王新　南俊松

[摘要]互聯(lián)網(wǎng)技術(shù)的發(fā)展給人類(lèi)生活帶來(lái)便利的同時(shí)也引發(fā)了一些安全隱患利用網(wǎng)絡(luò)進(jìn)行犯罪呈高發(fā)態(tài)勢(shì)。本文主要分析了當(dāng)前對(duì)于開(kāi)放網(wǎng)絡(luò)的取證現(xiàn)狀與難點(diǎn)，并重點(diǎn)探討了開(kāi)放網(wǎng)絡(luò)的電子證據(jù)的取證方式與法律審查。

[關(guān)鍵詞]開(kāi)放網(wǎng)絡(luò) 電子證據(jù)取證 法律審查

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展和普遍應(yīng)用， 網(wǎng)絡(luò)犯罪呈現(xiàn)高發(fā)趨勢(shì)，客觀來(lái)說(shuō)，計(jì)算機(jī)網(wǎng)絡(luò)犯罪的犯罪特點(diǎn)為智能化程度高、且犯罪手段復(fù)雜多樣、犯罪證據(jù)的收集與審查與普通刑事案件有很大的差異。對(duì)于查辦該類(lèi)刑事案件，迅速準(zhǔn)確獲取電子證據(jù)是整個(gè)案件查辦的關(guān)鍵。因此，認(rèn)真研究開(kāi)放網(wǎng)絡(luò)的電子證據(jù)取證取證， 是十分必要的。

一、開(kāi)放網(wǎng)絡(luò)的電子證據(jù)取證現(xiàn)狀以及難點(diǎn)

所謂開(kāi)放網(wǎng)絡(luò)的電子證據(jù)取證， 是指在符合法律規(guī)定的情形下，綜合利用網(wǎng)絡(luò)軟硬件技術(shù)對(duì)網(wǎng)絡(luò)犯罪行為進(jìn)行證據(jù)獲取、保全、以及分析出示的過(guò)程。一般認(rèn)為，對(duì)于網(wǎng)絡(luò)電子證據(jù)的取證可以分為動(dòng)態(tài)取證和靜態(tài)取證兩種， 所謂動(dòng)態(tài)取證是指利用網(wǎng)絡(luò)技術(shù)對(duì)犯罪行為進(jìn)行證據(jù)上的誘捕、保存、分析、追蹤和提交的過(guò)程。所謂靜態(tài)取證，則是指通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)終端進(jìn)行犯罪證據(jù)提取、保存、分析的過(guò)程。

與普通犯罪不同的是，網(wǎng)絡(luò)犯罪智能化技術(shù)含量高、手段復(fù)雜多樣，傳統(tǒng)的取證、偵查手段并不能很好地適用，因而，這要求我們必須采取更為特殊的偵查技術(shù)手段來(lái)取證。當(dāng)前在檢察實(shí)務(wù)中主要應(yīng)用的取證技術(shù)方法有：1.查找服務(wù)器。主要是通過(guò)遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)技術(shù)來(lái)查找犯罪嫌疑人進(jìn)行網(wǎng)絡(luò)犯罪所使用的服務(wù)器IP地址，然后在定位找到服務(wù)器。2.扣押并查處犯罪嫌疑人使用的服務(wù)器。通過(guò)網(wǎng)絡(luò)軟件技術(shù)對(duì)服務(wù)器進(jìn)行證據(jù)分析、提取，尋找犯罪行為遺留的犯罪痕跡。3.查扣犯罪嫌疑人進(jìn)行網(wǎng)絡(luò)犯罪的計(jì)算機(jī)等媒介工具，如電腦、優(yōu)盤(pán)以及可移動(dòng)硬盤(pán)等，可以采用恢復(fù)技術(shù)對(duì)該媒介中可能存在的痕跡進(jìn)行恢復(fù)、提取等操作，用以證明案件事實(shí)。

然而，由于上述方法的局限性會(huì)導(dǎo)致以下困難：首先是網(wǎng)絡(luò)犯罪發(fā)現(xiàn)難、確定難問(wèn)題，由于網(wǎng)絡(luò)犯罪沒(méi)有時(shí)間以及地點(diǎn)等空間限制， 且受害人往往過(guò)一段時(shí)間后才發(fā)現(xiàn)， 相應(yīng)的證據(jù)可能因?yàn)闀r(shí)間或者被犯罪份子采用技術(shù)手段所銷(xiāo)毀，因而即便是認(rèn)定了犯罪嫌疑人，但由于定罪證據(jù)的丟失，也很難對(duì)其定罪處罰。其次是網(wǎng)絡(luò)犯罪證據(jù)保全技術(shù)上的缺失，當(dāng)前檢察機(jī)關(guān)偵查人員對(duì)計(jì)算機(jī)技術(shù)的掌握程度普遍較低，部分辦案人員在實(shí)際的辦案過(guò)程中甚至因?yàn)椴皇煜げ僮?，而?dǎo)致誤修改、誤刪除等操作頻發(fā)，影響網(wǎng)絡(luò)電子證據(jù)的收集，從而放縱網(wǎng)絡(luò)犯罪的發(fā)生。最后從證據(jù)的角度來(lái)說(shuō)，網(wǎng)絡(luò)電子證據(jù)通常是以二進(jìn)制等計(jì)算機(jī)語(yǔ)言存儲(chǔ)與計(jì)算機(jī)媒介中，如果要作為訴訟證據(jù)使用，則應(yīng)當(dāng)進(jìn)行格式的轉(zhuǎn)換，在這么一個(gè)復(fù)雜的轉(zhuǎn)換過(guò)程中如何來(lái)保證以有形形式表現(xiàn)出來(lái)的內(nèi)容就是存儲(chǔ)于媒介中的證據(jù)呢？

二、基于開(kāi)放網(wǎng)絡(luò)的電子證據(jù)取證方法與法律審查

1. 基于開(kāi)放網(wǎng)絡(luò)的電子證據(jù)取證方法

筆者認(rèn)為，根據(jù)網(wǎng)絡(luò)犯罪電子證據(jù)的特點(diǎn)，應(yīng)當(dāng)從靜態(tài)取證和動(dòng)態(tài)取證兩個(gè)方面來(lái)分析：

（1）靜態(tài)取證方法。首先，我們可以對(duì)計(jì)算機(jī)日志文件進(jìn)行查詢(xún)。日志作為計(jì)算機(jī)運(yùn)行的記錄文檔，會(huì)記錄一些簡(jiǎn)單的犯罪痕跡，在日志中獲得非法入侵行為痕跡的可能性極大。如犯罪嫌疑人利用IP訪問(wèn)目標(biāo)系統(tǒng)，，就會(huì)在目標(biāo)系統(tǒng)內(nèi)留下訪問(wèn)者的用戶(hù)名以及密碼、訪問(wèn)時(shí)間等就會(huì)，同樣用FTP探測(cè)也會(huì)在FTP日志中留下探測(cè)者的IP地址、用戶(hù)名密碼和探測(cè)時(shí)間。因此對(duì)于日志的取證能夠有效地獲取網(wǎng)絡(luò)電子證據(jù)。其次，我們可以查詢(xún)?nèi)肭终咴L問(wèn)網(wǎng)站以及入侵文件。在網(wǎng)絡(luò)犯罪中，我們可以通過(guò)查詢(xún)非法入侵者所訪問(wèn)的網(wǎng)址、文件以及下載痕跡等探尋犯罪嫌疑人非法入侵的目的以及非法入侵的證據(jù)。例如在開(kāi)始菜單中運(yùn)行regedit ， 從注冊(cè)表中搜索recent， 將得到許多recent 記錄。再次，可采用數(shù)據(jù)恢復(fù)技術(shù)調(diào)查取證。對(duì)于被犯罪嫌疑人銷(xiāo)毀的硬盤(pán)數(shù)據(jù)以及其他媒介中存儲(chǔ)的數(shù)據(jù)，我們可以采取恢復(fù)技術(shù)重新提取原始數(shù)據(jù)。最后，也查看網(wǎng)絡(luò)日志。防火墻日志、IDS日志、網(wǎng)絡(luò)工具所產(chǎn)生的記錄和日志均可查看。

（2）動(dòng)態(tài)取證方法。首先可以采用數(shù)據(jù)抓包方法。所謂數(shù)據(jù)抓包方法主要是利用網(wǎng)絡(luò)端口技術(shù)在網(wǎng)絡(luò)上截取數(shù)據(jù)的一種技術(shù)，該種方法是在網(wǎng)絡(luò)的最底層進(jìn)行，在截取數(shù)據(jù)的過(guò)程中不容易被察覺(jué)，并且能夠獲得賬號(hào)密碼等相關(guān)信息，還可以用來(lái)查詢(xún)高等級(jí)的訪問(wèn)權(quán)限以及根據(jù)網(wǎng)絡(luò)實(shí)際情況進(jìn)行分析進(jìn)入等。有效地利用嗅探能實(shí)時(shí)地捕獲入侵者破壞目標(biāo)系統(tǒng)的證據(jù)，這樣的現(xiàn)行證據(jù)具有極強(qiáng)的說(shuō)服力。其次我們可以進(jìn)行誘惑取證技術(shù)?，F(xiàn)在通常的做法是蜜罐誘捕，該技術(shù)主要采取的是設(shè)置一種能夠“誘惑”入侵者的網(wǎng)絡(luò)技術(shù)，從而根據(jù)一開(kāi)始設(shè)定好的程序來(lái)獲取不法侵入者的侵入情況。比方說(shuō)探取不法者的賬號(hào)以及密碼情況或者其上網(wǎng)所使用的IP地址等關(guān)鍵信息。最后可以采用網(wǎng)絡(luò)監(jiān)控方式。這種方法是一種監(jiān)控技術(shù)，主要是對(duì)網(wǎng)絡(luò)一切數(shù)據(jù)進(jìn)行監(jiān)控，從而檢測(cè)外來(lái)入侵者侵入痕跡。我們可以通過(guò)IDS，對(duì)每一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行截取和分析，這對(duì)于動(dòng)態(tài)取證具有重大的作用。

2. 基于開(kāi)放網(wǎng)絡(luò)的電子證據(jù)取證的法律審查

對(duì)開(kāi)放網(wǎng)絡(luò)電子證據(jù)的法律審查，是對(duì)網(wǎng)絡(luò)電子證據(jù)的合法性進(jìn)行審查，主要是電子證據(jù)的收集應(yīng)當(dāng)符合法律的規(guī)定，并具有關(guān)聯(lián)性和客觀性等證據(jù)特點(diǎn)。西方發(fā)達(dá)國(guó)家對(duì)于電子證據(jù)的審查均有一系列的證據(jù)審查規(guī)則，主要是圍繞電子證據(jù)的合法性問(wèn)題，而我國(guó)訴訟法律制度也有相關(guān)條款涉及電子證據(jù)的這些方面。分析國(guó)內(nèi)外證據(jù)制度對(duì)于電子證據(jù)的規(guī)定，對(duì)網(wǎng)絡(luò)電子證據(jù)的法律審查主要是從電子證據(jù)收集主體以及證據(jù)客觀形式以及提取方式等三個(gè)方面來(lái)判定，筆者認(rèn)為，網(wǎng)絡(luò)電子證據(jù)只有滿(mǎn)足了這三個(gè)方面的硬性法律規(guī)定，才具有合法性，才能作為訴訟證據(jù)使用。具體而言，對(duì)于網(wǎng)絡(luò)犯罪電子證據(jù)的合法性審查， 筆者認(rèn)為也應(yīng)從以下幾方面進(jìn)行：（1）應(yīng)當(dāng)審查網(wǎng)絡(luò)電子證據(jù)取證主體是否合法。（2）應(yīng)當(dāng)對(duì)網(wǎng)絡(luò)電子證據(jù)的證據(jù)形式以及內(nèi)容進(jìn)行審查。（3）審查網(wǎng)絡(luò)電子證據(jù)收集程序是否合法。

作者簡(jiǎn)介：王新，法學(xué)碩士，江西省吉安市青原區(qū)人民檢察院；南俊松，江西省南昌市青山湖區(qū)人民檢察院檢察技術(shù)科。