李培鋒 吳俊霖

摘要：本文根據(jù)真實案例的實踐應用，就互聯(lián)網(wǎng)電子數(shù)據(jù)的遠程勘查與取證展開闡述。

關鍵詞：電子數(shù)據(jù);遠程勘查;取證

引言：在新時代的現(xiàn)今社會，互聯(lián)網(wǎng)已成為人們學習、工作和生活中不可或缺的一部分，但在互聯(lián)網(wǎng)給人們帶來便利的同時，也給某些犯罪分子當成牟利的工具和載體，其犯罪手法新型且隱蔽，給公安機關打擊和取證帶來了新的挑戰(zhàn)。

案例：2020年9月28日，民眾公安分局民警在偵查中發(fā)現(xiàn)位于中山市三鄉(xiāng)鎮(zhèn)XX花園XX棟XX房有人正在通過網(wǎng)絡傳播淫穢物品并牟利，隨后我民警到場后抓獲一名犯罪嫌疑人鐘XX（女，31歲）。經(jīng)訊問，鐘XX供述了其有通過微信向他人以群發(fā)色情視頻鏈接的方式去販賣淫穢物品牟利的犯罪行為。

背景：鐘XX販賣、傳播淫穢物品牟利案作案過程全程在網(wǎng)絡上實施，其在微信上所轉發(fā)的網(wǎng)絡鏈接均是網(wǎng)絡上公開發(fā)布的、遠程計算機信息系統(tǒng)上的電子數(shù)據(jù)，用戶通過微信接收該網(wǎng)絡鏈接后可以直接在線播放或下載。但單憑微信聊天記錄截屏的網(wǎng)絡鏈接無法確認是否屬于淫穢物品，且該網(wǎng)絡鏈接的電子數(shù)據(jù)不在本地（即不在犯罪嫌疑人的手機和電腦上），無法扣押和封存，因此可以通過遠程勘查與取證，采取網(wǎng)絡在線提取的方式去固定涉案的電子數(shù)據(jù)等物證。

取證工具：1、硬件：互聯(lián)網(wǎng)電腦、錄像機;2、軟件：錄屏軟件、哈希計算軟件

操作方法：

一、電腦端準備：

（一）全程錄屏，重要步驟截屏，打開殺毒軟件全盤殺毒：

（二）清理DNS緩存記錄：ipconfig -flushdns

（三）檢查hosts記錄 C：＼Windows＼System32＼drivers＼etc

（四）tracert路由檢查

（五）瀏覽器緩存清除

（六）瀏覽器訪問國家授時中心http：//www.time.ac.cn/stime.asp，

二、手機端準備：

（一）手機外觀正反面拍照，固定手機品牌、顏色等

（二）手機設備、系統(tǒng)信息拍照，固定手機型號、系統(tǒng)版本、IMEI號等

（三）手機端微信賬號信息拍照，固定涉案手機端微信賬號信息

（四）電腦端微信賬號信息拍照，固定涉案電腦端微信賬號信息

（五）微信群群成員信息拍照，固定涉案微信群群成員人數(shù)信息

三、取證對象及目的

嫌疑人鐘XX手機的微信在“XXXX群”里2020年X月X日至XX月XX日的發(fā)送記錄，對發(fā)送的內(nèi)容進行核查是否涉嫌傳播淫穢物品罪。

四、取證過程及方法

使用錄像機對相關操作進行錄像，由偵查員在遠勘專用計算機上啟動錄屏軟件后分別進行殺毒、清除DNS緩存記錄、檢查hosts記錄、檢查tracert路由、清除瀏覽器緩存、對照網(wǎng)絡時間等步驟，首先對嫌疑人鐘XX的手機進行檢驗，記錄手機顏色、品牌、型號及IMEI碼，然后在手機端打開微信（微信號： XXX），通過手機登錄電腦端的微信（微信號：XXX），瀏覽微信“XXXX群”相關信息，可見群成員有XX人，啟動手機錄屏，將手機微信2020年X月X日至XX月XX日在“XXXX群”的發(fā)送記錄通過“文件傳輸助手”發(fā)送到電腦端微信，在電腦端對聊天記錄中的網(wǎng)址鏈接使用谷歌瀏覽器進行登錄瀏覽，經(jīng)核查后發(fā)現(xiàn)可通過網(wǎng)絡進行視頻播放的鏈接逐一記錄，并且，鏈接播放期間分別截取每段視頻約30秒的播放過程，以上步驟分別生成手機錄屏文件、電腦錄屏文件和錄像機錄像文件，計算其哈希值（即完整性校驗值），制作《網(wǎng)絡在線提取筆錄》，并制作《電子數(shù)據(jù)提取固定清單》，清單內(nèi)容儲存到光盤內(nèi)。

五、注意事項

（一）由于網(wǎng)絡鏈接類的電子數(shù)據(jù)是存儲在網(wǎng)絡空間上，不能確定存儲介質的具體位置，不能扣押原始存儲介質，所以采用遠程勘查在線取證所得的電子數(shù)據(jù)應當通過計算完整性校驗值的方法來保證其原始性。

（二）遠程勘查取證時，對可能無法重復提取或可能會出現(xiàn)變化的電子數(shù)據(jù)，應當采用錄像、錄屏或拍照等方式記錄以下信息：遠程計算機系統(tǒng)的訪問方式;提取的日期和時間;提取使用的工具和方法;電子數(shù)據(jù)的網(wǎng)絡地址、存儲路徑或者數(shù)據(jù)提取時的進入步驟等;計算完整性校驗值的過程和結果。

（三）遠程勘查取證提取的電子數(shù)據(jù)應當在有關筆錄（如《網(wǎng)絡在線提取筆錄》）中注明電子數(shù)據(jù)的來源、事由和目的、對象，提取電子數(shù)據(jù)的時間、地點、方法、過程及結果，不能扣押原始存儲介質的原因，并附《電子數(shù)據(jù)提取固定清單》，注明類別、文件格式、完整性校驗值等，由偵查人員簽名或者蓋章。

（四）遠程勘驗取證應當由符合條件的人員作為見證人，見證遠程勘驗、取證的全過程并簽名確認。由于客觀原因無法由符合條件的人員擔任見證人的，應當在《網(wǎng)絡在線提取筆錄》中注明情況，并按照《公安機關辦理刑事案件數(shù)據(jù)取證規(guī)則》第二十五條的規(guī)定錄像，錄像可以采用屏幕錄像或者錄像機錄像等方式，錄像文件應當計算完整性校驗值并記入筆錄。

（五）遠程勘驗取證結束后，應當及時制作《網(wǎng)絡在線提取筆錄》，詳細記錄遠程勘驗有關情況以及勘驗照片、截獲的屏幕截圖等內(nèi)容。由偵查人員和見證人簽名或者蓋章。

（六）《網(wǎng)絡在線提取筆錄》應當客觀、全面、詳細、準確、規(guī)范，能夠作為還原遠程計算機信息系統(tǒng)原始情況的依據(jù)，符合法定的證據(jù)要求。對計算機信息系統(tǒng)進行多次遠程勘驗的，在制作首次《網(wǎng)絡在線提取筆錄》后，逐次制作補充《網(wǎng)絡在線提取筆錄》。

參考文獻：

[1] 劉忠義，電子物證實戰(zhàn)手冊/公安部刑事偵查局編[M]，北京：中國人民公安大學出版社，2019：43-50

中山市公安局民眾分局刑事偵查大隊 廣東 中山 528400