基于開放網絡的電子證據取證研究

王新　南俊松

[摘要]互聯網技術的發展給人類生活帶來便利的同時也引發了一些安全隱患利用網絡進行犯罪呈高發態勢。本文主要分析了當前對于開放網絡的取證現狀與難點，并重點探討了開放網絡的電子證據的取證方式與法律審查。

[關鍵詞]開放網絡 電子證據取證 法律審查

隨著互聯網技術的快速發展和普遍應用， 網絡犯罪呈現高發趨勢，客觀來說，計算機網絡犯罪的犯罪特點為智能化程度高、且犯罪手段復雜多樣、犯罪證據的收集與審查與普通刑事案件有很大的差異。對于查辦該類刑事案件，迅速準確獲取電子證據是整個案件查辦的關鍵。因此，認真研究開放網絡的電子證據取證取證， 是十分必要的。

一、開放網絡的電子證據取證現狀以及難點

所謂開放網絡的電子證據取證， 是指在符合法律規定的情形下，綜合利用網絡軟硬件技術對網絡犯罪行為進行證據獲取、保全、以及分析出示的過程。一般認為，對于網絡電子證據的取證可以分為動態取證和靜態取證兩種， 所謂動態取證是指利用網絡技術對犯罪行為進行證據上的誘捕、保存、分析、追蹤和提交的過程。所謂靜態取證，則是指通過對計算機網絡終端進行犯罪證據提取、保存、分析的過程。

與普通犯罪不同的是，網絡犯罪智能化技術含量高、手段復雜多樣，傳統的取證、偵查手段并不能很好地適用，因而，這要求我們必須采取更為特殊的偵查技術手段來取證。當前在檢察實務中主要應用的取證技術方法有：1.查找服務器。主要是通過遠程網絡訪問技術來查找犯罪嫌疑人進行網絡犯罪所使用的服務器IP地址，然后在定位找到服務器。2.扣押并查處犯罪嫌疑人使用的服務器。通過網絡軟件技術對服務器進行證據分析、提取，尋找犯罪行為遺留的犯罪痕跡。3.查扣犯罪嫌疑人進行網絡犯罪的計算機等媒介工具，如電腦、優盤以及可移動硬盤等，可以采用恢復技術對該媒介中可能存在的痕跡進行恢復、提取等操作，用以證明案件事實。

然而，由于上述方法的局限性會導致以下困難：首先是網絡犯罪發現難、確定難問題，由于網絡犯罪沒有時間以及地點等空間限制， 且受害人往往過一段時間后才發現， 相應的證據可能因為時間或者被犯罪份子采用技術手段所銷毀，因而即便是認定了犯罪嫌疑人，但由于定罪證據的丟失，也很難對其定罪處罰。其次是網絡犯罪證據保全技術上的缺失，當前檢察機關偵查人員對計算機技術的掌握程度普遍較低，部分辦案人員在實際的辦案過程中甚至因為不熟悉操作，而導致誤修改、誤刪除等操作頻發，影響網絡電子證據的收集，從而放縱網絡犯罪的發生。最后從證據的角度來說，網絡電子證據通常是以二進制等計算機語言存儲與計算機媒介中，如果要作為訴訟證據使用，則應當進行格式的轉換，在這么一個復雜的轉換過程中如何來保證以有形形式表現出來的內容就是存儲于媒介中的證據呢？

二、基于開放網絡的電子證據取證方法與法律審查

1. 基于開放網絡的電子證據取證方法

筆者認為，根據網絡犯罪電子證據的特點，應當從靜態取證和動態取證兩個方面來分析：

（1）靜態取證方法。首先，我們可以對計算機日志文件進行查詢。日志作為計算機運行的記錄文檔，會記錄一些簡單的犯罪痕跡，在日志中獲得非法入侵行為痕跡的可能性極大。如犯罪嫌疑人利用IP訪問目標系統，，就會在目標系統內留下訪問者的用戶名以及密碼、訪問時間等就會，同樣用FTP探測也會在FTP日志中留下探測者的IP地址、用戶名密碼和探測時間。因此對于日志的取證能夠有效地獲取網絡電子證據。其次，我們可以查詢入侵者訪問網站以及入侵文件。在網絡犯罪中，我們可以通過查詢非法入侵者所訪問的網址、文件以及下載痕跡等探尋犯罪嫌疑人非法入侵的目的以及非法入侵的證據。例如在開始菜單中運行regedit ， 從注冊表中搜索recent， 將得到許多recent 記錄。再次，可采用數據恢復技術調查取證。對于被犯罪嫌疑人銷毀的硬盤數據以及其他媒介中存儲的數據，我們可以采取恢復技術重新提取原始數據。最后，也查看網絡日志。防火墻日志、IDS日志、網絡工具所產生的記錄和日志均可查看。

（2）動態取證方法。首先可以采用數據抓包方法。所謂數據抓包方法主要是利用網絡端口技術在網絡上截取數據的一種技術，該種方法是在網絡的最底層進行，在截取數據的過程中不容易被察覺，并且能夠獲得賬號密碼等相關信息，還可以用來查詢高等級的訪問權限以及根據網絡實際情況進行分析進入等。有效地利用嗅探能實時地捕獲入侵者破壞目標系統的證據，這樣的現行證據具有極強的說服力。其次我們可以進行誘惑取證技術。現在通常的做法是蜜罐誘捕，該技術主要采取的是設置一種能夠“誘惑”入侵者的網絡技術，從而根據一開始設定好的程序來獲取不法侵入者的侵入情況。比方說探取不法者的賬號以及密碼情況或者其上網所使用的IP地址等關鍵信息。最后可以采用網絡監控方式。這種方法是一種監控技術，主要是對網絡一切數據進行監控，從而檢測外來入侵者侵入痕跡。我們可以通過IDS，對每一個網絡數據包進行截取和分析，這對于動態取證具有重大的作用。

2. 基于開放網絡的電子證據取證的法律審查

對開放網絡電子證據的法律審查，是對網絡電子證據的合法性進行審查，主要是電子證據的收集應當符合法律的規定，并具有關聯性和客觀性等證據特點。西方發達國家對于電子證據的審查均有一系列的證據審查規則，主要是圍繞電子證據的合法性問題，而我國訴訟法律制度也有相關條款涉及電子證據的這些方面。分析國內外證據制度對于電子證據的規定，對網絡電子證據的法律審查主要是從電子證據收集主體以及證據客觀形式以及提取方式等三個方面來判定，筆者認為，網絡電子證據只有滿足了這三個方面的硬性法律規定，才具有合法性，才能作為訴訟證據使用。具體而言，對于網絡犯罪電子證據的合法性審查， 筆者認為也應從以下幾方面進行：（1）應當審查網絡電子證據取證主體是否合法。（2）應當對網絡電子證據的證據形式以及內容進行審查。（3）審查網絡電子證據收集程序是否合法。

作者簡介：王新，法學碩士，江西省吉安市青原區人民檢察院；南俊松，江西省南昌市青山湖區人民檢察院檢察技術科。