王明霞

（國防大學(xué)政治學(xué)院，陜西 西安710068）

1 網(wǎng)絡(luò)犯罪現(xiàn)場的確定

網(wǎng)絡(luò)犯罪案件本身的性質(zhì)決定了此類犯罪的發(fā)生一定與計算機、網(wǎng)絡(luò)系統(tǒng)有關(guān)。被害人使用的系統(tǒng)、犯罪嫌疑人使用的系統(tǒng)、其他網(wǎng)絡(luò)中間節(jié)點以及相關(guān)場所、環(huán)境都應(yīng)屬于網(wǎng)絡(luò)犯罪現(xiàn)場。網(wǎng)絡(luò)犯罪案件的復(fù)雜性使得網(wǎng)絡(luò)犯罪案件的現(xiàn)場確定更為重要，并與傳統(tǒng)刑事犯罪現(xiàn)場有較大的區(qū)別。從空間上看，可以把網(wǎng)絡(luò)犯罪現(xiàn)場分為本地現(xiàn)場和遠程現(xiàn)場。［1］

1.1 本地現(xiàn)場的確定

本地現(xiàn)場的確定相對而言比較簡單，可以理解為一般意義上的可控的、可進入的、可操作的本地現(xiàn)場環(huán)境。該類犯罪現(xiàn)場主要有2類。一類是犯罪嫌疑人使用過的計算機系統(tǒng)以及該系統(tǒng)所在的物理空間。這類情況中犯罪嫌疑人利用計算機系統(tǒng)作為犯罪工具實施犯罪。另一類是被犯罪嫌疑人攻擊或破壞的計算機系統(tǒng)以及該系統(tǒng)所在的物理空間。這類情況中計算機系統(tǒng)通常是受害人使用的系統(tǒng)，是犯罪嫌疑人犯罪實施的對象。

1.2 遠程現(xiàn)場的確定

網(wǎng)絡(luò)犯罪常存在多個現(xiàn)場，較為常見的情況是作案在某一個地方，而犯罪結(jié)果則出現(xiàn)在另一個地方或其他多個地方。對于網(wǎng)絡(luò)上的遠程現(xiàn)場可以從犯罪結(jié)果顯現(xiàn)的計算機或被侵害的對象入手。根據(jù)ISP 系統(tǒng)日志追查犯罪嫌疑人的IP 地址，核查主叫號碼，對境內(nèi)號碼，再根據(jù)主叫號碼確定實際地址，從而確定現(xiàn)場。

2 網(wǎng)絡(luò)犯罪現(xiàn)場保護的重難點

由于電子數(shù)據(jù)、電子介質(zhì)的易失性以及網(wǎng)絡(luò)系統(tǒng)的虛擬性、易破壞性，網(wǎng)絡(luò)犯罪現(xiàn)場保護工作更加需要謹慎細致。

2.1 及時采取技術(shù)保護措施

網(wǎng)絡(luò)犯罪現(xiàn)場保護需要較強的技術(shù)性保護，使相關(guān)計算機設(shè)備保持一個相對獨立、隔離的原始狀態(tài)。在確認當(dāng)前系統(tǒng)無安全威脅和無繼續(xù)擴大損害的情況下，應(yīng)盡量保持系統(tǒng)的原始狀態(tài)，維持現(xiàn)場最初的開關(guān)機狀態(tài)、網(wǎng)絡(luò)連接狀態(tài)、系統(tǒng)運行狀態(tài)，使內(nèi)存保留當(dāng)前系統(tǒng)正在執(zhí)行的任務(wù)、進程、臨時文件等信息，排除系統(tǒng)斷電等情況，確保系統(tǒng)保持靜態(tài)，保證系統(tǒng)內(nèi)易失數(shù)據(jù)不會損壞。如果系統(tǒng)受到的安全威脅、損害有進一步擴大或可能導(dǎo)致證據(jù)滅失的嚴重后果，應(yīng)視情況斷開網(wǎng)絡(luò)，保護網(wǎng)絡(luò)及其相關(guān)設(shè)備。

2.2 控制現(xiàn)場人員

在做好中心現(xiàn)場的技術(shù)保護之后，現(xiàn)場保護人員要控制好現(xiàn)場內(nèi)人員，無論被害人還是犯罪嫌疑人，以及其他無關(guān)人員，都不得接觸計算機設(shè)備及現(xiàn)場電源開關(guān)，防止系統(tǒng)狀態(tài)被改變、系統(tǒng)內(nèi)文件和數(shù)據(jù)被增加、刪除或修改，防止機內(nèi)信息和機上的痕跡、物證遭到破壞，要堅決杜絕任何可能使證據(jù)滅失的行為發(fā)生。在現(xiàn)場人員較多的單位或其他公共場所，要注意隔離在場人員，防止人員相互交流串供。

3 網(wǎng)絡(luò)犯罪現(xiàn)場訪問的重難點

網(wǎng)絡(luò)犯罪主要發(fā)生在使用或者涉及計算機網(wǎng)絡(luò)系統(tǒng)的領(lǐng)域，因此現(xiàn)場訪問工作應(yīng)主要圍繞計算機系統(tǒng)來展開。

3.1 現(xiàn)場訪問的對象

一般來說，計算機網(wǎng)絡(luò)系統(tǒng)工作人員是直接接觸網(wǎng)絡(luò)系統(tǒng)的人，他們往往最早發(fā)現(xiàn)網(wǎng)絡(luò)被侵犯，最容易察覺到犯罪行為的先兆。因此網(wǎng)絡(luò)犯罪現(xiàn)場訪問的對象主要是計算機系統(tǒng)操作人員、分管領(lǐng)導(dǎo)、技術(shù)維護人員等。網(wǎng)絡(luò)犯罪內(nèi)部人員作案情況較多，要全面調(diào)查計算機網(wǎng)絡(luò)系統(tǒng)工作人員的檔案，了解其基本情況，并結(jié)合現(xiàn)場勘驗檢查情況尋找偵查線索。對于外部人員的調(diào)查，可重點調(diào)查具有作案技能的相關(guān)人員或與之有業(yè)務(wù)聯(lián)系的外部人員。另外，可從犯罪結(jié)果反映出的作案動機來確定重點訪問人員，因為作案人往往是從犯罪結(jié)果中直接或間接獲益的人。

3.2 現(xiàn)場訪問的重點內(nèi)容

現(xiàn)場訪問的內(nèi)容應(yīng)圍繞計算機系統(tǒng)的基本情況及知情人員的情況來展開。首先應(yīng)對計算機的基本情況進行調(diào)查了解。如計算機系統(tǒng)有無密碼，計算機內(nèi)存儲的數(shù)據(jù)文件情況，安裝軟件情況，計算機是否出現(xiàn)過故障，維修的時間和次數(shù)等；其次要對接觸使用該計算機設(shè)備的人員情況進行訪問。如能接近并操縱該計算機系統(tǒng)的人員，可能了解系統(tǒng)密碼的人員，可能利用值班、學(xué)習(xí)等機會使用該系統(tǒng)的人員，曾經(jīng)維修過計算機系統(tǒng)的人員情況。

4 網(wǎng)絡(luò)犯罪現(xiàn)場勘驗檢查的重難點

由于網(wǎng)絡(luò)犯罪的特殊性，致使該類型案件犯罪現(xiàn)場勘查的重難點與傳統(tǒng)犯罪現(xiàn)場勘驗檢查有很大不同，其規(guī)范性、專業(yè)性要求更高。進行網(wǎng)絡(luò)犯罪現(xiàn)場勘驗檢查的人員必須具備計算機現(xiàn)場勘查的專業(yè)知識和技能。根據(jù)網(wǎng)絡(luò)犯罪現(xiàn)場的分類，網(wǎng)絡(luò)犯罪的勘驗檢查工作主要分為本地現(xiàn)場勘查和遠程現(xiàn)場勘查兩大類。［2］

4.1 本地現(xiàn)場勘查

本地現(xiàn)場勘查主要是對犯罪嫌疑人所操作的計算機、附屬外部設(shè)備，以及周邊空間環(huán)境的勘驗檢查。對于大多數(shù)網(wǎng)絡(luò)犯罪案件來說，對本地現(xiàn)場勘查是查獲線索、取得原始證據(jù)的重點工作。由于本地現(xiàn)場勘查工作存在很多不確定因素，因此勘查的難度較高。主要勘查本地存留的主機或服務(wù)器、打印機及其他附屬輸出設(shè)備、網(wǎng)絡(luò)連接設(shè)備等系統(tǒng)設(shè)備的機內(nèi)電子數(shù)據(jù)。另外還包括計算機系統(tǒng)所在的物理空間、硬件設(shè)備的物理狀態(tài)及特性、打印或書寫的有關(guān)計算機系統(tǒng)信息的紙張，系統(tǒng)周邊的線纜和接口等網(wǎng)絡(luò)連接狀態(tài)，現(xiàn)場留存的可能存儲有可疑文件的移動存儲設(shè)備和介質(zhì)等。

4.2 遠程現(xiàn)場勘查

遠程現(xiàn)場勘查主要是通過網(wǎng)絡(luò)對遠程目標(biāo)系統(tǒng)實施勘驗、檢查，也就是針對犯罪嫌疑人在網(wǎng)上操作時所形成的數(shù)據(jù)節(jié)點信息進行收集，以提取、固定遠程目標(biāo)系統(tǒng)的狀態(tài)和存留的內(nèi)容。如E-mail 服務(wù)器、網(wǎng)站主機、即時通信服務(wù)器上的保留信息等。網(wǎng)站的信息本身可能會隨著時間推移而更新，因此對網(wǎng)頁信息的固定也應(yīng)具有連續(xù)性。另外，可設(shè)法通過網(wǎng)站信息獲取對方的真實IP 地址，從而確定犯罪嫌疑人的位置信息。

5 網(wǎng)絡(luò)犯罪現(xiàn)場分析的重難點

對網(wǎng)絡(luò)犯罪現(xiàn)場的分析，關(guān)鍵要將計算機系統(tǒng)外部線索與計算機內(nèi)部信息互相結(jié)合，將方面信息互為補充、互相映射和關(guān)聯(lián)，進行綜合分析，從而確定案件性質(zhì)和下一步偵查方向。［3］

5.1 將外部線索和機內(nèi)相關(guān)信息充分關(guān)聯(lián)和映射

一方面可以通過外部線索挖掘機內(nèi)相關(guān)信息。嫌疑人在外部現(xiàn)場的遺留痕跡很大程度上可以與其在計算機內(nèi)留下的數(shù)據(jù)信息進行關(guān)聯(lián)和映射。偵查人員通過合理演繹計算機外部線索如文件、書籍、票據(jù)、使用工具等情況，嘗試從嫌疑人使用的電腦中查找相關(guān)涉案信息，為揭開嫌疑人真面目提供重要線索。另一方面，可通過計算機系統(tǒng)線索，核實查找外部隱藏線索。偵查人員可對計算機內(nèi)部線索進行梳理分析，繼而關(guān)聯(lián)外部現(xiàn)場的某些細節(jié)，進一步驗證外部線索的真實性。

5.2 通過涉網(wǎng)證據(jù)信息分析嫌疑人特征

一個人在網(wǎng)絡(luò)上的行為不受客觀世界道德倫理、熟人社會的監(jiān)督和約束，更能自由地表現(xiàn)其興趣愛好、性格特點、心智能力等主觀本源性特征。為此，偵查人員應(yīng)從網(wǎng)絡(luò)犯罪現(xiàn)場獲取的某些涉網(wǎng)證據(jù)信息入手，如嫌疑人的涉案QQ 號、微信等社交工具聊天記錄，個人QQ主頁、微博主頁等，綜合分析嫌疑人的性格特點。同時，還可以從獲取的大量涉網(wǎng)證據(jù)信息中，尋找發(fā)現(xiàn)、分析總結(jié)出嫌疑人的網(wǎng)絡(luò)行為特征，網(wǎng)絡(luò)技術(shù)掌握水平，是初犯還是慣犯等信息，對嫌疑人畫像，從而為打開案件突破口，圈定犯罪嫌疑人提供有力支撐。