网络犯罪侦查取证措施探析.pdf

厦门皇美亚釜柏嘉科砉合作

网络犯罪措施探析

孟凡民，张剑寒——

(1．中国人民解放军61195部队，北京1()()091；2．总后指挥自动化工作站，

一体辘…一析

Electronicevidencecollectionofseveralbasicproblems

MengFan—min，ZhangJian—han

(1．61195PLAtroops，Bejiing100091，China；

2．Thegene7a‘llogisticSdepartmentcommandautomationworkstations，Beijing100842．China)

Abstract：basedonthenetworkcrimeinvestigationevidenceofseveralimportantmeasuresareintroduced，

thenetworkcrime，analyzethecharacteristicsofvariousinvestigationofevidencemeasuresmethodandprocedure．

Keywords：newtorkcrime；Investigation；Evidence；measures

0引言

网络犯罪案件侦查过程中，除了运川常规侦查手段措施外，专门的侦查手段措施必不可少。巾于各种类型网络犯罪案件的手

段和特点不尽相同，侦查中要结合具体情况灵活运用具体取证措施。

1计算机系统搜查

计算机系统搜查，是在涉案计算机系统“虚拟空间”进行的取证措施。搜查中，要充分运用计算机审计和电子数据分析等技术。

一是要做好搜查前的准备。“虚拟空间”中包含着嫌疑人的个人隐私，所以对涉案计算机系统搜查之前，必须办理搜查证，

以在搜查实施之前向被搜查人出示。要通过了解犯罪嫌疑人的学历、工作经历等相关背景判定其计算机水平，以便制定搜查方案、

确定搜查重点、准备相关的硬件和软件T具计算机系统本身的运行规律决定电子文件被打开之后其属性就会发生改变，所以．

搜查前要对涉案磁盘乃至整个计算机系统进行多个备份，将原磁盘进行扣押、封存，在备份磁盘上进行搜查。对于网络服务器

等设备，由于其中的数据量相当大，完全复制其存储器中的内容相当闲难，则可针对不同案件的情况，择其重点进行备份。

二是从计算机磁盘中搜查电子证据。从计算机中搜查电子证据，不能在涉案计算机系统内直接打开文件进行检查，而应在

备份的磁盘上进行操作。一般首先检查系统日志、运行记录等信息数据，以分析判断计算机进行过哪些操作，包括查看浏览器

历史记录、收藏夹以及cookies文件中的上网记录等。如果wind0ws＼temporaryInternetfiles文件夹中IE浏览器历史记录文件已经

被删除，可通过运行regedit启动注册表编辑器，寻找HKELCURRENT_usER＼s0flware＼Micr0s0ff、InternetExplorer＼TypedURLs，

获取用户查阅过的网址、访问时间等资料，还可以运用专用的工具软件进行磁盘扫描查找。然后，要注意搜索后缀为“doc”、“exl”、

““

“txt”wps”、“ppt”

、、eml”等电子文档，对后缀为“JPg”、“gif”等的图像文档和“回收站”也要查看。对于隐藏磁盘分区和

隐藏目录、文件及加密文件，要重点检查。对磁盘空闲和未分配空间，要运用专用工具进行扫描搜索，发现可疑数据。搜查发现

有证据价值的文件，应予以提取，并注明该文件存储于哪个磁盘分区、哪个文件夹。对于已被删除、破坏或被格式化的数据，可

运用Finadata、EasyRecover、Recovermyfiles、Norton等磁盘恢复工具进行数据恢复，必要时多次恢复。对查获的加密文件，则

要组织专家、技术人员进行解密处理。搜查巾还要注意查看被搜查系统的时间设置，因为系统时间设置直接影响到文件的属性