網(wǎng)絡(luò)犯罪現(xiàn)場勘查的重難點(diǎn)問題研究

王明霞

摘 要 網(wǎng)絡(luò)犯罪現(xiàn)場勘查是開展網(wǎng)絡(luò)犯罪案件刑事偵查工作的基礎(chǔ)和起點(diǎn)，其勘查的結(jié)果直接影響著偵查工作的進(jìn)度及后續(xù)刑事訴訟活動(dòng)的成敗。由于計(jì)算機(jī)系統(tǒng)的復(fù)雜性、網(wǎng)絡(luò)環(huán)境的可變性、電子數(shù)據(jù)的易失性等因素，決定了網(wǎng)絡(luò)犯罪現(xiàn)場勘查必然與傳統(tǒng)刑事案件現(xiàn)場勘查有很大不同。在網(wǎng)絡(luò)犯罪現(xiàn)場勘查過程中，對(duì)犯罪現(xiàn)場的確認(rèn)以及開展現(xiàn)場保護(hù)、現(xiàn)場訪問、現(xiàn)場勘驗(yàn)檢查、現(xiàn)場分析等工作都存在很多重點(diǎn)難點(diǎn)問題，非常值得研究探討。

關(guān)鍵詞 網(wǎng)絡(luò)犯罪 現(xiàn)場勘查 重難點(diǎn)問題

中圖分類號(hào)：D918.4 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A? DOI：10.16400/j.cnki.kjdkz.2020.09.035

Research on the Key and Difficult Issues in the Investigation of Network Crime Scene

WANG Mingxia

（Politics Institute of National Defense University， Xi'an， Shaanxi 710068）

Abstract Network crime scene investigation is the basis and starting point of criminal investigation of network crime cases. The results of investigation directly affect the progress of investigation and the success of subsequent criminal proceedings. Because of the complexity of the computer system， the variability of the network environment， the volatility of electronic data and other factors， the network crime scene investigation is bound to be very different from the traditional criminal case scene investigation. In the process of network crime scene investigation， there are many key and difficult problems in the confirmation of crime scene and the work of on-site protection， on-site visit， on-site inspection and on-site analysis， which are worth studying and discussing.

Keywords cyber crime; site investigation; key and difficult issues

0 引言

網(wǎng)絡(luò)犯罪現(xiàn)場勘查是指在網(wǎng)絡(luò)犯罪現(xiàn)場實(shí)施勘驗(yàn)，以提取、固定現(xiàn)場存留的與犯罪有關(guān)的電子數(shù)據(jù)、電子設(shè)備、傳統(tǒng)證物和其他信息。網(wǎng)絡(luò)犯罪現(xiàn)場勘查是開展網(wǎng)絡(luò)犯罪案件刑事偵查工作的基礎(chǔ)和起點(diǎn)，其勘查的結(jié)果直接影響著網(wǎng)絡(luò)犯罪偵查工作的進(jìn)度及后續(xù)刑事訴訟活動(dòng)的成敗。網(wǎng)絡(luò)犯罪是一種新型智能犯罪，是一種對(duì)虛擬空間信息進(jìn)行侵犯或非法利用的行為。其犯罪現(xiàn)場與其他類型犯罪現(xiàn)場相比較，具有自身的特殊性和復(fù)雜性。對(duì)于網(wǎng)絡(luò)犯罪案件而言，其現(xiàn)場具有時(shí)間嚴(yán)格連續(xù)性、空間大跨度性以及網(wǎng)絡(luò)虛擬性。因此，網(wǎng)絡(luò)犯罪現(xiàn)場勘查與傳統(tǒng)刑事案件現(xiàn)場勘查有很多不同，其勘查過程的規(guī)范化和專業(yè)化要求更高。在勘查中除了要考慮到一般刑事案件現(xiàn)場勘查需要注意的問題外，還要考慮由于計(jì)算機(jī)系統(tǒng)的復(fù)雜性、網(wǎng)絡(luò)環(huán)境的可變性、電子數(shù)據(jù)的易失性等因素帶來的現(xiàn)場勘查重點(diǎn)和難點(diǎn)。本文對(duì)網(wǎng)絡(luò)犯罪現(xiàn)場勘查過程中存在的重點(diǎn)難點(diǎn)問題及相關(guān)注意事項(xiàng)進(jìn)行研究探討，希望對(duì)從事該類案件現(xiàn)場勘查工作的偵查人員和研究人員起到拋磚引玉的作用。

1 網(wǎng)絡(luò)犯罪現(xiàn)場的確定

網(wǎng)絡(luò)犯罪案件本身的性質(zhì)決定了此類犯罪的發(fā)生一定與計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)有關(guān)。被害人使用的系統(tǒng)、犯罪嫌疑人使用的系統(tǒng)、其他網(wǎng)絡(luò)中間節(jié)點(diǎn)以及相關(guān)場所、環(huán)境都應(yīng)屬于網(wǎng)絡(luò)犯罪現(xiàn)場。網(wǎng)絡(luò)犯罪案件的復(fù)雜性使得網(wǎng)絡(luò)犯罪案件的現(xiàn)場確定更為重要，并與傳統(tǒng)刑事犯罪現(xiàn)場有較大的區(qū)別。從空間上看，可以把網(wǎng)絡(luò)犯罪現(xiàn)場分為本地現(xiàn)場和遠(yuǎn)程現(xiàn)場。

1.1 本地現(xiàn)場的確定

本地現(xiàn)場的確定相對(duì)而言比較簡單，可以理解為一般意義上的可控的、可進(jìn)入的、可操作的本地現(xiàn)場環(huán)境。該類犯罪現(xiàn)場主要有兩類。一類是犯罪嫌疑人使用過的計(jì)算機(jī)系統(tǒng)以及該系統(tǒng)所在的物理空間。這類情況中犯罪嫌疑人利用計(jì)算機(jī)系統(tǒng)作為犯罪工具實(shí)施犯罪。另一類是被犯罪嫌疑人攻擊或破壞的計(jì)算機(jī)系統(tǒng)以及該系統(tǒng)所在的物理空間。這類情況計(jì)算機(jī)系統(tǒng)通常是受害人使用的系統(tǒng)，是犯罪嫌疑人犯罪實(shí)施的對(duì)象。

1.2 遠(yuǎn)程現(xiàn)場的確定

網(wǎng)絡(luò)犯罪常存在多個(gè)現(xiàn)場，較為常見的情況是作案在某一個(gè)地方，而犯罪結(jié)果則出現(xiàn)在另一個(gè)地方或其他多個(gè)地方。對(duì)于網(wǎng)絡(luò)上的遠(yuǎn)程現(xiàn)場可以從犯罪結(jié)果顯現(xiàn)的計(jì)算機(jī)或被侵害的對(duì)象入手。根據(jù)ISP系統(tǒng)日志追查犯罪嫌疑人的IP地址，核查主叫號(hào)碼，對(duì)境內(nèi)號(hào)碼，再根據(jù)主叫號(hào)碼確定實(shí)際地址，從而確定現(xiàn)場。

1.3 網(wǎng)絡(luò)犯罪現(xiàn)場的確定方法

首先可以確定的是最先發(fā)現(xiàn)問題的計(jì)算機(jī)系統(tǒng)就是犯罪現(xiàn)場。其次，以發(fā)現(xiàn)問題的計(jì)算機(jī)為重點(diǎn)，向聯(lián)網(wǎng)的其他計(jì)算機(jī)輻射，并結(jié)合有關(guān)案件情況來確定犯罪現(xiàn)場。最后，從分析犯罪嫌疑人的作案動(dòng)機(jī)、作案手段及具備的計(jì)算機(jī)專業(yè)知識(shí)水平著手，分析可能的作案人、作案用的計(jì)算機(jī)，進(jìn)而確定作案現(xiàn)場。

2 網(wǎng)絡(luò)犯罪現(xiàn)場保護(hù)的重難點(diǎn)

由于電子數(shù)據(jù)、電子介質(zhì)的易失性以及網(wǎng)絡(luò)系統(tǒng)的虛擬性、易破壞性，網(wǎng)絡(luò)犯罪現(xiàn)場保護(hù)工作更加需要謹(jǐn)慎細(xì)致。網(wǎng)絡(luò)犯罪現(xiàn)場保護(hù)的原則和目的是最大限度地使現(xiàn)場保持案發(fā)時(shí)的系統(tǒng)及外部環(huán)境狀態(tài)，為現(xiàn)場勘查工作提供良好的環(huán)境，同時(shí)保證提取證據(jù)的原始性。

2.1 及時(shí)采取技術(shù)保護(hù)措施

網(wǎng)絡(luò)犯罪現(xiàn)場保護(hù)不同于傳統(tǒng)犯罪現(xiàn)場保護(hù)工作劃定范圍、保護(hù)痕跡、物證、尸體等，需要較強(qiáng)的技術(shù)性保護(hù)，使相關(guān)計(jì)算機(jī)設(shè)備保持一個(gè)相對(duì)獨(dú)立、隔離的原始狀態(tài)。現(xiàn)場保護(hù)人員首先要及時(shí)判斷現(xiàn)場是否有繼續(xù)進(jìn)行的安全威脅及擴(kuò)大損害的可能并采取正確的應(yīng)急處置方法。如判斷系統(tǒng)的工作狀態(tài)，包括開關(guān)機(jī)狀態(tài)、網(wǎng)絡(luò)連接狀態(tài)、系統(tǒng)運(yùn)行內(nèi)容、數(shù)據(jù)的傳遞方式和內(nèi)容等。如果系統(tǒng)受到的安全威脅、損害有進(jìn)一步擴(kuò)大或可能導(dǎo)致證據(jù)滅失的嚴(yán)重后果，應(yīng)視情況斷開網(wǎng)絡(luò)，保護(hù)網(wǎng)絡(luò)及其相關(guān)設(shè)備。在確認(rèn)當(dāng)前系統(tǒng)無安全威脅和無繼續(xù)擴(kuò)大損害的情況下，應(yīng)盡量保持系統(tǒng)的原始狀態(tài)，維持現(xiàn)場最初的開關(guān)機(jī)狀態(tài)、網(wǎng)絡(luò)連接狀態(tài)、系統(tǒng)運(yùn)行狀態(tài)，使內(nèi)存保留當(dāng)前系統(tǒng)正在執(zhí)行的任務(wù)、進(jìn)程、臨時(shí)文件等信息，排除系統(tǒng)斷電等情況，確保系統(tǒng)保持靜態(tài)，保證系統(tǒng)內(nèi)易失數(shù)據(jù)不會(huì)損壞。

2.2 ?控制現(xiàn)場人員

在做好中心現(xiàn)場的技術(shù)保護(hù)之后，現(xiàn)場保護(hù)人員要控制好現(xiàn)場內(nèi)人員，無論被害人還是犯罪嫌疑人，以及其他無關(guān)人員，都不得接觸計(jì)算機(jī)設(shè)備及現(xiàn)場電源開關(guān)，防止系統(tǒng)狀態(tài)被改變、系統(tǒng)內(nèi)文件和數(shù)據(jù)被增加、刪除或修改，防止機(jī)內(nèi)信息和機(jī)上的痕跡、物證遭到破壞，要堅(jiān)決杜絕任何可能使證據(jù)滅失的行為發(fā)生。在現(xiàn)場人員較多的單位或其他公共場所，要注意隔離在場人員，防止人員相互交流串供。

2.3 保護(hù)原始物證

對(duì)于現(xiàn)場留存的電子存儲(chǔ)介質(zhì)、紙張及其他證據(jù)，要嚴(yán)加保護(hù)，未經(jīng)偵查人員同意，不得隨意觸碰，也不得帶離現(xiàn)場。特殊情況下確實(shí)需要帶出的，經(jīng)辦案人員允許后才可帶出現(xiàn)場，但是必須對(duì)所帶出物品登記在冊(cè)，同時(shí)詳細(xì)記錄帶出者的身份情況及帶出時(shí)間。

3 網(wǎng)絡(luò)犯罪現(xiàn)場訪問的重難點(diǎn)

網(wǎng)絡(luò)犯罪主要發(fā)生在使用或者涉及計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的領(lǐng)域，因此現(xiàn)場訪問工作應(yīng)主要圍繞計(jì)算機(jī)系統(tǒng)來展開。現(xiàn)場訪問的對(duì)象應(yīng)主要圍繞熟悉了解計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的工作人員展開，現(xiàn)場訪問的內(nèi)容也應(yīng)該圍繞計(jì)算機(jī)系統(tǒng)的基本情況及其使用、維護(hù)情況來發(fā)現(xiàn)偵查線索。總之，要以涉網(wǎng)工作人員為重點(diǎn)，通過由事到人、由人到現(xiàn)場開展現(xiàn)場訪問工作，力爭發(fā)現(xiàn)有價(jià)值的偵查線索。

3.1 現(xiàn)場訪問的對(duì)象

一般來說，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)工作人員是直接接觸網(wǎng)絡(luò)系統(tǒng)的人，他們往往最早發(fā)現(xiàn)網(wǎng)絡(luò)被侵犯，最容易察覺到犯罪行為的先兆。因此網(wǎng)絡(luò)犯罪現(xiàn)場訪問的對(duì)象主要是計(jì)算機(jī)系統(tǒng)操作人員、分管領(lǐng)導(dǎo)、技術(shù)維護(hù)人員等。網(wǎng)絡(luò)犯罪內(nèi)部人員作案情況較多，要全面調(diào)查計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)工作人員的檔案，了解其基本情況，并結(jié)合現(xiàn)場勘驗(yàn)檢查情況尋找偵查線索。對(duì)于外部人員的調(diào)查，可重點(diǎn)調(diào)查具有作案技能的相關(guān)人員或與之有業(yè)務(wù)聯(lián)系的外部人員。另外，可從犯罪結(jié)果反映出的作案動(dòng)機(jī)來確定重點(diǎn)訪問人員，因?yàn)樽靼溉送菑姆缸锝Y(jié)果中直接或間接獲益的人。

3.2 現(xiàn)場訪問的重點(diǎn)內(nèi)容

現(xiàn)場訪問的內(nèi)容應(yīng)圍繞計(jì)算機(jī)系統(tǒng)的基本情況及知情人員的情況來展開。首先應(yīng)對(duì)計(jì)算機(jī)的基本情況進(jìn)行調(diào)查了解。如計(jì)算機(jī)系統(tǒng)有無密碼，計(jì)算機(jī)內(nèi)存儲(chǔ)的數(shù)據(jù)文件情況，安裝軟件情況，計(jì)算機(jī)是否出現(xiàn)過故障，維修的時(shí)間和次數(shù)等。其次要對(duì)接觸使用該計(jì)算機(jī)設(shè)備的人員情況進(jìn)行訪問。如能接近并操縱該計(jì)算機(jī)系統(tǒng)的人員，可能了解系統(tǒng)密碼的人員，可能利用值班、學(xué)習(xí)等機(jī)會(huì)使用該系統(tǒng)的人員，曾經(jīng)維修過計(jì)算機(jī)系統(tǒng)的人員情況。在訪問中，要充分考慮到被訪問者的計(jì)算機(jī)技術(shù)水平，對(duì)只是一般了解計(jì)算機(jī)系統(tǒng)的人員訪問時(shí)，要盡量避免使用過于專業(yè)的詞匯，多使用描述性的語言。

4 網(wǎng)絡(luò)犯罪現(xiàn)場勘驗(yàn)檢查的重難點(diǎn)

由于網(wǎng)絡(luò)犯罪的特殊性，致使該類型案件犯罪現(xiàn)場勘查的重難點(diǎn)與傳統(tǒng)犯罪現(xiàn)場勘驗(yàn)檢查有很大不同，其規(guī)范性、專業(yè)性要求更高。盡管網(wǎng)絡(luò)犯罪行為侵犯的是虛擬世界中的比特?cái)?shù)據(jù)，但犯罪嫌疑人在實(shí)施侵犯行為的過程中必須要使用計(jì)算機(jī)等物理設(shè)備，這些設(shè)備總是存在于一定的物理空間內(nèi)，這就為該類犯罪現(xiàn)場的勘驗(yàn)檢查提供了可能條件。同時(shí)要求進(jìn)行網(wǎng)絡(luò)犯罪現(xiàn)場勘驗(yàn)檢查的人員必須具備計(jì)算機(jī)現(xiàn)場勘查的專業(yè)知識(shí)和技能。根據(jù)網(wǎng)絡(luò)犯罪現(xiàn)場的分類，網(wǎng)絡(luò)犯罪的勘驗(yàn)檢查工作主要分為本地現(xiàn)場勘查和遠(yuǎn)程現(xiàn)場勘查兩大類。

4.1 本地現(xiàn)場勘查

本地現(xiàn)場勘查主要是對(duì)犯罪嫌疑人所操作的計(jì)算機(jī)、附屬外部設(shè)備，以及周邊空間環(huán)境的勘驗(yàn)檢查。對(duì)于大多數(shù)網(wǎng)絡(luò)犯罪案件來說，對(duì)本地現(xiàn)場勘查是查獲線索、取得原始證據(jù)的重點(diǎn)工作。由于本地現(xiàn)場勘查工作存在很多不確定因素，因此勘查的難度較高。主要勘查本地存留的主機(jī)或服務(wù)器、打印機(jī)及其他附屬輸出設(shè)備、網(wǎng)絡(luò)連接設(shè)備等系統(tǒng)設(shè)備的機(jī)內(nèi)電子數(shù)據(jù)。另外還包括計(jì)算機(jī)系統(tǒng)所在的物理空間、硬件設(shè)備的物理狀態(tài)及特性、打印或書寫的有關(guān)計(jì)算機(jī)系統(tǒng)信息的紙張，系統(tǒng)周邊的線纜和接口等網(wǎng)絡(luò)連接狀態(tài)，現(xiàn)場留存的可能存儲(chǔ)有可疑文件的移動(dòng)存儲(chǔ)設(shè)備和介質(zhì)等。

4.2 遠(yuǎn)程現(xiàn)場勘查

遠(yuǎn)程現(xiàn)場勘查主要是通過網(wǎng)絡(luò)對(duì)遠(yuǎn)程目標(biāo)系統(tǒng)實(shí)施勘驗(yàn)、檢查，也就是針對(duì)犯罪嫌疑人在網(wǎng)上操作時(shí)，所形成的數(shù)據(jù)節(jié)點(diǎn)信息進(jìn)行收集，以提取、固定遠(yuǎn)程目標(biāo)系統(tǒng)的狀態(tài)和存留的內(nèi)容。如E-mail服務(wù)器、網(wǎng)站主機(jī)、即時(shí)通信服務(wù)器上的保留信息等。網(wǎng)站的信息本身可能會(huì)隨著時(shí)間推移而更新，因此對(duì)網(wǎng)頁信息的固定也應(yīng)具有連續(xù)性。另外，可設(shè)法通過網(wǎng)站信息獲取對(duì)方的真實(shí)IP地址，從而確定犯罪嫌疑人的位置信息。

4.3 現(xiàn)場勘驗(yàn)檢查過程中需要注意的問題

在網(wǎng)絡(luò)犯罪現(xiàn)場勘驗(yàn)檢查過程中的所有操作，都應(yīng)當(dāng)保證計(jì)算機(jī)相關(guān)設(shè)備內(nèi)的原始數(shù)據(jù)不被修改和覆蓋。要清楚、完整地拷貝所獲取的文件及文件載體，如硬盤、優(yōu)盤等，以保證復(fù)制合法有效、原始證據(jù)沒有被破壞。對(duì)不能停止運(yùn)行的計(jì)算機(jī)信息系統(tǒng)，要在短時(shí)間內(nèi)完成現(xiàn)場電子數(shù)據(jù)的備份工作。對(duì)現(xiàn)場所有與案件有關(guān)的計(jì)算機(jī)信息系統(tǒng)的硬件、文件資料、磁盤等要做好標(biāo)記工作，并注意搜尋包含用戶標(biāo)識(shí)和密碼的文件資料。同時(shí)應(yīng)當(dāng)采用錄像、照相、截取計(jì)算機(jī)屏幕內(nèi)容等方式記錄現(xiàn)場勘驗(yàn)檢查過程中提取、生成電子證據(jù)等關(guān)鍵步驟。

5 網(wǎng)絡(luò)犯罪現(xiàn)場分析的重難點(diǎn)

對(duì)網(wǎng)絡(luò)犯罪現(xiàn)場的分析，關(guān)鍵要將計(jì)算機(jī)系統(tǒng)外部線索與計(jì)算機(jī)內(nèi)部信息互相結(jié)合，各方面信息互為補(bǔ)充、互相映射和關(guān)聯(lián)，進(jìn)行綜合分析，從而確定案件性質(zhì)和下一步偵查方向。

5.1 通過網(wǎng)絡(luò)數(shù)據(jù)信息變化情況分析案件性質(zhì)

應(yīng)圍繞犯罪的核心要件對(duì)案件性質(zhì)進(jìn)行分析。比如，在分析非法侵入、破壞計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的犯罪現(xiàn)場時(shí)，可直接針對(duì)第一次嘗試攻擊行為的開始時(shí)間、技術(shù)手段、相應(yīng)安全設(shè)備報(bào)警記錄，到正式攻擊開始的時(shí)間、IP（或代理IP）地址、技術(shù)手段，再到攻擊完成后對(duì)系統(tǒng)日志的破壞方式、手法等這一完整的犯罪過程展開分析。另一方面，對(duì)于一些隱含網(wǎng)絡(luò)犯罪的變?cè)臁窝b現(xiàn)場，如嫌疑人通過暴力手段侵占了被害人的計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備中的有價(jià)值數(shù)據(jù)信息，偵查人員要緊盯疑點(diǎn)不放松，查明現(xiàn)場痕跡物證與犯罪行為之間存在的錯(cuò)亂邏輯關(guān)系，通過偵查假設(shè)排除嫌疑人偽裝現(xiàn)場的表面原因，繼而在被害人的計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備中進(jìn)行歷史數(shù)據(jù)分析。通過分析被害人的網(wǎng)絡(luò)數(shù)據(jù)信息變化情況，網(wǎng)絡(luò)關(guān)系人、利益人的活動(dòng)軌跡，確定嫌疑人真正的犯罪動(dòng)機(jī)和實(shí)施犯罪的行為過程，進(jìn)而確定案件性質(zhì)。

5.2 將外部線索和機(jī)內(nèi)相關(guān)信息充分關(guān)聯(lián)和映射

要注意將外部線索和機(jī)內(nèi)相關(guān)信息充分關(guān)聯(lián)和映射。一方面可以通過外部線索挖掘機(jī)內(nèi)相關(guān)信息。對(duì)于經(jīng)常使用計(jì)算機(jī)的人員來說，外部現(xiàn)場的遺留痕跡很大程度上可以與其在計(jì)算機(jī)內(nèi)留下的數(shù)據(jù)信息進(jìn)行關(guān)聯(lián)和映射。偵查人員通過合理演繹計(jì)算機(jī)外部線索如文件、書籍、票據(jù)、使用工具等情況，嘗試從嫌疑人使用的電腦中查找相關(guān)涉案信息，為揭開嫌疑人真面目提供重要線索。另一方面，可通過計(jì)算機(jī)系統(tǒng)線索，核實(shí)查找外部隱藏線索。網(wǎng)絡(luò)犯罪案件中，外部現(xiàn)場的線索可能比較模糊且容易被人忽略。偵查人員可對(duì)計(jì)算機(jī)內(nèi)部線索進(jìn)行梳理分析，繼而關(guān)聯(lián)外部現(xiàn)場的某些細(xì)節(jié)，進(jìn)一步驗(yàn)證外部線索的真實(shí)性。

5.3 通過涉網(wǎng)證據(jù)信息分析嫌疑人特征

通過涉網(wǎng)證據(jù)信息來分析嫌疑人特征。一是分析嫌疑人的心理特征。一個(gè)人在網(wǎng)絡(luò)上的行為不受客觀世界道德倫理、熟人社會(huì)的監(jiān)督和約束，更能自由地表現(xiàn)其興趣愛好、性格特點(diǎn)、心智能力等主觀本源性特征。嫌疑人在實(shí)施網(wǎng)絡(luò)犯罪時(shí)，遺留在計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中的某些數(shù)據(jù)信息常常會(huì)反映出他的一些心理特征。為此，偵查人員應(yīng)從網(wǎng)絡(luò)犯罪現(xiàn)場獲取的某些涉網(wǎng)證據(jù)信息入手，如嫌疑人的涉案QQ號(hào)、微信等社交工具聊天記錄，個(gè)人QQ主頁、微博主頁等，綜合分析嫌疑人的心理特征，對(duì)嫌疑人進(jìn)行心理畫像，從而為下一步確定偵查范圍和偵查重點(diǎn)指明方向。二是分析嫌疑人的行為特征。對(duì)于網(wǎng)絡(luò)犯罪而言，盡管絕大多數(shù)嫌疑人以虛擬身份在網(wǎng)絡(luò)中按照自己的喜好和需求進(jìn)行相應(yīng)的網(wǎng)絡(luò)操作，但作為現(xiàn)實(shí)世界中的自然人必然有其獨(dú)特的行為模式和行為習(xí)慣。偵查人員可以從獲取的大量涉網(wǎng)證據(jù)信息中，尋找發(fā)現(xiàn)、分析總結(jié)出嫌疑人的網(wǎng)絡(luò)行為特征，網(wǎng)絡(luò)技術(shù)掌握水平，是初犯還是資深慣犯等信息，繼而為打開案件突破口，圈定犯罪嫌疑人提供有力支撐。

參考文獻(xiàn)

[1] 蔣占卿.計(jì)算機(jī)網(wǎng)絡(luò)犯罪案件“虛擬空間”現(xiàn)場勘查研究[J].中國人民公安大學(xué)學(xué)報(bào)，2003（06）.

[2] 吳標(biāo)，劉沖.試論現(xiàn)場勘查理念變化[J].北京警察學(xué)院學(xué)報(bào)，2019（2）.

[3] 米佳，趙明生.網(wǎng)絡(luò)犯罪偵查[M].中國人民公安大學(xué)出版社，2014（11）.