马贺男(中国刑警学院 辽宁 沈阳 110035)
网上非法贩卖枪支弹药案电子数据取证方法研究
马贺男
(中国刑警学院 辽宁 沈阳 110035)
随着互联网的广泛应用,利用互联网非法贩卖枪支弹药案件逐渐增多。而且我国的涉枪案件多与一些“恶、赌、毒”犯罪交织在一起,给社会治安带来了严重的隐患。在分析网络非法贩卖枪支弹药案件的证据要点基础上,对网络非法贩卖枪支弹药案件的一般电子数据取证方法进行了总结和分析。
互联网 非法贩卖 枪支弹药 特点 电子数据取证
随着信息技术的飞速发展和广泛运用,针对和利用计算机犯罪的案件越来越多,而非法贩卖枪支、弹药这一传统的违法行为也依托网络成为新型的犯罪手段,依靠网络所具有的传播范围广、花费时间少、所需条件容易满足等特点,迅速在我国蔓延,造成了严重的社会危害。而在网上贩卖枪支弹药案件中,由于买卖双方都是通过互联网远程沟通完成交易,因此,公安机关在查处此类案件时,除要获取涉案人口供、物证等传统证据之外,还需特别注意涉案电子数据证据的采集与提取。而随着刑诉法的实施,电子数据证据已成为法定证据类型之一,但国内外相关文献中对此类案件的电子数据取证方法研究并不多。因此,本文结合实际案例,在分析了非法贩卖枪支弹药案件的证据要点的基础上,对此类案件的涉案计算机的电子数据取证步骤和方法予以分析和总结,希望能为进一步提高此类案件的电子数据取证工作水平和效率提供一定的助力。
1.1 网上非法贩卖枪支、弹药案的特点
1.1.1 多为跨境犯罪
近年来,由于黑枪价格越来越高,贩卖黑枪的暴利令许多人不顾风险加入这个行列。通常,贩枪人员从我国周边国家物色枪支,价钱谈妥之后,由当地的卖家安排人员,避开边境口岸将货送到我国境内。由于挑夫步行跨境目标小、风险低,所以这是枪贩子最常用的方法之一。
1.1.2 涉枪案件多与“恶、赌、毒”犯罪交织
根据江苏省南京市检察院的统计,在其近几年办理的110件涉枪案件里涉枪团伙常与黑恶势力犯罪交织,涉枪案件中有27起案件与“恶、赌、毒”犯罪有关。
1.1.3 一般不当面交易
因为枪支的敏感性和贩卖枪支的违法性,犯罪嫌疑人一般利用阿里巴巴的支付宝交易,在买家确认收到枪支前,由支付宝替买卖双方暂时保管货款,等买家收到枪模后,再通过支付宝将钱支付,双方一般从不当面交易。
1.1.4 团伙化趋势明显,组织严密,分工明确
团伙犯罪是当前非法制贩枪支案件的一个突出特点。网络非法制贩枪支、弹药的团伙在网上有严密的组织纪律和管理体系,犯罪嫌疑人的职业化、专业化程度较高,团伙成员之间也采用单线联系,分工越来越细,有专人负责采购原材料、造枪、牵线、看货、运输、销售等环节的犯罪活动。
1.2 网上非法贩卖枪支弹药犯罪的主要形式
1.2.1 依托购物网站,以暗语方式进行非法贩卖
犯罪嫌疑人在淘宝等购物网站上注册网店,专门销售枪支、弹药、仿真枪、铅弹等,利用阿里旺旺联系,通过支付宝等方式付款的贩卖形式。
1.2.2 架设专门的销售网站进行非法贩卖
犯罪嫌疑人以其他商品的名义设立专门的销售网站,然后采用在网上发布信息、手机联系确认、银行转账确认到款、物流快递运送枪支的一系列系统的销售方法。
1.2.3 利用 QQ群,在网上发布有关贩卖枪支的信息并进行联络沟通
犯罪嫌疑人一般建立一个QQ群或者藏匿于一些有购买可能的QQ群中(如,枪支爱好者QQ群),伺机寻找到有需要买枪的买家就立刻现身与买家联系,确认身份后即开始交易。
1.2.4 利用论坛或信息发布网站,在网上发布有关贩卖枪支的信息
犯罪嫌疑人利用论坛,在网上发布有关贩卖枪支的信息,从而寻求买家,实施贩卖活动。
1.2.5 熟人介绍客源,网络工具沟通议价
犯罪嫌疑人往往不掌握固定的客源,在网上也很难寻觅买家,这时有些犯罪嫌疑人就找到一些总在网络中混迹的熟人,请他们来介绍客源,因其常年在网络中混迹,所以对上网的人的种类比较了解,能为非法贩卖枪支的卖家找到很好的渠道。等到买卖双方达成协议后,买家与卖家再通过 QQ、MSN等网络工具沟通议定价格。
在网络贩卖枪支、弹药案件中通常的交易模式是:买卖双方主要是通过 QQ、MSN等通信方式联络对方,在达成双方都满意的价格后,通过货币交易平台,例如支付宝或银行账户完成货币交易,而买卖中的实际货品—— 枪支、弹药则被拆装成零件或填写成其他物品利用快递或者物流等运输手段,发到买家手中。在买家拿到了枪支、弹药后,本次非法贩卖枪支、弹药的罪名才算成立。
而在网上非法贩卖枪支弹药过程中最重要的证据要点就是买卖双方一定要达成真实的交易。所以,在针对此类案件进行电子数据取证分析时,应重点从以下方面提取证据。
2.1 犯罪嫌疑人使用的主机中的各类文档信息
在网络非法贩卖枪支、弹药的案件中嫌疑人使用的主机一般都会存有其非法贩卖枪支的记录,例如有关枪支买卖的文档信息、账目信息等,所以公安机关在抓获犯罪嫌疑人后可以检验其使用过的主机,从中获取证据。
2.2 网站的日志记录
在此类案件中,有时犯罪嫌疑人是通过在网上发帖或自设网站的方式来寻找买家的。因此,分析发帖网站的日志记录,可以帮助我们提取属于嫌疑人的访问日志,明确发布信息人的IP信息、注册信息等。而通过分析贩卖网站后台的日志记录,可以帮助我们查找到曾经登录该网站,购买枪支人员的登录信息情况。
2.3 通信信息
网络贩卖枪支弹药的案件犯罪嫌疑人在进行交易的时候一般都会事先与买家达成交易价格,他们联络的方式一般都是QQ、MSN等聊天软件,所以,对聊天记录进行检验也是证明犯罪事实的常见方法。
2.4 支付宝转账和银行账号信息
网络非法贩卖枪支弹药的犯罪嫌疑人与买家达成合适的价格后一般都会通过银行转账或是支付宝转账的方式进行枪钱之间的交易。所以,对犯罪嫌疑人主机中此类转账信息和账号信息的检验也是此类案件的一项检验工作。
2.5 物流信息
网络非法贩卖枪支弹药的案件中,最后卖家一般都是把枪支弹药拆分成零件,然后写上一些不引人注意的名字(如水暖器件等),通过快递公司把枪支零件送到买家手中。所以,检验卖家的物流送货清单,以及清单编号和物流公司的交易记录也是对于此类案件取证的一种新途径。
2.6 网站源代码信息
在网络非法贩卖枪支、弹药案件中,公安机关可以检验犯罪嫌疑人用来贩卖枪支的网站源代码,分析其网站的IP地址、后台数据库信息(可能含有所贩卖枪支、弹药的种类、数量、性能等信息) 从而确定其具体的犯罪证据。
2.7 智能手机可能存有的涉案信息
在网上非法贩卖枪支、弹药案件中最主要的证据来源一般就是计算机内所存留的涉案信息,但随着智能手机的不断普及,手机也成为此类案件中重要的即时通信 (如 QQ、微信和阿里旺旺等)、网络转账信息的存储介质。因此,针对手机中这些可能存有的信息的提取对案件的侦办也有着重要的现实意义。
下面就分别针对计算机和手机两类介质的取证步骤和方法予以介绍。
3.1 计算机磁盘内信息的电子数据取证步骤与方法
虽然由于各计算机系统内所安装软件和使用习惯有所不同,使具体的检验步骤也不完全相同,但一般对此类案件可以按照以下步骤和方法来完成。
3.1.1 磁盘文件信息初步浏览
在对磁盘做具体检验操作前,先对涉案计算机磁盘上的信息进行初步的浏览以明确下一步具体的检验工作是十分必要的。在浏览信息时一般主要关注以下几个内容。
(1) 明确有无可能与案件相关的软件,如网页制作软件及数据库管理软件。由于网上非法贩卖枪支弹药案件有时是自己创建网站进行贩卖活动,所以,在犯罪嫌疑人的计算机中有可能有一些有关网页制作的工具软件和用于后台网站管理的数据库软件。因此,首先浏览明确一下机器中是否有这类的软件,对我们进一步检验工作是有指导意义的。
(2)明确涉案机器中所使用的即时通信工具类型及版本。通过初步检查,可以明确犯罪嫌疑人上网时,惯于使用哪类(些)即时通信工具、通信工具所使用的账号信息、聊天信息等。如QQ,我们可以在QQ的安装路径下找到曾经于这台机器使用过的QQ号码信息,聊天过程中曾经发送、接收的图片信息,最后一次聊天的时间以及QQ的版本情况等,以明确具体聊天记录的提取方法和可能使用的关键字信息。而像 MSN这类软件我们甚至可以直接读取出聊天记录信息。
3.1.2 文档信息重点查阅
在网上非法贩卖枪支、弹药案件中,犯罪嫌疑人经常会以文档的形式,记录存储一些涉案相关的信息,如犯罪嫌疑人的通信录信息、账目信息、银行账号、转账、快递物流等信息。因此,对文档文件的查阅是十分重要的。
(1) 正常的文档文件。即未进行加密、删除、修改或是隐藏等处理的文档,主要包括.txt、.doc、.xls、.rtf等文件。此类文件可利用取证软件所提供的过滤功能,进行分类查阅,整理分析。如图1对犯罪嫌疑人的主机利用 Encase进行分类查阅时,在.txt文档中发现的交易记录。
(2)处理过的文档文件。即进行加密或是“修改”隐藏处理过的文档。在有些案件中,犯罪嫌疑人会通过对文件修改扩展名的方式进行处理,以达到隐藏文件的目的。此时,需要通过取证软件的文件签名信息来明确文件的原本属性,从而进一步查看分析。如图2为通过Encase软件的文件签名功能,检验出的有利用修改文件扩展名来隐藏掩饰文件的情况,该文件原本是一个.txt的文本文件。而对于加密文档,我们则可以通过 X-Ways软件“磁盘快照”功能中的“加密文件检测”来帮助我们快速确定出应该重点关注的这些加密文档。如图3所示,加密的文档经检测后,其属性信息会显示为“e!”。
图 1 对犯罪嫌疑人的主机进行分类查阅,在.txt文档中发现的交易记录
图2 利用Ecase软件检验出的处理过文件扩展名的文件
图3 利用 X-Ways软件检验出磁盘中的加密文件
(3) 删除文件的恢复。有时犯罪嫌疑人为了掩盖罪行,会将一些重要的文档信息删除,此时,我们需要利用Finaldata、Easyrecovery等这类的数据恢复软件将已删除的文档予以恢复,从而获得与案件相关的重要信息。如图4是对犯罪嫌疑人的主机进行数据恢复时发现的银行交易记录。
图 4 犯罪嫌疑人与买家的银行交易记录
3.1.3 图片文件查找分析
在网上非法贩卖枪支弹药案件中,犯罪嫌疑人一般是通过网络交涉枪支的型号、价钱及外观情况,所以,一般在涉案人员的机器内可能存有与案件有关的枪支图片信息,并从中获得涉案枪支的型号、价格、工艺情况等信息,如图5是检验出的枪支贩卖信息及价格。
3.1.4 整理归纳、深入挖掘,明确查找的重点
通过前面的查阅和浏览后,我们应该把所得的信息进一步进行整理归纳,以期为后续的检验工作整理出一个明确的思路和检验方向。如在某网上贩卖枪支弹药案的鉴定中,通过浏览文件和查阅文档后获得了QQ号码、银行账户信息、账目信息等相关内容,对这些信息进行归纳整理,可以为后续的检验工作明确查找信息的重点和关键字的设置。
图5 从犯罪嫌疑人主机上检验出的部分枪支贩卖信息及价格
3.1.5 结合案情和检验要求深入分析,查找更多相关证据
(1) 对于自己架设网站贩卖枪支的犯罪嫌疑人计算机。我们可以分析其网站后台数据库信息,以明确该网站的实际交易情况。如涉案金额、涉案人员、银行账号、物流信息等。如图6为检验出的犯罪嫌疑人机器后台数据中有关枪支买卖情况的部分数据库信息。
图6 数据库中有关枪支买卖的部分信息
如图7是检验出的犯罪嫌疑人机器后台数据中有关物流快递的部分数据库信息。
图7 数据库中有关物流快递等方面的部分信息
(2) 对采用即时聊天工具作为作案时主要联络工具的案件。一方面要对即时通信聊天记录的信息进行分析,发现犯罪事实,得到案件线索。同时,还应对该即时通信软件进行分析或试验,利用软件的自身功能查找到犯罪嫌疑人的注册信息,从而帮助我们“了解”犯罪嫌疑人的特征,为检验提供指引。
另外,由于网络即时通信工具种类繁多,其中跟案件息息相关的信息,如聊天记录所存储的位置、格式、加密方式均不相同,为了能及时有效的获得信息,如果有条件的话我们可以采用专业的取证软件来获取。但对于目前使用较多的QQ,由于其在2008之后的版本通常的软件的提取效果都不是很好,此时我们可以试试利用 Encase设置欲调查人 QQ的昵称作为关键字,来查找尚存于交换分区中的部分聊天记录,如图8是某案中查找到的QQ聊天记录。
图 8 利用 Encase获得的聊天记录信息
3.2 手机内信息的电子数据取证
由于目前此类案件中针对手机的电子数据取证,多是对即时通信、短信和文档这些常规信息的提取,因此,我们通常可以直接使用取证工具来完成信息的提取,如图9所示,即是利用DC4500工具提取到的手机内的涉案 QQ信息,在此不加赘述。
图9 利用DC4500提取到的QQ聊天记录信息
通常情况下,针对网上非法贩卖枪支、弹药案件的检验工作,主要是以获得证明其买卖双方真实的交易信息内容为目的。因此,主要从买卖双方通过货币交易平台进行交易的记录、转账记录、买卖的账目信息、即时通信记录中的议价信息,以及快递的运单及送达记录等几个方面来进行电子数据取证工作,本文也正是从这几个方面来介绍了此类案件的检验方法。
[1]罗文华.伪造、变造证件或印章类案件电子数据取证方法研究[J].北京:警察技术,2011,(3):41-44.
[2]杨青.计算机犯罪的侦查取证[J].济南:山东公安专科学校学报[J],2003,(6):35-37.
[3]汤艳君.电子物证检验与分析[M].北京:清华大学出版社[M].2014,(2):53-67.
(责任编辑:孟凡骞)
TP319
A
2095-7939(2015)03-0042-04
2015-04-09
马贺男 (1979-),女,辽宁营口人,中国刑警学院网络犯罪侦查系讲师,硕士,主要从事电子数据取证研究。