网络犯罪现场勘查的重难点问题研究

王明霞

（国防大学政治学院，陕西 西安710068）

1 网络犯罪现场的确定

网络犯罪案件本身的性质决定了此类犯罪的发生一定与计算机、网络系统有关。被害人使用的系统、犯罪嫌疑人使用的系统、其他网络中间节点以及相关场所、环境都应属于网络犯罪现场。网络犯罪案件的复杂性使得网络犯罪案件的现场确定更为重要，并与传统刑事犯罪现场有较大的区别。从空间上看，可以把网络犯罪现场分为本地现场和远程现场。［1］

1.1 本地现场的确定

本地现场的确定相对而言比较简单，可以理解为一般意义上的可控的、可进入的、可操作的本地现场环境。该类犯罪现场主要有2类。一类是犯罪嫌疑人使用过的计算机系统以及该系统所在的物理空间。这类情况中犯罪嫌疑人利用计算机系统作为犯罪工具实施犯罪。另一类是被犯罪嫌疑人攻击或破坏的计算机系统以及该系统所在的物理空间。这类情况中计算机系统通常是受害人使用的系统，是犯罪嫌疑人犯罪实施的对象。

1.2 远程现场的确定

网络犯罪常存在多个现场，较为常见的情况是作案在某一个地方，而犯罪结果则出现在另一个地方或其他多个地方。对于网络上的远程现场可以从犯罪结果显现的计算机或被侵害的对象入手。根据ISP 系统日志追查犯罪嫌疑人的IP 地址，核查主叫号码，对境内号码，再根据主叫号码确定实际地址，从而确定现场。

2 网络犯罪现场保护的重难点

由于电子数据、电子介质的易失性以及网络系统的虚拟性、易破坏性，网络犯罪现场保护工作更加需要谨慎细致。

2.1 及时采取技术保护措施

网络犯罪现场保护需要较强的技术性保护，使相关计算机设备保持一个相对独立、隔离的原始状态。在确认当前系统无安全威胁和无继续扩大损害的情况下，应尽量保持系统的原始状态，维持现场最初的开关机状态、网络连接状态、系统运行状态，使内存保留当前系统正在执行的任务、进程、临时文件等信息，排除系统断电等情况，确保系统保持静态，保证系统内易失数据不会损坏。如果系统受到的安全威胁、损害有进一步扩大或可能导致证据灭失的严重后果，应视情况断开网络，保护网络及其相关设备。

2.2 控制现场人员

在做好中心现场的技术保护之后，现场保护人员要控制好现场内人员，无论被害人还是犯罪嫌疑人，以及其他无关人员，都不得接触计算机设备及现场电源开关，防止系统状态被改变、系统内文件和数据被增加、删除或修改，防止机内信息和机上的痕迹、物证遭到破坏，要坚决杜绝任何可能使证据灭失的行为发生。在现场人员较多的单位或其他公共场所，要注意隔离在场人员，防止人员相互交流串供。

3 网络犯罪现场访问的重难点

网络犯罪主要发生在使用或者涉及计算机网络系统的领域，因此现场访问工作应主要围绕计算机系统来展开。

3.1 现场访问的对象

一般来说，计算机网络系统工作人员是直接接触网络系统的人，他们往往最早发现网络被侵犯，最容易察觉到犯罪行为的先兆。因此网络犯罪现场访问的对象主要是计算机系统操作人员、分管领导、技术维护人员等。网络犯罪内部人员作案情况较多，要全面调查计算机网络系统工作人员的档案，了解其基本情况，并结合现场勘验检查情况寻找侦查线索。对于外部人员的调查，可重点调查具有作案技能的相关人员或与之有业务联系的外部人员。另外，可从犯罪结果反映出的作案动机来确定重点访问人员，因为作案人往往是从犯罪结果中直接或间接获益的人。

3.2 现场访问的重点内容

现场访问的内容应围绕计算机系统的基本情况及知情人员的情况来展开。首先应对计算机的基本情况进行调查了解。如计算机系统有无密码，计算机内存储的数据文件情况，安装软件情况，计算机是否出现过故障，维修的时间和次数等；其次要对接触使用该计算机设备的人员情况进行访问。如能接近并操纵该计算机系统的人员，可能了解系统密码的人员，可能利用值班、学习等机会使用该系统的人员，曾经维修过计算机系统的人员情况。

4 网络犯罪现场勘验检查的重难点

由于网络犯罪的特殊性，致使该类型案件犯罪现场勘查的重难点与传统犯罪现场勘验检查有很大不同，其规范性、专业性要求更高。进行网络犯罪现场勘验检查的人员必须具备计算机现场勘查的专业知识和技能。根据网络犯罪现场的分类，网络犯罪的勘验检查工作主要分为本地现场勘查和远程现场勘查两大类。［2］

4.1 本地现场勘查

本地现场勘查主要是对犯罪嫌疑人所操作的计算机、附属外部设备，以及周边空间环境的勘验检查。对于大多数网络犯罪案件来说，对本地现场勘查是查获线索、取得原始证据的重点工作。由于本地现场勘查工作存在很多不确定因素，因此勘查的难度较高。主要勘查本地存留的主机或服务器、打印机及其他附属输出设备、网络连接设备等系统设备的机内电子数据。另外还包括计算机系统所在的物理空间、硬件设备的物理状态及特性、打印或书写的有关计算机系统信息的纸张，系统周边的线缆和接口等网络连接状态，现场留存的可能存储有可疑文件的移动存储设备和介质等。

4.2 远程现场勘查

远程现场勘查主要是通过网络对远程目标系统实施勘验、检查，也就是针对犯罪嫌疑人在网上操作时所形成的数据节点信息进行收集，以提取、固定远程目标系统的状态和存留的内容。如E-mail 服务器、网站主机、即时通信服务器上的保留信息等。网站的信息本身可能会随着时间推移而更新，因此对网页信息的固定也应具有连续性。另外，可设法通过网站信息获取对方的真实IP 地址，从而确定犯罪嫌疑人的位置信息。

5 网络犯罪现场分析的重难点

对网络犯罪现场的分析，关键要将计算机系统外部线索与计算机内部信息互相结合，将方面信息互为补充、互相映射和关联，进行综合分析，从而确定案件性质和下一步侦查方向。［3］

5.1 将外部线索和机内相关信息充分关联和映射

一方面可以通过外部线索挖掘机内相关信息。嫌疑人在外部现场的遗留痕迹很大程度上可以与其在计算机内留下的数据信息进行关联和映射。侦查人员通过合理演绎计算机外部线索如文件、书籍、票据、使用工具等情况，尝试从嫌疑人使用的电脑中查找相关涉案信息，为揭开嫌疑人真面目提供重要线索。另一方面，可通过计算机系统线索，核实查找外部隐藏线索。侦查人员可对计算机内部线索进行梳理分析，继而关联外部现场的某些细节，进一步验证外部线索的真实性。

5.2 通过涉网证据信息分析嫌疑人特征

一个人在网络上的行为不受客观世界道德伦理、熟人社会的监督和约束，更能自由地表现其兴趣爱好、性格特点、心智能力等主观本源性特征。为此，侦查人员应从网络犯罪现场获取的某些涉网证据信息入手，如嫌疑人的涉案QQ 号、微信等社交工具聊天记录，个人QQ主页、微博主页等，综合分析嫌疑人的性格特点。同时，还可以从获取的大量涉网证据信息中，寻找发现、分析总结出嫌疑人的网络行为特征，网络技术掌握水平，是初犯还是惯犯等信息，对嫌疑人画像，从而为打开案件突破口，圈定犯罪嫌疑人提供有力支撑。