网络犯罪现场电子证据提取的技术要点分析.docVIP

网络犯罪现场电子证据提取的技术要点分析 　　摘 要 网络犯罪案件发案率高、侦破难度大，是近几年困扰公安机关的难题。其中最主要的原因还在于电子证据提取的难度大、不容易固定和保存，特别是网络犯罪现场的电子数据。网络犯罪现场情况复杂、范围不容易固定、证据类型多，并且现场电子数据尤其容易被破坏和丢失。本文就目前常见的网络犯罪案件现场勘查流程为线索，分析其中常被忽略的细节，提出可以采取的技术手段和有效处理相关问题的方式方法。 　　关键词 网络犯罪 电子证据提取 现场勘查 　　作者简介：秦志红，河南警察学院信息安全系，研究方向：网络安全、网络犯罪侦查。 　　中图分类号：D918 文献标识码：A 文章编号：1009-0592（2016）03-293-02 　　随着计算机、手机等电子产品的逐渐普及，与之有关的犯罪案件逐年增多。作为一类新型的高科技犯罪，网络犯罪的表现形态五花八门，而网络空间的虚拟性和电子证据的易失性也加大了此类案件的侦破难度。为了应对日益严峻的现实，要求相关人员提高网络犯罪侦查的能力。其中，犯罪现场电子证据的提取是网络犯罪侦查中至关重要而又不容易掌握的一项技能。 　　现场是案事件发生的地点，往往遗留有较多的痕迹物证。合理有效的处置现场，尽最大可能保护线索、提取证据对整个案事件的处理具有重要的意义。由于网络的互联性使得遗留有电子证据的场所分布广泛，既包括传统现场即物理空间，又包括非传统意义的场所即虚拟空间，也就是网络犯罪现场的空间跨度性较大。另外，现场的空间跨度也导致了时间的连续性，会存在第一时间现场、第二时间现场等，多个现场在时间上有严格的连续性。同时，网络犯罪现场处理中还要考虑电子证据的复杂性、脆弱性、时效性等特点。 　　本文就勘验、提取、固定现场留存的电子证据为线索，分析在此过程中需要关注的技术要点。 　　一、网络犯罪现场勘查的步骤 　　与普通的案件处理类似，网络犯罪现场勘查也有一定的规范、原则和方法步骤。一般来说，可以分为事前准备、现场保护、现场勘查取证、扣押等步骤。 　　（一）事前准备 　　鉴于网络犯罪的特殊性，一般来说针对电子数据的现场勘查和取证要一次完成，这就要求在进入现场以前做好充分的准备。指挥人员必须提前确定由哪些人员进入现场、需要携带哪些设备、如何制定预案、有哪些注意事项等一系列问题。全面的了解案情并且掌握案件的性质和相关的技术特点是做好充分准备的前提。通过分析案情，可以推断现场可能存在的电子设备、所安装的操作系统等信息。不同类型的案件，现场勘查的侧重点是不同的，当然准备的工具、人员的技术要求、预案等都不尽相同。 　　（二）现场保护 　　通过保护现场可以保护证据并保存与犯罪现场机密有关的信息。隔离带是保护现场的常用方式，可以防止旁观者进入现场。然而，由于网络犯罪案件的地域特点，现场的范围很难确定，往往会涉及更大的范围。此时，就要尽快找到相关的现场，并进行保护。一般来说，事前准备阶段就需要对现场范围有个大致的确定。 　　现场保护可分为控制现场和固定现场。控制现场的目的是保证现场尽可能的不被破坏，这点对于留存有电子物证的网络犯罪现场尤其重要；固定现场就是对现场所涉及到的电子物证拍照、绘制网络拓扑图等方式进行固定，便于在网络侦查实验时完整的还原现场。 　　（三）现场勘查取证 　　网络犯罪的现场包括外部现场和内部现场。外部现场勘查与普通案件类似，检查现场遗留的足迹、指纹、毛发、血迹等需要刑事技术专业人员执行；检查电子设备、磁记录物品、网络线路等痕迹则由专门从事网络犯罪案件侦查的人员来执行。内部现场勘查主要针对电子设备内部的数据进行调查、取证和分析，因此大部分情况下，需要专门的技术人员甚至聘请有能力的专家来执行。另外，类似网络赌博、网络吸贩毒类案件的犯罪现场往往不在本地，则需要通过网络进行远程现场勘查。 　　（四）扣押 　　现场的电子物证如果有证据效力，需要当场封存扣押并运输到特定位置进行保存。网络犯罪案件的证物涉及到大量的电子产品，其封存、运输的方式与普通物证有所不同。防震、防磁、防静电是基本要求；封装时尽可能不拆卸，否则要清晰的标记好所对应的接口；运输过程中要考虑到不同设备的抗压力，同时远离磁场也是必须要考虑的。 　　二、技术要点 　　前面介绍了网络犯罪现场勘验的基本步骤，尽管按照流程可以规范的对现场进行处理，但是在处理的过程中了解一些关注点并采取一定的技术手段可以提高证据获取的准确度，对网络犯罪案件能够顺利侦破起到至关重要的作用。 　　（一）充分的预案 　　在进入现场以前，需要考虑到各种可能发生的情况。制定充分的预案是最有必要也是最实用的事前准备手段。制定预案可以从进入现场、人员分配、现场搜查等方面考虑。 　　在进入现场预案中，要尽量得到待勘查地区的图纸，特别