国家信息中心电子数据司法鉴定中心对某弑母案件的电子数据司法鉴定

国家信息中心电子数据司法鉴定中心对某弑母案件的电子数据司法鉴定缩略图

国家信息中心电子数据司法鉴定中心对某弑母案件的电子数据司法鉴定

案例内容
【案情简介】

2016年2月14日,警方在某地住处内发现了被害人谢某的尸体。让人震惊的是被害人的尸体被塑料薄膜裹了有一百多层,每层中间还细心地放有活性炭吸味道,整个房间密封得很好,所以,即使已经过去半年了,邻居依然不知道自己隔壁有一具尸体在静静腐烂。更让警察震惊的是,房间还装有远程监控摄像头,也就是说,装这个设备的人只要在有信号的地方,可以随时监控家里的一举一动。

经法医鉴定,被害人在2015年7月11日被杀,唯一的嫌疑人就是其儿子吴某。警方对吴某悬赏通告,涉嫌以异常缜密的手段杀死母亲。

警方就嫌疑人使用的手机委托司法鉴定机构进行数据恢复司法鉴定。2016年11月21日,司法鉴定机构出具鉴定报告,送检手机已物理损坏,经过芯片直读等技术处理,得到手机原始存储芯片对应的完整镜像,解析镜像文件进行数据提取和数据恢复,分别以原有目录形式和文件类型形式分类保存,所有文件大小共计17.6GB,其中,重点对通讯录、短信、通话记录和聊天记录等通讯类数据进行搜索、恢复和提取,恢复的数据为警方破获案件提供了重要线索。

【鉴定过程】

1、 将送检介质编号,并拍照记录其外观特征。

2、 将受损手机拆开,使用超声波清洗仪清洗主板。

3、 拆出手机存储芯片制作镜像文件,对镜像内容进行解析恢复,提取手机原始存储文件。

4、 解析微信等应用的数据库文件,进行数据提取恢复。

【分析说明】

1、 将送检介质编号,对其进行故障检测,确认该手机已完全损坏,零部件部分缺失或烧毁,详见图1。

国家信息中心电子数据司法鉴定中心对某弑母案件的电子数据司法鉴定图片 

图1 检材原始状态

2、 对手机主板进行清洗,并通过焊锡摘取存储芯片,读取芯片型号为:3QA98JW882。通过硬件直读设备对存储芯片进行数据读取,详见图2。

国家信息中心电子数据司法鉴定中心对某弑母案件的电子数据司法鉴定图片1 

图2 拆除存储芯片

3、 通过直读等技术手段获取手机存储芯片的镜像文件,命名为“2016-28.img”,镜像文件大小为3,909,091,328字节,计算其SHA-256校验值为:1A649B3B751A12FA2AFD02E0564C5FF63DBDB3AE281831996F91E5ECBD0C4EB3。

4、 将镜像文件导入电子物证检验工作站,使用R-Studio进行数据解析,重建原始手机文件系统,提取所有现存文件,打包另存为“分区现存数据.rar”。

使用底层扫描技术恢复已删除文件,打包另存为“P5分区额外数据.rar”、“P6分区额外数据.rar”,分别对应第五和第六分区额外恢复出的数据。

其中,现存文件和恢复文件原始大小共17.6GB,打包压缩后的文件基本信息见表1,具体内容详见附件二(略)。其中,恢复文件包括目录树重构和文件指纹定位两类恢复结果,由于数据覆盖等原因,部分文件无法正常打开。

表1提取恢复文件打包属性信息

名称

大小

SHA-256

分区现存数据.rar

992,673,171字节

4835D5C8C133E4A97E735168AE248299ABFE4802657B08001980EEBEA1B71788

P5分区额外数据.rar

3,278,361,609字节

71BE11693B478C45394D4389F8EAFBAF796242F3F1C41DA70104C1E4DCF3C06B

P6分区额外数据.rar

3,021,661,458字节

5E25D66FB8573AC8973FE24326ECB9C7D941756255BDC818D939895F3911D356

通讯数据归集.rar

576,383,171字节

20A3D37F42BE73A31CDA1B925E9BC7647ECDD8DDF1D8981AEC2259C0F4943A21

对提取的数据文件进行分类解析,确定系统核心文件和应用数据库文件,将对应的手机通讯录、短信(含已删除)、通话记录(含已删除)、APP聊天记录等通讯类数据内容进行提取恢复,并另存为表格文件,打包另存为“通讯数据归集.rar”,具体数据内容详见附件二(略)。

【鉴定意见】

经检测,送检手机已物理损坏,经过芯片直读等技术处理,得到手机原始存储芯片对应的完整镜像,解析镜像文件进行数据提取和数据恢复,分别以原有目录形式和文件类型形式分类保存,所有文件大小共计17.6GB,分别打包另存为rar格式文件,基本信息见表1,具体文件内容详见附件二。

其中,重点对通讯录、短信、通话记录和聊天记录等通讯类数据进行搜索、恢复和提取,并另存为表格文件,打包形成“通讯数据归集.rar”,基本信息见表1,具体数据内容详见附件二。

表1提取恢复文件打包属性信息

名称

大小

SHA-256

分区现存数据.rar

992,673,171字节

4835D5C8C133E4A97E735168AE248299ABFE4802657B08001980EEBEA1B71788

P5分区额外数据.rar

3,278,361,609字节

71BE11693B478C45394D4389F8EAFBAF796242F3F1C41DA70104C1E4DCF3C06B

P6分区额外数据.rar

3,021,661,458字节

5E25D66FB8573AC8973FE24326ECB9C7D941756255BDC818D939895F3911D356

通讯数据归集.rar

576,383,171字节

20A3D37F42BE73A31CDA1B925E9BC7647ECDD8DDF1D8981AEC2259C0F4943A21

扩展阅读

微信扫码进入小程序

微信扫描二维码
趣学法律