王明霞
摘 要 网络犯罪现场勘查是开展网络犯罪案件刑事侦查工作的基础和起点,其勘查的结果直接影响着侦查工作的进度及后续刑事诉讼活动的成败。由于计算机系统的复杂性、网络环境的可变性、电子数据的易失性等因素,决定了网络犯罪现场勘查必然与传统刑事案件现场勘查有很大不同。在网络犯罪现场勘查过程中,对犯罪现场的确认以及开展现场保护、现场访问、现场勘验检查、现场分析等工作都存在很多重点难点问题,非常值得研究探讨。
关键词 网络犯罪 现场勘查 重难点问题
中图分类号:D918.4 文献标识码:A DOI:10.16400/j.cnki.kjdkz.2020.09.035
Research on the Key and Difficult Issues in the Investigation of Network Crime Scene
WANG Mingxia
(Politics Institute of National Defense University, Xi'an, Shaanxi 710068)
Abstract Network crime scene investigation is the basis and starting point of criminal investigation of network crime cases. The results of investigation directly affect the progress of investigation and the success of subsequent criminal proceedings. Because of the complexity of the computer system, the variability of the network environment, the volatility of electronic data and other factors, the network crime scene investigation is bound to be very different from the traditional criminal case scene investigation. In the process of network crime scene investigation, there are many key and difficult problems in the confirmation of crime scene and the work of on-site protection, on-site visit, on-site inspection and on-site analysis, which are worth studying and discussing.
Keywords cyber crime; site investigation; key and difficult issues
0 引言
網络犯罪现场勘查是指在网络犯罪现场实施勘验,以提取、固定现场存留的与犯罪有关的电子数据、电子设备、传统证物和其他信息。网络犯罪现场勘查是开展网络犯罪案件刑事侦查工作的基础和起点,其勘查的结果直接影响着网络犯罪侦查工作的进度及后续刑事诉讼活动的成败。网络犯罪是一种新型智能犯罪,是一种对虚拟空间信息进行侵犯或非法利用的行为。其犯罪现场与其他类型犯罪现场相比较,具有自身的特殊性和复杂性。对于网络犯罪案件而言,其现场具有时间严格连续性、空间大跨度性以及网络虚拟性。因此,网络犯罪现场勘查与传统刑事案件现场勘查有很多不同,其勘查过程的规范化和专业化要求更高。在勘查中除了要考虑到一般刑事案件现场勘查需要注意的问题外,还要考虑由于计算机系统的复杂性、网络环境的可变性、电子数据的易失性等因素带来的现场勘查重点和难点。本文对网络犯罪现场勘查过程中存在的重点难点问题及相关注意事项进行研究探讨,希望对从事该类案件现场勘查工作的侦查人员和研究人员起到抛砖引玉的作用。
1 网络犯罪现场的确定
网络犯罪案件本身的性质决定了此类犯罪的发生一定与计算机、网络系统有关。被害人使用的系统、犯罪嫌疑人使用的系统、其他网络中间节点以及相关场所、环境都应属于网络犯罪现场。网络犯罪案件的复杂性使得网络犯罪案件的现场确定更为重要,并与传统刑事犯罪现场有较大的区别。从空间上看,可以把网络犯罪现场分为本地现场和远程现场。
1.1 本地现场的确定
本地现场的确定相对而言比较简单,可以理解为一般意义上的可控的、可进入的、可操作的本地现场环境。该类犯罪现场主要有两类。一类是犯罪嫌疑人使用过的计算机系统以及该系统所在的物理空间。这类情况中犯罪嫌疑人利用计算机系统作为犯罪工具实施犯罪。另一类是被犯罪嫌疑人攻击或破坏的计算机系统以及该系统所在的物理空间。这类情况计算机系统通常是受害人使用的系统,是犯罪嫌疑人犯罪实施的对象。
1.2 远程现场的确定
网络犯罪常存在多个现场,较为常见的情况是作案在某一个地方,而犯罪结果则出现在另一个地方或其他多个地方。对于网络上的远程现场可以从犯罪结果显现的计算机或被侵害的对象入手。根据ISP系统日志追查犯罪嫌疑人的IP地址,核查主叫号码,对境内号码,再根据主叫号码确定实际地址,从而确定现场。
1.3 网络犯罪现场的确定方法
首先可以确定的是最先发现问题的计算机系统就是犯罪现场。其次,以发现问题的计算机为重点,向联网的其他计算机辐射,并结合有关案件情况来确定犯罪现场。最后,从分析犯罪嫌疑人的作案动机、作案手段及具备的计算机专业知识水平着手,分析可能的作案人、作案用的计算机,进而确定作案现场。
2 网络犯罪现场保护的重难点
由于电子数据、电子介质的易失性以及网络系统的虚拟性、易破坏性,网络犯罪现场保护工作更加需要谨慎细致。网络犯罪现场保护的原则和目的是最大限度地使现场保持案发时的系统及外部环境状态,为现场勘查工作提供良好的环境,同时保证提取证据的原始性。
2.1 及时采取技术保护措施
网络犯罪现场保护不同于传统犯罪现场保护工作划定范围、保护痕迹、物证、尸体等,需要较强的技术性保护,使相关计算机设备保持一个相对独立、隔离的原始状态。现场保护人员首先要及时判断现场是否有继续进行的安全威胁及扩大损害的可能并采取正确的应急处置方法。如判断系统的工作状态,包括开关机状态、网络连接状态、系统运行内容、数据的传递方式和内容等。如果系统受到的安全威胁、损害有进一步扩大或可能导致证据灭失的严重后果,应视情况断开网络,保护网络及其相关设备。在确认当前系统无安全威胁和无继续扩大损害的情况下,应尽量保持系统的原始状态,维持现场最初的开关机状态、网络连接状态、系统运行状态,使内存保留当前系统正在执行的任务、进程、临时文件等信息,排除系统断电等情况,确保系统保持静态,保证系统内易失数据不会损坏。
2.2 控制现场人员
在做好中心现场的技术保护之后,现场保护人员要控制好现场内人员,无论被害人还是犯罪嫌疑人,以及其他无关人员,都不得接触计算机设备及现场电源开关,防止系统状态被改变、系统内文件和数据被增加、删除或修改,防止机内信息和机上的痕迹、物证遭到破坏,要坚决杜绝任何可能使证据灭失的行为发生。在现场人员较多的单位或其他公共场所,要注意隔离在场人员,防止人员相互交流串供。
2.3 保护原始物证
对于现场留存的电子存储介质、纸张及其他证据,要严加保护,未经侦查人员同意,不得随意触碰,也不得带离现场。特殊情况下确实需要带出的,经办案人员允许后才可带出现场,但是必须对所带出物品登记在册,同时详细记录带出者的身份情况及带出时间。
3 网络犯罪现场访问的重难点
网络犯罪主要发生在使用或者涉及计算机网络系统的领域,因此现场访问工作应主要围绕计算机系统来展开。现场访问的对象应主要围绕熟悉了解计算机网络系统的工作人员展开,现场访问的内容也应该围绕计算机系统的基本情况及其使用、维护情况来发现侦查线索。总之,要以涉网工作人员为重点,通过由事到人、由人到现场开展现场访问工作,力争发现有价值的侦查线索。
3.1 现场访问的对象
一般来说,计算机网络系统工作人员是直接接触网络系统的人,他们往往最早发现网络被侵犯,最容易察觉到犯罪行为的先兆。因此网络犯罪现场访问的对象主要是计算机系统操作人员、分管领导、技术维护人员等。网络犯罪内部人员作案情况较多,要全面调查计算机网络系统工作人员的档案,了解其基本情况,并结合现场勘验检查情况寻找侦查线索。对于外部人员的调查,可重点调查具有作案技能的相关人员或与之有业务联系的外部人员。另外,可从犯罪结果反映出的作案动机来确定重点访问人员,因为作案人往往是从犯罪结果中直接或间接获益的人。
3.2 现场访问的重点内容
现场访问的内容应围绕计算机系统的基本情况及知情人员的情况来展开。首先应对计算机的基本情况进行调查了解。如计算机系統有无密码,计算机内存储的数据文件情况,安装软件情况,计算机是否出现过故障,维修的时间和次数等。其次要对接触使用该计算机设备的人员情况进行访问。如能接近并操纵该计算机系统的人员,可能了解系统密码的人员,可能利用值班、学习等机会使用该系统的人员,曾经维修过计算机系统的人员情况。在访问中,要充分考虑到被访问者的计算机技术水平,对只是一般了解计算机系统的人员访问时,要尽量避免使用过于专业的词汇,多使用描述性的语言。
4 网络犯罪现场勘验检查的重难点
由于网络犯罪的特殊性,致使该类型案件犯罪现场勘查的重难点与传统犯罪现场勘验检查有很大不同,其规范性、专业性要求更高。尽管网络犯罪行为侵犯的是虚拟世界中的比特数据,但犯罪嫌疑人在实施侵犯行为的过程中必须要使用计算机等物理设备,这些设备总是存在于一定的物理空间内,这就为该类犯罪现场的勘验检查提供了可能条件。同时要求进行网络犯罪现场勘验检查的人员必须具备计算机现场勘查的专业知识和技能。根据网络犯罪现场的分类,网络犯罪的勘验检查工作主要分为本地现场勘查和远程现场勘查两大类。
4.1 本地现场勘查
本地现场勘查主要是对犯罪嫌疑人所操作的计算机、附属外部设备,以及周边空间环境的勘验检查。对于大多数网络犯罪案件来说,对本地现场勘查是查获线索、取得原始证据的重点工作。由于本地现场勘查工作存在很多不确定因素,因此勘查的难度较高。主要勘查本地存留的主机或服务器、打印机及其他附属输出设备、网络连接设备等系统设备的机内电子数据。另外还包括计算机系统所在的物理空间、硬件设备的物理状态及特性、打印或书写的有关计算机系统信息的纸张,系统周边的线缆和接口等网络连接状态,现场留存的可能存储有可疑文件的移动存储设备和介质等。
4.2 远程现场勘查
远程现场勘查主要是通过网络对远程目标系统实施勘验、检查,也就是针对犯罪嫌疑人在网上操作时,所形成的数据节点信息进行收集,以提取、固定远程目标系统的状态和存留的内容。如E-mail服务器、网站主机、即时通信服务器上的保留信息等。网站的信息本身可能会随着时间推移而更新,因此对网页信息的固定也应具有连续性。另外,可设法通过网站信息获取对方的真实IP地址,从而确定犯罪嫌疑人的位置信息。
4.3 现场勘验检查过程中需要注意的问题
在网络犯罪现场勘验检查过程中的所有操作,都应当保证计算机相关设备内的原始数据不被修改和覆盖。要清楚、完整地拷贝所获取的文件及文件载体,如硬盘、优盘等,以保证复制合法有效、原始证据没有被破坏。对不能停止运行的计算机信息系统,要在短时间内完成现场电子数据的备份工作。对现场所有与案件有关的计算机信息系统的硬件、文件资料、磁盘等要做好标记工作,并注意搜寻包含用户标识和密码的文件资料。同时应当采用录像、照相、截取计算机屏幕内容等方式记录现场勘验检查过程中提取、生成电子证据等关键步骤。
5 网络犯罪现场分析的重难点
对网络犯罪现场的分析,关键要将计算机系统外部线索与计算机内部信息互相结合,各方面信息互为补充、互相映射和关联,进行综合分析,从而确定案件性质和下一步侦查方向。
5.1 通过网络数据信息变化情况分析案件性质
应围绕犯罪的核心要件对案件性质进行分析。比如,在分析非法侵入、破坏计算机网络系统的犯罪现场时,可直接针对第一次尝试攻击行为的开始时间、技术手段、相应安全设备报警记录,到正式攻击开始的时间、IP(或代理IP)地址、技术手段,再到攻击完成后对系统日志的破坏方式、手法等这一完整的犯罪过程展开分析。另一方面,对于一些隐含网络犯罪的变造、伪装现场,如嫌疑人通过暴力手段侵占了被害人的计算机、网络设备中的有价值数据信息,侦查人员要紧盯疑点不放松,查明现场痕迹物证与犯罪行为之间存在的错乱逻辑关系,通过侦查假设排除嫌疑人伪装现场的表面原因,继而在被害人的计算机、网络设备中进行历史数据分析。通过分析被害人的网络数据信息变化情况,网络关系人、利益人的活动轨迹,确定嫌疑人真正的犯罪动机和实施犯罪的行为过程,进而确定案件性质。
5.2 将外部线索和机内相关信息充分关联和映射
要注意将外部线索和机内相关信息充分关联和映射。一方面可以通过外部线索挖掘机内相关信息。对于经常使用计算机的人员来说,外部现场的遗留痕迹很大程度上可以与其在计算机内留下的数据信息进行关联和映射。侦查人员通过合理演绎计算机外部线索如文件、书籍、票据、使用工具等情况,尝试从嫌疑人使用的电脑中查找相关涉案信息,为揭开嫌疑人真面目提供重要线索。另一方面,可通过计算机系统线索,核实查找外部隐藏线索。网络犯罪案件中,外部现场的线索可能比较模糊且容易被人忽略。侦查人员可对计算机内部线索进行梳理分析,继而关联外部現场的某些细节,进一步验证外部线索的真实性。
5.3 通过涉网证据信息分析嫌疑人特征
通过涉网证据信息来分析嫌疑人特征。一是分析嫌疑人的心理特征。一个人在网络上的行为不受客观世界道德伦理、熟人社会的监督和约束,更能自由地表现其兴趣爱好、性格特点、心智能力等主观本源性特征。嫌疑人在实施网络犯罪时,遗留在计算机及网络系统中的某些数据信息常常会反映出他的一些心理特征。为此,侦查人员应从网络犯罪现场获取的某些涉网证据信息入手,如嫌疑人的涉案QQ号、微信等社交工具聊天记录,个人QQ主页、微博主页等,综合分析嫌疑人的心理特征,对嫌疑人进行心理画像,从而为下一步确定侦查范围和侦查重点指明方向。二是分析嫌疑人的行为特征。对于网络犯罪而言,尽管绝大多数嫌疑人以虚拟身份在网络中按照自己的喜好和需求进行相应的网络操作,但作为现实世界中的自然人必然有其独特的行为模式和行为习惯。侦查人员可以从获取的大量涉网证据信息中,寻找发现、分析总结出嫌疑人的网络行为特征,网络技术掌握水平,是初犯还是资深惯犯等信息,继而为打开案件突破口,圈定犯罪嫌疑人提供有力支撑。
参考文献
[1] 蒋占卿.计算机网络犯罪案件“虚拟空间”现场勘查研究[J].中国人民公安大学学报,2003(06).
[2] 吴标,刘冲.试论现场勘查理念变化[J].北京警察学院学报,2019(2).
[3] 米佳,赵明生.网络犯罪侦查[M].中国人民公安大学出版社,2014(11).