案例1 某年2月, 某区发生一起强奸杀害未成年少女案, 犯罪嫌疑人落网后交待曾在自己住处一边观看淫秽视频一边强奸杀害被害人的犯罪过程。勘查人员在犯罪嫌疑人住处提取笔记本电脑一台, 送检后要求提取犯罪嫌疑人观看淫秽视频的历史记录并出具鉴定文书, 固定证据链。

检验:电子物证人员完成镜像、拍照等规定程序后, 首先检验检材内有无淫秽视频, 通过检验发现在系统“ F:\新建文件” 夹内有30余段淫秽视频。然后查看已安装的程序, 发现检材内安装有快播(QvodPlayer)、暴风影音、腾讯QQ影音、百度影音四款播放器。为查清犯罪嫌疑人作案过程中使用何款播放器, 技术人员利用取证大师对最近使用应用程序进行了解析, 发现案发当日内仅快播(QvodPlayer)有多次使用记录。再对快播(QvodPlayer)安装目录进行分析, 发现在安装路径“ Playlist” 文件夹内有“ List1.xml” 和“ RecentPlay.xml” 两个文件, 其中“ List1.xml” 为默认播放列表, “ RecentPlay.xml” 为最近播放列表, 两个文件内均有大量播放记录, 详细记录了播放视频的文件名称、播放时间等信息, 部分记录如图1。

图1

	Figure Option ViewDownloadNew Window
	图1 案例1播放信息部分记录

通过试验与分析, 播放记录各属性如下:“ len” 表示该视频的总时长(单位:秒); “ addtime” 表示视频文件被添加进播放器时间, 该字段为UNIX时间, 为方便理解需要用“ UNIX时间戳转换工具” 将其转换为北京时间, 例如addtime=“ 1359910817” 转换为北京时间则为” 20× × 年2月4日1时0分17秒” ; “ size” 表示该视频的大小(字节数)。检验结果反馈给侦查人员后, 播放记录时间与嫌疑人交待完全吻合, 电子物证检验为固定证据链发挥重要作用。

案例2 某年11月30日, 某区发生一起丈夫杀死妻子案。犯罪嫌疑人交待自己回到家中见妻子不在, 曾打开电脑使用暴风影音看了几部电影, 等妻子回来了, 又跟妻子一起观看了一部电影后将妻子杀害。勘查人员在犯罪嫌疑人住处提取笔记本电脑一台, 送检后要求提取嫌疑人观看电影的历史记录并出具鉴定文书, 固定证据链。

检验: 犯罪嫌疑人对暴风影音进行了“ 清空播放列表” 的操作, 无法直接找到所需播放列表。直接打开C:\Documents and Settings\All Users\Application Data\Storm\PlayList.smpl文件, 文件为空。使用X-Ways Forensics取证工具进行关键字查找, 设定关键字为犯罪嫌疑人交待的三部电影名称, 搜索到存储电影播放记录的另一数据文件, 其存储路径为C:\Documents and Settings\All Users\Application Data\Storm\tracfg.xml。检验结果反馈给侦查人员后, 播放影片、播放时间等信息与犯罪嫌疑人交待完全吻合, 电子物证检验为固定证据链发挥重要作用。检验结果见图2。

图2

	Figure Option ViewDownloadNew Window
	图2 案例2检验结果

通过针对不同版本的暴风影音进行播放记录痕迹提取实验发现, 不同版本的暴风影音其程序安装文件有差异, 特别是存储播放记录文件, 暴风影音V3.10.8.31, 在进行“ 清空聊天记录” 操作或在菜单中设置“ 退出后清空聊天记录” 后, 保存播放记录的PlayList.smpl文件存在, 但里面的数据已清除, 播放记录仍可以在另一个名为tracfg.xml的数据文件中。暴风影音v5.09.0119.1112, 进行“ 清空聊天记录” 操作或在菜单中设置“ 退出后清空聊天记录” 后, PlayList.smpl文件被删除, 无tracfg.xml文件。使用FinalData V2.0等数据恢复软件, 可以恢复出最近几次删除的PlayList.smpl文件。

上述案例表明, 随着电子物证的普及应用, 侦查人员和办案部门对电子物证检材的检验需求越来越具体, 使技术人员检验工作更具有针对性, 便于将精力专注于某一问题的解决, 能够极大提高电子物证的工作效率, 便于电子物证发挥作用成果的统计进而提升成破案成就感。但同时也给我们提出了更高的要求, 一是必须加强平时对各种检材和技术领域细微、深入的研究, 实战中才能迅速出战果; 二是必须加强对案情的研判, 强化与侦查的结合, 为案件侦办提供切实有价值的精品数据。