“php”文件的总行数相似度为96.59%。内容相同“php”文件占样本“php”文件的比例为82.98%，文件相似度大于90%的“php”文件占样本“php”文件的比例为96.96%，文件相似度大于80%的“php”文件占样本“php”文件的比例为98.48%，文件相似度大于70%的“php”文件占样本“php”文件的比例为99.70%。

排除第三方代码文件后，样本文件夹中的“js”文件与检材文件夹中的“php”文件的总行数相似度为99.39%。内容相同“js”文件占样本“js”文件的比例为70.73%，文件相似度大于90%的“js”文件占样本“js”文件的比例为100%。

排除第三方代码文件后，样本文件夹中的“phtml”文件与检材文件夹中的“phtml”文件的总行数相似度为86.36%。内容相同“phtml”文件占样本“phtml”文件的比例为28.80%，文件相似度大于90%的“phtml”文件占样本“phtml”文件的比例为84.40%，文件相似度大于80%的“phtml”文件占样本“phtml”文件的比例为90.80%，文件相似度大于70%的“phtml”文件占样本“phtml”文件的比例为92.80%，文件相似度大于60%的“phtml”文件占样本“phtml”文件的比例为95.20%。

排除第三方代码文件后，样本文件夹中的“html”文件与检材文件夹中的“html”文件的总行数相似度为98.08%。内容相同“html”文件占样本“html”文件的比例为50%，文件相似度大于90%的“html”文件占样本“html”文件的比例为100%。