一种计算机网络犯罪案件电子取证的溯源策略研究与实践

◆李志刚 朱巨军

（衢州市公安局 浙江 324000）

一种计算机网络犯罪案件电子取证的溯源策略研究与实践

◆李志刚 朱巨军

（衢州市公安局 浙江 324000）

电子取证在刑事案件侦查、移送起诉的整个司法过程中变得非常重要。但在实际应用中，电子取证遇到了多方面的问题，需要不断解决这些问题才能更好地震慑、打击计算机网络违法、犯罪行为。本文首先介绍电子取证的现状，然后分析计算机网络犯罪案件电子取证的特点，给出了一种提高计算机网络犯罪案件电子取证效率的策略，结合电子取证的实例给予详细说明，最后是作者对电子取证的展望与分析。

电子证据; 计算机取证; 计算机网络犯罪; 反取证; 手机取证

0 前言

打击计算机犯罪的关键是找到充分、可靠、有说服力的电子证据，因此，计算机和法学的交叉学科——计算机取证受到了越来越多的关注[1]。电子取证在打击计算机和网络犯罪中作用十分关键，它的目的是要将违法、犯罪者留在计算机单机、服务器、手机、移动终端或者网络存储媒介中的“痕迹”作为有效的诉讼证据提供给执法部门或者法庭，以便将违法、犯罪嫌疑人绳之以法，让他们得到应有的处罚或者惩罚。

但目前在司法实践中，公检法对于电子数据这种新的证据类型，在收集、审查、保管、移送、采信等程序性规范方面认识不统一，已有法律法规仅限于原则性规定，司法实践中较难掌握和运用。虽然电子数据已取得合法地位，但大量案件中电子数据类证据难以采信、认定，绝大部分仍然需要转化为书证、视听资料或者鉴定意见，公安机关在侦查和打击计算机违法犯罪活动的工作中遇到一定的困难，影响了刑事司法活动的实际效果，需要国家层面及时更新相关的法律法规来应对不断翻新的违法、犯罪手段和方法。

在当今和平发展的大环境下，网络违法犯罪活动仍然不和谐地频繁出现，为适应这种新形势，2016年10月1日起实施的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》明确，人民法院、人民检察院和公安机关有权依法向有关单位和个人收集、调取电子数据。除了手机短信、文档、图片、音视频等，微博、朋友圈等网络信息也“入围”电子数据。依靠法律，利用法律手段对网络违法犯罪行为予以制裁，是解决网络安全问题的有效途径。2016年11月7日，网络安全法由全国人大常委会发布，于2017年6月1日起施行，该法对于网络数据和电子数据给予明确定义。作者通过实践注意到，在网络犯罪案件中的电子取证，有相当一部分是手机取证。那么此类案件的法律实施的先决条件就是手机取证所获取的电子证据。因此，下文首先介绍网络犯罪案件的特点，然后给出一种手机取证的溯源策略，再给出一个具体案例详细讲解如何将该策略应用于网络犯罪案件的电子证据固定。本文的最后是作者对网络犯罪案件电子取证的展望与分析。

1 网络犯罪案件的特点

在计算机取证技术蓬勃发展的同时，一种叫做反取证的技术悄悄出现了。反取证就是删除或者隐藏证据使取证调查无效。反取证技术分为三类：数据擦除、数据隐藏和数据加密。这些技术结合起来使用，让取证工作的效果大打折扣[1]。网络犯罪案件中违法犯罪嫌疑人运用的反取证技术主要是数据擦除和数据加密。在此基础上，作者分析了当前网络犯罪案件的规律特点：

（1）发现难。嫌疑人普遍使用即时通讯聊天工具，并且多使用图片、暗语。

（2）取证难。一是嫌疑人经常采取更换手机、恢复出厂设置、重装软件覆盖原来数据、破坏手机硬件等数据擦除方式来逃避打击。二是固定证据难。有的因报案间隔时间较长导致网址打不开等问题，无法形成有效的证据链。三是手机上即时通讯聊天工具删除或卸载后，取证软件无法获取残留的内容和信息。

（3）处理难。一是法律适用难。对于没有明确的处理依据的，只能按已有规定处理。二是对多次违法犯罪的行为，由于在短时间内犯罪痕迹被海量信息淹没，无法做到及时、有效、全部地固定。

随着网络技术的不断发展，网络犯罪的危害正在不断加深，网络取证的研究逐渐凸显出其重要性和紧迫性[2]。网络犯罪嫌疑人的作案时间有时可能仅数秒钟，因此，在嫌疑人破坏其网络犯罪证据之前，公安机关必须做出快速反应，并准确地获取犯罪证据[3]。

电子证据的固定是网络犯罪案件侦办的重点，其有无直接关系到犯罪事实的认定。在某些网络犯罪案件中，犯罪分子租用阿里云的云存储服务器，一旦租用时间到期，云服务器里数据就会被释放，数据将不可恢复。一般做法是，挖掘租用服务器的资料，通过与阿里云公司协作、远程登录相结合等办法，以尽快将涉案的服务器数据用拷贝光盘如数拷出。

更进一步地，作者尝试提出一种策略，将网络犯罪案件获取的电子数据追溯到人形成完整证据链，赶进度、抢时间，将取证窗口前移，从而能够提前固定证据深挖幕后组织者和源头。当然，具体实施起来有诸多困难，这不仅仅局限于案件的简单取证，还要把电子取证工作与溯源工作结合起来。

2 一种网络犯罪案件电子取证的策略

当前的计算机取证软件的主要功能是信息获取和数据恢复，本文尝试对扩展取证软件的功能上做一些初步的探索。以往勘查取证只是找出一些文字材料等提交给办案部门用于移送起诉的电子证据，相互之间没有交流和沟通。虽然手机取证分析软件都有这样那样的不足，但是把电子取证工作与溯源工作结合起来会获得意想不到的良好效果。通过勘查取证除了找到Word和Excel等Office文档，还可能会有图片文件，这往往是我们不能忽视的。一旦查清手机中图片传播的来源（即时通讯上家账号），再继续补充完善电子证据勘查工作记录，就能够为移送起诉提供有力的证据。

依据中央资源变资产、资金变股金、农民变股民的政策要求，农民以家庭为单位，开展信用合作，提供资金互助服务，构建农业产业发展的资金池。规范民间借贷关系，解决农民贷款难、抵押难、贷款贵的问题，增加农民财产性与资产性收入，为农村新型经营主体提供创业有本、发展有保的产业金融体系，支持和鼓励农民创业就业，促进农村一二三产业融合发展。

因为手机中的信息量巨大，一页一页地翻看显然不切实际，因此我们主要选择手机取证软件开展工作，手机取证软件能够快速获取文件系统信息，是迅速获取电子数据的前提保证。同时，无的放矢地固定海量信息，不但会耽误时间而且得不到及时准确简明扼要的归纳总结。在下面的案例中作者主要详述勘查取证与溯源策略结合的要点和方法。

网络犯罪案件的取证行为一般是在违法犯罪行为发生之后才进行的，由于电子证据的脆弱性、易逝性、隐蔽性和多媒性等特点，即使使用了有效的手机取证分析工具，此时手机中的许多电子证据已被破坏或隐藏。而且随着时间的推移，电子证据可能会发生变化或消失。这使得取证人员很难获得充分有效的电子证据。即使取得了一些证据，其完整性和真实性也很难得到证明。若要提高电子证据的证明力，最重要的是能保证所有证据从最初的采集到最后移送起诉都保持真实完整性[4]。以下给出一个网络犯罪案件的手机取证与溯源策略相结合的实战案例，通过这个案例发掘出更多的电子证据，从而完善整个案件的证据链。

应用溯源法，通过手机勘查取证分析获得图片的传播源，步骤如下：

（1）通过手机取证软件发现手机中有图片文件（存储于SD卡中），其中图片文件名为P1.jpg（大图）。

（2）在手机取证结果树的文件系统节点中搜索图片文件名P1。

（3）查看文件系统节点中搜索图片文件名的结果，发现该大图片是T1账号与T2账号之间聊天时的内容，具体是谁发给谁的暂时不知道，聊天日期为YMD。

（4）在文件系统节点中搜索日期YMD的聊天内容。

（6）在文件系统节点中搜索日期YMD的结果2：在SD卡中的数据存放文件夹中的内容显示，T1账号与T2账号在日期YMD聊天，交流1张图片P1.jpg（大图）。

（7）经查手机聊天内容并对比2张图片发现，s1.png是P1.jpg的缩略图，而手机聊天内容中只保存了缩略图。该图片是日期YMD聊天时T1账号发给T2账号的。账号T1是图片的传播源。

通过这种方法，把电子取证的时间窗前移，预先把敏感的、潜在的、还未暴露的案件证据挖掘出来，这样一方面能够避免发生或者减少发生新的案件，另一方面能够在下一阶段抓捕嫌疑人之前就开始搜集违法犯罪的电子证据，还有利于及时补充完善证据，有利于促进案件的顺利推进。手机勘查取证工作不是彼此孤立的，与溯源工作相辅相成，才能最大效能地打击网络犯罪行为。

3 展望与分析

电子证据的脆弱性、不可靠性、表现形式的多样性等，使得获取电子证据和保证可靠性这两个方面一直是计算机犯罪案件的难点[5]。随着信息技术的发展，各种违法犯罪案件几乎都要涉及电子数据的收集问题，电子证据被广泛应用于行政处罚、刑事诉讼活动。而刑事诉讼活动对行政处罚活动有着强烈的参照意义，所以对刑事诉讼法律法规的及时更新补充完善提出了更高的要求。一方面，刑事诉讼中有关电子数据证据法律法规不断完善，2012年修改后的刑事诉讼法适应现代信息技术的发展，根据刑事诉讼中出现的新情况和实践需要，将电子数据增设为法定证据种类，进一步丰富了证据的外延，同时对于电子数据收集、审查、保管、移送、非法证据排除等问题也提出了新的课题。另一方面，全面深化改革、全面依法治国对电子数据取证执法和司法活动提出新的要求，人民群众对公检法适应互联网发展、改进和创新电子数据取证活动提出新的期待。

网络犯罪案件的违法犯罪证据和海量的正常手机上网数据混杂在一起，而且一个异常行为往往隐藏在多个分散的数据之中，使得取证分析人员很难用单一的方法获得潜在的电子证据[4]。目前计算机取证获取电子证据的方法有两种，一种是手工操作硬件，一种是使用工具软件。取证工作的成败主要取决于部门工作人员的经验和能力[5]。因此，计算机取证从技术和法律两个方面完善和发展是未来的方向，一是取证技术的自动化，尽量用少量的取证工具、取证软件，减少人工干预，做少量的操作即可自动完成取证。二是规范计算机取证工作的法律法规和操作标准，减少取证工作的随意性，提升取证工作的可靠性、权威性和科学性。在取证软件不断强化认证、简化步骤、完善功能、提升自动化程度的前提下，进一步在法律法规的层面规范好电子取证的方方面面，才能使侦查、检察、审判机关形成认识上的统一,对网络违法犯罪分子形成强大的震慑,从而维护好网络虚拟社会的稳定发展。

在办理网络犯罪案件时提供完整、准确的电子取证是完善证据链的强有力保障。在网络犯罪案件的侦办过程中，针对嫌疑人的作案手机的电子取证，取证软件可能找到直接的违法犯罪证据，也可能在手机中找不到证据，但是通过电子取证结合溯源策略的应用可以找到关联证据，论证这些关联证据的有效性是一个长期关注的课题。相关法律法规应当适应不断发展的新形势的需要，为电子取证相关的专门性技术问题的认定不断提供最新的指引。再如对侦查机关难以将海量数据封存、扣押，海量云存储大数据的难以调取的问题，法律法规应当规定不需要对海量数据复制或将云服务器扣押，即可实现证据的移送。此处只需解决不可抵赖性和可获取性的问题即可，不可抵赖性是指作为犯罪嫌疑人不能对其实施过的网络违法犯罪的行为进行否认，而可获取性是指保证云服务器在冻结和扣押期间办案单位仍可进行保护性访问，防止未经授权的用户的访问、篡改和破坏，直至诉讼结束。

未来司法实践中电子数据勘验检查还要对网络中的、物理位置不在本地及境内的路由器、交换机、防火墙、服务器等远程计算机信息系统，甚至还包括无法或很难确定电子数据存储位置的公有云、私有云、云服务器、云存储等被虚拟化技术创造出来的远程计算机信息系统的勘验，提取、固定电子数据，记录远程计算机信息系统状态等涉案信息和电子数据，这显然远远超出了传统勘验检查的范畴和对象，这都必须由权威的法律法规来规范。

目前有较多的文献在研究云取证方面做出了不懈的努力。文[6]从云计算的技术原理出发,结合我国公安电子数据取证工作的现状,探究云计算在公安数字取证技术中的应用。文[7]分析了云计算特有的安全隐患和取证的困难,并针对困难设计了针对云计算的取证系统,为今后的云计算取证问题的研究提供了有益的参考。

4 结束语

为了适应愈发复杂的取证环境，作者对大数据量的取证数据进行整理和裁剪进行了深入思考，充分利用手机取证分析软件和溯源策略相结合的方法，从而确定重点勘查范围，集中使用取证资源，减少取证分析的时间，提高了取证分析的效率。但是对于互联网云服务器中的电子取证来说,如何收集信息、分析各电子证据间的关联,发现潜在的异常行为特征是下一步需要研究的课题。

[1]王玲，钱华林.计算机取证技术及其发展趋势[J].软件学报，2003.

[2]史昕岭，郑淑丽.网络取证技术的研究与发展[J].网络安全技术与应用，2015.

[3]高玲玲.互联网远程取证的实现模式[J].网络安全技术与应用，2016.

[4]孙波.计算机取证方法关键问题研究[D].北京：中国科学院研究生院，2004.

[5]丁丽萍，王永吉.计算机取证的相关法律技术问题研究[J].软件学报，2005.

[6]何明.云计算在公安电子数据取证技术中的研究与应用[J].网络安全技术与应用，2015.

[7]钱芳菊.基于云的计算机取证系统研究[J].网络安全技术与应用，2016.