網(wǎng)絡(luò)犯罪現(xiàn)場電子證據(jù)提取的技術(shù)要點(diǎn)分析

網(wǎng)絡(luò)犯罪現(xiàn)場電子證據(jù)提取的技術(shù)要點(diǎn)分析摘要網(wǎng)絡(luò)犯罪案件發(fā)案率高、偵破難度大，是近幾年困擾公安機(jī)關(guān)的難題。其中最主要的原因還在于電子證據(jù)提取的難度大、不容易固定和保存，特別是網(wǎng)絡(luò)犯罪現(xiàn)場的電子數(shù)據(jù)。網(wǎng)絡(luò)犯罪現(xiàn)場情況復(fù)雜、范圍不容易固定、證據(jù)類型多，并且現(xiàn)場電子數(shù)據(jù)尤其容易被破壞和喪失。本文就目前常見的網(wǎng)絡(luò)犯罪案件現(xiàn)場勘查流程為線索，分析其中常被忽略的細(xì)節(jié)，提出可以采取的技術(shù)手段和有效處理相關(guān)問題的方式方法。關(guān)鍵詞網(wǎng)絡(luò)犯罪電子證據(jù)提取現(xiàn)場勘查平安平安、網(wǎng)絡(luò)犯罪偵查。中圖分類號：D918文獻(xiàn)標(biāo)識(shí)碼：A文章編號：1009-0592〔2022〕03-293-02隨著計(jì)算機(jī)、等電子產(chǎn)品的逐漸普及，與之有關(guān)的犯罪案件逐年增多。作為一類新型的高科技犯罪，網(wǎng)絡(luò)犯罪的表現(xiàn)形態(tài)五花八門，而網(wǎng)絡(luò)空間的虛擬性和電子證據(jù)的易失性也加大了此類案件的偵破難度。為了應(yīng)對日益嚴(yán)峻的現(xiàn)實(shí)，要求相關(guān)人員進(jìn)步網(wǎng)絡(luò)犯罪偵查的才能。其中，犯罪現(xiàn)場電子證據(jù)的提取是網(wǎng)絡(luò)犯罪偵查中至關(guān)重要而又不容易掌握的一項(xiàng)技能?，F(xiàn)場是案事件發(fā)生的地點(diǎn)，往往遺留有較多的痕跡物證。合理有效的處置現(xiàn)場，盡最大可能保護(hù)線索、提取證據(jù)對整個(gè)案事件的處理具有重要的意義。由于網(wǎng)絡(luò)的互聯(lián)性使得遺留有電子證據(jù)的場所分布廣泛，既包括傳統(tǒng)現(xiàn)場即物理空間，又包括非傳統(tǒng)意義的場所即虛擬空間，也就是網(wǎng)絡(luò)犯罪現(xiàn)場的空間跨度性較大。另外，現(xiàn)場的空間跨度也導(dǎo)致了時(shí)間的連續(xù)性，會(huì)存在第一時(shí)間現(xiàn)場、第二時(shí)間現(xiàn)場等，多個(gè)現(xiàn)場在時(shí)間上有嚴(yán)格的連續(xù)性。同時(shí)，網(wǎng)絡(luò)犯罪現(xiàn)場處理中還要考慮電子證據(jù)的復(fù)雜性、脆弱性、時(shí)效性等特點(diǎn)。本文就勘驗(yàn)、提取、固定現(xiàn)場留存的電子證據(jù)為線索，分析在此過程中需要關(guān)注的技術(shù)要點(diǎn)。一、網(wǎng)絡(luò)犯罪現(xiàn)場勘查的步驟與普通的案件處理類似，網(wǎng)絡(luò)犯罪現(xiàn)場勘查也有一定的標(biāo)準(zhǔn)、原那么和方法步驟。一般來說，可以分為事前準(zhǔn)備、現(xiàn)場保護(hù)、現(xiàn)場勘查取證、扣押等步驟?！惨弧呈虑皽?zhǔn)備鑒于網(wǎng)絡(luò)犯罪的特殊性，一般來說針對電子數(shù)據(jù)的現(xiàn)場勘查和取證要一次完成，這就要求在進(jìn)入現(xiàn)場以前做好充分的準(zhǔn)備。指揮人員必須提早確定由哪些人員進(jìn)入現(xiàn)場、需要攜帶哪些設(shè)備、如何制定預(yù)案、有哪些本卷須知等一系列問題。全面的理解案情并且掌握案件的性質(zhì)和相關(guān)的技術(shù)特點(diǎn)是做好充分準(zhǔn)備的前提。通過分析案情，可以推斷現(xiàn)場可能存在的電子設(shè)備、所安裝的操作系統(tǒng)等信息。不同類型的案件，現(xiàn)場勘查的側(cè)重點(diǎn)是不同的，當(dāng)然準(zhǔn)備的工具、人員的技術(shù)要求、預(yù)案等都不盡一樣?！捕超F(xiàn)場保護(hù)通過保護(hù)現(xiàn)場可以保護(hù)證據(jù)并保存與犯罪現(xiàn)場機(jī)密有關(guān)的信息。隔離帶是保護(hù)現(xiàn)場的常用方式，可以防止旁觀者進(jìn)入現(xiàn)場。然而，由于網(wǎng)絡(luò)犯罪案件的地域特點(diǎn)，現(xiàn)場的范圍很難確定，往往會(huì)涉及更大的范圍。此時(shí)，就要盡快找到相關(guān)的現(xiàn)場，并進(jìn)展保護(hù)。一般來說，事前準(zhǔn)備階段就需要對現(xiàn)場范圍有個(gè)大致確實(shí)定?，F(xiàn)場保護(hù)可分為控制現(xiàn)場和固定現(xiàn)場?？刂片F(xiàn)場的目的是保證現(xiàn)場盡可能的不被破壞，這點(diǎn)對于留存有電子物證的網(wǎng)絡(luò)犯罪現(xiàn)場尤其重要；固定現(xiàn)場就是對現(xiàn)場所涉及到的電子物證拍照、繪制網(wǎng)絡(luò)拓?fù)鋱D等方式進(jìn)展固定，便于在網(wǎng)絡(luò)偵查實(shí)驗(yàn)時(shí)完好的復(fù)原現(xiàn)場?！踩超F(xiàn)場勘查取證網(wǎng)絡(luò)犯罪的現(xiàn)場包括外部現(xiàn)場和內(nèi)部現(xiàn)場。外部現(xiàn)場勘查與普通案件類似，檢查現(xiàn)場遺留的足跡、指紋、毛發(fā)、血跡等需要刑事技術(shù)專業(yè)人員執(zhí)行；檢查電子設(shè)備、磁記錄物品、網(wǎng)絡(luò)線路等痕跡那么由專門從事網(wǎng)絡(luò)犯罪案件偵查的人員來執(zhí)行。內(nèi)部現(xiàn)場勘查主要針對電子設(shè)備內(nèi)部的數(shù)據(jù)進(jìn)展調(diào)查、取證和分析，因此大部分情況下，需要專門的技術(shù)人員甚至聘請有才能的專家來執(zhí)行。另外，類似網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)吸販毒類案件的犯罪現(xiàn)場往往不在本地，那么需要通過網(wǎng)絡(luò)進(jìn)展遠(yuǎn)程現(xiàn)場勘查?！菜摹晨垩含F(xiàn)場的電子物證假設(shè)有證據(jù)效力，需要當(dāng)場封存扣押并運(yùn)輸?shù)教囟ㄎ恢眠M(jìn)展保存。網(wǎng)絡(luò)犯罪案件的證物涉及到大量的電子產(chǎn)品，其封存、運(yùn)輸?shù)姆绞脚c普通物證有所不同。防震、防磁、防靜電是根本要求；封裝時(shí)盡可能不拆卸，否那么要明晰的標(biāo)記好所對應(yīng)的接口；運(yùn)輸過程中要考慮到不同設(shè)備的抗壓力，同時(shí)遠(yuǎn)離磁場也是必需要考慮的。二、技術(shù)要點(diǎn)前面介紹了網(wǎng)絡(luò)犯罪現(xiàn)場勘驗(yàn)的根本步驟，盡管按照流程可以標(biāo)準(zhǔn)的對現(xiàn)場進(jìn)展處理，但是在處理的過程中理解一些關(guān)注點(diǎn)并采取一定的技術(shù)手段可以進(jìn)步證據(jù)獲取的準(zhǔn)確度，對網(wǎng)絡(luò)犯罪案件可以順利偵破起到至關(guān)重要的作用?！惨弧吵浞值念A(yù)案在進(jìn)入現(xiàn)場以前，需要考慮到各種可能發(fā)生的情況。制定充分的預(yù)案是最有必要也是最實(shí)用的事前準(zhǔn)備手段。制定預(yù)案可以從進(jìn)入現(xiàn)場、人員分配、現(xiàn)場搜尋等方面考慮。在進(jìn)入現(xiàn)場預(yù)案中，要盡量得到待勘查地區(qū)的圖紙，特別是網(wǎng)絡(luò)拓?fù)鋱D。這樣就很有可能查明現(xiàn)場計(jì)算機(jī)的類型、數(shù)量和網(wǎng)絡(luò)構(gòu)造以及其它電子設(shè)備，可以明了所涉及的操作系統(tǒng)、軟件功能，對于裝備何種技術(shù)人員就有了大致的方向，也可以明確進(jìn)入現(xiàn)場需要攜帶哪些專業(yè)的軟硬件工具。人員分配預(yù)案是所有類型的案件都需要的，但是網(wǎng)絡(luò)犯罪案件需要有幾點(diǎn)特別注意：第一，案件總指揮要具備一定的涉網(wǎng)案件偵查才能，可以理解偵查小組中每個(gè)成員的技術(shù)優(yōu)勢和特點(diǎn)；第二，平安保障需要保護(hù)犯罪現(xiàn)場和參與現(xiàn)場偵查人員的平安，特別是專門聘請的技術(shù)專家的平安；第三，現(xiàn)場勘查人員必需要精于計(jì)算機(jī)取證技術(shù)，可以準(zhǔn)確識(shí)別并快速分析提取網(wǎng)絡(luò)犯罪現(xiàn)場遺留的電子證物，并可以對電子證物進(jìn)展固定和保護(hù)，需要注意的是技術(shù)人員不是全能，案件總指揮要根據(jù)預(yù)案確定對該類型網(wǎng)絡(luò)犯罪案件現(xiàn)場最理解、技術(shù)最純熟的相關(guān)人員參與；第四，詢問人員要掌握一些專業(yè)術(shù)語，便于和專業(yè)的犯罪嫌疑人斗智斗勇?，F(xiàn)場搜尋之前，需要明確幾點(diǎn)：首先，需要?jiǎng)澏ǘ啻蟮姆秶?。這個(gè)要和前面提到的進(jìn)入現(xiàn)場預(yù)案相結(jié)合，根據(jù)現(xiàn)場拓?fù)鋱D，判斷案件涉及的現(xiàn)場有多大、有幾個(gè)現(xiàn)場、在勘查的時(shí)候應(yīng)該以哪種順序進(jìn)展等。其次，評估現(xiàn)場人員的技術(shù)程度，有沒有可能在系統(tǒng)中安裝有自毀程序，有沒有可能遠(yuǎn)程控制現(xiàn)場設(shè)備，假設(shè)存在這種可能性，那么在進(jìn)入現(xiàn)場以前聯(lián)絡(luò)相關(guān)部門切斷網(wǎng)絡(luò)或電源。網(wǎng)絡(luò)犯罪現(xiàn)場的脆弱性是顯而易見的，因此需要特別注意對現(xiàn)場的保護(hù)，防止現(xiàn)場被破壞。破壞現(xiàn)場的因素有很多，犯罪嫌疑人會(huì)成心破壞現(xiàn)場，現(xiàn)場勘驗(yàn)人員會(huì)無意破壞現(xiàn)場，電子設(shè)備的特性也會(huì)導(dǎo)致現(xiàn)場痕跡的缺失。而采取有效的技術(shù)手段那么可以防止或減少這些破壞的發(fā)生。首先，網(wǎng)絡(luò)犯罪的嫌疑人往往高智商、有技術(shù)，他們可能會(huì)通過網(wǎng)絡(luò)遠(yuǎn)程控制現(xiàn)場或者安裝后門程序銷毀現(xiàn)場。所以，除非需要遠(yuǎn)程現(xiàn)場勘查，否那么就及時(shí)的切斷網(wǎng)絡(luò)。另外，現(xiàn)場的詢問也非常重要，高學(xué)歷的犯罪嫌疑人會(huì)有較強(qiáng)的反偵查意識(shí)，在現(xiàn)場處于驚慌失措的情況下，要立即向?qū)Ψ嚼斫怆娮釉O(shè)備所涉及的賬號、密碼、軟件用途等信息，并錄音、錄像作證據(jù)。其次，參與現(xiàn)場調(diào)查的人員要充分理解網(wǎng)絡(luò)犯罪現(xiàn)場，不能因?yàn)樽约旱暮雎远茐牧爽F(xiàn)場。最容易忽略的有以下幾方面：電子設(shè)備不管處于何種狀態(tài)，都不要輕易變動(dòng)，等固定現(xiàn)場后由專家或勘驗(yàn)小組協(xié)商后再處理；假設(shè)處于開機(jī)狀態(tài)，首先要做的是屏幕拍照，然后再提取證物，系統(tǒng)正在運(yùn)行的程序，不要關(guān)閉，同時(shí)也不要翻開任何其他的程序；電子證據(jù)提取并固定完以后，需要關(guān)閉系統(tǒng)時(shí)，會(huì)遇到關(guān)閉諸如電子文檔的軟件，假設(shè)是犯罪嫌疑人還沒來得及保存的文檔，要采取“另存為〞的方式。最后，現(xiàn)場可能會(huì)有監(jiān)控、錄音等設(shè)備，一定要立即停頓；系統(tǒng)中安裝有磁盤整理程序、定時(shí)殺毒軟件、痕跡清理工具等要關(guān)注他們的啟動(dòng)時(shí)間并暫停運(yùn)行?！踩匙C物搜尋過程中的要點(diǎn)首先，不要忽略無線網(wǎng)絡(luò)的覆蓋范圍。無線網(wǎng)絡(luò)是近幾年迅速開展的網(wǎng)絡(luò)中繼，因?yàn)榫€路的無形性導(dǎo)致設(shè)置搜尋范圍時(shí)很容易忽略。目前常用的無線網(wǎng)絡(luò)有藍(lán)牙、WiFi和挪動(dòng)上網(wǎng)。藍(lán)牙的覆蓋范圍在10米以內(nèi)，WiFi一般不超過80米，而挪動(dòng)上網(wǎng)需要結(jié)合附近的基站。根據(jù)他們的特性，在可以輻射的范圍內(nèi)搜尋可能連接的電子設(shè)備并提取其電子數(shù)據(jù)。其次，潛在證據(jù)也能發(fā)揮重要作用。一些被忽略的潛在證據(jù)可能留存有有效數(shù)據(jù)，在搜尋時(shí)要重視。例如廢棄的打印機(jī)色帶上會(huì)有上次的打印內(nèi)容；不同的紙張可以區(qū)別來自于哪臺(tái)打印機(jī)；折斷的磁卡、SIM卡上都可能提取出數(shù)據(jù)；電子設(shè)備的說明書、驅(qū)動(dòng)程序光盤可以幫助技術(shù)人員順利掌握設(shè)備的使用方法?！菜摹潮匾獣r(shí)要進(jìn)展在線勘查為了維持案發(fā)現(xiàn)場的電子數(shù)據(jù)不發(fā)生改變，防止證據(jù)被破壞，通常的做法是固定現(xiàn)場并封存證物，進(jìn)一步的數(shù)據(jù)提取會(huì)到專業(yè)實(shí)驗(yàn)室來完成。但是，這種做法也會(huì)導(dǎo)致未寫入硬盤的數(shù)據(jù)和網(wǎng)絡(luò)流動(dòng)數(shù)據(jù)的喪失。假設(shè)經(jīng)過現(xiàn)場專家評估后認(rèn)為這些數(shù)據(jù)非常關(guān)鍵，那么需要進(jìn)展在線勘查。在線勘查的技術(shù)要求非常高，一般是需要精通計(jì)算機(jī)取證的專業(yè)人員來進(jìn)展。在此過程中有幾點(diǎn)需要關(guān)注。首先，一定不要使用目的設(shè)備中的程序來做數(shù)據(jù)勘查和提取。例如，cmd.exe在任何一臺(tái)Windows操作系統(tǒng)的設(shè)備中都存在，但是很多網(wǎng)絡(luò)入侵案件的cmd.exe是被攻擊者交換過的；另外假設(shè)技術(shù)人員使用了設(shè)備中的文件，也會(huì)導(dǎo)致文件的時(shí)間戳發(fā)生改變，對現(xiàn)場造成一定的破壞。其次，用于提取數(shù)據(jù)的軟件要盡可能的小。在線勘查不可防止的需要破壞一部分內(nèi)存或磁盤的現(xiàn)場，很顯然所使用的軟件越大，所占用空間就越大，要盡量不進(jìn)展虛擬內(nèi)存交換。一般情況下，要采用命令行程序而非圖形界面程序。所使用的軟件需要從U盤、光盤啟動(dòng)，而不是安裝到目的系統(tǒng)中。最后，為了保證所提取數(shù)據(jù)的有效性，最好整個(gè)過程有犯罪嫌疑人的全程參與并錄像，提取完成后要進(jìn)展MD5等數(shù)字簽名固定證據(jù)，并且結(jié)果要由犯罪嫌疑人簽字認(rèn)可。假設(shè)無法確定犯罪嫌疑人，那么需要兩名以上的技術(shù)人員或見證人共同參與完成整個(gè)過程。三、結(jié)語在進(jìn)展電子證據(jù)提取的過程中，及時(shí)準(zhǔn)確的作出判斷并采用應(yīng)對措施是非常必要的。綜上所述，本文通過研究網(wǎng)絡(luò)犯罪案件現(xiàn)場勘查的根本流程，總結(jié)出在此過程中需要采取的方式方法，并提煉出技術(shù)要點(diǎn)，為相關(guān)人員在操作中提供參考，加快網(wǎng)絡(luò)犯罪案件的偵查進(jìn)度，降低此類案件的偵破難度。當(dāng)然，網(wǎng)絡(luò)犯罪案件的現(xiàn)場往往情況比較復(fù)雜，偵查取證人員會(huì)面臨