网络犯罪中侦查实验方法的探讨

◆邹继芸 高敔恒

（重庆市公安局江北区分局 重庆 400021）

网络犯罪与取证

网络犯罪中侦查实验方法的探讨

◆邹继芸 高敔恒

（重庆市公安局江北区分局 重庆 400021）

随着互联网技术的飞速发展，网络也被一些不法分子利用。日前，以网络为犯罪载体或者作为犯罪分子入侵客体的犯罪案件频发，同时，网络犯罪案件的特殊性为电子数据取证带来很大的挑战。本文结合侦查实验法律依据、目的，对网络犯罪电子数据取证中侦查实验方法进行研讨，对依法打击网络犯罪具有实践意义。

网络犯罪；侦查实验；方法

0 前言

《刑事诉讼法》第133条规定：为了查明案情，在必要的时候，经县级以上公安机关负责人批准，可以进行侦查实验。2016年10月1日颁布的《最高人民法院、最高人民检察院 、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第十六条规定：对扣押的原始存储介质或者提取的电子数据，可以通过恢复、破解、统计、关联、比对等方式进行检查。必要时，可以进行侦查实验。

在网络犯罪中，犯罪嫌疑人通常运用计算机网络技术，借助于网络对某个系统或信息进行攻击，破坏或利用网络进行其他犯罪活动，涉及的技术是多方面的，如网络编程技术、TCP/IP、加密技术、编译原理等。网络犯罪包括互联网作为犯罪渠道的传统犯罪类型，如借助网络平台实施的诈骗犯罪、侵犯知识产品犯罪，也包括在互联网平台和金融产品不断融合过程中衍生的新兴犯罪类型，如非法吸收公众存款等新型金融类犯罪[1]。互联网作为犯罪入侵的客体如非法侵入计算机信息系统、非法获取计算机信息系统数据及以钓鱼网站为平台非法获取公民个人信息等案件中，从扣押的原始存储介质或提取的电子数据中分析得到的与案件相关的电子数据，往往不能独立的完成某个具体犯罪行为，因为它可能是一段程序源码、一个浏览器插件、一个提权POC脚本、一段利用程序漏洞实施攻击的描述等，需要依托特定的软、硬件和网络环境才能得以执行。

1 网络犯罪侦查实验

网络犯罪侦查实验是指在网络犯罪案件侦办过程中，当从扣押的原始存储介质或提取的电子数据不能直接认定犯罪事实时，需搭建特定的软、硬件和网络环境，通过动态仿真模拟和重演犯罪过程，旨在确定某事实、现象或行为能否发生或者怎样发生的一种侦查措施[2]。

1.1 侦查实验的可行性

网络犯罪中，主要犯罪过程可以通过构建特定的运行环境予以重现。例如近些年通过“伪基站+钓鱼+短信猫+Android拦截木马”实施网络盗窃的案件时有发生，伪基站背包客按照上家要求发送含有钓鱼网站链接的短信，非法获取个人身份信息及银行卡信息，这些信息被称为料，料很有可能被转卖，也可能被钓鱼网站的开发者通过后门获取。嫌疑人依据料的信息，通过短信猫向特定的手机号码发送含有Android拦截马的诈骗短信，从而盗窃受害人储蓄卡中的余额或盗刷其信用卡。整个活动链中，钓鱼网站能否获取个人身份信息及银行卡信息、Andord拦截马能否转发、删除短信在传统的侦查实验方法中是无法完成的。因为从钓鱼网站服务器、或嫌疑人电脑中提取的网站源代码、Andorid拦截马等电子数据都是静态的，它能否完成某个行为、实现某个功能可以通过侦查实验进行验证。

1.2 侦查实验的目的

网络犯罪中的侦查实验的目的是明确程序是如何与主机系统进行交互、如何与网络进行交互、攻击者如何与程序进行交互（命令/控制等）、攻击过程和结果的重现、程序对攻击者的技术要求达到何种程度、是否存在可识别的攻击程序用于感染主机、系统或网络受到感染或损害的程度是多少、探索和验证程序的功能和用途、验证程序的功能边界，主要包括以下几个方面：

（1）可执行程序功能性验证：验证可执行程序在一定条件下能否入侵计算机信息系统、获取计算机信息系统数据、控制计算机信息系统、破解计算机软件、加密电子数据、解密电子数据。

（2）程序漏洞验证：由于软件、协议的具体实现或系统安全策略上存在的缺陷，使得攻击者能够在未授权的情况下访问或破坏系统。例如WEB程序漏洞：SQL注入、XSS跨站点脚本，跨目录访问，越权访问，COOKIES修改，HTTP方法篡改、CRLF，命令行注入。如果网站存在WEB漏洞并被黑客攻击者利用，攻击者可以轻易控制整个网站，并可进一步获取网站相关服务器的管理权限。

（3）恶意代码功能验证：是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的可执行代码或程序，如木马、病毒、后门等。

（4）插件功能验证：亦称外挂，是一种遵循一定规范的应用程序接口编写出来的程序，其只能运行在程序规定的系统平台下（可能同时支持多个平台），而不能脱离指定的平台单独运行。

（5）程序源代码功能验证：是指未经编译的，按照一定的程序设计语言规范书写的文本文件。程序源代码可以是完整的代码，也可以是代码片段。验证在一定条件下，通过添加、删除、修改程序源代码，能否侵入计算机信息系统、获取计算机信息系统数据、控制计算机信息系统，如POC源代码、系统提权脚本，程序片段功能验证、数据结构、函数功能验证。

2 网络犯罪侦查实验方法

结合网络犯罪表现形态，网络犯罪侦查实验与传统侦查实验在人员要求和硬、软件及网络环境、侦查实验步骤等方面具有自己的特点。

2.1 侦查实验的人员要求

侦查实验的参与人员有主持人、侦查人员以及见证人。主持人：负责整个侦查实验的调度指挥；侦查人员：具有计算机相关专业知识背景的侦查民警，负责侦查实验的前期准备、实施、撰写侦查实验笔录等工作；见证人：具有计算机相关专业知识背景的社会人士，有能力见证整个侦查实验的实施过程，并能够对相关实验结论中的专业描述做解释。电子数据取证中侦查实验对见证人的专业技能要求较高，如果没有相关技术背景，见证人的司法认可力度较低。

2.2 检材及样本保全备份在进行侦查实验前，需要对检材及样本进行保全备份。网络犯罪中的检材及样本是指在现场勘验检查、电子证据检查、远程勘验检查以及网络在线提取等侦查活动中提取、固定的，需要在侦查实验中验证其功能特征的电子数据。原始检材及样本的载体主要分为移动终端和电子数据存储介质，两种载体保全备份方式有所区别。

移动终端：(1)移动终端的检验分析，计算检出数据的哈希值，并复制到有利于开展侦查实验的专用的存储介质中；(2)将原始移动终端中的数据迁移至可用于开展侦查实验的移动终端中，但必须证明迁移数据对原始移动终端产生的影响；(3）不具备检出、迁移数据条件的，使用原始移动终端开展侦查实验，但必须注明对原始存储移动终端产生的影响。

电子数据存储介质：(1)对具有保全条件的电子数据存储介质，采用逐比特复制的方式进行电子数据存储介质保全备份，计算保全备份的副本或镜像的哈希值，使用副本开展侦查实验；(2)不具备保全条件的，将电子数据存储介质其接入写保护设备，然后开展侦查实验；(3）不具备保全及写保护条件的，使用原始存储介质开展侦查实验，但必须注明可能产生的影响。

2.3 侦查实验的硬、软件及网络环境

搭建侦查实验所需要的硬件环境，可以根据实际情况进行选配，但要能够满足成功运行样本的基本条件；安装侦查实验动态仿真所需的虚拟机、操作系统、程序运行环境配置信息，安装升级补丁信息，JDK版本，.Net Framework版本，数据库服务器类型及版本，web服务器类型及版本）等；配置实验所需的网络环境，如局域网配置（子网划分）、公网接入配置、端口设置、代理设置、VPN设置等；部署需要验证的侦查实验的主体，如被入侵的网站、被破解的软件系统等；安装取证工具，如流量监控软件、抓包工具、内存数据dump工具等相关取证软件。

2.4 侦查实验的步骤

(1)对具备保全条件的检材及样本进行备份保全；

(2)对检材及样本进行编号；

(3)建立侦查实验环境；

(4)执行样本前的准备；

(5)执行样本；

系统与网络监控；

环境仿真及调整（相关参数等）；

进程监控；

排除混淆因素；

记录样本的执行状况。

(6)设置相关配置，重新执行样本。

2.5 侦查实验笔录

进行侦查实验时需做好检验记录，记录应贯穿整个侦查实验过程，包括：侦查实验开始的日期和时间、参加侦查实验的主持人、参加侦查实验的侦查员、参加侦查实验的见证人、侦查实验的目的、原始检材及样本的完整性状况、原始检材及样本的保全备份处理情况、侦查实验所需的硬、软件以及网络状态等环境信息、侦查实验过程使用到的取证工具、侦查实验样本的执行状况和侦查实验结论。

3 结论

网络犯罪侦查实验作为刑事证据种类的一种，是通过搭建特定的软、硬件和网络环境，动态仿真模拟和重演犯罪过程的一项侦查措施。结合日常取证工作实际，本文基于网络犯罪侦查实验的必要性、可行性和目的，提出了网络犯罪侦查实验方法，具有重要的司法实践意义。

[1]董哲，刘坤.互联网经济犯罪侦防应对研究[J].北京警官学院学报，2015.

[2]杨东亮.侦查实验笔录简介[J].证据科学，2011.