◆鄒繼蕓 高敔恒

（重慶市公安局江北區(qū)分局 重慶 400021）

網(wǎng)絡(luò)犯罪與取證

網(wǎng)絡(luò)犯罪中偵查實驗方法的探討

◆鄒繼蕓 高敔恒

（重慶市公安局江北區(qū)分局 重慶 400021）

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)也被一些不法分子利用。日前，以網(wǎng)絡(luò)為犯罪載體或者作為犯罪分子入侵客體的犯罪案件頻發(fā)，同時，網(wǎng)絡(luò)犯罪案件的特殊性為電子數(shù)據(jù)取證帶來很大的挑戰(zhàn)。本文結(jié)合偵查實驗法律依據(jù)、目的，對網(wǎng)絡(luò)犯罪電子數(shù)據(jù)取證中偵查實驗方法進行研討，對依法打擊網(wǎng)絡(luò)犯罪具有實踐意義。

網(wǎng)絡(luò)犯罪；偵查實驗；方法

0 前言

《刑事訴訟法》第133條規(guī)定：為了查明案情，在必要的時候，經(jīng)縣級以上公安機關(guān)負(fù)責(zé)人批準(zhǔn)，可以進行偵查實驗。2016年10月1日頒布的《最高人民法院、最高人民檢察院 、公安部關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》第十六條規(guī)定：對扣押的原始存儲介質(zhì)或者提取的電子數(shù)據(jù)，可以通過恢復(fù)、破解、統(tǒng)計、關(guān)聯(lián)、比對等方式進行檢查。必要時，可以進行偵查實驗。

在網(wǎng)絡(luò)犯罪中，犯罪嫌疑人通常運用計算機網(wǎng)絡(luò)技術(shù)，借助于網(wǎng)絡(luò)對某個系統(tǒng)或信息進行攻擊，破壞或利用網(wǎng)絡(luò)進行其他犯罪活動，涉及的技術(shù)是多方面的，如網(wǎng)絡(luò)編程技術(shù)、TCP/IP、加密技術(shù)、編譯原理等。網(wǎng)絡(luò)犯罪包括互聯(lián)網(wǎng)作為犯罪渠道的傳統(tǒng)犯罪類型，如借助網(wǎng)絡(luò)平臺實施的詐騙犯罪、侵犯知識產(chǎn)品犯罪，也包括在互聯(lián)網(wǎng)平臺和金融產(chǎn)品不斷融合過程中衍生的新興犯罪類型，如非法吸收公眾存款等新型金融類犯罪[1]?；ヂ?lián)網(wǎng)作為犯罪入侵的客體如非法侵入計算機信息系統(tǒng)、非法獲取計算機信息系統(tǒng)數(shù)據(jù)及以釣魚網(wǎng)站為平臺非法獲取公民個人信息等案件中，從扣押的原始存儲介質(zhì)或提取的電子數(shù)據(jù)中分析得到的與案件相關(guān)的電子數(shù)據(jù)，往往不能獨立的完成某個具體犯罪行為，因為它可能是一段程序源碼、一個瀏覽器插件、一個提權(quán)POC腳本、一段利用程序漏洞實施攻擊的描述等，需要依托特定的軟、硬件和網(wǎng)絡(luò)環(huán)境才能得以執(zhí)行。

1 網(wǎng)絡(luò)犯罪偵查實驗

網(wǎng)絡(luò)犯罪偵查實驗是指在網(wǎng)絡(luò)犯罪案件偵辦過程中，當(dāng)從扣押的原始存儲介質(zhì)或提取的電子數(shù)據(jù)不能直接認(rèn)定犯罪事實時，需搭建特定的軟、硬件和網(wǎng)絡(luò)環(huán)境，通過動態(tài)仿真模擬和重演犯罪過程，旨在確定某事實、現(xiàn)象或行為能否發(fā)生或者怎樣發(fā)生的一種偵查措施[2]。

1.1 偵查實驗的可行性

網(wǎng)絡(luò)犯罪中，主要犯罪過程可以通過構(gòu)建特定的運行環(huán)境予以重現(xiàn)。例如近些年通過“偽基站+釣魚+短信貓+Android攔截木馬”實施網(wǎng)絡(luò)盜竊的案件時有發(fā)生，偽基站背包客按照上家要求發(fā)送含有釣魚網(wǎng)站鏈接的短信，非法獲取個人身份信息及銀行卡信息，這些信息被稱為料，料很有可能被轉(zhuǎn)賣，也可能被釣魚網(wǎng)站的開發(fā)者通過后門獲取。嫌疑人依據(jù)料的信息，通過短信貓向特定的手機號碼發(fā)送含有Android攔截馬的詐騙短信，從而盜竊受害人儲蓄卡中的余額或盜刷其信用卡。整個活動鏈中，釣魚網(wǎng)站能否獲取個人身份信息及銀行卡信息、Andord攔截馬能否轉(zhuǎn)發(fā)、刪除短信在傳統(tǒng)的偵查實驗方法中是無法完成的。因為從釣魚網(wǎng)站服務(wù)器、或嫌疑人電腦中提取的網(wǎng)站源代碼、Andorid攔截馬等電子數(shù)據(jù)都是靜態(tài)的，它能否完成某個行為、實現(xiàn)某個功能可以通過偵查實驗進行驗證。

1.2 偵查實驗的目的

網(wǎng)絡(luò)犯罪中的偵查實驗的目的是明確程序是如何與主機系統(tǒng)進行交互、如何與網(wǎng)絡(luò)進行交互、攻擊者如何與程序進行交互（命令/控制等）、攻擊過程和結(jié)果的重現(xiàn)、程序?qū)粽叩募夹g(shù)要求達到何種程度、是否存在可識別的攻擊程序用于感染主機、系統(tǒng)或網(wǎng)絡(luò)受到感染或損害的程度是多少、探索和驗證程序的功能和用途、驗證程序的功能邊界，主要包括以下幾個方面：

（1）可執(zhí)行程序功能性驗證：驗證可執(zhí)行程序在一定條件下能否入侵計算機信息系統(tǒng)、獲取計算機信息系統(tǒng)數(shù)據(jù)、控制計算機信息系統(tǒng)、破解計算機軟件、加密電子數(shù)據(jù)、解密電子數(shù)據(jù)。

（2）程序漏洞驗證：由于軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，使得攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。例如WEB程序漏洞：SQL注入、XSS跨站點腳本，跨目錄訪問，越權(quán)訪問，COOKIES修改，HTTP方法篡改、CRLF，命令行注入。如果網(wǎng)站存在WEB漏洞并被黑客攻擊者利用，攻擊者可以輕易控制整個網(wǎng)站，并可進一步獲取網(wǎng)站相關(guān)服務(wù)器的管理權(quán)限。

（3）惡意代碼功能驗證：是指故意編制或設(shè)置的、對網(wǎng)絡(luò)或系統(tǒng)會產(chǎn)生威脅或潛在威脅的可執(zhí)行代碼或程序，如木馬、病毒、后門等。

（4）插件功能驗證：亦稱外掛，是一種遵循一定規(guī)范的應(yīng)用程序接口編寫出來的程序，其只能運行在程序規(guī)定的系統(tǒng)平臺下（可能同時支持多個平臺），而不能脫離指定的平臺單獨運行。

（5）程序源代碼功能驗證：是指未經(jīng)編譯的，按照一定的程序設(shè)計語言規(guī)范書寫的文本文件。程序源代碼可以是完整的代碼，也可以是代碼片段。驗證在一定條件下，通過添加、刪除、修改程序源代碼，能否侵入計算機信息系統(tǒng)、獲取計算機信息系統(tǒng)數(shù)據(jù)、控制計算機信息系統(tǒng)，如POC源代碼、系統(tǒng)提權(quán)腳本，程序片段功能驗證、數(shù)據(jù)結(jié)構(gòu)、函數(shù)功能驗證。

2 網(wǎng)絡(luò)犯罪偵查實驗方法

結(jié)合網(wǎng)絡(luò)犯罪表現(xiàn)形態(tài)，網(wǎng)絡(luò)犯罪偵查實驗與傳統(tǒng)偵查實驗在人員要求和硬、軟件及網(wǎng)絡(luò)環(huán)境、偵查實驗步驟等方面具有自己的特點。

2.1 偵查實驗的人員要求

偵查實驗的參與人員有主持人、偵查人員以及見證人。主持人：負(fù)責(zé)整個偵查實驗的調(diào)度指揮；偵查人員：具有計算機相關(guān)專業(yè)知識背景的偵查民警，負(fù)責(zé)偵查實驗的前期準(zhǔn)備、實施、撰寫偵查實驗筆錄等工作；見證人：具有計算機相關(guān)專業(yè)知識背景的社會人士，有能力見證整個偵查實驗的實施過程，并能夠?qū)ο嚓P(guān)實驗結(jié)論中的專業(yè)描述做解釋。電子數(shù)據(jù)取證中偵查實驗對見證人的專業(yè)技能要求較高，如果沒有相關(guān)技術(shù)背景，見證人的司法認(rèn)可力度較低。

2.2 檢材及樣本保全備份在進行偵查實驗前，需要對檢材及樣本進行保全備份。網(wǎng)絡(luò)犯罪中的檢材及樣本是指在現(xiàn)場勘驗檢查、電子證據(jù)檢查、遠(yuǎn)程勘驗檢查以及網(wǎng)絡(luò)在線提取等偵查活動中提取、固定的，需要在偵查實驗中驗證其功能特征的電子數(shù)據(jù)。原始檢材及樣本的載體主要分為移動終端和電子數(shù)據(jù)存儲介質(zhì)，兩種載體保全備份方式有所區(qū)別。

移動終端：(1)移動終端的檢驗分析，計算檢出數(shù)據(jù)的哈希值，并復(fù)制到有利于開展偵查實驗的專用的存儲介質(zhì)中；(2)將原始移動終端中的數(shù)據(jù)遷移至可用于開展偵查實驗的移動終端中，但必須證明遷移數(shù)據(jù)對原始移動終端產(chǎn)生的影響；(3）不具備檢出、遷移數(shù)據(jù)條件的，使用原始移動終端開展偵查實驗，但必須注明對原始存儲移動終端產(chǎn)生的影響。

電子數(shù)據(jù)存儲介質(zhì)：(1)對具有保全條件的電子數(shù)據(jù)存儲介質(zhì)，采用逐比特復(fù)制的方式進行電子數(shù)據(jù)存儲介質(zhì)保全備份，計算保全備份的副本或鏡像的哈希值，使用副本開展偵查實驗；(2)不具備保全條件的，將電子數(shù)據(jù)存儲介質(zhì)其接入寫保護設(shè)備，然后開展偵查實驗；(3）不具備保全及寫保護條件的，使用原始存儲介質(zhì)開展偵查實驗，但必須注明可能產(chǎn)生的影響。

2.3 偵查實驗的硬、軟件及網(wǎng)絡(luò)環(huán)境

搭建偵查實驗所需要的硬件環(huán)境，可以根據(jù)實際情況進行選配，但要能夠滿足成功運行樣本的基本條件；安裝偵查實驗動態(tài)仿真所需的虛擬機、操作系統(tǒng)、程序運行環(huán)境配置信息，安裝升級補丁信息，JDK版本，.Net Framework版本，數(shù)據(jù)庫服務(wù)器類型及版本，web服務(wù)器類型及版本）等；配置實驗所需的網(wǎng)絡(luò)環(huán)境，如局域網(wǎng)配置（子網(wǎng)劃分）、公網(wǎng)接入配置、端口設(shè)置、代理設(shè)置、VPN設(shè)置等；部署需要驗證的偵查實驗的主體，如被入侵的網(wǎng)站、被破解的軟件系統(tǒng)等；安裝取證工具，如流量監(jiān)控軟件、抓包工具、內(nèi)存數(shù)據(jù)dump工具等相關(guān)取證軟件。

2.4 偵查實驗的步驟

(1)對具備保全條件的檢材及樣本進行備份保全；

(2)對檢材及樣本進行編號；

(3)建立偵查實驗環(huán)境；

(4)執(zhí)行樣本前的準(zhǔn)備；

(5)執(zhí)行樣本；

系統(tǒng)與網(wǎng)絡(luò)監(jiān)控；

環(huán)境仿真及調(diào)整（相關(guān)參數(shù)等）；

進程監(jiān)控；

排除混淆因素；

記錄樣本的執(zhí)行狀況。

(6)設(shè)置相關(guān)配置，重新執(zhí)行樣本。

2.5 偵查實驗筆錄

進行偵查實驗時需做好檢驗記錄，記錄應(yīng)貫穿整個偵查實驗過程，包括：偵查實驗開始的日期和時間、參加偵查實驗的主持人、參加偵查實驗的偵查員、參加偵查實驗的見證人、偵查實驗的目的、原始檢材及樣本的完整性狀況、原始檢材及樣本的保全備份處理情況、偵查實驗所需的硬、軟件以及網(wǎng)絡(luò)狀態(tài)等環(huán)境信息、偵查實驗過程使用到的取證工具、偵查實驗樣本的執(zhí)行狀況和偵查實驗結(jié)論。

3 結(jié)論

網(wǎng)絡(luò)犯罪偵查實驗作為刑事證據(jù)種類的一種，是通過搭建特定的軟、硬件和網(wǎng)絡(luò)環(huán)境，動態(tài)仿真模擬和重演犯罪過程的一項偵查措施。結(jié)合日常取證工作實際，本文基于網(wǎng)絡(luò)犯罪偵查實驗的必要性、可行性和目的，提出了網(wǎng)絡(luò)犯罪偵查實驗方法，具有重要的司法實踐意義。

[1]董哲，劉坤.互聯(lián)網(wǎng)經(jīng)濟犯罪偵防應(yīng)對研究[J].北京警官學(xué)院學(xué)報，2015.

[2]楊東亮.偵查實驗筆錄簡介[J].證據(jù)科學(xué)，2011.