狠狠操网,91中文字幕在线观看,精品久久香蕉国产线看观看亚洲,亚洲haose在线观看

網(wǎng)絡(luò)犯罪現(xiàn)場電子證據(jù)提取的技術(shù)要點(diǎn)分析

摘 要 網(wǎng)絡(luò)犯罪案件發(fā)案率高、偵破難度大,是近幾年困擾公安機(jī)關(guān)的難題。其中最主要的原因還在于電子證據(jù)提取的難度大、不容易固定和保存,特別是網(wǎng)絡(luò)犯罪現(xiàn)場的電子數(shù)據(jù)。網(wǎng)絡(luò)犯罪現(xiàn)場情況復(fù)雜、范圍不容易固定、證據(jù)類型多,并且現(xiàn)場電子數(shù)據(jù)尤其容易被破壞和丟失。本文就目前常見的網(wǎng)絡(luò)犯罪案件現(xiàn)場勘查流程為線索,分析其中常被忽略的細(xì)節(jié),提出可以采取的技術(shù)手段和有效處理相關(guān)問題的方式方法。

關(guān)鍵詞 網(wǎng)絡(luò)犯罪 電子證據(jù)提取 現(xiàn)場勘查

作者簡介:秦志紅,河南警察學(xué)院信息安全系,研究方向:網(wǎng)絡(luò)安全、網(wǎng)絡(luò)犯罪偵查。

中圖分類號:D918 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-0592(2023)03-293-02

隨著計(jì)算機(jī)、手機(jī)等電子產(chǎn)品的逐漸普及,與之有關(guān)的犯罪案件逐年增多。作為一類新型的高科技犯罪,網(wǎng)絡(luò)犯罪的表現(xiàn)形態(tài)五花八門,而網(wǎng)絡(luò)空間的虛擬性和電子證據(jù)的易失性也加大了此類案件的偵破難度。為了應(yīng)對日益嚴(yán)峻的現(xiàn)實(shí),要求相關(guān)人員提高網(wǎng)絡(luò)犯罪偵查的能力。其中,犯罪現(xiàn)場電子證據(jù)的提取是網(wǎng)絡(luò)犯罪偵查中至關(guān)重要而又不容易掌握的一項(xiàng)技能。

現(xiàn)場是案事件發(fā)生的地點(diǎn),往往遺留有較多的痕跡物證。合理有效的處置現(xiàn)場,盡最大可能保護(hù)線索、提取證據(jù)對整個(gè)案事件的處理具有重要的意義。由于網(wǎng)絡(luò)的互聯(lián)性使得遺留有電子證據(jù)的場所分布廣泛,既包括傳統(tǒng)現(xiàn)場即物理空間,又包括非傳統(tǒng)意義的場所即虛擬空間,也就是網(wǎng)絡(luò)犯罪現(xiàn)場的空間跨度性較大。另外,現(xiàn)場的空間跨度也導(dǎo)致了時(shí)間的連續(xù)性,會存在第一時(shí)間現(xiàn)場、第二時(shí)間現(xiàn)場等,多個(gè)現(xiàn)場在時(shí)間上有嚴(yán)格的連續(xù)性。同時(shí),網(wǎng)絡(luò)犯罪現(xiàn)場處理中還要考慮電子證據(jù)的復(fù)雜性、脆弱性、時(shí)效性等特點(diǎn)。

本文就勘驗(yàn)、提取、固定現(xiàn)場留存的電子證據(jù)為線索,分析在此過程中需要關(guān)注的技術(shù)要點(diǎn)。

一、網(wǎng)絡(luò)犯罪現(xiàn)場勘查的步驟

與普通的案件處理類似,網(wǎng)絡(luò)犯罪現(xiàn)場勘查也有一定的規(guī)范、原則和方法步驟。一般來說,可以分為事前準(zhǔn)備、現(xiàn)場保護(hù)、現(xiàn)場勘查取證、扣押等步驟。

(一)事前準(zhǔn)備

鑒于網(wǎng)絡(luò)犯罪的特殊性,一般來說針對電子數(shù)據(jù)的現(xiàn)場勘查和取證要一次完成,這就要求在進(jìn)入現(xiàn)場以前做好充分的準(zhǔn)備。指揮人員必須提前確定由哪些人員進(jìn)入現(xiàn)場、需要攜帶哪些設(shè)備、如何制定預(yù)案、有哪些注意事項(xiàng)等一系列問題。全面的了解案情并且掌握案件的性質(zhì)和相關(guān)的技術(shù)特點(diǎn)是做好充分準(zhǔn)備的前提。通過分析案情,可以推斷現(xiàn)場可能存在的電子設(shè)備、所安裝的操作系統(tǒng)等信息。不同類型的案件,現(xiàn)場勘查的側(cè)重點(diǎn)是不同的,當(dāng)然準(zhǔn)備的工具、人員的技術(shù)要求、預(yù)案等都不盡相同。

(二)現(xiàn)場保護(hù)

通過保護(hù)現(xiàn)場可以保護(hù)證據(jù)并保存與犯罪現(xiàn)場機(jī)密有關(guān)的信息。隔離帶是保護(hù)現(xiàn)場的常用方式,可以防止旁觀者進(jìn)入現(xiàn)場。然而,由于網(wǎng)絡(luò)犯罪案件的地域特點(diǎn),現(xiàn)場的范圍很難確定,往往會涉及更大的范圍。此時(shí),就要盡快找到相關(guān)的現(xiàn)場,并進(jìn)行保護(hù)。一般來說,事前準(zhǔn)備階段就需要對現(xiàn)場范圍有個(gè)大致的確定。

現(xiàn)場保護(hù)可分為控制現(xiàn)場和固定現(xiàn)場。控制現(xiàn)場的目的是保證現(xiàn)場盡可能的不被破壞,這點(diǎn)對于留存有電子物證的網(wǎng)絡(luò)犯罪現(xiàn)場尤其重要;固定現(xiàn)場就是對現(xiàn)場所涉及到的電子物證拍照、繪制網(wǎng)絡(luò)拓?fù)鋱D等方式進(jìn)行固定,便于在網(wǎng)絡(luò)偵查實(shí)驗(yàn)時(shí)完整的還原現(xiàn)場。

(三)現(xiàn)場勘查取證

網(wǎng)絡(luò)犯罪的現(xiàn)場包括外部現(xiàn)場和內(nèi)部現(xiàn)場。外部現(xiàn)場勘查與普通案件類似,檢查現(xiàn)場遺留的足跡、指紋、毛發(fā)、血跡等需要刑事技術(shù)專業(yè)人員執(zhí)行;檢查電子設(shè)備、磁記錄物品、網(wǎng)絡(luò)線路等痕跡則由專門從事網(wǎng)絡(luò)犯罪案件偵查的人員來執(zhí)行。內(nèi)部現(xiàn)場勘查主要針對電子設(shè)備內(nèi)部的數(shù)據(jù)進(jìn)行調(diào)查、取證和分析,因此大部分情況下,需要專門的技術(shù)人員甚至聘請有能力的專家來執(zhí)行。另外,類似網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)吸販毒類案件的犯罪現(xiàn)場往往不在本地,則需要通過網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程現(xiàn)場勘查。

(四)扣押

現(xiàn)場的電子物證如果有證據(jù)效力,需要當(dāng)場封存扣押并運(yùn)輸?shù)教囟ㄎ恢眠M(jìn)行保存。網(wǎng)絡(luò)犯罪案件的證物涉及到大量的電子產(chǎn)品,其封存、運(yùn)輸?shù)姆绞脚c普通物證有所不同。防震、防磁、防靜電是基本要求;封裝時(shí)盡可能不拆卸,否則要清晰的標(biāo)記好所對應(yīng)的接口;運(yùn)輸過程中要考慮到不同設(shè)備的抗壓力,同時(shí)遠(yuǎn)離磁場也是必須要考慮的。

二、技術(shù)要點(diǎn)

前面介紹了網(wǎng)絡(luò)犯罪現(xiàn)場勘驗(yàn)的基本步驟,盡管按照流程可以規(guī)范的對現(xiàn)場進(jìn)行處理,但是在處理的過程中了解一些關(guān)注點(diǎn)并采取一定的技術(shù)手段可以提高證據(jù)獲取的準(zhǔn)確度,對網(wǎng)絡(luò)犯罪案件能夠順利偵破起到至關(guān)重要的作用。

(一)充分的預(yù)案

在進(jìn)入現(xiàn)場以前,需要考慮到各種可能發(fā)生的情況。制定充分的預(yù)案是最有必要也是最實(shí)用的事前準(zhǔn)備手段。制定預(yù)案可以從進(jìn)入現(xiàn)場、人員分配、現(xiàn)場搜查等方面考慮。

在進(jìn)入現(xiàn)場預(yù)案中,要盡量得到待勘查地區(qū)的圖紙,特別是網(wǎng)絡(luò)拓?fù)鋱D。這樣就很有可能查明現(xiàn)場計(jì)算機(jī)的類型、數(shù)量和網(wǎng)絡(luò)結(jié)構(gòu)以及其它電子設(shè)備,能夠明了所涉及的操作系統(tǒng)、軟件功能,對于配備何種技術(shù)人員就有了大致的方向,也可以明確進(jìn)入現(xiàn)場需要攜帶哪些專業(yè)的軟硬件工具。

人員分配預(yù)案是所有類型的案件都需要的,但是網(wǎng)絡(luò)犯罪案件需要有幾點(diǎn)特別注意:第一,案件總指揮要具備一定的涉網(wǎng)案件偵查能力,能夠了解偵查小組中每個(gè)成員的技術(shù)優(yōu)勢和特點(diǎn);第二,安全保障需要保護(hù)犯罪現(xiàn)場和參與現(xiàn)場偵查人員的安全,特別是專門聘請的技術(shù)專家的安全;第三,現(xiàn)場勘查人員必須要精于計(jì)算機(jī)取證技術(shù),能夠準(zhǔn)確識別并快速分析提取網(wǎng)絡(luò)犯罪現(xiàn)場遺留的電子證物,并能夠?qū)﹄娮幼C物進(jìn)行固定和保護(hù),需要注意的是技術(shù)人員不是全能,案件總指揮要根據(jù)預(yù)案確定對該類型網(wǎng)絡(luò)犯罪案件現(xiàn)場最了解、技術(shù)最熟練的相關(guān)人員參與;第四,詢問人員要掌握一些專業(yè)術(shù)語,便于和專業(yè)的犯罪嫌疑人斗智斗勇。

現(xiàn)場搜查之前,需要明確幾點(diǎn):首先,需要劃定多大的范圍。這個(gè)要和前面提到的進(jìn)入現(xiàn)場預(yù)案相結(jié)合,根據(jù)現(xiàn)場拓?fù)鋱D,判斷案件涉及的現(xiàn)場有多大、有幾個(gè)現(xiàn)場、在勘查的時(shí)候應(yīng)該以哪種順序進(jìn)行等。其次,評估現(xiàn)場人員的技術(shù)水平,有沒有可能在系統(tǒng)中安裝有自毀程序,有沒有可能遠(yuǎn)程控制現(xiàn)場設(shè)備,如果存在這種可能性,則在進(jìn)入現(xiàn)場以前聯(lián)系相關(guān)部門切斷網(wǎng)絡(luò)或電源。

? (二)采取多種手段保證現(xiàn)場不被破壞

網(wǎng)絡(luò)犯罪現(xiàn)場的脆弱性是顯而易見的,因此需要特別注意對現(xiàn)場的保護(hù),防止現(xiàn)場被破壞。破壞現(xiàn)場的因素有很多,犯罪嫌疑人會故意破壞現(xiàn)場,現(xiàn)場勘驗(yàn)人員會無意破壞現(xiàn)場,電子設(shè)備的特性也會導(dǎo)致現(xiàn)場痕跡的缺失。而采取有效的技術(shù)手段則可以避免或減少這些破壞的發(fā)生。

首先,網(wǎng)絡(luò)犯罪的嫌疑人往往高智商、有技術(shù),他們可能會通過網(wǎng)絡(luò)遠(yuǎn)程控制現(xiàn)場或者安裝后門程序銷毀現(xiàn)場。所以,除非需要遠(yuǎn)程現(xiàn)場勘查,否則就及時(shí)的切斷網(wǎng)絡(luò)。另外,現(xiàn)場的詢問也非常重要,高學(xué)歷的犯罪嫌疑人會有較強(qiáng)的反偵查意識,在現(xiàn)場處于驚慌失措的情況下,要立即向?qū)Ψ搅私怆娮釉O(shè)備所涉及的賬號、密碼、軟件用途等信息,并錄音、錄像作證據(jù)。

其次,參與現(xiàn)場調(diào)查的人員要充分了解網(wǎng)絡(luò)犯罪現(xiàn)場,不能因?yàn)樽约旱氖韬龆茐牧爽F(xiàn)場。最容易忽略的有以下幾方面:電子設(shè)備不管處于何種狀態(tài),都不要輕易變動,等固定現(xiàn)場后由專家或勘驗(yàn)小組協(xié)商后再處理;如果處于開機(jī)狀態(tài),首先要做的是屏幕拍照,然后再提取證物,系統(tǒng)正在運(yùn)行的程序,不要關(guān)閉,同時(shí)也不要打開任何其他的程序;電子證據(jù)提取并固定完以后,需要關(guān)閉系統(tǒng)時(shí),會遇到關(guān)閉諸如電子文檔的軟件,如果是犯罪嫌疑人還沒來得及保存的文檔,要采取“另存為”的方式。

最后,現(xiàn)場可能會有監(jiān)控、錄音等設(shè)備,一定要立即停止;系統(tǒng)中安裝有磁盤整理程序、定時(shí)殺毒軟件、痕跡清理工具等要關(guān)注他們的啟動時(shí)間并暫停運(yùn)行。

(三)證物搜查過程中的要點(diǎn)

首先,不要忽略無線網(wǎng)絡(luò)的覆蓋范圍。無線網(wǎng)絡(luò)是近幾年迅速發(fā)展的網(wǎng)絡(luò)中繼,因?yàn)榫路的無形性導(dǎo)致設(shè)置搜查范圍時(shí)很容易忽略。目前常用的無線網(wǎng)絡(luò)有藍(lán)牙、WiFi和移動上網(wǎng)。藍(lán)牙的覆蓋范圍在10米以內(nèi),WiFi一般不超過80米,而移動上網(wǎng)需要結(jié)合附近的基站。根據(jù)他們的特性,在能夠輻射的范圍內(nèi)搜查可能連接的電子設(shè)備并提取其電子數(shù)據(jù)。

其次,潛在證據(jù)也能發(fā)揮重要作用。一些被忽略的潛在證據(jù)可能留存有有效數(shù)據(jù),在搜查時(shí)要重視。例如廢棄的打印機(jī)色帶上會有上次的打印內(nèi)容;不同的紙張可以區(qū)別來自于哪臺打印機(jī);折斷的磁卡、SIM卡上都可能提取出數(shù)據(jù);電子設(shè)備的說明書、驅(qū)動程序光盤可以幫助技術(shù)人員順利掌握設(shè)備的使用方法。

(四)必要時(shí)要進(jìn)行在線勘查

為了維持案發(fā)現(xiàn)場的電子數(shù)據(jù)不發(fā)生改變,防止證據(jù)被破壞,通常的做法是固定現(xiàn)場并封存證物,進(jìn)一步的數(shù)據(jù)提取會到專業(yè)實(shí)驗(yàn)室來完成。但是,這種做法也會導(dǎo)致未寫入硬盤的數(shù)據(jù)和網(wǎng)絡(luò)流動數(shù)據(jù)的丟失。如果經(jīng)過現(xiàn)場專家評估后認(rèn)為這些數(shù)據(jù)非常關(guān)鍵,則需要進(jìn)行在線勘查。在線勘查的技術(shù)要求非常高,一般是需要精通計(jì)算機(jī)取證的專業(yè)人員來進(jìn)行。在此過程中有幾點(diǎn)需要關(guān)注。

首先,一定不要使用目標(biāo)設(shè)備中的程序來做數(shù)據(jù)勘查和提取。例如,cmd.exe在任何一臺Windows操作系統(tǒng)的設(shè)備中都存在,但是很多網(wǎng)絡(luò)入侵案件的cmd.exe是被攻擊者替換過的;另外如果技術(shù)人員使用了設(shè)備中的文件,也會導(dǎo)致文件的時(shí)間戳發(fā)生改變,對現(xiàn)場造成一定的破壞。

其次,用于提取數(shù)據(jù)的軟件要盡可能的小。在線勘查不可避免的需要破壞一部分內(nèi)存或磁盤的現(xiàn)場,很顯然所使用的軟件越大,所占用空間就越大,要盡量不進(jìn)行虛擬內(nèi)存交換。一般情況下,要采用命令行程序而非圖形界面程序。所使用的軟件需要從U盤、光盤啟動,而不是安裝到目標(biāo)系統(tǒng)中。

最后,為了保證所提取數(shù)據(jù)的有效性,最好整個(gè)過程有犯罪嫌疑人的全程參與并錄像,提取完成后要進(jìn)行MD5等數(shù)字簽名固定證據(jù),并且結(jié)果要由犯罪嫌疑人簽字認(rèn)可。如果無法確定犯罪嫌疑人,則需要兩名以上的技術(shù)人員或見證人共同參與完成整個(gè)過程。

三、結(jié)語

在進(jìn)行電子證據(jù)提取的過程中,及時(shí)準(zhǔn)確的作出判斷并采用應(yīng)對措施是非常必要的。綜上所述,本文通過研究網(wǎng)絡(luò)犯罪案件現(xiàn)場勘查的基本流程,總結(jié)出在此過程中需要采取的方式方法,并提煉出技術(shù)要點(diǎn),為相關(guān)人員在操作中提供參考,加快網(wǎng)絡(luò)犯罪案件的偵查進(jìn)度,降低此類案件的偵破難度。當(dāng)然,網(wǎng)絡(luò)犯罪案件的現(xiàn)場往往情況比較復(fù)雜,偵查取證人員會面臨不同的設(shè)備、網(wǎng)絡(luò)環(huán)境和系統(tǒng)環(huán)境;同時(shí),隨著新技術(shù)的應(yīng)用,與之有關(guān)的新型網(wǎng)絡(luò)犯罪也會出現(xiàn),需要我們不斷研究并歸納總結(jié),及時(shí)提出新的應(yīng)對策略。

參考文獻(xiàn):

[1]米佳、趙明生.網(wǎng)絡(luò)犯罪偵查.北京:中國人民公安大學(xué)出版社.2023.

[2]孫曉冬.網(wǎng)絡(luò)犯罪偵查.北京:清華大學(xué)出版社.2023.

[3]蔣占卿.計(jì)算機(jī)網(wǎng)絡(luò)犯罪案件“虛擬空間”現(xiàn)場勘查研究.中國人民公安大學(xué)學(xué)報(bào).2003(6).

版權(quán)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn),該文觀點(diǎn)僅代表作者本人。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如發(fā)現(xiàn)本站有涉嫌抄襲侵權(quán)/違法違規(guī)的內(nèi)容, 請發(fā)送郵件至 yyfangchan@163.com (舉報(bào)時(shí)請帶上具體的網(wǎng)址) 舉報(bào),一經(jīng)查實(shí),本站將立刻刪除