孫曉冬

（中國刑事警察學院 網絡犯罪偵查系，遼寧 沈陽 110854）

關鍵字：電子數(shù)據(jù)取證；偵查意識；案例教學

一、引 言

“電子數(shù)據(jù)取證”是公安院校網絡安全與執(zhí)法專業(yè)學員的必修課，是從事網絡安全保衛(wèi)部門網絡犯罪偵查和電子數(shù)據(jù)檢驗分析工作的基本技能，也是配合其他警種進行案件查破提供相應技術支持的基礎條件。從能力需求的角度看，這類人才的身份是公安民警，業(yè)務領域是為打擊犯罪服務，所以“電子數(shù)據(jù)取證”工作就不等同于社會司法鑒定機構的獨立第三方鑒定行為，而是趨同于傳統(tǒng)刑事技術民警的“協(xié)同配合偵查破案”。也就是說，公安院校培養(yǎng)的專業(yè)人才一方面要具備科學的素養(yǎng)，能夠熟練運用各種計算機網絡技術對電子數(shù)據(jù)進行完整、準確、客觀的檢驗分析；另一方面要熟悉公安業(yè)務具備偵查技能，能夠準確的為案件偵查工作提供方向、范圍、線索、證據(jù)的參考依據(jù)。各公安院校網安類專業(yè)在人才培養(yǎng)中通常是按照“全體警察、網安民警、電子數(shù)據(jù)檢驗分析技術人員”這一業(yè)務崗位和技能對應關系來開設相關課程，也就是從公安通識課、計算機網絡專業(yè)基礎課到電子數(shù)據(jù)取證類專業(yè)課。通過持續(xù)幾年時間的信息收集，包括對各院校專業(yè)培養(yǎng)方案和教學大綱的調研、對各院校網安類專業(yè)畢業(yè)生從警兩年內工作業(yè)務能力的反饋回訪、對各地網安分管案件工作的領導意見收集，筆者提出了對“電子數(shù)據(jù)取證”類專業(yè)核心課程的改革建議，即加強偵查意識的培養(yǎng)，得到了很多同行的認可。偵查意識是指偵查人員在依法實施專門調查工作和采取相關強制措施中所表現(xiàn)出來的思想意識和思維能力[1]。偵查意識是合格偵查人員必須具備的一種素質，是偵查知識的綜合運用和偵查能力的具體體現(xiàn)。偵查意識是一種思維和認知層面的主觀反應，很難用標準化或量化的方式描述。

二、網偵業(yè)務的知識體系

根據(jù)網安專業(yè)人才培養(yǎng)方案，公安院校開設網絡安全與執(zhí)法專業(yè)的知識架構（公安專業(yè)相關部分）包括：法律、公安通識內容、警務技能、偵查業(yè)務基礎、治安管理基礎、刑事技術基礎、網安專業(yè)知識技能。在網安專業(yè)知識技能中，電子數(shù)據(jù)取證分析是主要內容之一。顯然，公安類專業(yè)課程的根本方向、性質和特色是明確的。

（一）目前各院校普遍的課程內容設置

目前公安院?！半娮訑?shù)據(jù)取證”課程內容是根據(jù)取證客體類型分為針對案件環(huán)境的勘驗取證（包括現(xiàn)場勘查取證和遠程勘驗取證等），和針對涉案檢材的實驗室檢驗分析（包括電子數(shù)據(jù)提取恢復、系統(tǒng)重建和數(shù)據(jù)分析等）兩大方面設置，其涵蓋的知識技能分項包括以下六項。

1.取證基礎知識類，如操作系統(tǒng)分析、數(shù)據(jù)存儲原理、文件編碼與系統(tǒng)結構、計算機網絡技術、網絡攻防技術、數(shù)據(jù)庫技術、網站構建技術、硬件相關技術等。

2.數(shù)據(jù)固定提取技能，如服務器、網絡中間設備和終端的數(shù)據(jù)固定提取，工控系統(tǒng)、物聯(lián)網、手機等移動終端的數(shù)據(jù)固定提取，以及動態(tài)或靜態(tài)下對目標系統(tǒng)的鏡像和提取技術等。

3.數(shù)據(jù)恢復重現(xiàn)技能，如被破壞電子數(shù)據(jù)的邏輯恢復、連同介質一并損壞的物理恢復、隱藏或加密數(shù)據(jù)的查找解析、數(shù)據(jù)碎片重組分析、數(shù)據(jù)庫重建技術、存儲陣列重組技術等。

4.數(shù)據(jù)仿真重現(xiàn)技能，如計算機系統(tǒng)仿真、移動智能終端仿真、網絡環(huán)境仿真、數(shù)據(jù)鏈路邏輯重現(xiàn)、網站重構等。

5.數(shù)據(jù)勘驗檢查技能，如案件現(xiàn)場保護技能、現(xiàn)場勘查流程與規(guī)范、針對電子數(shù)據(jù)的執(zhí)法行為能力、數(shù)據(jù)在線提取技術、遠程主機勘驗取證技術、云平臺勘驗與數(shù)據(jù)收集技術等。

6.數(shù)據(jù)檢驗分析技能，如程序功能性分析檢測、海量數(shù)據(jù)處理與分析、結構化/非結構化數(shù)據(jù)的整理與分析、數(shù)據(jù)挖掘與關聯(lián)分析、各類系統(tǒng)數(shù)據(jù)與安全數(shù)據(jù)分析、多案多人多檢材多渠道的數(shù)據(jù)關聯(lián)分析技術等。

（二）院校教學與實戰(zhàn)需求的差距

值得注意的是，按照上述六項技能的排列順序，“電子數(shù)據(jù)取證”課程對應的課堂教學能力與教學效果普遍呈現(xiàn)遞減的趨勢。究其原因，主要有兩個方面：一方面公安院校網安類專業(yè)師資基本來源于地方高校計算機相關專業(yè)，具有較為全面和扎實的計算機領域專業(yè)知識，所以知識和技術內容教學得心應手；另一方面這些師資往往缺乏網安實戰(zhàn)經驗，對公安業(yè)務掌握不熟練，對案件偵查工作的需求理解不全面，所以實戰(zhàn)技能培養(yǎng)和思維引導部分內容教學效果不理想。

結合一線民警長期從事涉網案件偵查與取證的工作經驗，筆者認為無論是網安部門的主偵案件，還是與其他警種合作的配偵案件，首先要做到的是技術過硬，能夠面對紛繁復雜的電子設備和數(shù)據(jù)環(huán)境取得真實客觀、科學嚴謹、全面細致的涉案信息與線索證據(jù)。但案件偵查工作中，單純的技術往往并不是決定成敗的核心因素，最關鍵的因素是圍繞案情，運用偵查意識提出偵查需求，而技術只是解決需求的手段之一。公安院校網安專業(yè)在人才培養(yǎng)中需要注意強化學生的案件偵查意識，在“電子數(shù)據(jù)取證”類課程中，不應一味強調單純的計算機網絡技術，更要引導學生理解和拓展計算機網絡技術在偵查中的應用，讓計算機網絡技術轉化為偵查技術，從而更好的實現(xiàn)讓技術為偵查服務，通過技術提升辦案效率、降低辦案成本、提高辦案成功率。

三、偵查意識的理解

偵查意識是偵查員的頭腦對于某一個具體案件的反映。這種反映包括對案件的感性認識、分析判斷以及對案件中出現(xiàn)的具體情況而采取的相應措施等。[2]

（一）涉網案件偵查意識

在涉網案件偵查過程中，必然需要對涉案電子設備、電子數(shù)據(jù)進行檢驗分析。而某些相對復雜的案件可能會出現(xiàn)的情況：初查階段案件性質尚不十分明確，難以確定偵查方向和取證重點；配偵案件中，其他警種送交電子數(shù)據(jù)檢材不規(guī)范，或者送檢需求有歧義；電子數(shù)據(jù)分析后，有充分立案證據(jù)，但因案情復雜卻沒有偵查思路；多警種聯(lián)合勘驗復雜現(xiàn)場時，電子數(shù)據(jù)及介質固定提取不規(guī)范；對嫌疑人犯罪事實調查時，未能發(fā)現(xiàn)其他案件中關聯(lián)犯罪，余罪未挖、除惡不盡；結案和訴訟階段，檢察院、法院、被告人、辯護律師對偵查過程、證據(jù)規(guī)格、電子數(shù)據(jù)分析結論（意見）等提出不同意見。這實際上是對電子數(shù)據(jù)取證分析人員提出了網偵技術民警的能力需求：準確適用法律能力，即能夠基于案情中涉及的犯罪技術手段和結果明確案件性質；案情分析把控能力，即能夠基于案情提出技術方向、偵查思路，修正送檢需求中出現(xiàn)的錯誤；規(guī)范執(zhí)法行為能力，即能夠基于執(zhí)法標準來規(guī)范偵查行為（包括技術性和非技術性的執(zhí)法行為），確保證據(jù)不會在執(zhí)法過程中出現(xiàn)瑕疵；網偵技術運用能力，即能夠熟練運用計算機網絡技術來處理案件中的分析取證問題，科學合理的運用偵查技術手段、熟悉常見各類網絡應用的逆應用，從而取得更多、更有效的線索和證據(jù)；參與訴訟庭審能力，即能夠面對各訴訟參與方提出的不同意見，從法律、科學、規(guī)范等方面結合具體案情，清晰闡述事實，應對質疑，進而說服對方。而上述這些能力的基礎和難點，就是案件偵查意識。

（二）涉網案件偵查思維

近年來，全國各公安院校都在大力推進實戰(zhàn)化教學，大量的實戰(zhàn)技能培訓融入了課堂教學。而偵查意識作為一項綜合實戰(zhàn)能力，融合了抽象的思維方式、知識架構，與具象的案情內容、偵查方法，單純通過理論講授往往不能達到理想的教學效果。筆者通過多年的教學培訓實踐，嘗試在理論和實踐教學中引入偵查意識培養(yǎng)因素，利用案情分析和討論、模擬實戰(zhàn)訓練、典型案例重現(xiàn)、案件線索分析等教學環(huán)節(jié)，引導學生的偵查思維，培養(yǎng)和強化偵查意識，取得了良好的效果。

傳統(tǒng)規(guī)范的計算機類學科教學中，理工科特征明顯。理工科的思維方式嚴謹，因果邏輯性強,所以經過計算機類課程相關知識的系統(tǒng)學習，往往使得學生習慣二進制線性思維，而且通常越是學習成績好的學生，在分析問題的時候越會不自覺的以流程圖的方式思考，也就是習慣將事件分析拆解成若干細節(jié)步驟，起始和結束點明確，中間是非判斷。但是這種思維方式與公安偵查辦案的需求存在較大差距。偵查講求發(fā)散思維，在發(fā)散思維過程中強調回歸結果與表象的邏輯因果關系。偵查的目的性明確，即圍繞案情，對偵查要素相關的信息進行發(fā)現(xiàn)、排除、確認，從而利用線索和證據(jù)了解和再現(xiàn)犯罪事實。同樣的一份檢材，對于不同的網偵技術人員來說，有人看到的是數(shù)據(jù)信息，而有人看到的是線索證據(jù)。

我們可以通過某網絡詐騙案件中，被害人收到的電子郵件為例，來比較技術型思維和偵查型思維這二者不同的思維方式。詐騙郵件表面上與普通郵件并無異常。那么技術型思維分析通常會直接詳細拆解郵件的各組成部分，并按組成模塊形成細致的列表報告。通常情況下，上述分析報告完成，后續(xù)還需要掌握較全面的計算機網絡技術的偵查人員理解報告內容并開展關聯(lián)分析。而對于偵查型思維分析，通常是合二為一反向進行，從偵查需求的角度入手，按照業(yè)務流程和要素進行分析。雖然二者使用的技術方法大同小異，但是因為思維方式的不同，工作的側重點不同，分析結果的形式也不同。而后者可以直接指導接續(xù)的偵查方向。學生偵查思維的形成在于授課教師的培養(yǎng)，也就是說，教師在授課過程中要有意識的不斷培養(yǎng)和強化學生的偵查意識，逐漸讓學生形成在偵查需求引導下的技術思路，以勝任打擊新型復雜網絡犯罪的職責。

四、教學實踐中偵查意識的培養(yǎng)

在“電子數(shù)據(jù)取證”課程教學中實現(xiàn)對學生偵查意識的培養(yǎng)，可以通過實戰(zhàn)化教學的開展來完成。實戰(zhàn)化教學不是簡單的案例堆砌，而是按照教學需要，選取適當案例的適當細節(jié)，通過教學實踐來引導、形成、強化學生的偵查意識。

（一）從單一技術節(jié)點拓展數(shù)據(jù)線索

涉網案件偵辦過程中，電子數(shù)據(jù)取證分析人員往往第一次接觸案件是在數(shù)據(jù)送檢的時候。根據(jù)送檢人員介紹的簡要案情（通常是極簡短的概括）和送檢需求（通常是非常明確直接），技術人員對檢材中數(shù)據(jù)進行檢驗分析，進而提交結果報告。但是在某些配偵案件或者技術性較強的案件中，經常出現(xiàn)送檢需求不準確，或者描述發(fā)生歧義的情況。那么此時如果取證分析人員能夠主動了解詳細案情，并有效發(fā)揮專業(yè)知識特長，結合案件偵查意識，往往可以取得突破性的進展。筆者在教學中曾引入?yún)f(xié)助某地處置的一起網吧盜竊案例，由于嫌疑人作案手法隱蔽，此案時隔四年之后被重啟偵查，原始現(xiàn)場已經完全破壞。

1.送檢檢材

案發(fā)時網吧內管理服務器的全盤復制件。

2.送檢需求

分析經營性數(shù)據(jù)中是否存在問題；如存在，分析涉案金額多少。

3.分析過程

整理檢材數(shù)據(jù)后，使用備份盤中網吧管理軟件自帶功能匯總營業(yè)收入，總金額與目標比對值（網吧實際產生現(xiàn)金收益）相同，此即為辦案單位未及時立案的原因。導出網吧管理系統(tǒng)中所有的上機記錄，根據(jù)字段關系在數(shù)據(jù)庫環(huán)境下獨立分析，是否符合標準的數(shù)據(jù)關系：“上機時長乘以費率等于應收（實收）”。但分析結果顯示，共計有近萬條上機記錄存在差額，獨立核算的應收比系統(tǒng)顯示實收高出10 余萬元。至此，送檢需求完成可以形成結論性報告。

4.后續(xù)問題

辦案單位提出該網吧時隔四年現(xiàn)場完全被破壞，即使可以根據(jù)該分析結論立案，但并無任何偵查線索，也就無法有效開展偵查工作。

5.補充工作

詳細了解案情之后，提出從涉案數(shù)據(jù)形成過程的角度去思考，即近萬條記錄通常不會是嫌疑人在三個月時間內逐條修改，更大的可能性是通過某種技術手段批量修改，這樣更簡單高效隱蔽。如果被批量修數(shù)據(jù)，那么隨機選擇對象可能性較小，極可能是根據(jù)條件篩選數(shù)據(jù)，也就是說被修改過的數(shù)據(jù)可能呈現(xiàn)某種規(guī)律性，如果找到這一規(guī)律，很可能逆推出嫌疑人作案手段。由此，筆者對涉案部分的數(shù)據(jù)進行了規(guī)律分析最終找到了嫌疑人作案的技術方法和手段細節(jié)，即通過修改特定時段的計費費率為零，使應收賬款無收入，從中非法占有營業(yè)資金。再通過滿足作案條件的環(huán)境和人員入手，鎖定了偵查取證方向和嫌疑人。

6.反饋教學

從案情復雜程度、技術復雜程度、作案技術手段的代表性等方面綜合考慮，該案例符合教學需要。在引入課堂之前，需要整理該案素材，隱去數(shù)據(jù)檢材中相關單位、人員、地點等敏感信息；去除案情材料中的無用干擾項；整理個人辦案思路，確定教學內容層次。其中教學內容層次包括三方面：一是基本技術方法。如何快速了解經營性企業(yè)管理軟件的功能和數(shù)據(jù)流程，在無軟件說明文檔的情況下指導學生從前端的功能菜單分布，到后端的日志、庫表結構展開分析判斷，并明確庫表結構關系。二是高級分析能力。如何準確快速的實現(xiàn)營業(yè)收支的匯總分析，強調在涉案系統(tǒng)產生的流水數(shù)據(jù)分析工作中，為防止系統(tǒng)被人為修改破壞，應將數(shù)據(jù)脫離原系統(tǒng)，熟練使用數(shù)據(jù)庫環(huán)境獨立分析。三是指導偵查辦案。如何找到更多的涉案線索和證據(jù)，引導學生多方式思考問題，包括換位思考（從嫌疑人第一視角分析）、反向思維（由結果分析原因）、推理假設（根據(jù)既有現(xiàn)實進行合理假設并推演其原因和結果，再根據(jù)案件具體情況驗證或排除）、信息歸集（將多渠道多角度多形式的信息歸集到時空與行為主線上，刻畫嫌疑人作案過程和作案條件，指出偵查方向），從而找到更多案件中隱藏的線索。

7.思考總結

通過上述案例的引入，將數(shù)據(jù)庫取證分析技術應用提高到指導偵查的能力層面，并通過思路引領，讓學生領會舉一反三的偵查意識，同時通過真實疑難案件的偵破，提高學生的學習熱情。

（二）結合案情選擇多技術應用

復雜涉網案件偵辦過程中，電子數(shù)據(jù)取證分析人員通常與偵查人員同步工作，這需要所有辦案人員彼此間，辦案人員與被害人、見證人之間具備良好的溝通能力。同時，在同步跟進偵查工作的過程中，還需要根據(jù)不斷發(fā)現(xiàn)的線索，不斷更新的案情，及時采用不同的取證分析技術去解決相應的問題。另外，“電子數(shù)據(jù)取證”課程的教學內容安排通常是首先講授各種取證技術方法，拆分各個技術細節(jié)，然后在課程的后半程加入綜合應用。而且，綜合應用通常是針對單一檢材不同數(shù)據(jù)的應用，不能培養(yǎng)學生結合案情對多個系統(tǒng)、多種設備進行綜合分析的能力，未達到貼近實戰(zhàn)辦案的效果。筆者在教學中曾引入指導協(xié)助某地處置的一起商場盜竊案例。案發(fā)由某顧客使用商場發(fā)行儲值卡開始，面值一千元的卡變?yōu)閮扇f，而商場自己的銷售財務系統(tǒng)賬面一直平衡，未見異常。此案實際偵查過程非常復雜，詳見參考文獻[3]。

1.送檢檢材

商場的財務管理系統(tǒng)服務器一臺、熱插拔硬盤一塊，存儲開業(yè)之后每個月數(shù)據(jù)庫備份數(shù)據(jù)。

2.送檢需求

分析商場財務系統(tǒng)和數(shù)據(jù)是否存在問題；如存在，分析涉案金額。

3.分析過程

一是服務器系統(tǒng)勘驗。重點解決服務器本身是否存在被入侵、破壞的情況。通過系統(tǒng)日志、安全日志等排查，未發(fā)現(xiàn)異常情況。二是分析財務軟件功能及狀態(tài)。了解該軟件功能、數(shù)據(jù)流程、后臺庫表結構，為后續(xù)數(shù)據(jù)分析做準備。該軟件為商用定制銷售，由成都某公司開發(fā)，屬進銷存類軟件。通過檢查軟件應用日志、審計日志，未發(fā)現(xiàn)系統(tǒng)破壞痕跡。三是分析數(shù)據(jù)庫備份數(shù)據(jù)。送檢數(shù)據(jù)80G，均為數(shù)據(jù)庫備份文件，涉及該大型商場六個月進銷存三個環(huán)節(jié)的全部流水，以及其他日常支出等財務數(shù)據(jù)，共有表單260 余個，字段近2000 個。龐雜的數(shù)據(jù)很難進行全庫數(shù)據(jù)統(tǒng)計，根據(jù)前期案情分析，發(fā)案重點在儲值卡，那么可以嘗試直接從儲值卡分析入手。將所有經營流水導出系統(tǒng)，在數(shù)據(jù)庫環(huán)境下獨立運算，逐條統(tǒng)計所有儲值卡的累積消費額加余額減去原值，理論上該計算結果應該為零（已確認系統(tǒng)不允許二次充值），但實際計算結果共計2739 張卡出現(xiàn)問題，累積金額103.7 萬。反復核對無誤，該案件正式立案。

4.后續(xù)問題

辦案單位提出該案件雖然案值明確可以立案，但是無法解釋賬面平衡的原因，不了解犯罪技術手段，前期初查無線索，偵查工作無從開展。

5.補充工作

詳細了解案情之后，對案發(fā)現(xiàn)場的計算機系統(tǒng)做了二次實地勘驗，發(fā)現(xiàn)了初次勘驗中遺漏的中間層服務器，并根據(jù)中間層服務器的數(shù)據(jù)特征，分析其文件系統(tǒng)，發(fā)現(xiàn)了嫌疑人作案用的工具程序tti.exe，對該程序進行反編譯，了解了該案嫌疑人通過遠程登錄系統(tǒng)，刪除消費記錄逆向增加余額的作案手段。同時，通過綜合分析文件特征、系統(tǒng)時間、數(shù)據(jù)流向、技術條件、系統(tǒng)權限、安全狀態(tài)等線索，直接鎖定該案嫌疑人。

6.反饋教學

該案在網絡犯罪案件中，非常具有代表性，是難得的教學素材，但是案情過于復雜，分析過程過于繁瑣，不適于完整用于本科教學，所以在教學過程中必須精簡加工。整理該案各類信息，隱去辦案文書和數(shù)據(jù)檢材中相關單位、人員、地點等敏感信息；去除案情材料中的無用干擾項以及重復性內容；通過不斷提示辦案思路，強調引導學生以偵查需求為導向開展技術應用的思維方式。一是基本技術方法。該案應用到的計算機取證分析技術較多，包括網絡技術、網絡安全技術、數(shù)據(jù)庫技術、程序逆向和代碼分析技術等。二是偵查思路引領。該案件從初始調查開始，完全是分析查找出一條線索，再關聯(lián)分析出下一條線索，環(huán)環(huán)相扣。需要根據(jù)案情不斷調整分析思路，并提出新的偵查需求，也就需要綜合應用計算機網絡技術和電子數(shù)據(jù)取證分析技術。三是偵查思維培養(yǎng)。越是復雜的案件，越需要清晰的思路，而清晰的思路來源于對案情的準確把握和帶有偵查意識的思維模式。教學實踐中，雖然學生尚不能得心應手地把握案情，但是在教師的思路提示下，學生可以對案件中每一個環(huán)節(jié)提出偵查需求，進而明確線索分析的目標、來源和走向。

7.思考總結

通過上述案例的引入，結合案情將多種計算機專業(yè)知識和取證技術綜合應用，尤其在教學過程中，分步驟導入，逐項分析需求，明確思路，進而完成取證分析工作。這樣可以大幅度增強學生的實戰(zhàn)臨場認知，提高學生的專業(yè)認同感和學習熱情。同時，通過對偵查過程的全鏈條講解，強化學生的偵查意識。

（三）取證小數(shù)據(jù)中的大數(shù)據(jù)思維

某些疑難案件中，數(shù)據(jù)的取證分析雖然在技術上非常簡單，甚至依靠成品取證工具即可完成，同時數(shù)據(jù)檢材也非常簡單，甚至有些案件全部線索只有一部手機。那么在工具取證獲得初步結果以后，能否通過人工思維二次分析從而得到偵查思路，達成案件的偵結呢？筆者在教學中曾援引協(xié)助某地處理的一起黃河腐尸非正常死亡案件，最初辦案單位傾向他殺立案，進而筆者分析判斷為自殺身亡后撤案。當?shù)毓矙C關接報案，黃河灘涂發(fā)現(xiàn)一具男性尸體，高度腐敗，體表多處傷口，隨身只有一部手機。手機話單顯示最后通話為離家后數(shù)小時。因尸體高腐，無法準確認定死亡原因和死亡時間，手機通話、街路監(jiān)控視頻等，均無法提供死者最后活動地點。綜合現(xiàn)場、尸檢、訪問等線索，辦案單位傾向于他殺。

1.送檢檢材

死者手機一部。

2.送檢需求

提取損壞手機數(shù)據(jù)，分析死者最后的網上聯(lián)系人；分析死亡時間；有可能的話分析死亡地點。

3.分析過程

使用取證工具提取手機全部數(shù)據(jù)形成分析報告供參考。根據(jù)手機全部APP 應用的數(shù)據(jù)時間，推定該手機的最后使用時間（某些數(shù)據(jù)是聯(lián)網狀態(tài)下自動傳輸），即可能的死亡事件。發(fā)現(xiàn)兩大疑點，一是死者手機通訊錄被刪除，二是微信好友全部被刪除，且聊天記錄恢復不成功。實施這一行為具體是誰，出于什么樣的目的，無法從手機中分析。手機無定位功能，老款手機照片不記錄經緯度信息，無法確定手機最后活動的地理位置信息。

4.后續(xù)問題

辦案單位提出能否考慮其他關聯(lián)方法查找死者的網上聯(lián)系人以及其最后活動地點。因為如果是他殺，最后聯(lián)系人和案發(fā)現(xiàn)場都是調查重點，同時死者在黃河中發(fā)現(xiàn)，隨水流動而轉移位置，入水點能否確定。如無上述線索，偵查將陷入僵局。

5.補充工作

雖然手機內部數(shù)據(jù)無法直接提供地理位置相關信息，但是可以嘗試使用某些APP 的外部服務數(shù)據(jù)，例如美團外賣之類的即時配送服務，查詢服務商留存的訂單記錄，可能獲取相關位置信息。經再次取證分析，未發(fā)現(xiàn)此類應用的安裝使用痕跡。雖然死者手機中微信好友和聊天記錄被清空，但是微信錢包的支付記錄有留存。通過最后兩天四筆支付記錄，確定了可疑活動地點。網上聯(lián)系人信息拓展關聯(lián)到論壇、微博等，雖然瀏覽器有大量上網記錄，但未發(fā)現(xiàn)有人與死者互動。分析其興趣愛好的過程中，根據(jù)其瀏覽器900 余條上網記錄，梳理歸納出三大類信息：一是色情類信息，包括在線播放淫穢視頻、在線閱讀黃色小說等，記錄量占二分之一以上，由此推斷死者生前有較強的性欲和性需求；二是大量搜索過民間治療陽痿、早泄的偏方等相關內容，記錄量接近三分之一，由此推斷死者存在性功能障礙；三是在手機最后使用的四天時間里，集中搜索了關于服用“阿普唑侖”致死量，以及是否痛苦等相關內容，記錄量接近六分之一，由此推斷死者有較為明顯的自殺傾向。綜合三方面內容，推斷死者可能是由于包括但不限于性功能障礙導致抑郁，而產生自殺傾向。辦案單位根據(jù)手機中分析推斷的時間、地點信息，進行了細致的調查、走訪，獲取了死者在特定時間段內的反常言語行為。根據(jù)其遺物位置，確定了入水點，且對周邊現(xiàn)場勘查，排除了搏斗等暴力痕跡。二次尸檢對胃內容物、內臟、腦組織等做藥理毒理分析，發(fā)現(xiàn)了“阿普唑侖”殘留。由此確認自殺，并得到死者家屬認可。

6.反饋教學

大數(shù)據(jù)應用是近年來公安工作強調的重點之一，而大數(shù)據(jù)應用需要以大數(shù)據(jù)存量為基礎，以大數(shù)據(jù)思維為引導。大數(shù)據(jù)認知和思維，在偵查工作的很多環(huán)節(jié)均可以體現(xiàn)。該案件的檢材是電子數(shù)據(jù)取證工作中最為常見的形式之一，檢材數(shù)據(jù)也簡單易懂。但是由于案情需要，檢材數(shù)據(jù)不足以支撐偵查工作的開展，那么就需要取證分析人員運用偵查思維，從大數(shù)據(jù)應用角度，考慮關聯(lián)外部的服務數(shù)據(jù)，從而取得進一步的線索。該案例非常適合教學使用，除案件涉及的具體單位、人員信息，以及不適于課堂出示的現(xiàn)場照片外，可以原樣完整的應用于教學。

7.思考總結

通過上述案例的引入，引導學生形成以檢材為中心，關聯(lián)大數(shù)據(jù)分析的思維方式，同時結合案情，不斷鼓勵學生提出問題、提出推測，然后驗證或推翻自己的判斷，進而找到問題答案。在不斷思考提出新的偵查需求和自我證明、自我否定的分析過程中，學生的偵查思維得到強化。顯然，數(shù)據(jù)的價值是其所有可能用途的總和，數(shù)據(jù)的整體價值亦遠遠大于其最初的使用價值。這主要取決于偵查人員看待和使用數(shù)據(jù)的方式。[4]例如在教學中，發(fā)現(xiàn)數(shù)據(jù)有異常刪除，有學生慣性思維提出刪除通訊錄和微信好友是嫌疑人為了防止警方發(fā)現(xiàn)懷疑自己，但換角度思考后，很快反應出其實如果真是這樣目的，他不如直接把手機拿走砸碎銷毀。也有同學提出，要分析殘留數(shù)據(jù)查找是否曾經使用一些不常見的社交軟件比如電報、VOXER等，但換角度思考后，一個初中輟學人員的技能和社交圈不大可能熟練使用VPN應用境外社交軟件。凡此種種，學生不斷提出大量的外部數(shù)據(jù)存在可能，這也形成了案件工作中需要的偵查意識。

五、結 語

對于偵查意識的形成，學生很難僅僅依靠理論學習來理解，更多的要通過學習過程去體會，通過教師教學方法來引導。在教學實踐中，教師精心選取案例，篩選案例中的有效內容，再思考案例的切入點，以實戰(zhàn)化教學的方式組織知識脈絡，以偵查需求為引導整合知識技能。這樣可以在傳授知識的同時，潛移默化的引領學生的分析思路，逐漸形成實戰(zhàn)化的思維模式。如何選取案例，整合教學內容，以滿足實戰(zhàn)化教學需求？偵查實戰(zhàn)本身就不是模式化的工作，而且每位教師都有自己不同的公安實踐經歷、教育背景，以及自身特有的知識儲備，也就形成了每個人對于案件不同的視角和理解?！半娮訑?shù)據(jù)取證”雖然是一門以技術為主線的課程，但是按照公安院校人才培養(yǎng)的目標，學生必須勝任未來案件偵查工作的需要，而偵查意識在一定程度上可以影響案件偵查的成功率和辦案效率。根據(jù)電子數(shù)據(jù)取證業(yè)務自身的特點，完全可以在強化偵查意識之后發(fā)揮輔助偵查、引領偵查的更大的價值。以偵查需求為導向，通過實戰(zhàn)化教學將偵查思維貫穿到取證技術應用之中，培養(yǎng)優(yōu)秀的公安專業(yè)人才。