網絡犯罪中偵查實驗方法的探討

◆鄒繼蕓 高敔恒

（重慶市公安局江北區分局 重慶 400021）

網絡犯罪與取證

網絡犯罪中偵查實驗方法的探討

◆鄒繼蕓 高敔恒

（重慶市公安局江北區分局 重慶 400021）

隨著互聯網技術的飛速發展，網絡也被一些不法分子利用。日前，以網絡為犯罪載體或者作為犯罪分子入侵客體的犯罪案件頻發，同時，網絡犯罪案件的特殊性為電子數據取證帶來很大的挑戰。本文結合偵查實驗法律依據、目的，對網絡犯罪電子數據取證中偵查實驗方法進行研討，對依法打擊網絡犯罪具有實踐意義。

網絡犯罪；偵查實驗；方法

0 前言

《刑事訴訟法》第133條規定：為了查明案情，在必要的時候，經縣級以上公安機關負責人批準，可以進行偵查實驗。2016年10月1日頒布的《最高人民法院、最高人民檢察院 、公安部關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》第十六條規定：對扣押的原始存儲介質或者提取的電子數據，可以通過恢復、破解、統計、關聯、比對等方式進行檢查。必要時，可以進行偵查實驗。

在網絡犯罪中，犯罪嫌疑人通常運用計算機網絡技術，借助于網絡對某個系統或信息進行攻擊，破壞或利用網絡進行其他犯罪活動，涉及的技術是多方面的，如網絡編程技術、TCP/IP、加密技術、編譯原理等。網絡犯罪包括互聯網作為犯罪渠道的傳統犯罪類型，如借助網絡平臺實施的詐騙犯罪、侵犯知識產品犯罪，也包括在互聯網平臺和金融產品不斷融合過程中衍生的新興犯罪類型，如非法吸收公眾存款等新型金融類犯罪[1]。互聯網作為犯罪入侵的客體如非法侵入計算機信息系統、非法獲取計算機信息系統數據及以釣魚網站為平臺非法獲取公民個人信息等案件中，從扣押的原始存儲介質或提取的電子數據中分析得到的與案件相關的電子數據，往往不能獨立的完成某個具體犯罪行為，因為它可能是一段程序源碼、一個瀏覽器插件、一個提權POC腳本、一段利用程序漏洞實施攻擊的描述等，需要依托特定的軟、硬件和網絡環境才能得以執行。

1 網絡犯罪偵查實驗

網絡犯罪偵查實驗是指在網絡犯罪案件偵辦過程中，當從扣押的原始存儲介質或提取的電子數據不能直接認定犯罪事實時，需搭建特定的軟、硬件和網絡環境，通過動態仿真模擬和重演犯罪過程，旨在確定某事實、現象或行為能否發生或者怎樣發生的一種偵查措施[2]。

1.1 偵查實驗的可行性

網絡犯罪中，主要犯罪過程可以通過構建特定的運行環境予以重現。例如近些年通過“偽基站+釣魚+短信貓+Android攔截木馬”實施網絡盜竊的案件時有發生，偽基站背包客按照上家要求發送含有釣魚網站鏈接的短信，非法獲取個人身份信息及銀行卡信息，這些信息被稱為料，料很有可能被轉賣，也可能被釣魚網站的開發者通過后門獲取。嫌疑人依據料的信息，通過短信貓向特定的手機號碼發送含有Android攔截馬的詐騙短信，從而盜竊受害人儲蓄卡中的余額或盜刷其信用卡。整個活動鏈中，釣魚網站能否獲取個人身份信息及銀行卡信息、Andord攔截馬能否轉發、刪除短信在傳統的偵查實驗方法中是無法完成的。因為從釣魚網站服務器、或嫌疑人電腦中提取的網站源代碼、Andorid攔截馬等電子數據都是靜態的，它能否完成某個行為、實現某個功能可以通過偵查實驗進行驗證。

1.2 偵查實驗的目的

網絡犯罪中的偵查實驗的目的是明確程序是如何與主機系統進行交互、如何與網絡進行交互、攻擊者如何與程序進行交互（命令/控制等）、攻擊過程和結果的重現、程序對攻擊者的技術要求達到何種程度、是否存在可識別的攻擊程序用于感染主機、系統或網絡受到感染或損害的程度是多少、探索和驗證程序的功能和用途、驗證程序的功能邊界，主要包括以下幾個方面：

（1）可執行程序功能性驗證：驗證可執行程序在一定條件下能否入侵計算機信息系統、獲取計算機信息系統數據、控制計算機信息系統、破解計算機軟件、加密電子數據、解密電子數據。

（2）程序漏洞驗證：由于軟件、協議的具體實現或系統安全策略上存在的缺陷，使得攻擊者能夠在未授權的情況下訪問或破壞系統。例如WEB程序漏洞：SQL注入、XSS跨站點腳本，跨目錄訪問，越權訪問，COOKIES修改，HTTP方法篡改、CRLF，命令行注入。如果網站存在WEB漏洞并被黑客攻擊者利用，攻擊者可以輕易控制整個網站，并可進一步獲取網站相關服務器的管理權限。

（3）惡意代碼功能驗證：是指故意編制或設置的、對網絡或系統會產生威脅或潛在威脅的可執行代碼或程序，如木馬、病毒、后門等。

（4）插件功能驗證：亦稱外掛，是一種遵循一定規范的應用程序接口編寫出來的程序，其只能運行在程序規定的系統平臺下（可能同時支持多個平臺），而不能脫離指定的平臺單獨運行。

（5）程序源代碼功能驗證：是指未經編譯的，按照一定的程序設計語言規范書寫的文本文件。程序源代碼可以是完整的代碼，也可以是代碼片段。驗證在一定條件下，通過添加、刪除、修改程序源代碼，能否侵入計算機信息系統、獲取計算機信息系統數據、控制計算機信息系統，如POC源代碼、系統提權腳本，程序片段功能驗證、數據結構、函數功能驗證。

2 網絡犯罪偵查實驗方法

結合網絡犯罪表現形態，網絡犯罪偵查實驗與傳統偵查實驗在人員要求和硬、軟件及網絡環境、偵查實驗步驟等方面具有自己的特點。

2.1 偵查實驗的人員要求

偵查實驗的參與人員有主持人、偵查人員以及見證人。主持人：負責整個偵查實驗的調度指揮；偵查人員：具有計算機相關專業知識背景的偵查民警，負責偵查實驗的前期準備、實施、撰寫偵查實驗筆錄等工作；見證人：具有計算機相關專業知識背景的社會人士，有能力見證整個偵查實驗的實施過程，并能夠對相關實驗結論中的專業描述做解釋。電子數據取證中偵查實驗對見證人的專業技能要求較高，如果沒有相關技術背景，見證人的司法認可力度較低。

2.2 檢材及樣本保全備份在進行偵查實驗前，需要對檢材及樣本進行保全備份。網絡犯罪中的檢材及樣本是指在現場勘驗檢查、電子證據檢查、遠程勘驗檢查以及網絡在線提取等偵查活動中提取、固定的，需要在偵查實驗中驗證其功能特征的電子數據。原始檢材及樣本的載體主要分為移動終端和電子數據存儲介質，兩種載體保全備份方式有所區別。

移動終端：(1)移動終端的檢驗分析，計算檢出數據的哈希值，并復制到有利于開展偵查實驗的專用的存儲介質中；(2)將原始移動終端中的數據遷移至可用于開展偵查實驗的移動終端中，但必須證明遷移數據對原始移動終端產生的影響；(3）不具備檢出、遷移數據條件的，使用原始移動終端開展偵查實驗，但必須注明對原始存儲移動終端產生的影響。

電子數據存儲介質：(1)對具有保全條件的電子數據存儲介質，采用逐比特復制的方式進行電子數據存儲介質保全備份，計算保全備份的副本或鏡像的哈希值，使用副本開展偵查實驗；(2)不具備保全條件的，將電子數據存儲介質其接入寫保護設備，然后開展偵查實驗；(3）不具備保全及寫保護條件的，使用原始存儲介質開展偵查實驗，但必須注明可能產生的影響。

2.3 偵查實驗的硬、軟件及網絡環境

搭建偵查實驗所需要的硬件環境，可以根據實際情況進行選配，但要能夠滿足成功運行樣本的基本條件；安裝偵查實驗動態仿真所需的虛擬機、操作系統、程序運行環境配置信息，安裝升級補丁信息，JDK版本，.Net Framework版本，數據庫服務器類型及版本，web服務器類型及版本）等；配置實驗所需的網絡環境，如局域網配置（子網劃分）、公網接入配置、端口設置、代理設置、VPN設置等；部署需要驗證的偵查實驗的主體，如被入侵的網站、被破解的軟件系統等；安裝取證工具，如流量監控軟件、抓包工具、內存數據dump工具等相關取證軟件。

2.4 偵查實驗的步驟

(1)對具備保全條件的檢材及樣本進行備份保全；

(2)對檢材及樣本進行編號；

(3)建立偵查實驗環境；

(4)執行樣本前的準備；

(5)執行樣本；

系統與網絡監控；

環境仿真及調整（相關參數等）；

進程監控；

排除混淆因素；

記錄樣本的執行狀況。

(6)設置相關配置，重新執行樣本。

2.5 偵查實驗筆錄

進行偵查實驗時需做好檢驗記錄，記錄應貫穿整個偵查實驗過程，包括：偵查實驗開始的日期和時間、參加偵查實驗的主持人、參加偵查實驗的偵查員、參加偵查實驗的見證人、偵查實驗的目的、原始檢材及樣本的完整性狀況、原始檢材及樣本的保全備份處理情況、偵查實驗所需的硬、軟件以及網絡狀態等環境信息、偵查實驗過程使用到的取證工具、偵查實驗樣本的執行狀況和偵查實驗結論。

3 結論

網絡犯罪偵查實驗作為刑事證據種類的一種，是通過搭建特定的軟、硬件和網絡環境，動態仿真模擬和重演犯罪過程的一項偵查措施。結合日常取證工作實際，本文基于網絡犯罪偵查實驗的必要性、可行性和目的，提出了網絡犯罪偵查實驗方法，具有重要的司法實踐意義。

[1]董哲，劉坤.互聯網經濟犯罪偵防應對研究[J].北京警官學院學報，2015.

[2]楊東亮.偵查實驗筆錄簡介[J].證據科學，2011.