RM新时代赚钱项目

嫌泄密電腦硬盤進(jìn)行電子數(shù)據(jù)鑒定案

2026-01-31 11:59:28 98825 9

司法鑒定科學(xué)研究院對涉嫌泄密電腦硬盤進(jìn)行電子數(shù)據(jù)鑒定案


案例內(nèi)容
【案情簡介】

某企業(yè)懷疑員工私自拍攝并泄露了公司機(jī)密信息,送檢員工工作電腦的硬盤進(jìn)行數(shù)據(jù)恢復(fù)和搜索以及照片形成方式的電子數(shù)據(jù)及聲像資料鑒定。

【鑒定過程】

本鑒定依據(jù)GA/T 756-2008、GB/T 28360-2012、GB/T 28362-2012、SF/Z JD0400001-2014、SF/Z JD0300001-2010、SF/Z JD0303001-2018方法進(jìn)行。

本鑒定使用電子數(shù)據(jù)檢驗(yàn)工作站、只讀接口、X-Ways Forensics 19.1、取證大師 4.2.23510RTM、SafeAnalyzer 4.4.18.14214、fHash 1.5.9.0、PhotoME 0.79等設(shè)備和工具進(jìn)行檢驗(yàn)。

對檢材進(jìn)行拍照固定,照片略。

檢材是標(biāo)有“SAMA”字樣的臺式電腦主機(jī),其中的硬盤是品牌為“WD”、型號為“WD3200AAJS-00L7A0”、序列號為“WMAVXXX”、標(biāo)示容量為“320GB”的3.5英寸SATA接口硬盤。送檢時硬盤正面貼有“劉某某硬碟”字樣標(biāo)簽。

使用只讀方式制作檢材硬盤的鏡像并計算哈希值,檢材硬盤及硬盤鏡像的MD5哈希值均為“704512EC3472733E9081D56B2A18CCA3”,之后的檢驗(yàn)使用硬盤鏡像。

經(jīng)檢驗(yàn),檢材硬盤中有5個NTFS分區(qū),大小依次為100MB、78.1GB、97.7GB、61.1GB、61.1GB。

對檢材硬盤進(jìn)行數(shù)據(jù)恢復(fù)和搜索,共找到10個文件名為“IMG_5081.JPG”的文件,10個文件的內(nèi)容相同,MD5哈希值均為“AF9EDBBF9750571F7E67B60CC3AFD27A”,路徑及時間信息如表1所示。

表1:檢材硬盤中找到的“IMG_5081.JPG”信息


路徑

創(chuàng)建時間

修改時間

分區(qū)3公司照片

2016/11/29 11:34:10

2016/11/29 11:34:10

分區(qū)2paul_backup

2016/12/7 14:32:28

2016/11/29 11:34:10

分區(qū)3公司照片PAUL

2016/12/7 16:48:57

2016/11/29 11:34:10

分區(qū)3公司照片2016 (2)

2016/12/7 17:25:03

2016/11/29 11:34:10

分區(qū)2已刪除目錄5654

2016/12/7 17:39:27

2016/11/29 11:34:10

分區(qū)3公司照片2016

2016/12/7 17:39:27

2016/11/29 11:34:10

分區(qū)2已刪除目錄31102016 (3)

2017/3/30 10:10:27

2016/11/29 11:34:10

分區(qū)3公司照片2016 (3)

2017/3/30 10:10:27

2016/11/29 11:34:10

分區(qū)2已刪除目錄31102016 (4)

2017/3/30 10:18:17

2016/11/29 11:34:10

分區(qū)3公司照片2016 (4)

2017/3/30 10:18:17

2016/11/29 11:34:10


檢材硬盤中共找到16個文件名為“IMG_5087.JPG”的文件,16個文件的內(nèi)容相同,MD5哈希值均為“E4E061A464DAA12083F030AA7FD2A21D”,路徑及時間信息如表2所示。

表2:檢材硬盤中找到的“IMG_5087.JPG”信息


路徑

創(chuàng)建時間

修改時間

分區(qū)2UsersCSH-B01PicturesiCloud PhotosDownloads2016

2016/11/30 9:41:31

2016/11/30 9:41:31

分區(qū)2UsersCSH-B01Documents22016

2016/11/30 9:41:31

2016/11/30 9:41:31

分區(qū)3公司照片(5-24轉(zhuǎn)存)2016

2016/11/30 9:41:31

2016/11/30 9:41:31

分區(qū)3公司照片

2016/11/30 9:41:31

2016/11/30 9:41:31

分區(qū)2paul_backup

2016/12/7 14:32:29

2016/11/30 9:41:31

分區(qū)3公司照片2016 (2)

2016/12/7 17:25:19

2016/11/30 9:41:31

分區(qū)2已刪除目錄5654

2016/12/7 17:39:27

2016/11/30 9:41:31

分區(qū)3公司照片2016

2016/12/7 17:39:27

2016/11/30 9:41:31

分區(qū)2已刪除目錄31102016 (3)

2017/3/30 10:10:28

2016/11/30 9:41:31

分區(qū)3公司照片2016 (3)

2017/3/30 10:10:28

2016/11/30 9:41:31

分區(qū)2已刪除目錄31102016 (4)

2017/3/30 10:18:17

2016/11/30 9:41:31

分區(qū)3公司照片2016 (4)

2017/3/30 10:18:17

2016/11/30 9:41:31

分區(qū)2UsersCSH-B01Documents22016 (2)

2017/5/22 16:00:13

2016/11/30 9:41:31

分區(qū)3公司照片(5-24轉(zhuǎn)存)2016 (2)

2017/5/22 16:00:13

2016/11/30 9:41:31

分區(qū)2UsersCSH-B01Documents22016 (3)

2017/5/23 10:34:19

2016/11/30 9:41:31

分區(qū)3公司照片(5-24轉(zhuǎn)存)2016 (3)

2017/5/23 10:34:19

2016/11/30 9:41:31


檢材硬盤中共找到17個文件名為“IMG_5209.JPG”的文件,路徑及時間信息如表3所示。其中檢材硬盤分區(qū)2“已刪除目錄31102016 (4)”下的“IMG_5209.JPG”文件內(nèi)容已被覆蓋,無法恢復(fù);其余16個文件的內(nèi)容相同,MD5哈希值均為“CFF96F5A2A76A51F1AC2C940B905B694”。

表3:檢材硬盤中找到的“IMG_5209.JPG”信息


路徑

創(chuàng)建時間

修改時間

分區(qū)2UsersCSH-B01PicturesiCloud PhotosDownloads2016

2016/12/6 17:37:58

2016/12/6 17:37:58

分區(qū)2UsersCSH-B01Documents22016

2016/12/6 17:37:58

2016/12/6 17:37:58

分區(qū)3公司照片(5-24轉(zhuǎn)存)2016

2016/12/6 17:37:58

2016/12/6 17:37:58

分區(qū)3公司照片

2016/12/6 17:37:58

2016/12/6 17:37:58

分區(qū)2paul_backup

2016/12/7 15:02:13

2016/12/6 17:37:58

分區(qū)3公司照片PAUL

2016/12/7 16:48:57

2016/12/6 17:37:58

分區(qū)3公司照片2016 (2)

2016/12/7 17:25:25

2016/12/6 17:37:58

分區(qū)2已刪除目錄5654

2016/12/7 17:39:29

2016/12/6 17:37:58

分區(qū)3公司照片2016

2016/12/7 17:39:29

2016/12/6 17:37:58

分區(qū)2已刪除目錄31102016 (3)

2017/3/30 10:10:34

2016/12/6 17:37:58

分區(qū)3公司照片2016 (3)

2017/3/30 10:10:34

2016/12/6 17:37:58

分區(qū)2已刪除目錄31102016 (4)

2017/3/30 10:18:21

2016/12/6 17:37:58

分區(qū)3公司照片2016 (4)

2017/3/30 10:18:21

2016/12/6 17:37:58

分區(qū)2UsersCSH-B01Documents22016 (2)

2017/5/22 16:00:16

2016/12/6 17:37:58

分區(qū)3公司照片(5-24轉(zhuǎn)存)2016 (2)

2017/5/22 16:00:16

2016/12/6 17:37:58

分區(qū)2UsersCSH-B01Documents22016 (3)

2017/5/23 10:34:25

2016/12/6 17:37:58

分區(qū)3公司照片(5-24轉(zhuǎn)存)2016 (3)

2017/5/23 10:34:25

2016/12/6 17:37:58


檢材硬盤中共找到5個文件名為“IMG_7274.JPG”的文件,5個文件的內(nèi)容相同,MD5哈希值均為“6513192FA8F48C34B23CC038E3B6A4DD”,路徑及時間信息如表4所示。

表4:檢材硬盤中找到的“IMG_7274.JPG”信息


路徑

創(chuàng)建時間

修改時間

分區(qū)2UsersCSH-B01PicturesiCloud PhotosDownloads2017

2017/5/9 14:27:58

2017/5/9 14:27:58

分區(qū)2UsersCSH-B01Documents2

2017/5/9 14:27:58

2017/5/9 14:27:58

分區(qū)3公司照片(5-24轉(zhuǎn)存)

2017/5/9 14:27:58

2017/5/9 14:27:58

分區(qū)2UsersCSH-B01Documents22017 (2)

2017/5/23 10:30:02

2017/5/9 14:27:58

分區(qū)3公司照片(5-24轉(zhuǎn)存)2017 (2)

2017/5/23 10:30:02

2017/5/9 14:27:58


對“IMG_5081.JPG”、“IMG_5087.JPG”、“IMG_5209.JPG”、“IMG_7274.JPG”的EXIF信息進(jìn)行檢驗(yàn),結(jié)果如表5所示。

表5:4張圖片的EXIF信息匯總


文件名

拍攝設(shè)備型號

設(shè)備軟件版本

拍攝時間

IMG_5081.JPG

iPhone 6s Plus

9.3.2

2016/11/29 11:34:10

IMG_5087.JPG

iPhone 6s Plus

9.3.2

2016/11/30 09:41:31

IMG_5209.JPG

IMG_7274.JPG

iPhone 6s Plus

9.3.2

2017/5/9 14:27:58


對檢材硬盤中iCloud客戶端數(shù)據(jù)進(jìn)行檢驗(yàn),在檢材硬盤分區(qū)2“UsersCSH-B01AppDataRoamingApple ComputerPreferencesMobileMeAccounts.plist”文件中找到檢材中登錄的iCloud賬戶為“400XXX@qq.com”;在檢材硬盤分區(qū)2“UsersCSH-B01AppDataLocalApple InciCloudPhotoLibraryclient.db”的“server_item”表中找到“IMG_5081.JPG”、“IMG_5087.JPG”、“IMG_5209.JPG”、“IMG_7274.JPG”四個文件相關(guān)信息如表6所示。

表6:iCloud客戶端中4張圖片的相關(guān)信息匯總


filename

creation_date

import_date

asset_date

added_date

orig_size

IMG_5081.JPG

2016/11/29 3:34:10

2016/11/29 3:34:10

2016/11/29 3:34:10

2016/11/29 3:34:10

2224056

IMG_5087.JPG

2016/11/30 1:41:31

2016/11/30 1:41:31

2016/11/30 1:41:31

2016/11/30 1:41:32

2584783

IMG_5209.JPG

2016/12/6 9:37:58

2016/12/6 9:37:58

2016/12/6 9:37:58

2016/12/6 9:37:58

47298

IMG_7274.JPG

2017/5/9 6:27:58

2017/5/9 6:27:58

2017/5/9 6:27:58

2017/5/9 6:27:58

2047553


【分析說明】

經(jīng)綜合分析,“IMG_5081.JPG”、“IMG_5087.JPG”、“IMG_7274.JPG”三個圖片文件符合使用iPhone 6s Plus設(shè)備拍攝,上傳至帳號為“400XXX@qq.com”的iCloud云存儲,并通過iCloud客戶端下載至檢材硬盤中的特征;“IMG_5209.JPG”文件符合通過帳號為“400XXX@qq.com”的iCloud客戶端下載至檢材硬盤中的特征,但不符合使用照相設(shè)備直接拍攝形成的特征。

【鑒定意見】

(一)檢材中“IMG_5081.JPG”文件符合使用iPhone 6s Plus設(shè)備拍攝,上傳至帳號為“400XXX@qq.com”的iCloud云存儲,并通過iCloud客戶端下載至檢材硬盤中的特征。

(二)檢材中“IMG_5081.JPG”與“IMG_5087.JPG”、“IMG_7274.JPG”符合使用iPhone 6s Plus設(shè)備拍攝的特征,“IMG_5209.JPG”不符合照相設(shè)備直接拍攝形成的特征。

【推薦理由】
電子數(shù)據(jù)鑒定已經(jīng)成為聲像資料鑒定的執(zhí)業(yè)類別,本案對鑒定機(jī)構(gòu)開展此類電子數(shù)據(jù)司法鑒定提供了有益借鑒。
【專家評析】
本案涉及計算機(jī)中照片形成方式鑒定,鑒定過程嚴(yán)禁,論證詳細(xì)具有說服力,結(jié)果可靠,建議推薦。


首頁
質(zhì)量鑒定
司法鑒定
聯(lián)系我們
RM新时代赚钱项目