網絡犯罪現場電子證據提取的技術要點分析

摘 要 網絡犯罪案件發案率高、偵破難度大，是近幾年困擾公安機關的難題。其中最主要的原因還在于電子證據提取的難度大、不容易固定和保存，特別是網絡犯罪現場的電子數據。網絡犯罪現場情況復雜、范圍不容易固定、證據類型多，并且現場電子數據尤其容易被破壞和丟失。本文就目前常見的網絡犯罪案件現場勘查流程為線索，分析其中常被忽略的細節，提出可以采取的技術手段和有效處理相關問題的方式方法。

關鍵詞 網絡犯罪 電子證據提取 現場勘查

作者簡介：秦志紅，河南警察學院信息安全系，研究方向：網絡安全、網絡犯罪偵查。

中圖分類號：D918 文獻標識碼：A 文章編號：1009-0592（2016）03-293-02

隨著計算機、手機等電子產品的逐漸普及，與之有關的犯罪案件逐年增多。作為一類新型的高科技犯罪，網絡犯罪的表現形態五花八門，而網絡空間的虛擬性和電子證據的易失性也加大了此類案件的偵破難度。為了應對日益嚴峻的現實，要求相關人員提高網絡犯罪偵查的能力。其中，犯罪現場電子證據的提取是網絡犯罪偵查中至關重要而又不容易掌握的一項技能。

現場是案事件發生的地點，往往遺留有較多的痕跡物證。合理有效的處置現場，盡最大可能保護線索、提取證據對整個案事件的處理具有重要的意義。由于網絡的互聯性使得遺留有電子證據的場所分布廣泛，既包括傳統現場即物理空間，又包括非傳統意義的場所即虛擬空間，也就是網絡犯罪現場的空間跨度性較大。另外，現場的空間跨度也導致了時間的連續性，會存在第一時間現場、第二時間現場等，多個現場在時間上有嚴格的連續性。同時，網絡犯罪現場處理中還要考慮電子證據的復雜性、脆弱性、時效性等特點。

本文就勘驗、提取、固定現場留存的電子證據為線索，分析在此過程中需要關注的技術要點。

一、網絡犯罪現場勘查的步驟

與普通的案件處理類似，網絡犯罪現場勘查也有一定的規范、原則和方法步驟。一般來說，可以分為事前準備、現場保護、現場勘查取證、扣押等步驟。

（一）事前準備

鑒于網絡犯罪的特殊性，一般來說針對電子數據的現場勘查和取證要一次完成，這就要求在進入現場以前做好充分的準備。指揮人員必須提前確定由哪些人員進入現場、需要攜帶哪些設備、如何制定預案、有哪些注意事項等一系列問題。全面的了解案情并且掌握案件的性質和相關的技術特點是做好充分準備的前提。通過分析案情，可以推斷現場可能存在的電子設備、所安裝的操作系統等信息。不同類型的案件，現場勘查的側重點是不同的，當然準備的工具、人員的技術要求、預案等都不盡相同。

（二）現場保護

通過保護現場可以保護證據并保存與犯罪現場機密有關的信息。隔離帶是保護現場的常用方式，可以防止旁觀者進入現場。然而，由于網絡犯罪案件的地域特點，現場的范圍很難確定，往往會涉及更大的范圍。此時，就要盡快找到相關的現場，并進行保護。一般來說，事前準備階段就需要對現場范圍有個大致的確定。

現場保護可分為控制現場和固定現場。控制現場的目的是保證現場盡可能的不被破壞，這點對于留存有電子物證的網絡犯罪現場尤其重要；固定現場就是對現場所涉及到的電子物證拍照、繪制網絡拓撲圖等方式進行固定，便于在網絡偵查實驗時完整的還原現場。

（三）現場勘查取證

網絡犯罪的現場包括外部現場和內部現場。外部現場勘查與普通案件類似，檢查現場遺留的足跡、指紋、毛發、血跡等需要刑事技術專業人員執行；檢查電子設備、磁記錄物品、網絡線路等痕跡則由專門從事網絡犯罪案件偵查的人員來執行。內部現場勘查主要針對電子設備內部的數據進行調查、取證和分析，因此大部分情況下，需要專門的技術人員甚至聘請有能力的專家來執行。另外，類似網絡賭博、網絡吸販毒類案件的犯罪現場往往不在本地，則需要通過網絡進行遠程現場勘查。

（四）扣押

現場的電子物證如果有證據效力，需要當場封存扣押并運輸到特定位置進行保存。網絡犯罪案件的證物涉及到大量的電子產品，其封存、運輸的方式與普通物證有所不同。防震、防磁、防靜電是基本要求；封裝時盡可能不拆卸，否則要清晰的標記好所對應的接口；運輸過程中要考慮到不同設備的抗壓力，同時遠離磁場也是必須要考慮的。

二、技術要點

前面介紹了網絡犯罪現場勘驗的基本步驟，盡管按照流程可以規范的對現場進行處理，但是在處理的過程中了解一些關注點并采取一定的技術手段可以提高證據獲取的準確度，對網絡犯罪案件能夠順利偵破起到至關重要的作用。

（一）充分的預案

在進入現場以前，需要考慮到各種可能發生的情況。制定充分的預案是最有必要也是最實用的事前準備手段。制定預案可以從進入現場、人員分配、現場搜查等方面考慮。

在進入現場預案中，要盡量得到待勘查地區的圖紙，特別是網絡拓撲圖。這樣就很有可能查明現場計算機的類型、數量和網絡結構以及其它電子設備，能夠明了所涉及的操作系統、軟件功能，對于配備何種技術人員就有了大致的方向，也可以明確進入現場需要攜帶哪些專業的軟硬件工具。

人員分配預案是所有類型的案件都需要的，但是網絡犯罪案件需要有幾點特別注意：第一，案件總指揮要具備一定的涉網案件偵查能力，能夠了解偵查小組中每個成員的技術優勢和特點；第二，安全保障需要保護犯罪現場和參與現場偵查人員的安全，特別是專門聘請的技術專家的安全；第三，現場勘查人員必須要精于計算機取證技術，能夠準確識別并快速分析提取網絡犯罪現場遺留的電子證物，并能夠對電子證物進行固定和保護，需要注意的是技術人員不是全能，案件總指揮要根據預案確定對該類型網絡犯罪案件現場最了解、技術最熟練的相關人員參與；第四，詢問人員要掌握一些專業術語，便于和專業的犯罪嫌疑人斗智斗勇。

現場搜查之前，需要明確幾點：首先，需要劃定多大的范圍。這個要和前面提到的進入現場預案相結合，根據現場拓撲圖，判斷案件涉及的現場有多大、有幾個現場、在勘查的時候應該以哪種順序進行等。其次，評估現場人員的技術水平，有沒有可能在系統中安裝有自毀程序，有沒有可能遠程控制現場設備，如果存在這種可能性，則在進入現場以前聯系相關部門切斷網絡或電源。

（二）采取多種手段保證現場不被破壞

網絡犯罪現場的脆弱性是顯而易見的，因此需要特別注意對現場的保護，防止現場被破壞。破壞現場的因素有很多，犯罪嫌疑人會故意破壞現場，現場勘驗人員會無意破壞現場，電子設備的特性也會導致現場痕跡的缺失。而采取有效的技術手段則可以避免或減少這些破壞的發生。

首先，網絡犯罪的嫌疑人往往高智商、有技術，他們可能會通過網絡遠程控制現場或者安裝后門程序銷毀現場。所以，除非需要遠程現場勘查，否則就及時的切斷網絡。另外，現場的詢問也非常重要，高學歷的犯罪嫌疑人會有較強的反偵查意識，在現場處于驚慌失措的情況下，要立即向對方了解電子設備所涉及的賬號、密碼、軟件用途等信息，并錄音、錄像作證據。

其次，參與現場調查的人員要充分了解網絡犯罪現場，不能因為自己的疏忽而破壞了現場。最容易忽略的有以下幾方面：電子設備不管處于何種狀態，都不要輕易變動，等固定現場后由專家或勘驗小組協商后再處理；如果處于開機狀態，首先要做的是屏幕拍照，然后再提取證物，系統正在運行的程序，不要關閉，同時也不要打開任何其他的程序；電子證據提取并固定完以后，需要關閉系統時，會遇到關閉諸如電子文檔的軟件，如果是犯罪嫌疑人還沒來得及保存的文檔，要采取“另存為”的方式。

最后，現場可能會有監控、錄音等設備，一定要立即停止；系統中安裝有磁盤整理程序、定時殺毒軟件、痕跡清理工具等要關注他們的啟動時間并暫停運行。

（三）證物搜查過程中的要點

首先，不要忽略無線網絡的覆蓋范圍。無線網絡是近幾年迅速發展的網絡中繼，因為線路的無形性導致設置搜查范圍時很容易忽略。目前常用的無線網絡有藍牙、WiFi和移動上網。藍牙的覆蓋范圍在10米以內，WiFi一般不超過80米，而移動上網需要結合附近的基站。根據他們的特性，在能夠輻射的范圍內搜查可能連接的電子設備并提取其電子數據。

其次，潛在證據也能發揮重要作用。一些被忽略的潛在證據可能留存有有效數據，在搜查時要重視。例如廢棄的打印機色帶上會有上次的打印內容；不同的紙張可以區別來自于哪臺打印機；折斷的磁卡、SIM卡上都可能提取出數據；電子設備的說明書、驅動程序光盤可以幫助技術人員順利掌握設備的使用方法。

（四）必要時要進行在線勘查

為了維持案發現場的電子數據不發生改變，防止證據被破壞，通常的做法是固定現場并封存證物，進一步的數據提取會到專業實驗室來完成。但是，這種做法也會導致未寫入硬盤的數據和網絡流動數據的丟失。如果經過現場專家評估后認為這些數據非常關鍵，則需要進行在線勘查。在線勘查的技術要求非常高，一般是需要精通計算機取證的專業人員來進行。在此過程中有幾點需要關注。

首先，一定不要使用目標設備中的程序來做數據勘查和提取。例如，cmd.exe在任何一臺Windows操作系統的設備中都存在，但是很多網絡入侵案件的cmd.exe是被攻擊者替換過的；另外如果技術人員使用了設備中的文件，也會導致文件的時間戳發生改變，對現場造成一定的破壞。

其次，用于提取數據的軟件要盡可能的小。在線勘查不可避免的需要破壞一部分內存或磁盤的現場，很顯然所使用的軟件越大，所占用空間就越大，要盡量不進行虛擬內存交換。一般情況下，要采用命令行程序而非圖形界面程序。所使用的軟件需要從U盤、光盤啟動，而不是安裝到目標系統中。

最后，為了保證所提取數據的有效性，最好整個過程有犯罪嫌疑人的全程參與并錄像，提取完成后要進行MD5等數字簽名固定證據，并且結果要由犯罪嫌疑人簽字認可。如果無法確定犯罪嫌疑人，則需要兩名以上的技術人員或見證人共同參與完成整個過程。

三、結語

在進行電子證據提取的過程中，及時準確的作出判斷并采用應對措施是非常必要的。綜上所述，本文通過研究網絡犯罪案件現場勘查的基本流程，總結出在此過程中需要采取的方式方法，并提煉出技術要點，為相關人員在操作中提供參考，加快網絡犯罪案件的偵查進度，降低此類案件的偵破難度。當然，網絡犯罪案件的現場往往情況比較復雜，偵查取證人員會面臨不同的設備、網絡環境和系統環境；同時，隨著新技術的應用，與之有關的新型網絡犯罪也會出現，需要我們不斷研究并歸納總結，及時提出新的應對策略。

參考文獻：

[1]米佳、趙明生.網絡犯罪偵查.北京：中國人民公安大學出版社.2014.

[2]孫曉冬.網絡犯罪偵查.北京：清華大學出版社.2014.

[3]蔣占卿.計算機網絡犯罪案件“虛擬空間”現場勘查研究.中國人民公安大學學報.2003（6）.