当前位置：首页 > 案例库

司法鉴定科学研究院对涉嫌泄密电脑硬盘进行电子数据鉴定案

在律网整理发布 2023-10-18

某企业怀疑员工私自拍摄并泄露了公司机密信息，送检员工工作电脑的硬盘进行数据恢复和搜索以及照片形成方式的电子数据及声像资料鉴定。

【案情简介】

某企业怀疑员工私自拍摄并泄露了公司机密信息，送检员工工作电脑的硬盘进行数据恢复和搜索以及照片形成方式的电子数据及声像资料鉴定。

【鉴定过程】

本鉴定依据GA/T 756-2008、GB/T 28360-2012、GB/T 28362-2012、SF/Z JD0400001-2014、SF/Z JD0300001-2010、SF/Z JD0303001-2018方法进行。

本鉴定使用电子数据检验工作站、只读接口、X-Ways Forensics 19.1、取证大师 4.2.23510RTM、SafeAnalyzer 4.4.18.14214、fHash 1.5.9.0、PhotoME 0.79等设备和工具进行检验。

对检材进行拍照固定，照片略。

检材是标有“SAMA”字样的台式电脑主机，其中的硬盘是品牌为“WD”、型号为“WD3200AAJS-00L7A0”、序列号为“WMAVXXX”、标示容量为“320GB”的3.5英寸SATA接口硬盘。送检时硬盘正面贴有“刘某某硬碟”字样标签。

使用只读方式制作检材硬盘的镜像并计算哈希值，检材硬盘及硬盘镜像的MD5哈希值均为“704512EC3472733E9081D56B2A18CCA3”，之后的检验使用硬盘镜像。

经检验，检材硬盘中有5个NTFS分区，大小依次为100MB、78.1GB、97.7GB、61.1GB、61.1GB。

对检材硬盘进行数据恢复和搜索，共找到10个文件名为“IMG_5081.JPG”的文件，10个文件的内容相同，MD5哈希值均为“AF9EDBBF9750571F7E67B60CC3AFD27A”，路径及时间信息如表1所示。

表1：检材硬盘中找到的“IMG_5081.JPG”信息

路径	创建时间	修改时间
分区3公司照片	2016/11/29 11:34:10	2016/11/29 11:34:10
分区2paul_backup	2016/12/7 14:32:28	2016/11/29 11:34:10
分区3公司照片PAUL	2016/12/7 16:48:57	2016/11/29 11:34:10
分区3公司照片2016 (2)	2016/12/7 17:25:03	2016/11/29 11:34:10
分区2已删除目录5654	2016/12/7 17:39:27	2016/11/29 11:34:10
分区3公司照片2016	2016/12/7 17:39:27	2016/11/29 11:34:10
分区2已删除目录31102016 (3)	2017/3/30 10:10:27	2016/11/29 11:34:10
分区3公司照片2016 (3)	2017/3/30 10:10:27	2016/11/29 11:34:10
分区2已删除目录31102016 (4)	2017/3/30 10:18:17	2016/11/29 11:34:10
分区3公司照片2016 (4)	2017/3/30 10:18:17	2016/11/29 11:34:10

检材硬盘中共找到16个文件名为“IMG_5087.JPG”的文件，16个文件的内容相同，MD5哈希值均为“E4E061A464DAA12083F030AA7FD2A21D”，路径及时间信息如表2所示。

表2：检材硬盘中找到的“IMG_5087.JPG”信息

路径	创建时间	修改时间
分区2UsersCSH-B01PicturesiCloud PhotosDownloads2016	2016/11/30 9:41:31	2016/11/30 9:41:31
分区2UsersCSH-B01Documents22016	2016/11/30 9:41:31	2016/11/30 9:41:31
分区3公司照片（5-24转存）2016	2016/11/30 9:41:31	2016/11/30 9:41:31
分区3公司照片	2016/11/30 9:41:31	2016/11/30 9:41:31
分区2paul_backup	2016/12/7 14:32:29	2016/11/30 9:41:31
分区3公司照片2016 (2)	2016/12/7 17:25:19	2016/11/30 9:41:31
分区2已删除目录5654	2016/12/7 17:39:27	2016/11/30 9:41:31
分区3公司照片2016	2016/12/7 17:39:27	2016/11/30 9:41:31
分区2已删除目录31102016 (3)	2017/3/30 10:10:28	2016/11/30 9:41:31
分区3公司照片2016 (3)	2017/3/30 10:10:28	2016/11/30 9:41:31
分区2已删除目录31102016 (4)	2017/3/30 10:18:17	2016/11/30 9:41:31
分区3公司照片2016 (4)	2017/3/30 10:18:17	2016/11/30 9:41:31
分区2UsersCSH-B01Documents22016 (2)	2017/5/22 16:00:13	2016/11/30 9:41:31
分区3公司照片（5-24转存）2016 (2)	2017/5/22 16:00:13	2016/11/30 9:41:31
分区2UsersCSH-B01Documents22016 (3)	2017/5/23 10:34:19	2016/11/30 9:41:31
分区3公司照片（5-24转存）2016 (3)	2017/5/23 10:34:19	2016/11/30 9:41:31

检材硬盘中共找到17个文件名为“IMG_5209.JPG”的文件，路径及时间信息如表3所示。其中检材硬盘分区2“已删除目录31102016 （4）”下的“IMG_5209.JPG”文件内容已被覆盖，无法恢复；其余16个文件的内容相同，MD5哈希值均为“CFF96F5A2A76A51F1AC2C940B905B694”。

表3：检材硬盘中找到的“IMG_5209.JPG”信息

路径	创建时间	修改时间
分区2UsersCSH-B01PicturesiCloud PhotosDownloads2016	2016/12/6 17:37:58	2016/12/6 17:37:58
分区2UsersCSH-B01Documents22016	2016/12/6 17:37:58	2016/12/6 17:37:58
分区3公司照片（5-24转存）2016	2016/12/6 17:37:58	2016/12/6 17:37:58
分区3公司照片	2016/12/6 17:37:58	2016/12/6 17:37:58
分区2paul_backup	2016/12/7 15:02:13	2016/12/6 17:37:58
分区3公司照片PAUL	2016/12/7 16:48:57	2016/12/6 17:37:58
分区3公司照片2016 (2)	2016/12/7 17:25:25	2016/12/6 17:37:58
分区2已删除目录5654	2016/12/7 17:39:29	2016/12/6 17:37:58
分区3公司照片2016	2016/12/7 17:39:29	2016/12/6 17:37:58
分区2已删除目录31102016 (3)	2017/3/30 10:10:34	2016/12/6 17:37:58
分区3公司照片2016 (3)	2017/3/30 10:10:34	2016/12/6 17:37:58
分区2已删除目录31102016 (4)	2017/3/30 10:18:21	2016/12/6 17:37:58
分区3公司照片2016 (4)	2017/3/30 10:18:21	2016/12/6 17:37:58
分区2UsersCSH-B01Documents22016 (2)	2017/5/22 16:00:16	2016/12/6 17:37:58
分区3公司照片（5-24转存）2016 (2)	2017/5/22 16:00:16	2016/12/6 17:37:58
分区2UsersCSH-B01Documents22016 (3)	2017/5/23 10:34:25	2016/12/6 17:37:58
分区3公司照片（5-24转存）2016 (3)	2017/5/23 10:34:25	2016/12/6 17:37:58

检材硬盘中共找到5个文件名为“IMG_7274.JPG”的文件，5个文件的内容相同，MD5哈希值均为“6513192FA8F48C34B23CC038E3B6A4DD”，路径及时间信息如表4所示。

表4：检材硬盘中找到的“IMG_7274.JPG”信息

路径	创建时间	修改时间
分区2UsersCSH-B01PicturesiCloud PhotosDownloads2017	2017/5/9 14:27:58	2017/5/9 14:27:58
分区2UsersCSH-B01Documents2	2017/5/9 14:27:58	2017/5/9 14:27:58
分区3公司照片（5-24转存）	2017/5/9 14:27:58	2017/5/9 14:27:58
分区2UsersCSH-B01Documents22017 (2)	2017/5/23 10:30:02	2017/5/9 14:27:58
分区3公司照片（5-24转存）2017 (2)	2017/5/23 10:30:02	2017/5/9 14:27:58

对“IMG_5081.JPG”、“IMG_5087.JPG”、“IMG_5209.JPG”、“IMG_7274.JPG”的EXIF信息进行检验，结果如表5所示。

表5：4张图片的EXIF信息汇总

文件名	拍摄设备型号	设备软件版本	拍摄时间
IMG_5081.JPG	iPhone 6s Plus	9.3.2	2016/11/29 11:34:10
IMG_5087.JPG	iPhone 6s Plus	9.3.2	2016/11/30 09:41:31
IMG_5209.JPG	无	无	无
IMG_7274.JPG	iPhone 6s Plus	9.3.2	2017/5/9 14:27:58

对检材硬盘中iCloud客户端数据进行检验，在检材硬盘分区2“UsersCSH-B01AppDataRoamingApple ComputerPreferencesMobileMeAccounts.plist”文件中找到检材中登录的iCloud账户为“400XXX@qq.com”；在检材硬盘分区2“UsersCSH-B01AppDataLocalApple InciCloudPhotoLibraryclient.db”的“server_item”表中找到“IMG_5081.JPG”、“IMG_5087.JPG”、“IMG_5209.JPG”、“IMG_7274.JPG”四个文件相关信息如表6所示。

表6：iCloud客户端中4张图片的相关信息汇总

filename	creation_date	import_date	asset_date	added_date	orig_size
IMG_5081.JPG	2016/11/29 3:34:10	2016/11/29 3:34:10	2016/11/29 3:34:10	2016/11/29 3:34:10	2224056
IMG_5087.JPG	2016/11/30 1:41:31	2016/11/30 1:41:31	2016/11/30 1:41:31	2016/11/30 1:41:32	2584783
IMG_5209.JPG	2016/12/6 9:37:58	2016/12/6 9:37:58	2016/12/6 9:37:58	2016/12/6 9:37:58	47298
IMG_7274.JPG	2017/5/9 6:27:58	2017/5/9 6:27:58	2017/5/9 6:27:58	2017/5/9 6:27:58	2047553

【分析说明】

经综合分析，“IMG_5081.JPG”、“IMG_5087.JPG”、“IMG_7274.JPG”三个图片文件符合使用iPhone 6s Plus设备拍摄，上传至帐号为“400XXX@qq.com”的iCloud云存储，并通过iCloud客户端下载至检材硬盘中的特征；“IMG_5209.JPG”文件符合通过帐号为“400XXX@qq.com”的iCloud客户端下载至检材硬盘中的特征，但不符合使用照相设备直接拍摄形成的特征。