网络犯罪现场电子证据提取的技术要点研究
2018-03-01慕朝阳
摘 要:由于电子证据的易失性以及网络空间的虚拟性,网络犯罪侦破的难度也有所增加,所以对网络犯罪现场电子证据提取技术的提升与应用有着重要的意义。基于此,本文分析了网络犯罪现场勘查的注意事项,阐述了网络犯罪现场电子证据提取的技术要点。
关键词:网络犯罪;现场勘查;电子证据提取
现阶段,由于网络技术的不断发展以及手机、计算机等电子产品的普及,网络犯罪事件发生的数量也有了明显的提升。网络犯罪是一种新型的高科技犯罪,其形式也较为多样。同时,由于电子证据的易失性以及网络空间的虚拟性,网络犯罪侦破的难度也有所增加。为了更好的保障人们的财产信息安全,提升网络犯罪的侦查能力,网络犯罪现场电子证据提取技术的提升与应用体现出了突出了地位。
一、网络犯罪现场勘查分析
(一)勘查前的准备
为了确保网络犯罪现场勘查的全面性,相关工作人员要进行勘查前的准备工作。同时,由于电子数据的现场勘查与取证需要一次完成,所以相关工作人员要确保勘查前准备的质量。现场指挥人员要明确进入现场的工作人员数量、需要携带的设备等等,同时也要进行预案的制定,并进行注意事项的列举。相关工作人员必须要明确相应网络犯罪的性质,并对不同的电子证据提取技术的特点进行充分的了解,结合案件类型的不同,能够实现对需要携带的设备、现场勘查的侧重点等进行确定。
(二)注重犯罪现场的保护
犯罪现场的保护也是网络犯罪现场勘查中的一项重点工作,能够实现对与犯罪现场忧患的信息与证据进行保护与保存。在犯罪现场的保护中,隔离带的拉设十分普遍,能够阻止旁观者进入现场。通过使用控制现场以及固定现场,能够完成对犯罪现场的保存与保护。其中,拉设隔离带就是一种控制现场的方式,能够实现对犯罪现场的保护;而固定现场就是利用物证拍摄、网络拓扑图的绘制,实现对现场的保存。
另外,犯罪现场取证范围的确定以及犯罪现场证据的扣押也是网络犯罪现场勘查中的重要环节。取证犯罪范围的确定中,要对内部现场以及外部现场进行划分。在进行内部现场的取证中,要实现对现场中各种电子设备的内部进行调查、取证与分析;在外部现场的取证中,要重点完成现场遗留足迹、血迹、指纹、毛发等的取证,并对现场的电子设备、网络线路等痕迹进行提取。在证据的扣押中,相关工作人员要重点进行物证的放磁、防震、防静电等的处理,并使其远离磁场的干扰。在现场证据运输的过程中,也要对设备的抗压能力进行关注,避免出现证据的损坏[1]。
二、网络犯罪现场电子证据提取的技术要点分析
上文中介绍了网络犯罪现场勘查的流程,在实际的勘查过程中,勘查人员不仅要按照规定的流程开展工作,还需要明确电子证据提取的技术要点,保障电子证据的准确性及全面性,为网络犯罪案件的侦破提供帮助。
(一)制定完善的取证预案
在进行网络犯罪现场勘查之前,勘查人员需要制定完善的取证预案,提高准备工作的质量,保障勘查工作的有效开展。完善的取证预案需要涉及到以下三方面的内容:
第一,进入现场预案,勘查人员需要获取勘查现场的图纸或者网络拓扑图,通过图纸掌握勘查现场可能存在的计算机类型、具体的网络架构及应用的电子设备等信息,从而选择相应的技术人员及勘查工具进入现场勘查;第二,人员预案,在选派侦查小组进入现场时,相关单位需要确保侦查小组的总指挥明确侦查成员的优势及特点,并保障侦查人员的人身安全,同时,侦查小组成员需要具备丰富的专业知识,可以对犯罪现场的证据进行准确分析;第三,现场搜查预案,在进入现场之前,侦查小组的总指挥需要划定具体的侦查范围,明确侦查顺序及侦查技术人员负责的区域。
(二)多样化的现场保护措施
网络犯罪现场具备较高的脆弱性,存在很多破坏犯罪现场的因素,现场勘查人员需要采用多样化的现场保护措施,保障网络犯罪现场电子证据采集的全面性及准确性。首先,参与网络犯罪的嫌疑人大都精通网络技术,很可能利用网络远程破坏网络犯罪现场。因此,在进入现场勘查时,勘查人员需要切断犯罪现场的网络。如果在勘查现场过程中,涉及到对犯罪嫌疑人的询问,勘查人员需要在嫌疑人惊慌失措的状态下,立即询问其电子设备相关的密码及账号,并辅以录像和录音作为证据。
然后,参与现场勘查的其他人员需要具备犯罪现场保护意识,严禁随意移动犯罪现场的电子设备。如果犯罪现场的电子设备处于开机状态,勘查人员需要将电子设备的屏幕拍摄下来,再进行电子证据的提取。需要注意的是,在这一过程中,勘查人员不可以将电子设备运行的程序关掉,如果电子设备中存在没有保存的文档,勘查人员需要将其采用另存为的方式作为电子证据。
(三)合理应用在线勘查
通常情况下,勘查人员为了保障电子数据的完整性,会将犯罪现场固定并封存电子证据。但是这种勘查方法会使没有写入到硬盘以及网络流动的电子证据丢失。因此,现场勘查人员需要合理应用在线勘查,尽量使用内存占用较小的软件选为电子证据提取的软件,避免在线勘查软件对磁盘或者内存造成破坏。与此同时,勘查人员不可以应用目标设备中的程序进行电子证据的提取。以cmd.exe为例,每一个以windows作为操作系统的电子设备中都具有这一软件,但是大部分网络犯罪案件中的cmd.exe都被犯罪分子替换过,如果勘查人员应用电子设备中的软件提取证据,将会导致设备中文件的时间戳出现变化,从而对网络犯罪现场造成破坏[2]。
三、结论
综上所述,随着网络犯罪数量以及技术含量的提升,现场电子证据提取技术的发展与使用有着重要的意义。通过勘查前准备、保护犯罪现场、确定取证范围以及进行现场证据的扣押,结合取证预案的完善、多样化现场保护措施的使用以及在线勘查,提升了网络犯罪现场电子证据提取的质量,提升了网络犯罪的侦查效率。
参考文献:
[1]吴燕波,向大为.网络犯罪现场重建研究[J].信息网络安全,2011(01):58-59+75.
[2]钟琳,黎家盈,邹锦沛,许榕生.基于多视图分析的复杂网络犯罪现场重构[J].电信科学,2010,26(S2):165-170.
作者简介:
慕朝阳(1974.9~ ),男,汉族,吉林和龙人,研究生,副高職称,研究方向:痕迹检验。