網(wǎng)絡(luò)犯罪現(xiàn)場勘查的重難點問題研究

王明霞

摘 要 網(wǎng)絡(luò)犯罪現(xiàn)場勘查是開展網(wǎng)絡(luò)犯罪案件刑事偵查工作的基礎(chǔ)和起點，其勘查的結(jié)果直接影響著偵查工作的進(jìn)度及后續(xù)刑事訴訟活動的成敗。由于計算機(jī)系統(tǒng)的復(fù)雜性、網(wǎng)絡(luò)環(huán)境的可變性、電子數(shù)據(jù)的易失性等因素，決定了網(wǎng)絡(luò)犯罪現(xiàn)場勘查必然與傳統(tǒng)刑事案件現(xiàn)場勘查有很大不同。在網(wǎng)絡(luò)犯罪現(xiàn)場勘查過程中，對犯罪現(xiàn)場的確認(rèn)以及開展現(xiàn)場保護(hù)、現(xiàn)場訪問、現(xiàn)場勘驗檢查、現(xiàn)場分析等工作都存在很多重點難點問題，非常值得研究探討。

關(guān)鍵詞 網(wǎng)絡(luò)犯罪 現(xiàn)場勘查 重難點問題

中圖分類號：D918.4 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識碼：A? DOI：10.16400/j.cnki.kjdkz.2020.09.035

Research on the Key and Difficult Issues in the Investigation of Network Crime Scene

WANG Mingxia

（Politics Institute of National Defense University， Xi'an， Shaanxi 710068）

Abstract Network crime scene investigation is the basis and starting point of criminal investigation of network crime cases. The results of investigation directly affect the progress of investigation and the success of subsequent criminal proceedings. Because of the complexity of the computer system， the variability of the network environment， the volatility of electronic data and other factors， the network crime scene investigation is bound to be very different from the traditional criminal case scene investigation. In the process of network crime scene investigation， there are many key and difficult problems in the confirmation of crime scene and the work of on-site protection， on-site visit， on-site inspection and on-site analysis， which are worth studying and discussing.

Keywords cyber crime; site investigation; key and difficult issues

0 引言

網(wǎng)絡(luò)犯罪現(xiàn)場勘查是指在網(wǎng)絡(luò)犯罪現(xiàn)場實施勘驗，以提取、固定現(xiàn)場存留的與犯罪有關(guān)的電子數(shù)據(jù)、電子設(shè)備、傳統(tǒng)證物和其他信息。網(wǎng)絡(luò)犯罪現(xiàn)場勘查是開展網(wǎng)絡(luò)犯罪案件刑事偵查工作的基礎(chǔ)和起點，其勘查的結(jié)果直接影響著網(wǎng)絡(luò)犯罪偵查工作的進(jìn)度及后續(xù)刑事訴訟活動的成敗。網(wǎng)絡(luò)犯罪是一種新型智能犯罪，是一種對虛擬空間信息進(jìn)行侵犯或非法利用的行為。其犯罪現(xiàn)場與其他類型犯罪現(xiàn)場相比較，具有自身的特殊性和復(fù)雜性。對于網(wǎng)絡(luò)犯罪案件而言，其現(xiàn)場具有時間嚴(yán)格連續(xù)性、空間大跨度性以及網(wǎng)絡(luò)虛擬性。因此，網(wǎng)絡(luò)犯罪現(xiàn)場勘查與傳統(tǒng)刑事案件現(xiàn)場勘查有很多不同，其勘查過程的規(guī)范化和專業(yè)化要求更高。在勘查中除了要考慮到一般刑事案件現(xiàn)場勘查需要注意的問題外，還要考慮由于計算機(jī)系統(tǒng)的復(fù)雜性、網(wǎng)絡(luò)環(huán)境的可變性、電子數(shù)據(jù)的易失性等因素帶來的現(xiàn)場勘查重點和難點。本文對網(wǎng)絡(luò)犯罪現(xiàn)場勘查過程中存在的重點難點問題及相關(guān)注意事項進(jìn)行研究探討，希望對從事該類案件現(xiàn)場勘查工作的偵查人員和研究人員起到拋磚引玉的作用。

1 網(wǎng)絡(luò)犯罪現(xiàn)場的確定

網(wǎng)絡(luò)犯罪案件本身的性質(zhì)決定了此類犯罪的發(fā)生一定與計算機(jī)、網(wǎng)絡(luò)系統(tǒng)有關(guān)。被害人使用的系統(tǒng)、犯罪嫌疑人使用的系統(tǒng)、其他網(wǎng)絡(luò)中間節(jié)點以及相關(guān)場所、環(huán)境都應(yīng)屬于網(wǎng)絡(luò)犯罪現(xiàn)場。網(wǎng)絡(luò)犯罪案件的復(fù)雜性使得網(wǎng)絡(luò)犯罪案件的現(xiàn)場確定更為重要，并與傳統(tǒng)刑事犯罪現(xiàn)場有較大的區(qū)別。從空間上看，可以把網(wǎng)絡(luò)犯罪現(xiàn)場分為本地現(xiàn)場和遠(yuǎn)程現(xiàn)場。

1.1 本地現(xiàn)場的確定

本地現(xiàn)場的確定相對而言比較簡單，可以理解為一般意義上的可控的、可進(jìn)入的、可操作的本地現(xiàn)場環(huán)境。該類犯罪現(xiàn)場主要有兩類。一類是犯罪嫌疑人使用過的計算機(jī)系統(tǒng)以及該系統(tǒng)所在的物理空間。這類情況中犯罪嫌疑人利用計算機(jī)系統(tǒng)作為犯罪工具實施犯罪。另一類是被犯罪嫌疑人攻擊或破壞的計算機(jī)系統(tǒng)以及該系統(tǒng)所在的物理空間。這類情況計算機(jī)系統(tǒng)通常是受害人使用的系統(tǒng)，是犯罪嫌疑人犯罪實施的對象。

1.2 遠(yuǎn)程現(xiàn)場的確定

網(wǎng)絡(luò)犯罪常存在多個現(xiàn)場，較為常見的情況是作案在某一個地方，而犯罪結(jié)果則出現(xiàn)在另一個地方或其他多個地方。對于網(wǎng)絡(luò)上的遠(yuǎn)程現(xiàn)場可以從犯罪結(jié)果顯現(xiàn)的計算機(jī)或被侵害的對象入手。根據(jù)ISP系統(tǒng)日志追查犯罪嫌疑人的IP地址，核查主叫號碼，對境內(nèi)號碼，再根據(jù)主叫號碼確定實際地址，從而確定現(xiàn)場。

1.3 網(wǎng)絡(luò)犯罪現(xiàn)場的確定方法

首先可以確定的是最先發(fā)現(xiàn)問題的計算機(jī)系統(tǒng)就是犯罪現(xiàn)場。其次，以發(fā)現(xiàn)問題的計算機(jī)為重點，向聯(lián)網(wǎng)的其他計算機(jī)輻射，并結(jié)合有關(guān)案件情況來確定犯罪現(xiàn)場。最后，從分析犯罪嫌疑人的作案動機(jī)、作案手段及具備的計算機(jī)專業(yè)知識水平著手，分析可能的作案人、作案用的計算機(jī)，進(jìn)而確定作案現(xiàn)場。

2 網(wǎng)絡(luò)犯罪現(xiàn)場保護(hù)的重難點

由于電子數(shù)據(jù)、電子介質(zhì)的易失性以及網(wǎng)絡(luò)系統(tǒng)的虛擬性、易破壞性，網(wǎng)絡(luò)犯罪現(xiàn)場保護(hù)工作更加需要謹(jǐn)慎細(xì)致。網(wǎng)絡(luò)犯罪現(xiàn)場保護(hù)的原則和目的是最大限度地使現(xiàn)場保持案發(fā)時的系統(tǒng)及外部環(huán)境狀態(tài)，為現(xiàn)場勘查工作提供良好的環(huán)境，同時保證提取證據(jù)的原始性。

2.1 及時采取技術(shù)保護(hù)措施

網(wǎng)絡(luò)犯罪現(xiàn)場保護(hù)不同于傳統(tǒng)犯罪現(xiàn)場保護(hù)工作劃定范圍、保護(hù)痕跡、物證、尸體等，需要較強(qiáng)的技術(shù)性保護(hù)，使相關(guān)計算機(jī)設(shè)備保持一個相對獨立、隔離的原始狀態(tài)。現(xiàn)場保護(hù)人員首先要及時判斷現(xiàn)場是否有繼續(xù)進(jìn)行的安全威脅及擴(kuò)大損害的可能并采取正確的應(yīng)急處置方法。如判斷系統(tǒng)的工作狀態(tài)，包括開關(guān)機(jī)狀態(tài)、網(wǎng)絡(luò)連接狀態(tài)、系統(tǒng)運行內(nèi)容、數(shù)據(jù)的傳遞方式和內(nèi)容等。如果系統(tǒng)受到的安全威脅、損害有進(jìn)一步擴(kuò)大或可能導(dǎo)致證據(jù)滅失的嚴(yán)重后果，應(yīng)視情況斷開網(wǎng)絡(luò)，保護(hù)網(wǎng)絡(luò)及其相關(guān)設(shè)備。在確認(rèn)當(dāng)前系統(tǒng)無安全威脅和無繼續(xù)擴(kuò)大損害的情況下，應(yīng)盡量保持系統(tǒng)的原始狀態(tài)，維持現(xiàn)場最初的開關(guān)機(jī)狀態(tài)、網(wǎng)絡(luò)連接狀態(tài)、系統(tǒng)運行狀態(tài)，使內(nèi)存保留當(dāng)前系統(tǒng)正在執(zhí)行的任務(wù)、進(jìn)程、臨時文件等信息，排除系統(tǒng)斷電等情況，確保系統(tǒng)保持靜態(tài)，保證系統(tǒng)內(nèi)易失數(shù)據(jù)不會損壞。

2.2 ?控制現(xiàn)場人員

在做好中心現(xiàn)場的技術(shù)保護(hù)之后，現(xiàn)場保護(hù)人員要控制好現(xiàn)場內(nèi)人員，無論被害人還是犯罪嫌疑人，以及其他無關(guān)人員，都不得接觸計算機(jī)設(shè)備及現(xiàn)場電源開關(guān)，防止系統(tǒng)狀態(tài)被改變、系統(tǒng)內(nèi)文件和數(shù)據(jù)被增加、刪除或修改，防止機(jī)內(nèi)信息和機(jī)上的痕跡、物證遭到破壞，要堅決杜絕任何可能使證據(jù)滅失的行為發(fā)生。在現(xiàn)場人員較多的單位或其他公共場所，要注意隔離在場人員，防止人員相互交流串供。

2.3 保護(hù)原始物證

對于現(xiàn)場留存的電子存儲介質(zhì)、紙張及其他證據(jù)，要嚴(yán)加保護(hù)，未經(jīng)偵查人員同意，不得隨意觸碰，也不得帶離現(xiàn)場。特殊情況下確實需要帶出的，經(jīng)辦案人員允許后才可帶出現(xiàn)場，但是必須對所帶出物品登記在冊，同時詳細(xì)記錄帶出者的身份情況及帶出時間。

3 網(wǎng)絡(luò)犯罪現(xiàn)場訪問的重難點

網(wǎng)絡(luò)犯罪主要發(fā)生在使用或者涉及計算機(jī)網(wǎng)絡(luò)系統(tǒng)的領(lǐng)域，因此現(xiàn)場訪問工作應(yīng)主要圍繞計算機(jī)系統(tǒng)來展開?，F(xiàn)場訪問的對象應(yīng)主要圍繞熟悉了解計算機(jī)網(wǎng)絡(luò)系統(tǒng)的工作人員展開，現(xiàn)場訪問的內(nèi)容也應(yīng)該圍繞計算機(jī)系統(tǒng)的基本情況及其使用、維護(hù)情況來發(fā)現(xiàn)偵查線索。總之，要以涉網(wǎng)工作人員為重點，通過由事到人、由人到現(xiàn)場開展現(xiàn)場訪問工作，力爭發(fā)現(xiàn)有價值的偵查線索。

3.1 現(xiàn)場訪問的對象

一般來說，計算機(jī)網(wǎng)絡(luò)系統(tǒng)工作人員是直接接觸網(wǎng)絡(luò)系統(tǒng)的人，他們往往最早發(fā)現(xiàn)網(wǎng)絡(luò)被侵犯，最容易察覺到犯罪行為的先兆。因此網(wǎng)絡(luò)犯罪現(xiàn)場訪問的對象主要是計算機(jī)系統(tǒng)操作人員、分管領(lǐng)導(dǎo)、技術(shù)維護(hù)人員等。網(wǎng)絡(luò)犯罪內(nèi)部人員作案情況較多，要全面調(diào)查計算機(jī)網(wǎng)絡(luò)系統(tǒng)工作人員的檔案，了解其基本情況，并結(jié)合現(xiàn)場勘驗檢查情況尋找偵查線索。對于外部人員的調(diào)查，可重點調(diào)查具有作案技能的相關(guān)人員或與之有業(yè)務(wù)聯(lián)系的外部人員。另外，可從犯罪結(jié)果反映出的作案動機(jī)來確定重點訪問人員，因為作案人往往是從犯罪結(jié)果中直接或間接獲益的人。

3.2 現(xiàn)場訪問的重點內(nèi)容

現(xiàn)場訪問的內(nèi)容應(yīng)圍繞計算機(jī)系統(tǒng)的基本情況及知情人員的情況來展開。首先應(yīng)對計算機(jī)的基本情況進(jìn)行調(diào)查了解。如計算機(jī)系統(tǒng)有無密碼，計算機(jī)內(nèi)存儲的數(shù)據(jù)文件情況，安裝軟件情況，計算機(jī)是否出現(xiàn)過故障，維修的時間和次數(shù)等。其次要對接觸使用該計算機(jī)設(shè)備的人員情況進(jìn)行訪問。如能接近并操縱該計算機(jī)系統(tǒng)的人員，可能了解系統(tǒng)密碼的人員，可能利用值班、學(xué)習(xí)等機(jī)會使用該系統(tǒng)的人員，曾經(jīng)維修過計算機(jī)系統(tǒng)的人員情況。在訪問中，要充分考慮到被訪問者的計算機(jī)技術(shù)水平，對只是一般了解計算機(jī)系統(tǒng)的人員訪問時，要盡量避免使用過于專業(yè)的詞匯，多使用描述性的語言。

4 網(wǎng)絡(luò)犯罪現(xiàn)場勘驗檢查的重難點

由于網(wǎng)絡(luò)犯罪的特殊性，致使該類型案件犯罪現(xiàn)場勘查的重難點與傳統(tǒng)犯罪現(xiàn)場勘驗檢查有很大不同，其規(guī)范性、專業(yè)性要求更高。盡管網(wǎng)絡(luò)犯罪行為侵犯的是虛擬世界中的比特數(shù)據(jù)，但犯罪嫌疑人在實施侵犯行為的過程中必須要使用計算機(jī)等物理設(shè)備，這些設(shè)備總是存在于一定的物理空間內(nèi)，這就為該類犯罪現(xiàn)場的勘驗檢查提供了可能條件。同時要求進(jìn)行網(wǎng)絡(luò)犯罪現(xiàn)場勘驗檢查的人員必須具備計算機(jī)現(xiàn)場勘查的專業(yè)知識和技能。根據(jù)網(wǎng)絡(luò)犯罪現(xiàn)場的分類，網(wǎng)絡(luò)犯罪的勘驗檢查工作主要分為本地現(xiàn)場勘查和遠(yuǎn)程現(xiàn)場勘查兩大類。

4.1 本地現(xiàn)場勘查

本地現(xiàn)場勘查主要是對犯罪嫌疑人所操作的計算機(jī)、附屬外部設(shè)備，以及周邊空間環(huán)境的勘驗檢查。對于大多數(shù)網(wǎng)絡(luò)犯罪案件來說，對本地現(xiàn)場勘查是查獲線索、取得原始證據(jù)的重點工作。由于本地現(xiàn)場勘查工作存在很多不確定因素，因此勘查的難度較高。主要勘查本地存留的主機(jī)或服務(wù)器、打印機(jī)及其他附屬輸出設(shè)備、網(wǎng)絡(luò)連接設(shè)備等系統(tǒng)設(shè)備的機(jī)內(nèi)電子數(shù)據(jù)。另外還包括計算機(jī)系統(tǒng)所在的物理空間、硬件設(shè)備的物理狀態(tài)及特性、打印或書寫的有關(guān)計算機(jī)系統(tǒng)信息的紙張，系統(tǒng)周邊的線纜和接口等網(wǎng)絡(luò)連接狀態(tài)，現(xiàn)場留存的可能存儲有可疑文件的移動存儲設(shè)備和介質(zhì)等。

4.2 遠(yuǎn)程現(xiàn)場勘查

遠(yuǎn)程現(xiàn)場勘查主要是通過網(wǎng)絡(luò)對遠(yuǎn)程目標(biāo)系統(tǒng)實施勘驗、檢查，也就是針對犯罪嫌疑人在網(wǎng)上操作時，所形成的數(shù)據(jù)節(jié)點信息進(jìn)行收集，以提取、固定遠(yuǎn)程目標(biāo)系統(tǒng)的狀態(tài)和存留的內(nèi)容。如E-mail服務(wù)器、網(wǎng)站主機(jī)、即時通信服務(wù)器上的保留信息等。網(wǎng)站的信息本身可能會隨著時間推移而更新，因此對網(wǎng)頁信息的固定也應(yīng)具有連續(xù)性。另外，可設(shè)法通過網(wǎng)站信息獲取對方的真實IP地址，從而確定犯罪嫌疑人的位置信息。

4.3 現(xiàn)場勘驗檢查過程中需要注意的問題

在網(wǎng)絡(luò)犯罪現(xiàn)場勘驗檢查過程中的所有操作，都應(yīng)當(dāng)保證計算機(jī)相關(guān)設(shè)備內(nèi)的原始數(shù)據(jù)不被修改和覆蓋。要清楚、完整地拷貝所獲取的文件及文件載體，如硬盤、優(yōu)盤等，以保證復(fù)制合法有效、原始證據(jù)沒有被破壞。對不能停止運行的計算機(jī)信息系統(tǒng)，要在短時間內(nèi)完成現(xiàn)場電子數(shù)據(jù)的備份工作。對現(xiàn)場所有與案件有關(guān)的計算機(jī)信息系統(tǒng)的硬件、文件資料、磁盤等要做好標(biāo)記工作，并注意搜尋包含用戶標(biāo)識和密碼的文件資料。同時應(yīng)當(dāng)采用錄像、照相、截取計算機(jī)屏幕內(nèi)容等方式記錄現(xiàn)場勘驗檢查過程中提取、生成電子證據(jù)等關(guān)鍵步驟。

5 網(wǎng)絡(luò)犯罪現(xiàn)場分析的重難點

對網(wǎng)絡(luò)犯罪現(xiàn)場的分析，關(guān)鍵要將計算機(jī)系統(tǒng)外部線索與計算機(jī)內(nèi)部信息互相結(jié)合，各方面信息互為補(bǔ)充、互相映射和關(guān)聯(lián)，進(jìn)行綜合分析，從而確定案件性質(zhì)和下一步偵查方向。

5.1 通過網(wǎng)絡(luò)數(shù)據(jù)信息變化情況分析案件性質(zhì)

應(yīng)圍繞犯罪的核心要件對案件性質(zhì)進(jìn)行分析。比如，在分析非法侵入、破壞計算機(jī)網(wǎng)絡(luò)系統(tǒng)的犯罪現(xiàn)場時，可直接針對第一次嘗試攻擊行為的開始時間、技術(shù)手段、相應(yīng)安全設(shè)備報警記錄，到正式攻擊開始的時間、IP（或代理IP）地址、技術(shù)手段，再到攻擊完成后對系統(tǒng)日志的破壞方式、手法等這一完整的犯罪過程展開分析。另一方面，對于一些隱含網(wǎng)絡(luò)犯罪的變造、偽裝現(xiàn)場，如嫌疑人通過暴力手段侵占了被害人的計算機(jī)、網(wǎng)絡(luò)設(shè)備中的有價值數(shù)據(jù)信息，偵查人員要緊盯疑點不放松，查明現(xiàn)場痕跡物證與犯罪行為之間存在的錯亂邏輯關(guān)系，通過偵查假設(shè)排除嫌疑人偽裝現(xiàn)場的表面原因，繼而在被害人的計算機(jī)、網(wǎng)絡(luò)設(shè)備中進(jìn)行歷史數(shù)據(jù)分析。通過分析被害人的網(wǎng)絡(luò)數(shù)據(jù)信息變化情況，網(wǎng)絡(luò)關(guān)系人、利益人的活動軌跡，確定嫌疑人真正的犯罪動機(jī)和實施犯罪的行為過程，進(jìn)而確定案件性質(zhì)。

5.2 將外部線索和機(jī)內(nèi)相關(guān)信息充分關(guān)聯(lián)和映射

要注意將外部線索和機(jī)內(nèi)相關(guān)信息充分關(guān)聯(lián)和映射。一方面可以通過外部線索挖掘機(jī)內(nèi)相關(guān)信息。對于經(jīng)常使用計算機(jī)的人員來說，外部現(xiàn)場的遺留痕跡很大程度上可以與其在計算機(jī)內(nèi)留下的數(shù)據(jù)信息進(jìn)行關(guān)聯(lián)和映射。偵查人員通過合理演繹計算機(jī)外部線索如文件、書籍、票據(jù)、使用工具等情況，嘗試從嫌疑人使用的電腦中查找相關(guān)涉案信息，為揭開嫌疑人真面目提供重要線索。另一方面，可通過計算機(jī)系統(tǒng)線索，核實查找外部隱藏線索。網(wǎng)絡(luò)犯罪案件中，外部現(xiàn)場的線索可能比較模糊且容易被人忽略。偵查人員可對計算機(jī)內(nèi)部線索進(jìn)行梳理分析，繼而關(guān)聯(lián)外部現(xiàn)場的某些細(xì)節(jié)，進(jìn)一步驗證外部線索的真實性。

5.3 通過涉網(wǎng)證據(jù)信息分析嫌疑人特征

通過涉網(wǎng)證據(jù)信息來分析嫌疑人特征。一是分析嫌疑人的心理特征。一個人在網(wǎng)絡(luò)上的行為不受客觀世界道德倫理、熟人社會的監(jiān)督和約束，更能自由地表現(xiàn)其興趣愛好、性格特點、心智能力等主觀本源性特征。嫌疑人在實施網(wǎng)絡(luò)犯罪時，遺留在計算機(jī)及網(wǎng)絡(luò)系統(tǒng)中的某些數(shù)據(jù)信息常常會反映出他的一些心理特征。為此，偵查人員應(yīng)從網(wǎng)絡(luò)犯罪現(xiàn)場獲取的某些涉網(wǎng)證據(jù)信息入手，如嫌疑人的涉案QQ號、微信等社交工具聊天記錄，個人QQ主頁、微博主頁等，綜合分析嫌疑人的心理特征，對嫌疑人進(jìn)行心理畫像，從而為下一步確定偵查范圍和偵查重點指明方向。二是分析嫌疑人的行為特征。對于網(wǎng)絡(luò)犯罪而言，盡管絕大多數(shù)嫌疑人以虛擬身份在網(wǎng)絡(luò)中按照自己的喜好和需求進(jìn)行相應(yīng)的網(wǎng)絡(luò)操作，但作為現(xiàn)實世界中的自然人必然有其獨特的行為模式和行為習(xí)慣。偵查人員可以從獲取的大量涉網(wǎng)證據(jù)信息中，尋找發(fā)現(xiàn)、分析總結(jié)出嫌疑人的網(wǎng)絡(luò)行為特征，網(wǎng)絡(luò)技術(shù)掌握水平，是初犯還是資深慣犯等信息，繼而為打開案件突破口，圈定犯罪嫌疑人提供有力支撐。

參考文獻(xiàn)

[1] 蔣占卿.計算機(jī)網(wǎng)絡(luò)犯罪案件“虛擬空間”現(xiàn)場勘查研究[J].中國人民公安大學(xué)學(xué)報，2003（06）.

[2] 吳標(biāo)，劉沖.試論現(xiàn)場勘查理念變化[J].北京警察學(xué)院學(xué)報，2019（2）.

[3] 米佳，趙明生.網(wǎng)絡(luò)犯罪偵查[M].中國人民公安大學(xué)出版社，2014（11）.