一種計算機網絡犯罪案件電子取證的溯源策略研究與實踐

◆李志剛 朱巨軍

（衢州市公安局 浙江 324000）

一種計算機網絡犯罪案件電子取證的溯源策略研究與實踐

◆李志剛 朱巨軍

（衢州市公安局 浙江 324000）

電子取證在刑事案件偵查、移送起訴的整個司法過程中變得非常重要。但在實際應用中，電子取證遇到了多方面的問題，需要不斷解決這些問題才能更好地震懾、打擊計算機網絡違法、犯罪行為。本文首先介紹電子取證的現狀，然后分析計算機網絡犯罪案件電子取證的特點，給出了一種提高計算機網絡犯罪案件電子取證效率的策略，結合電子取證的實例給予詳細說明，最后是作者對電子取證的展望與分析。

電子證據; 計算機取證; 計算機網絡犯罪; 反取證; 手機取證

0 前言

打擊計算機犯罪的關鍵是找到充分、可靠、有說服力的電子證據，因此，計算機和法學的交叉學科——計算機取證受到了越來越多的關注[1]。電子取證在打擊計算機和網絡犯罪中作用十分關鍵，它的目的是要將違法、犯罪者留在計算機單機、服務器、手機、移動終端或者網絡存儲媒介中的“痕跡”作為有效的訴訟證據提供給執法部門或者法庭，以便將違法、犯罪嫌疑人繩之以法，讓他們得到應有的處罰或者懲罰。

但目前在司法實踐中，公檢法對于電子數據這種新的證據類型，在收集、審查、保管、移送、采信等程序性規范方面認識不統一，已有法律法規僅限于原則性規定，司法實踐中較難掌握和運用。雖然電子數據已取得合法地位，但大量案件中電子數據類證據難以采信、認定，絕大部分仍然需要轉化為書證、視聽資料或者鑒定意見，公安機關在偵查和打擊計算機違法犯罪活動的工作中遇到一定的困難，影響了刑事司法活動的實際效果，需要國家層面及時更新相關的法律法規來應對不斷翻新的違法、犯罪手段和方法。

在當今和平發展的大環境下，網絡違法犯罪活動仍然不和諧地頻繁出現，為適應這種新形勢，2016年10月1日起實施的《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》明確，人民法院、人民檢察院和公安機關有權依法向有關單位和個人收集、調取電子數據。除了手機短信、文檔、圖片、音視頻等，微博、朋友圈等網絡信息也“入圍”電子數據。依靠法律，利用法律手段對網絡違法犯罪行為予以制裁，是解決網絡安全問題的有效途徑。2016年11月7日，網絡安全法由全國人大常委會發布，于2017年6月1日起施行，該法對于網絡數據和電子數據給予明確定義。作者通過實踐注意到，在網絡犯罪案件中的電子取證，有相當一部分是手機取證。那么此類案件的法律實施的先決條件就是手機取證所獲取的電子證據。因此，下文首先介紹網絡犯罪案件的特點，然后給出一種手機取證的溯源策略，再給出一個具體案例詳細講解如何將該策略應用于網絡犯罪案件的電子證據固定。本文的最后是作者對網絡犯罪案件電子取證的展望與分析。

1 網絡犯罪案件的特點

在計算機取證技術蓬勃發展的同時，一種叫做反取證的技術悄悄出現了。反取證就是刪除或者隱藏證據使取證調查無效。反取證技術分為三類：數據擦除、數據隱藏和數據加密。這些技術結合起來使用，讓取證工作的效果大打折扣[1]。網絡犯罪案件中違法犯罪嫌疑人運用的反取證技術主要是數據擦除和數據加密。在此基礎上，作者分析了當前網絡犯罪案件的規律特點：

（1）發現難。嫌疑人普遍使用即時通訊聊天工具，并且多使用圖片、暗語。

（2）取證難。一是嫌疑人經常采取更換手機、恢復出廠設置、重裝軟件覆蓋原來數據、破壞手機硬件等數據擦除方式來逃避打擊。二是固定證據難。有的因報案間隔時間較長導致網址打不開等問題，無法形成有效的證據鏈。三是手機上即時通訊聊天工具刪除或卸載后，取證軟件無法獲取殘留的內容和信息。

（3）處理難。一是法律適用難。對于沒有明確的處理依據的，只能按已有規定處理。二是對多次違法犯罪的行為，由于在短時間內犯罪痕跡被海量信息淹沒，無法做到及時、有效、全部地固定。

隨著網絡技術的不斷發展，網絡犯罪的危害正在不斷加深，網絡取證的研究逐漸凸顯出其重要性和緊迫性[2]。網絡犯罪嫌疑人的作案時間有時可能僅數秒鐘，因此，在嫌疑人破壞其網絡犯罪證據之前，公安機關必須做出快速反應，并準確地獲取犯罪證據[3]。

電子證據的固定是網絡犯罪案件偵辦的重點，其有無直接關系到犯罪事實的認定。在某些網絡犯罪案件中，犯罪分子租用阿里云的云存儲服務器，一旦租用時間到期，云服務器里數據就會被釋放，數據將不可恢復。一般做法是，挖掘租用服務器的資料，通過與阿里云公司協作、遠程登錄相結合等辦法，以盡快將涉案的服務器數據用拷貝光盤如數拷出。

更進一步地，作者嘗試提出一種策略，將網絡犯罪案件獲取的電子數據追溯到人形成完整證據鏈，趕進度、搶時間，將取證窗口前移，從而能夠提前固定證據深挖幕后組織者和源頭。當然，具體實施起來有諸多困難，這不僅僅局限于案件的簡單取證，還要把電子取證工作與溯源工作結合起來。

2 一種網絡犯罪案件電子取證的策略

當前的計算機取證軟件的主要功能是信息獲取和數據恢復，本文嘗試對擴展取證軟件的功能上做一些初步的探索。以往勘查取證只是找出一些文字材料等提交給辦案部門用于移送起訴的電子證據，相互之間沒有交流和溝通。雖然手機取證分析軟件都有這樣那樣的不足，但是把電子取證工作與溯源工作結合起來會獲得意想不到的良好效果。通過勘查取證除了找到Word和Excel等Office文檔，還可能會有圖片文件，這往往是我們不能忽視的。一旦查清手機中圖片傳播的來源（即時通訊上家賬號），再繼續補充完善電子證據勘查工作記錄，就能夠為移送起訴提供有力的證據。

依據中央資源變資產、資金變股金、農民變股民的政策要求，農民以家庭為單位，開展信用合作，提供資金互助服務，構建農業產業發展的資金池。規范民間借貸關系，解決農民貸款難、抵押難、貸款貴的問題，增加農民財產性與資產性收入，為農村新型經營主體提供創業有本、發展有保的產業金融體系，支持和鼓勵農民創業就業，促進農村一二三產業融合發展。

因為手機中的信息量巨大，一頁一頁地翻看顯然不切實際，因此我們主要選擇手機取證軟件開展工作，手機取證軟件能夠快速獲取文件系統信息，是迅速獲取電子數據的前提保證。同時，無的放矢地固定海量信息，不但會耽誤時間而且得不到及時準確簡明扼要的歸納總結。在下面的案例中作者主要詳述勘查取證與溯源策略結合的要點和方法。

網絡犯罪案件的取證行為一般是在違法犯罪行為發生之后才進行的，由于電子證據的脆弱性、易逝性、隱蔽性和多媒性等特點，即使使用了有效的手機取證分析工具，此時手機中的許多電子證據已被破壞或隱藏。而且隨著時間的推移，電子證據可能會發生變化或消失。這使得取證人員很難獲得充分有效的電子證據。即使取得了一些證據，其完整性和真實性也很難得到證明。若要提高電子證據的證明力，最重要的是能保證所有證據從最初的采集到最后移送起訴都保持真實完整性[4]。以下給出一個網絡犯罪案件的手機取證與溯源策略相結合的實戰案例，通過這個案例發掘出更多的電子證據，從而完善整個案件的證據鏈。

應用溯源法，通過手機勘查取證分析獲得圖片的傳播源，步驟如下：

（1）通過手機取證軟件發現手機中有圖片文件（存儲于SD卡中），其中圖片文件名為P1.jpg（大圖）。

（2）在手機取證結果樹的文件系統節點中搜索圖片文件名P1。

（3）查看文件系統節點中搜索圖片文件名的結果，發現該大圖片是T1賬號與T2賬號之間聊天時的內容，具體是誰發給誰的暫時不知道，聊天日期為YMD。

（4）在文件系統節點中搜索日期YMD的聊天內容。

（6）在文件系統節點中搜索日期YMD的結果2：在SD卡中的數據存放文件夾中的內容顯示，T1賬號與T2賬號在日期YMD聊天，交流1張圖片P1.jpg（大圖）。

（7）經查手機聊天內容并對比2張圖片發現，s1.png是P1.jpg的縮略圖，而手機聊天內容中只保存了縮略圖。該圖片是日期YMD聊天時T1賬號發給T2賬號的。賬號T1是圖片的傳播源。

通過這種方法，把電子取證的時間窗前移，預先把敏感的、潛在的、還未暴露的案件證據挖掘出來，這樣一方面能夠避免發生或者減少發生新的案件，另一方面能夠在下一階段抓捕嫌疑人之前就開始搜集違法犯罪的電子證據，還有利于及時補充完善證據，有利于促進案件的順利推進。手機勘查取證工作不是彼此孤立的，與溯源工作相輔相成，才能最大效能地打擊網絡犯罪行為。

3 展望與分析

電子證據的脆弱性、不可靠性、表現形式的多樣性等，使得獲取電子證據和保證可靠性這兩個方面一直是計算機犯罪案件的難點[5]。隨著信息技術的發展，各種違法犯罪案件幾乎都要涉及電子數據的收集問題，電子證據被廣泛應用于行政處罰、刑事訴訟活動。而刑事訴訟活動對行政處罰活動有著強烈的參照意義，所以對刑事訴訟法律法規的及時更新補充完善提出了更高的要求。一方面，刑事訴訟中有關電子數據證據法律法規不斷完善，2012年修改后的刑事訴訟法適應現代信息技術的發展，根據刑事訴訟中出現的新情況和實踐需要，將電子數據增設為法定證據種類，進一步豐富了證據的外延，同時對于電子數據收集、審查、保管、移送、非法證據排除等問題也提出了新的課題。另一方面，全面深化改革、全面依法治國對電子數據取證執法和司法活動提出新的要求，人民群眾對公檢法適應互聯網發展、改進和創新電子數據取證活動提出新的期待。

網絡犯罪案件的違法犯罪證據和海量的正常手機上網數據混雜在一起，而且一個異常行為往往隱藏在多個分散的數據之中，使得取證分析人員很難用單一的方法獲得潛在的電子證據[4]。目前計算機取證獲取電子證據的方法有兩種，一種是手工操作硬件，一種是使用工具軟件。取證工作的成敗主要取決于部門工作人員的經驗和能力[5]。因此，計算機取證從技術和法律兩個方面完善和發展是未來的方向，一是取證技術的自動化，盡量用少量的取證工具、取證軟件，減少人工干預，做少量的操作即可自動完成取證。二是規范計算機取證工作的法律法規和操作標準，減少取證工作的隨意性，提升取證工作的可靠性、權威性和科學性。在取證軟件不斷強化認證、簡化步驟、完善功能、提升自動化程度的前提下，進一步在法律法規的層面規范好電子取證的方方面面，才能使偵查、檢察、審判機關形成認識上的統一,對網絡違法犯罪分子形成強大的震懾,從而維護好網絡虛擬社會的穩定發展。

在辦理網絡犯罪案件時提供完整、準確的電子取證是完善證據鏈的強有力保障。在網絡犯罪案件的偵辦過程中，針對嫌疑人的作案手機的電子取證，取證軟件可能找到直接的違法犯罪證據，也可能在手機中找不到證據，但是通過電子取證結合溯源策略的應用可以找到關聯證據，論證這些關聯證據的有效性是一個長期關注的課題。相關法律法規應當適應不斷發展的新形勢的需要，為電子取證相關的專門性技術問題的認定不斷提供最新的指引。再如對偵查機關難以將海量數據封存、扣押，海量云存儲大數據的難以調取的問題，法律法規應當規定不需要對海量數據復制或將云服務器扣押，即可實現證據的移送。此處只需解決不可抵賴性和可獲取性的問題即可，不可抵賴性是指作為犯罪嫌疑人不能對其實施過的網絡違法犯罪的行為進行否認，而可獲取性是指保證云服務器在凍結和扣押期間辦案單位仍可進行保護性訪問，防止未經授權的用戶的訪問、篡改和破壞，直至訴訟結束。

未來司法實踐中電子數據勘驗檢查還要對網絡中的、物理位置不在本地及境內的路由器、交換機、防火墻、服務器等遠程計算機信息系統，甚至還包括無法或很難確定電子數據存儲位置的公有云、私有云、云服務器、云存儲等被虛擬化技術創造出來的遠程計算機信息系統的勘驗，提取、固定電子數據，記錄遠程計算機信息系統狀態等涉案信息和電子數據，這顯然遠遠超出了傳統勘驗檢查的范疇和對象，這都必須由權威的法律法規來規范。

目前有較多的文獻在研究云取證方面做出了不懈的努力。文[6]從云計算的技術原理出發,結合我國公安電子數據取證工作的現狀,探究云計算在公安數字取證技術中的應用。文[7]分析了云計算特有的安全隱患和取證的困難,并針對困難設計了針對云計算的取證系統,為今后的云計算取證問題的研究提供了有益的參考。

4 結束語

為了適應愈發復雜的取證環境，作者對大數據量的取證數據進行整理和裁剪進行了深入思考，充分利用手機取證分析軟件和溯源策略相結合的方法，從而確定重點勘查范圍，集中使用取證資源，減少取證分析的時間，提高了取證分析的效率。但是對于互聯網云服務器中的電子取證來說,如何收集信息、分析各電子證據間的關聯,發現潛在的異常行為特征是下一步需要研究的課題。

[1]王玲，錢華林.計算機取證技術及其發展趨勢[J].軟件學報，2003.

[2]史昕嶺，鄭淑麗.網絡取證技術的研究與發展[J].網絡安全技術與應用，2015.

[3]高玲玲.互聯網遠程取證的實現模式[J].網絡安全技術與應用，2016.

[4]孫波.計算機取證方法關鍵問題研究[D].北京：中國科學院研究生院，2004.

[5]丁麗萍，王永吉.計算機取證的相關法律技術問題研究[J].軟件學報，2005.

[6]何明.云計算在公安電子數據取證技術中的研究與應用[J].網絡安全技術與應用，2015.

[7]錢芳菊.基于云的計算機取證系統研究[J].網絡安全技術與應用，2016.