司法鉴定中心对传播“熊猫烧香”网络病毒犯罪嫌疑人计算机硬盘进行电子数据司法鉴定案

【案情简介】

2007年初，“熊猫烧香”病毒在网络上暴发，导致数百万台计算机受到严重影响，在国内外都引起了高度关注。

受相关部门委托，湖北三真司法鉴定中心计算机司法鉴定团队对涉嫌编制“熊猫烧香”病毒的犯罪嫌疑人计算机硬盘进行电子数据司法鉴定。

【鉴定过程】

对“熊猫烧香”病毒进行电子数据司法鉴定是一项非常复杂的工作，涉及到计算机技术的细节问题，再加上此类案件司法鉴定没有先例可以借鉴，工作难度非常大。

委托方提出了三项鉴定要求：1、鉴定犯罪嫌疑人使用的硬盘中是否存在制作传播病毒的证据。2、鉴定病毒编写的相关时间信息及病毒制作方式。3、提取病毒样本及与案件相关的其他证据。鉴定团队在认真分析委托方鉴定要求后，紧紧围绕《刑法》第二百八十六条 “故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚”的相关内容，制定了详细的法律方案、技术方案和司法鉴定计划。

实验室团队重点提取了制作、传播“熊猫烧香”病毒的证据，提取了“主观故意”的证据和“造成严重后果”的证据，主要包括:制作和传播木马病毒的实验环境，编写病毒代码的软件工具，所编写的多个病毒源代码、时间信息及由该代码所生成的可执行文件，通过该木马软件直接或间接获得的他人计算机内的游戏账号和登录口令等信息，所出售木马病毒代码和木马生成器的价格等帐单信息，在浏览相关技术资料时留下的收藏网址和多次访问病毒源码时留下的历史记录以及利用木马所盗得的帐号信息等。

【分析说明】

实验室团队以只读、克隆和校验技术为基础，对检材和网络数据进行空间性分析、功能性分析、时间性分析、相关性分析、结构分析、粒度分析和代码分析，完成了无损性数据获取、完整性分析鉴定。

【鉴定意见】

鉴定团队将取得的病毒样本及与案件相关的证据固定，综合分析后得出如下结论：1、犯罪嫌疑人使用的硬盘中存在制作传播病毒的多种证据。2、病毒编写的时间是在2006年X月X日或之前更早的时间，在2006年X月X日之后犯罪嫌疑人曾经多次对其进行了修改和升级。3、制作病毒使用的是“类C语言”、“Delphi”、“汇编”和dos中的“bat”语法。

【推荐理由】电子数据已经成为独立的证据类别，“熊猫烧香”案电子数据司法鉴定的成功经验，对开展此类电子数据司法鉴定提供了有益借鉴。 【专家评析】电子数据已经成为独立的证据类别，“熊猫烧香”案电子数据司法鉴定鉴定的成功经验，对开展此类电子数据司法鉴定提供了有益借鉴，建议推荐。