◆鄒繼蕓 高敔恒

（重慶市公安局江北區(qū)分局 重慶 400021）

網(wǎng)絡(luò)犯罪與取證

網(wǎng)絡(luò)犯罪中偵查實(shí)驗(yàn)方法的探討

◆鄒繼蕓 高敔恒

（重慶市公安局江北區(qū)分局 重慶 400021）

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)也被一些不法分子利用。日前，以網(wǎng)絡(luò)為犯罪載體或者作為犯罪分子入侵客體的犯罪案件頻發(fā)，同時(shí)，網(wǎng)絡(luò)犯罪案件的特殊性為電子數(shù)據(jù)取證帶來(lái)很大的挑戰(zhàn)。本文結(jié)合偵查實(shí)驗(yàn)法律依據(jù)、目的，對(duì)網(wǎng)絡(luò)犯罪電子數(shù)據(jù)取證中偵查實(shí)驗(yàn)方法進(jìn)行研討，對(duì)依法打擊網(wǎng)絡(luò)犯罪具有實(shí)踐意義。

網(wǎng)絡(luò)犯罪；偵查實(shí)驗(yàn)；方法

0 前言

《刑事訴訟法》第133條規(guī)定：為了查明案情，在必要的時(shí)候，經(jīng)縣級(jí)以上公安機(jī)關(guān)負(fù)責(zé)人批準(zhǔn)，可以進(jìn)行偵查實(shí)驗(yàn)。2016年10月1日頒布的《最高人民法院、最高人民檢察院 、公安部關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問(wèn)題的規(guī)定》第十六條規(guī)定：對(duì)扣押的原始存儲(chǔ)介質(zhì)或者提取的電子數(shù)據(jù)，可以通過(guò)恢復(fù)、破解、統(tǒng)計(jì)、關(guān)聯(lián)、比對(duì)等方式進(jìn)行檢查。必要時(shí)，可以進(jìn)行偵查實(shí)驗(yàn)。

在網(wǎng)絡(luò)犯罪中，犯罪嫌疑人通常運(yùn)用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，借助于網(wǎng)絡(luò)對(duì)某個(gè)系統(tǒng)或信息進(jìn)行攻擊，破壞或利用網(wǎng)絡(luò)進(jìn)行其他犯罪活動(dòng)，涉及的技術(shù)是多方面的，如網(wǎng)絡(luò)編程技術(shù)、TCP/IP、加密技術(shù)、編譯原理等。網(wǎng)絡(luò)犯罪包括互聯(lián)網(wǎng)作為犯罪渠道的傳統(tǒng)犯罪類(lèi)型，如借助網(wǎng)絡(luò)平臺(tái)實(shí)施的詐騙犯罪、侵犯知識(shí)產(chǎn)品犯罪，也包括在互聯(lián)網(wǎng)平臺(tái)和金融產(chǎn)品不斷融合過(guò)程中衍生的新興犯罪類(lèi)型，如非法吸收公眾存款等新型金融類(lèi)犯罪[1]。互聯(lián)網(wǎng)作為犯罪入侵的客體如非法侵入計(jì)算機(jī)信息系統(tǒng)、非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)及以釣魚(yú)網(wǎng)站為平臺(tái)非法獲取公民個(gè)人信息等案件中，從扣押的原始存儲(chǔ)介質(zhì)或提取的電子數(shù)據(jù)中分析得到的與案件相關(guān)的電子數(shù)據(jù)，往往不能獨(dú)立的完成某個(gè)具體犯罪行為，因?yàn)樗赡苁且欢纬绦蛟创a、一個(gè)瀏覽器插件、一個(gè)提權(quán)POC腳本、一段利用程序漏洞實(shí)施攻擊的描述等，需要依托特定的軟、硬件和網(wǎng)絡(luò)環(huán)境才能得以執(zhí)行。

1 網(wǎng)絡(luò)犯罪偵查實(shí)驗(yàn)

網(wǎng)絡(luò)犯罪偵查實(shí)驗(yàn)是指在網(wǎng)絡(luò)犯罪案件偵辦過(guò)程中，當(dāng)從扣押的原始存儲(chǔ)介質(zhì)或提取的電子數(shù)據(jù)不能直接認(rèn)定犯罪事實(shí)時(shí)，需搭建特定的軟、硬件和網(wǎng)絡(luò)環(huán)境，通過(guò)動(dòng)態(tài)仿真模擬和重演犯罪過(guò)程，旨在確定某事實(shí)、現(xiàn)象或行為能否發(fā)生或者怎樣發(fā)生的一種偵查措施[2]。

1.1 偵查實(shí)驗(yàn)的可行性

網(wǎng)絡(luò)犯罪中，主要犯罪過(guò)程可以通過(guò)構(gòu)建特定的運(yùn)行環(huán)境予以重現(xiàn)。例如近些年通過(guò)“偽基站+釣魚(yú)+短信貓+Android攔截木馬”實(shí)施網(wǎng)絡(luò)盜竊的案件時(shí)有發(fā)生，偽基站背包客按照上家要求發(fā)送含有釣魚(yú)網(wǎng)站鏈接的短信，非法獲取個(gè)人身份信息及銀行卡信息，這些信息被稱為料，料很有可能被轉(zhuǎn)賣(mài)，也可能被釣魚(yú)網(wǎng)站的開(kāi)發(fā)者通過(guò)后門(mén)獲取。嫌疑人依據(jù)料的信息，通過(guò)短信貓向特定的手機(jī)號(hào)碼發(fā)送含有Android攔截馬的詐騙短信，從而盜竊受害人儲(chǔ)蓄卡中的余額或盜刷其信用卡。整個(gè)活動(dòng)鏈中，釣魚(yú)網(wǎng)站能否獲取個(gè)人身份信息及銀行卡信息、Andord攔截馬能否轉(zhuǎn)發(fā)、刪除短信在傳統(tǒng)的偵查實(shí)驗(yàn)方法中是無(wú)法完成的。因?yàn)閺尼烎~(yú)網(wǎng)站服務(wù)器、或嫌疑人電腦中提取的網(wǎng)站源代碼、Andorid攔截馬等電子數(shù)據(jù)都是靜態(tài)的，它能否完成某個(gè)行為、實(shí)現(xiàn)某個(gè)功能可以通過(guò)偵查實(shí)驗(yàn)進(jìn)行驗(yàn)證。

1.2 偵查實(shí)驗(yàn)的目的

網(wǎng)絡(luò)犯罪中的偵查實(shí)驗(yàn)的目的是明確程序是如何與主機(jī)系統(tǒng)進(jìn)行交互、如何與網(wǎng)絡(luò)進(jìn)行交互、攻擊者如何與程序進(jìn)行交互（命令/控制等）、攻擊過(guò)程和結(jié)果的重現(xiàn)、程序?qū)粽叩募夹g(shù)要求達(dá)到何種程度、是否存在可識(shí)別的攻擊程序用于感染主機(jī)、系統(tǒng)或網(wǎng)絡(luò)受到感染或損害的程度是多少、探索和驗(yàn)證程序的功能和用途、驗(yàn)證程序的功能邊界，主要包括以下幾個(gè)方面：

（1）可執(zhí)行程序功能性驗(yàn)證：驗(yàn)證可執(zhí)行程序在一定條件下能否入侵計(jì)算機(jī)信息系統(tǒng)、獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、控制計(jì)算機(jī)信息系統(tǒng)、破解計(jì)算機(jī)軟件、加密電子數(shù)據(jù)、解密電子數(shù)據(jù)。

（2）程序漏洞驗(yàn)證：由于軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，使得攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。例如WEB程序漏洞：SQL注入、XSS跨站點(diǎn)腳本，跨目錄訪問(wèn)，越權(quán)訪問(wèn)，COOKIES修改，HTTP方法篡改、CRLF，命令行注入。如果網(wǎng)站存在WEB漏洞并被黑客攻擊者利用，攻擊者可以輕易控制整個(gè)網(wǎng)站，并可進(jìn)一步獲取網(wǎng)站相關(guān)服務(wù)器的管理權(quán)限。

（3）惡意代碼功能驗(yàn)證：是指故意編制或設(shè)置的、對(duì)網(wǎng)絡(luò)或系統(tǒng)會(huì)產(chǎn)生威脅或潛在威脅的可執(zhí)行代碼或程序，如木馬、病毒、后門(mén)等。

（4）插件功能驗(yàn)證：亦稱外掛，是一種遵循一定規(guī)范的應(yīng)用程序接口編寫(xiě)出來(lái)的程序，其只能運(yùn)行在程序規(guī)定的系統(tǒng)平臺(tái)下（可能同時(shí)支持多個(gè)平臺(tái)），而不能脫離指定的平臺(tái)單獨(dú)運(yùn)行。

（5）程序源代碼功能驗(yàn)證：是指未經(jīng)編譯的，按照一定的程序設(shè)計(jì)語(yǔ)言規(guī)范書(shū)寫(xiě)的文本文件。程序源代碼可以是完整的代碼，也可以是代碼片段。驗(yàn)證在一定條件下，通過(guò)添加、刪除、修改程序源代碼，能否侵入計(jì)算機(jī)信息系統(tǒng)、獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、控制計(jì)算機(jī)信息系統(tǒng)，如POC源代碼、系統(tǒng)提權(quán)腳本，程序片段功能驗(yàn)證、數(shù)據(jù)結(jié)構(gòu)、函數(shù)功能驗(yàn)證。

2 網(wǎng)絡(luò)犯罪偵查實(shí)驗(yàn)方法

結(jié)合網(wǎng)絡(luò)犯罪表現(xiàn)形態(tài)，網(wǎng)絡(luò)犯罪偵查實(shí)驗(yàn)與傳統(tǒng)偵查實(shí)驗(yàn)在人員要求和硬、軟件及網(wǎng)絡(luò)環(huán)境、偵查實(shí)驗(yàn)步驟等方面具有自己的特點(diǎn)。

2.1 偵查實(shí)驗(yàn)的人員要求

偵查實(shí)驗(yàn)的參與人員有主持人、偵查人員以及見(jiàn)證人。主持人：負(fù)責(zé)整個(gè)偵查實(shí)驗(yàn)的調(diào)度指揮；偵查人員：具有計(jì)算機(jī)相關(guān)專(zhuān)業(yè)知識(shí)背景的偵查民警，負(fù)責(zé)偵查實(shí)驗(yàn)的前期準(zhǔn)備、實(shí)施、撰寫(xiě)偵查實(shí)驗(yàn)筆錄等工作；見(jiàn)證人：具有計(jì)算機(jī)相關(guān)專(zhuān)業(yè)知識(shí)背景的社會(huì)人士，有能力見(jiàn)證整個(gè)偵查實(shí)驗(yàn)的實(shí)施過(guò)程，并能夠?qū)ο嚓P(guān)實(shí)驗(yàn)結(jié)論中的專(zhuān)業(yè)描述做解釋。電子數(shù)據(jù)取證中偵查實(shí)驗(yàn)對(duì)見(jiàn)證人的專(zhuān)業(yè)技能要求較高，如果沒(méi)有相關(guān)技術(shù)背景，見(jiàn)證人的司法認(rèn)可力度較低。

2.2 檢材及樣本保全備份在進(jìn)行偵查實(shí)驗(yàn)前，需要對(duì)檢材及樣本進(jìn)行保全備份。網(wǎng)絡(luò)犯罪中的檢材及樣本是指在現(xiàn)場(chǎng)勘驗(yàn)檢查、電子證據(jù)檢查、遠(yuǎn)程勘驗(yàn)檢查以及網(wǎng)絡(luò)在線提取等偵查活動(dòng)中提取、固定的，需要在偵查實(shí)驗(yàn)中驗(yàn)證其功能特征的電子數(shù)據(jù)。原始檢材及樣本的載體主要分為移動(dòng)終端和電子數(shù)據(jù)存儲(chǔ)介質(zhì)，兩種載體保全備份方式有所區(qū)別。

移動(dòng)終端：(1)移動(dòng)終端的檢驗(yàn)分析，計(jì)算檢出數(shù)據(jù)的哈希值，并復(fù)制到有利于開(kāi)展偵查實(shí)驗(yàn)的專(zhuān)用的存儲(chǔ)介質(zhì)中；(2)將原始移動(dòng)終端中的數(shù)據(jù)遷移至可用于開(kāi)展偵查實(shí)驗(yàn)的移動(dòng)終端中，但必須證明遷移數(shù)據(jù)對(duì)原始移動(dòng)終端產(chǎn)生的影響；(3）不具備檢出、遷移數(shù)據(jù)條件的，使用原始移動(dòng)終端開(kāi)展偵查實(shí)驗(yàn)，但必須注明對(duì)原始存儲(chǔ)移動(dòng)終端產(chǎn)生的影響。

電子數(shù)據(jù)存儲(chǔ)介質(zhì)：(1)對(duì)具有保全條件的電子數(shù)據(jù)存儲(chǔ)介質(zhì)，采用逐比特復(fù)制的方式進(jìn)行電子數(shù)據(jù)存儲(chǔ)介質(zhì)保全備份，計(jì)算保全備份的副本或鏡像的哈希值，使用副本開(kāi)展偵查實(shí)驗(yàn)；(2)不具備保全條件的，將電子數(shù)據(jù)存儲(chǔ)介質(zhì)其接入寫(xiě)保護(hù)設(shè)備，然后開(kāi)展偵查實(shí)驗(yàn)；(3）不具備保全及寫(xiě)保護(hù)條件的，使用原始存儲(chǔ)介質(zhì)開(kāi)展偵查實(shí)驗(yàn)，但必須注明可能產(chǎn)生的影響。

2.3 偵查實(shí)驗(yàn)的硬、軟件及網(wǎng)絡(luò)環(huán)境

搭建偵查實(shí)驗(yàn)所需要的硬件環(huán)境，可以根據(jù)實(shí)際情況進(jìn)行選配，但要能夠滿足成功運(yùn)行樣本的基本條件；安裝偵查實(shí)驗(yàn)動(dòng)態(tài)仿真所需的虛擬機(jī)、操作系統(tǒng)、程序運(yùn)行環(huán)境配置信息，安裝升級(jí)補(bǔ)丁信息，JDK版本，.Net Framework版本，數(shù)據(jù)庫(kù)服務(wù)器類(lèi)型及版本，web服務(wù)器類(lèi)型及版本）等；配置實(shí)驗(yàn)所需的網(wǎng)絡(luò)環(huán)境，如局域網(wǎng)配置（子網(wǎng)劃分）、公網(wǎng)接入配置、端口設(shè)置、代理設(shè)置、VPN設(shè)置等；部署需要驗(yàn)證的偵查實(shí)驗(yàn)的主體，如被入侵的網(wǎng)站、被破解的軟件系統(tǒng)等；安裝取證工具，如流量監(jiān)控軟件、抓包工具、內(nèi)存數(shù)據(jù)dump工具等相關(guān)取證軟件。

2.4 偵查實(shí)驗(yàn)的步驟

(1)對(duì)具備保全條件的檢材及樣本進(jìn)行備份保全；

(2)對(duì)檢材及樣本進(jìn)行編號(hào)；

(3)建立偵查實(shí)驗(yàn)環(huán)境；

(4)執(zhí)行樣本前的準(zhǔn)備；

(5)執(zhí)行樣本；

系統(tǒng)與網(wǎng)絡(luò)監(jiān)控；

環(huán)境仿真及調(diào)整（相關(guān)參數(shù)等）；

進(jìn)程監(jiān)控；

排除混淆因素；

記錄樣本的執(zhí)行狀況。

(6)設(shè)置相關(guān)配置，重新執(zhí)行樣本。

2.5 偵查實(shí)驗(yàn)筆錄

進(jìn)行偵查實(shí)驗(yàn)時(shí)需做好檢驗(yàn)記錄，記錄應(yīng)貫穿整個(gè)偵查實(shí)驗(yàn)過(guò)程，包括：偵查實(shí)驗(yàn)開(kāi)始的日期和時(shí)間、參加偵查實(shí)驗(yàn)的主持人、參加偵查實(shí)驗(yàn)的偵查員、參加偵查實(shí)驗(yàn)的見(jiàn)證人、偵查實(shí)驗(yàn)的目的、原始檢材及樣本的完整性狀況、原始檢材及樣本的保全備份處理情況、偵查實(shí)驗(yàn)所需的硬、軟件以及網(wǎng)絡(luò)狀態(tài)等環(huán)境信息、偵查實(shí)驗(yàn)過(guò)程使用到的取證工具、偵查實(shí)驗(yàn)樣本的執(zhí)行狀況和偵查實(shí)驗(yàn)結(jié)論。

3 結(jié)論

網(wǎng)絡(luò)犯罪偵查實(shí)驗(yàn)作為刑事證據(jù)種類(lèi)的一種，是通過(guò)搭建特定的軟、硬件和網(wǎng)絡(luò)環(huán)境，動(dòng)態(tài)仿真模擬和重演犯罪過(guò)程的一項(xiàng)偵查措施。結(jié)合日常取證工作實(shí)際，本文基于網(wǎng)絡(luò)犯罪偵查實(shí)驗(yàn)的必要性、可行性和目的，提出了網(wǎng)絡(luò)犯罪偵查實(shí)驗(yàn)方法，具有重要的司法實(shí)踐意義。

[1]董哲，劉坤.互聯(lián)網(wǎng)經(jīng)濟(jì)犯罪偵防應(yīng)對(duì)研究[J].北京警官學(xué)院學(xué)報(bào)，2015.

[2]楊東亮.偵查實(shí)驗(yàn)筆錄簡(jiǎn)介[J].證據(jù)科學(xué)，2011.