利用電子數據檢驗成功偵破系列盜竊汽車案件

摘 要：21世紀是互聯網的時代，在計算機為社會帶來巨大效益的同時，也產生了各類利用互聯網實施的計算機犯罪，它具有隱蔽性、全球性、時空分離性和智能性等特點，給我們公安部門調查發現取證工作帶來了相當的難度。正所謂“魔高一尺，道高一丈”，做好電子數據檢驗工作，是公安工作的當務之急。筆者在本文中淺談一下電子數據的重要性及對其的保護和提取。

關鍵詞：電子數據；分析軟件；偵破

中圖分類號：D918.91 文獻標識碼：A 文章編號：1674-7712 （2014） 04-0000-01

一、案情介紹

2012年末至2013年初，濱海新區**界內發生多起高檔轎車被盜案件，社會影響惡劣。經多方工作，最終抓獲犯罪嫌疑人*某及其同伙。其初步供認：自 2012年末至2013年年初，該團伙多次結伙在濱海新區**界內利用手提電腦結合解碼器（見圖1）。

盜竊多輛高檔轎車，累計價值近人民幣300萬元，性質惡劣。在抓捕嫌疑人*某等人后，我偵查人員查獲了其作案用的手提電腦。但在審訊過程中，嫌疑人自以為案子做的天衣無縫，面對民警的審訊，百般抵賴，態度惡劣，拒不進一步如實交待其作案過程，只是對警方已經掌握的案件須臾承認，審訊工作一時陷入停滯。緊迫的形勢要求我們找到一個“重量級的突破口”，迫使嫌疑人認罪服法。工作的重擔就落在了我刑事技術人員身上。

二、檢驗工作

為了深挖并擴大戰果，我刑事技術人員隨即針對該手提電腦開展電子數據檢驗工作。

第一方案：利用綜合分析軟件很快發現了解碼器對應的解碼軟件和解碼教程，在利用解碼過程分析解碼軟件，希望從中獲得嫌疑人與幾起案件的關系的過程中，涉及解碼過程復雜，涉及對檢驗人、計算機、被解碼汽車結合的問題，時間長、成本高，不利于案件偵破工作。工作出現滯緩狀態。

第二方案：于是改變工作思路，以計算機開關機時間作為突破口。分析后確認的必要條件為：一是嫌疑人實施作案一般在凌晨零點以后；二是嫌疑人作案必須使用筆記本電腦。從而我們著手對嫌疑人使用的筆記本電腦中系統日志文件進行分析，利用電腦開關機時間與嫌疑人作案習慣、手段進行相互印證，工作思路和流程大致如下：

（1）將嫌疑人筆記本內的硬盤拆卸出來，利用只讀接口將該硬盤接入電子物證檢驗工作站；（2）利用資源管理器提取SYSTEM.EVTX文件；（3）利用檢驗工作站內的事件查看器軟件工具打開SYSTEM.EVTX文件。在事件查看器中事件ID不同的數字代表不同的事件過程，在本案中會用到以下四個：事件ID：12代表電腦啟動； 事件ID：13數字代表電腦關閉。事件ID：6005 信息EventLog 事件日志服務已啟動。（開機）事件ID：6006 信息 EventLog 事件日志服務已停止。（關機）；（4）打開的SYSTEM.EVTX文件以后，將“日期和時間”項按照升序排列（見圖2）；（5）對列表中成對出現的事件ID，一般12、6005、6006、13成組出現；（6）將全部零點以后成組出現的12、6005、6006、13的日期和時間記錄下來（見圖3），這些日期和時間就可以對嫌疑人作案的時間和次數進行有效的印證。

掌握上述可靠信息后，偵察員們信心百倍，加大審訊力度，犯罪嫌疑人最終徹底絕望。此案最終成功抓獲盜、銷售機動車團伙成員10余人，破獲涉車案件10余起，涉案價值近300萬元，先后追繳被盜轎車7輛，挽回經濟損失近160萬元。

三、總結

無論案情多么復雜，嫌疑人多多少少都會留下蛛絲馬跡，這就給我們開展偵查檢驗工作提供了辯證思維的強力支持。將那些看似毫無意義的紛繁數據轉變為與違法犯罪分子斗爭的利器，通過媒體化分析調查犯罪行為的來源、手段、途徑，最終取得相關有效證據，從而實現違法犯罪過程的重現。

作者簡介：孫威（1975.09-），男，滿族，遼寧人，畢業天津工業大學，工程師，現就職天津市濱海新區公安局大港分局刑事科學技術研究所；莊辰（1978.07-），男，浙江人，畢業中國刑警學院，工程師，現就職天津市公安局物證鑒定中心。