栏目分类:
子分类:
返回
文库吧用户登录
快速导航关闭
当前搜索
当前分类
子分类
实用工具
热门搜索
文库吧 > 学术 > 时政综合 > 法制与社会

网络犯罪现场电子证据提取的技术要点分析

网络犯罪现场电子证据提取的技术要点分析

摘 要 网络犯罪案件发案率高、侦破难度大,是近几年困扰公安机关的难题。其中最主要的原因还在于电子证据提取的难度大、不容易固定和保存,特别是网络犯罪现场的电子数据。网络犯罪现场情况复杂、范围不容易固定、证据类型多,并且现场电子数据尤其容易被破坏和丢失。本文就目前常见的网络犯罪案件现场勘查流程为线索,分析其中常被忽略的细节,提出可以采取的技术手段和有效处理相关问题的方式方法。

关键词 网络犯罪 电子证据提取 现场勘查

作者简介:秦志红,河南警察学院信息安全系,研究方向:网络安全、网络犯罪侦查。

中图分类号:D918 文献标识码:A 文章编号:1009-0592(2016)03-293-02

随着计算机、手机等电子产品的逐渐普及,与之有关的犯罪案件逐年增多。作为一类新型的高科技犯罪,网络犯罪的表现形态五花八门,而网络空间的虚拟性和电子证据的易失性也加大了此类案件的侦破难度。为了应对日益严峻的现实,要求相关人员提高网络犯罪侦查的能力。其中,犯罪现场电子证据的提取是网络犯罪侦查中至关重要而又不容易掌握的一项技能。

现场是案事件发生的地点,往往遗留有较多的痕迹物证。合理有效的处置现场,尽最大可能保护线索、提取证据对整个案事件的处理具有重要的意义。由于网络的互联性使得遗留有电子证据的场所分布广泛,既包括传统现场即物理空间,又包括非传统意义的场所即虚拟空间,也就是网络犯罪现场的空间跨度性较大。另外,现场的空间跨度也导致了时间的连续性,会存在第一时间现场、第二时间现场等,多个现场在时间上有严格的连续性。同时,网络犯罪现场处理中还要考虑电子证据的复杂性、脆弱性、时效性等特点。

本文就勘验、提取、固定现场留存的电子证据为线索,分析在此过程中需要关注的技术要点。

一、网络犯罪现场勘查的步骤

与普通的案件处理类似,网络犯罪现场勘查也有一定的规范、原则和方法步骤。一般来说,可以分为事前准备、现场保护、现场勘查取证、扣押等步骤。

(一)事前准备

鉴于网络犯罪的特殊性,一般来说针对电子数据的现场勘查和取证要一次完成,这就要求在进入现场以前做好充分的准备。指挥人员必须提前确定由哪些人员进入现场、需要携带哪些设备、如何制定预案、有哪些注意事项等一系列问题。全面的了解案情并且掌握案件的性质和相关的技术特点是做好充分准备的前提。通过分析案情,可以推断现场可能存在的电子设备、所安装的操作系统等信息。不同类型的案件,现场勘查的侧重点是不同的,当然准备的工具、人员的技术要求、预案等都不尽相同。

(二)现场保护

通过保护现场可以保护证据并保存与犯罪现场机密有关的信息。隔离带是保护现场的常用方式,可以防止旁观者进入现场。然而,由于网络犯罪案件的地域特点,现场的范围很难确定,往往会涉及更大的范围。此时,就要尽快找到相关的现场,并进行保护。一般来说,事前准备阶段就需要对现场范围有个大致的确定。

现场保护可分为控制现场和固定现场。控制现场的目的是保证现场尽可能的不被破坏,这点对于留存有电子物证的网络犯罪现场尤其重要;固定现场就是对现场所涉及到的电子物证拍照、绘制网络拓扑图等方式进行固定,便于在网络侦查实验时完整的还原现场。

(三)现场勘查取证

网络犯罪的现场包括外部现场和内部现场。外部现场勘查与普通案件类似,检查现场遗留的足迹、指纹、毛发、血迹等需要刑事技术专业人员执行;检查电子设备、磁记录物品、网络线路等痕迹则由专门从事网络犯罪案件侦查的人员来执行。内部现场勘查主要针对电子设备内部的数据进行调查、取证和分析,因此大部分情况下,需要专门的技术人员甚至聘请有能力的专家来执行。另外,类似网络赌博、网络吸贩毒类案件的犯罪现场往往不在本地,则需要通过网络进行远程现场勘查。

(四)扣押

现场的电子物证如果有证据效力,需要当场封存扣押并运输到特定位置进行保存。网络犯罪案件的证物涉及到大量的电子产品,其封存、运输的方式与普通物证有所不同。防震、防磁、防静电是基本要求;封装时尽可能不拆卸,否则要清晰的标记好所对应的接口;运输过程中要考虑到不同设备的抗压力,同时远离磁场也是必须要考虑的。

二、技术要点

前面介绍了网络犯罪现场勘验的基本步骤,尽管按照流程可以规范的对现场进行处理,但是在处理的过程中了解一些关注点并采取一定的技术手段可以提高证据获取的准确度,对网络犯罪案件能够顺利侦破起到至关重要的作用。

(一)充分的预案

在进入现场以前,需要考虑到各种可能发生的情况。制定充分的预案是最有必要也是最实用的事前准备手段。制定预案可以从进入现场、人员分配、现场搜查等方面考虑。

在进入现场预案中,要尽量得到待勘查地区的图纸,特别是网络拓扑图。这样就很有可能查明现场计算机的类型、数量和网络结构以及其它电子设备,能够明了所涉及的操作系统、软件功能,对于配备何种技术人员就有了大致的方向,也可以明确进入现场需要携带哪些专业的软硬件工具。

人员分配预案是所有类型的案件都需要的,但是网络犯罪案件需要有几点特别注意:第一,案件总指挥要具备一定的涉网案件侦查能力,能够了解侦查小组中每个成员的技术优势和特点;第二,安全保障需要保护犯罪现场和参与现场侦查人员的安全,特别是专门聘请的技术专家的安全;第三,现场勘查人员必须要精于计算机取证技术,能够准确识别并快速分析提取网络犯罪现场遗留的电子证物,并能够对电子证物进行固定和保护,需要注意的是技术人员不是全能,案件总指挥要根据预案确定对该类型网络犯罪案件现场最了解、技术最熟练的相关人员参与;第四,询问人员要掌握一些专业术语,便于和专业的犯罪嫌疑人斗智斗勇。

现场搜查之前,需要明确几点:首先,需要划定多大的范围。这个要和前面提到的进入现场预案相结合,根据现场拓扑图,判断案件涉及的现场有多大、有几个现场、在勘查的时候应该以哪种顺序进行等。其次,评估现场人员的技术水平,有没有可能在系统中安装有自毁程序,有没有可能远程控制现场设备,如果存在这种可能性,则在进入现场以前联系相关部门切断网络或电源。

(二)采取多种手段保证现场不被破坏

网络犯罪现场的脆弱性是显而易见的,因此需要特别注意对现场的保护,防止现场被破坏。破坏现场的因素有很多,犯罪嫌疑人会故意破坏现场,现场勘验人员会无意破坏现场,电子设备的特性也会导致现场痕迹的缺失。而采取有效的技术手段则可以避免或减少这些破坏的发生。

首先,网络犯罪的嫌疑人往往高智商、有技术,他们可能会通过网络远程控制现场或者安装后门程序销毁现场。所以,除非需要远程现场勘查,否则就及时的切断网络。另外,现场的询问也非常重要,高学历的犯罪嫌疑人会有较强的反侦查意识,在现场处于惊慌失措的情况下,要立即向对方了解电子设备所涉及的账号、密码、软件用途等信息,并录音、录像作证据。

其次,参与现场调查的人员要充分了解网络犯罪现场,不能因为自己的疏忽而破坏了现场。最容易忽略的有以下几方面:电子设备不管处于何种状态,都不要轻易变动,等固定现场后由专家或勘验小组协商后再处理;如果处于开机状态,首先要做的是屏幕拍照,然后再提取证物,系统正在运行的程序,不要关闭,同时也不要打开任何其他的程序;电子证据提取并固定完以后,需要关闭系统时,会遇到关闭诸如电子文档的软件,如果是犯罪嫌疑人还没来得及保存的文档,要采取“另存为”的方式。

最后,现场可能会有监控、录音等设备,一定要立即停止;系统中安装有磁盘整理程序、定时杀毒软件、痕迹清理工具等要关注他们的启动时间并暂停运行。

(三)证物搜查过程中的要点

首先,不要忽略无线网络的覆盖范围。无线网络是近几年迅速发展的网络中继,因为线路的无形性导致设置搜查范围时很容易忽略。目前常用的无线网络有蓝牙、WiFi和移动上网。蓝牙的覆盖范围在10米以内,WiFi一般不超过80米,而移动上网需要结合附近的基站。根据他们的特性,在能够辐射的范围内搜查可能连接的电子设备并提取其电子数据。

其次,潜在证据也能发挥重要作用。一些被忽略的潜在证据可能留存有有效数据,在搜查时要重视。例如废弃的打印机色带上会有上次的打印内容;不同的纸张可以区别来自于哪台打印机;折断的磁卡、SIM卡上都可能提取出数据;电子设备的说明书、驱动程序光盘可以帮助技术人员顺利掌握设备的使用方法。

(四)必要时要进行在线勘查

为了维持案发现场的电子数据不发生改变,防止证据被破坏,通常的做法是固定现场并封存证物,进一步的数据提取会到专业实验室来完成。但是,这种做法也会导致未写入硬盘的数据和网络流动数据的丢失。如果经过现场专家评估后认为这些数据非常关键,则需要进行在线勘查。在线勘查的技术要求非常高,一般是需要精通计算机取证的专业人员来进行。在此过程中有几点需要关注。

首先,一定不要使用目标设备中的程序来做数据勘查和提取。例如,cmd.exe在任何一台Windows操作系统的设备中都存在,但是很多网络入侵案件的cmd.exe是被攻击者替换过的;另外如果技术人员使用了设备中的文件,也会导致文件的时间戳发生改变,对现场造成一定的破坏。

其次,用于提取数据的软件要尽可能的小。在线勘查不可避免的需要破坏一部分内存或磁盘的现场,很显然所使用的软件越大,所占用空间就越大,要尽量不进行虚拟内存交换。一般情况下,要采用命令行程序而非图形界面程序。所使用的软件需要从U盘、光盘启动,而不是安装到目标系统中。

最后,为了保证所提取数据的有效性,最好整个过程有犯罪嫌疑人的全程参与并录像,提取完成后要进行MD5等数字签名固定证据,并且结果要由犯罪嫌疑人签字认可。如果无法确定犯罪嫌疑人,则需要两名以上的技术人员或见证人共同参与完成整个过程。

三、结语

在进行电子证据提取的过程中,及时准确的作出判断并采用应对措施是非常必要的。综上所述,本文通过研究网络犯罪案件现场勘查的基本流程,总结出在此过程中需要采取的方式方法,并提炼出技术要点,为相关人员在操作中提供参考,加快网络犯罪案件的侦查进度,降低此类案件的侦破难度。当然,网络犯罪案件的现场往往情况比较复杂,侦查取证人员会面临不同的设备、网络环境和系统环境;同时,随着新技术的应用,与之有关的新型网络犯罪也会出现,需要我们不断研究并归纳总结,及时提出新的应对策略。

参考文献:

[1]米佳、赵明生.网络犯罪侦查.北京:中国人民公安大学出版社.2014.

[2]孙晓冬.网络犯罪侦查.北京:清华大学出版社.2014.

[3]蒋占卿.计算机网络犯罪案件“虚拟空间”现场勘查研究.中国人民公安大学学报.2003(6).

转载请注明:文章转载自 www.wk8.com.cn
本文地址:https://www.wk8.com.cn/xueshu/514091.html
我们一直用心在做
关于我们 文章归档 网站地图 联系我们

版权所有 (c)2021-2022 wk8.com.cn

ICP备案号:晋ICP备2021003244-6号