計(jì)算機(jī)與網(wǎng)絡(luò)刑偵技術(shù)務(wù)實(shí)

鄭州輕工業(yè)學(xué)院 何子軼

隨著計(jì)算機(jī)及網(wǎng)絡(luò)在各個(gè)行業(yè)的普及，利用高科技手段進(jìn)行的犯罪活動(dòng)已經(jīng)在虛擬世界悄然開展并有愈演愈盛之勢(shì)，為打擊個(gè)別人通過互聯(lián)網(wǎng)進(jìn)行不法活動(dòng)獲取不正當(dāng)利益，計(jì)算機(jī)與網(wǎng)絡(luò)取證技術(shù)已成為公安機(jī)關(guān)不可或缺的刑偵手段。本文，筆者將分析計(jì)算機(jī)與網(wǎng)絡(luò)刑偵在人們生活中的重要性及應(yīng)用到的幾個(gè)方式方法。

一、計(jì)算機(jī)與網(wǎng)絡(luò)刑偵技術(shù)的兩大類別

在R.McKemmish的《何為適用于法庭的計(jì)算機(jī)取證》一文中，將計(jì)算機(jī)與網(wǎng)絡(luò)刑偵技術(shù)定義為：識(shí)別、維護(hù)、分析與呈現(xiàn)法律上能夠接受的數(shù)字證據(jù)的過程。而數(shù)字證據(jù)一詞在實(shí)際應(yīng)用中大體分為2個(gè)方面。

1.計(jì)算機(jī)取證。通過解剖在犯罪現(xiàn)場(chǎng)獲取的計(jì)算機(jī)硬件部分，挖掘與提取出相關(guān)的法律能夠接受的數(shù)字證據(jù)。

2004年2月23日，昆明市公安局接報(bào)，云南大學(xué)學(xué)生宿舍發(fā)現(xiàn)男性尸體，而具有重大犯罪嫌疑的同宿舍學(xué)生馬加爵失蹤。在此案中，刑偵專家正是使用了計(jì)算機(jī)取證的高科技手段對(duì)馬加爵在宿舍內(nèi)使用過的電腦進(jìn)行了數(shù)據(jù)分析。雖然嫌疑人出逃前對(duì)電腦硬盤進(jìn)行了格式化，但通過專家恢復(fù)出的電子數(shù)據(jù)顯示，此人出逃前3天都在搜集有關(guān)海南省的信息，尤其是三亞的旅游交通和房地產(chǎn)信息。正是根據(jù)這一線索，警方果斷調(diào)整了緝捕重點(diǎn)，很快于2004年3月15日在三亞將馬加爵捉拿歸案。

2.互聯(lián)網(wǎng)取證。Hal Berghel曾經(jīng)將互聯(lián)網(wǎng)取證列為與計(jì)算機(jī)取證完全不同的范疇?；ヂ?lián)網(wǎng)取證主要應(yīng)用于探測(cè)網(wǎng)絡(luò)攻擊，例如黑客、木馬攻擊等等。而針對(duì)此類犯罪的偵測(cè)技術(shù)，基本相同于此類不法活動(dòng)所使用的操作方法，兩者唯一不同的只有出發(fā)點(diǎn)及道德標(biāo)準(zhǔn)。

2007年1月，約有50萬計(jì)算機(jī)均感染了一種叫做熊貓燒香的病毒，數(shù)百萬網(wǎng)民深受其害。此病毒是一種感染型蠕蟲病毒，能夠終止大部分反病毒軟件和防火墻的進(jìn)程，通過互聯(lián)網(wǎng)和U盤插拔都能迅速傳播。

仙桃市公安局立案后，迅速上網(wǎng)搜集相關(guān)資料，對(duì)此病毒進(jìn)行數(shù)據(jù)分析調(diào)查后發(fā)現(xiàn)。熊貓燒香病毒的程序代碼中，均有whboy（武漢男孩）的簽名，并能把感染的網(wǎng)頁文件指向一個(gè)特定網(wǎng)站。而該網(wǎng)站注冊(cè)信息顯示，注冊(cè)人來自武漢。

2007年2月1日，專案組通過走訪調(diào)查，查明嫌疑人居住在武漢洪山區(qū)。偵查員在此佯裝購買殺毒軟件，最后鎖定一個(gè)出售者，通過對(duì)其出租屋24小時(shí)的監(jiān)控，最終將其抓獲，此人就是該病毒的制造者李俊。

二、計(jì)算機(jī)與網(wǎng)絡(luò)刑偵技術(shù)在虛擬世界中應(yīng)用的重要意義

以上2個(gè)典型事例形象的區(qū)分了計(jì)算機(jī)刑偵與網(wǎng)絡(luò)刑偵所歸屬的不同范疇，但它們?cè)跀?shù)字取證中都占有同樣的重要性。而且隨著科技的發(fā)展與社會(huì)的進(jìn)步，它們?cè)谛虃晒ぷ髦凶兊萌找嬷匾?/p>

1.以互聯(lián)網(wǎng)為例。隨著因特網(wǎng)在日常生活中日新月異的發(fā)展，網(wǎng)絡(luò)犯罪的勢(shì)頭發(fā)展得尤為迅猛。網(wǎng)絡(luò)活動(dòng)的一個(gè)重要特點(diǎn)是匿名性，而這種特點(diǎn)不僅能夠掩飾人們的真實(shí)身份，還能在一定程度上改變?nèi)藗兊男愿裉卣?。例如日常生活中膽小?nèi)向的人很可能以開朗奔放的另一面展現(xiàn)在互聯(lián)網(wǎng)上。而遠(yuǎn)程操作的非法活動(dòng)通常提高了成功的幾率，相對(duì)卻降低了被檢測(cè)與被起訴的可能性。

2.電子取證的意義并不僅僅局限于偵測(cè)與計(jì)算機(jī)和網(wǎng)絡(luò)相關(guān)的犯罪活動(dòng)。在馬加爵一案中，專家即是通過調(diào)查網(wǎng)頁緩存來緝捕兇手。另外，在很多經(jīng)濟(jì)犯罪中，專家們也通過獲取電子數(shù)據(jù)表來檢測(cè)嫌疑人是否參與洗錢操作或其他不正當(dāng)交易。

3.隨著科技的不斷進(jìn)步，數(shù)字取證擴(kuò)大到人們生活的各個(gè)方面。從計(jì)算機(jī)和互聯(lián)網(wǎng)提取的電子證據(jù)具有顯而易見的訴訟效果。許多刑偵專家也受到啟發(fā)，將這些偵測(cè)手段應(yīng)用于其他電子產(chǎn)品如手機(jī)，個(gè)人掌上電腦或MP3等。

三、計(jì)算機(jī)與網(wǎng)絡(luò)取證的實(shí)際操作

有些人認(rèn)為計(jì)算機(jī)與網(wǎng)絡(luò)刑偵中的電子取證是：運(yùn)用軟件技術(shù)和工具，按照預(yù)定的步驟檢查計(jì)算機(jī)系統(tǒng)和相關(guān)外部設(shè)備，保護(hù)、提取和分析計(jì)算機(jī)犯罪的痕跡，并產(chǎn)生具有法律效力的電子證據(jù)的過程。也有人認(rèn)為計(jì)算機(jī)與網(wǎng)絡(luò)刑偵技術(shù)包括了上述特殊的技術(shù)手段，但并不限于此方法。換言之，雖然數(shù)字取證是一種帶有高科技色彩的偵測(cè)方法，但從司法實(shí)踐過程中我們可以發(fā)現(xiàn)，普通的當(dāng)事人完全可以利用他們自己的經(jīng)驗(yàn)知識(shí)來進(jìn)行電子證據(jù)的保全和收集。雖然專家取證是相當(dāng)有成效的，但公安機(jī)關(guān)也不應(yīng)該忽略普通人在計(jì)算機(jī)與網(wǎng)絡(luò)刑偵過程中的重要作用。

但無論是什么人以何種方法來進(jìn)行電子取證的操作，都離不開對(duì)數(shù)據(jù)的提取、收集、整理與分析。而在處理數(shù)據(jù)的各個(gè)步驟中，有時(shí)需要進(jìn)行比現(xiàn)實(shí)犯罪現(xiàn)場(chǎng)取證的更多的繁瑣環(huán)節(jié)。

1.在許多傳統(tǒng)取證過程中，刑偵專家透過專業(yè)技術(shù)與工具來提取證物，例如鞋印、指紋、發(fā)絲等等，它們必須借助灌模等手段才能變?yōu)榫哂蟹尚ЯΦ淖C物。計(jì)算機(jī)與網(wǎng)絡(luò)取證除了與傳統(tǒng)取證一樣需要借助專業(yè)工具之外，還具備了幾個(gè)不同于傳統(tǒng)取證的特點(diǎn)。

（1）一般情況下，數(shù)字證物與傳統(tǒng)證物不同，具有變化快、易改動(dòng)的特點(diǎn)。一臺(tái)正在運(yùn)行的計(jì)算機(jī)系統(tǒng)中，寄存器和內(nèi)存中的數(shù)據(jù)，每時(shí)每秒都在變化，提取時(shí)有相當(dāng)大的難度。

（2）相比較傳統(tǒng)證物來說，數(shù)字證物在法庭上更容易受到質(zhì)疑，除非在刑偵過程中能保證其可靠性與真實(shí)性。而它們的獲取又牽涉到計(jì)算機(jī)、通信、網(wǎng)絡(luò)、硬件等多個(gè)方面，需要多領(lǐng)域刑偵專家的共同努力。

（3）另外一個(gè)區(qū)別于傳統(tǒng)取證的特點(diǎn)是：傳統(tǒng)取證通常實(shí)在犯罪過程終止后進(jìn)行，而有些計(jì)算機(jī)與網(wǎng)絡(luò)非法行為需要在其正在實(shí)施的過程中進(jìn)行取證，例如黑客攻擊或上文提到的熊貓燒香一案。

2.綜上所述，針對(duì)計(jì)算機(jī)與網(wǎng)絡(luò)取證區(qū)別于傳統(tǒng)取證的這些因素，刑偵專家有必要調(diào)整取證時(shí)所要遵循的原則。

（1）與傳統(tǒng)取證相同，計(jì)算機(jī)與網(wǎng)絡(luò)刑偵依然要遵守“保護(hù)現(xiàn)場(chǎng)”原則。對(duì)于數(shù)據(jù)時(shí)刻在變化的目標(biāo)計(jì)算機(jī)，需要進(jìn)行“凍結(jié)”來避免數(shù)據(jù)的改變，病毒入侵甚至自我的數(shù)據(jù)破壞。在這一環(huán)節(jié)中可以在拆卸任何設(shè)備前進(jìn)行拍照，記錄設(shè)備的狀態(tài)，如電源是否打開、設(shè)備連接的各類纜線等等。

（2）計(jì)算機(jī)各項(xiàng)數(shù)據(jù)的封存也是一個(gè)重要步驟。需要封存的目標(biāo)包括內(nèi)存數(shù)據(jù)、計(jì)算機(jī)工作日志、設(shè)備管理器狀態(tài)、各種打印結(jié)果與整個(gè)硬盤數(shù)據(jù)的克隆等等。全盤的鏡像復(fù)制可用軟件克隆如GHOST、SAFEBACK等，也可用專業(yè)的硬盤克隆或檢測(cè)設(shè)備。

有些情況下對(duì)設(shè)備的克隆并不只包括計(jì)算機(jī)本身，服務(wù)器、路由器、防火墻等設(shè)備也是克隆的重要對(duì)象，如有現(xiàn)場(chǎng)發(fā)現(xiàn)的U盤、光盤、軟盤等設(shè)備，甚至需要物理封存。

（3）整個(gè)取證過程需要在第三方專業(yè)人員的監(jiān)督下進(jìn)行。有些情況下，這種原則甚至應(yīng)該貫穿整個(gè)證物研究過程，以此來保證證據(jù)從最初的獲取狀態(tài)到呈現(xiàn)在法庭上出現(xiàn)的狀態(tài)中間沒有任何改變，即“證據(jù)的連續(xù)性”。在調(diào)查過程中，依然需要證人或嫌疑人的積極配合，來取得相應(yīng)的證據(jù)分析信息，如密碼、用戶口令、文件存儲(chǔ)的路徑等。

（4）目前有許多具有高科技犯罪能力的不法分子，針對(duì)公安機(jī)關(guān)的刑偵手段研制了許多反取證技術(shù)?？瓷先テ胀ǖ囊粡堈掌?jīng)過色階的調(diào)整之后，就清晰的顯示出一串字符。這就是數(shù)據(jù)隱藏的一種，即通過圖像的改變隱藏信息。

除此之外，刪除或隱藏證據(jù)使刑偵工作無效的方法層出不窮，總體來說分為3大類，即數(shù)據(jù)加密、數(shù)據(jù)隱藏和數(shù)據(jù)擦除。這些方法的同時(shí)使用，使數(shù)字取證工作大打折扣。但也從另一方面督促了取證新技術(shù)的研發(fā)。

四、計(jì)算機(jī)與網(wǎng)絡(luò)刑偵技術(shù)的發(fā)展方向

在科技迅速發(fā)展的今天，計(jì)算機(jī)與網(wǎng)絡(luò)刑偵技術(shù)也隨著犯罪環(huán)境變化而不斷發(fā)展，但是直至今日此行業(yè)暫時(shí)還沒有統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范，很難對(duì)數(shù)字證據(jù)的穩(wěn)定性和有效性進(jìn)行比對(duì)。另外，目前還沒有一家專業(yè)機(jī)構(gòu)對(duì)數(shù)字取證人員的資歷和水平進(jìn)行評(píng)測(cè)，也使得數(shù)字取證的權(quán)威性經(jīng)常受到質(zhì)疑。

本文，筆者對(duì)計(jì)算機(jī)與網(wǎng)絡(luò)刑偵技術(shù)的重要性和具體操作進(jìn)行了簡(jiǎn)單的分析和初步的理論構(gòu)想。希望在各行業(yè)專家的共同努力下，計(jì)算機(jī)與網(wǎng)絡(luò)刑偵技術(shù)能夠朝著專業(yè)化與自動(dòng)化的方向不斷發(fā)展。