單位犯罪現(xiàn)場中以計算機(jī)為中心的線索挖掘

李娜（中國刑警學(xué)院 遼寧 沈陽 110035）

單位犯罪現(xiàn)場中以計算機(jī)為中心的線索挖掘

李娜
（中國刑警學(xué)院 遼寧 沈陽 110035）

單位犯罪現(xiàn)場較為復(fù)雜，公安機(jī)關(guān)在具體辦案實(shí)踐過程中碰到很多難題，因此亟需對在單位犯罪現(xiàn)場進(jìn)行以計算機(jī)為中心的線索挖掘搜集進(jìn)行研究。在分析單位犯罪現(xiàn)場特點(diǎn)的基礎(chǔ)上，結(jié)合實(shí)踐案例，介紹了單位犯罪現(xiàn)場中以計算機(jī)為中心的線索挖掘規(guī)則和方法。

單位犯罪現(xiàn)場 計算機(jī)取證 線索挖掘

1 引言

在涉計算機(jī)的犯罪數(shù)量越來越多的背景下，在犯罪現(xiàn)場需要對計算機(jī)進(jìn)行線索挖掘的需求也變得越來越多，有時，為了成功辦理犯罪案件，從計算機(jī)中挖掘線索是一個必要環(huán)節(jié)。在很多犯罪現(xiàn)場，通過對計算機(jī)中線索進(jìn)行挖掘，可以幫助偵查員成功地偵破犯罪案件。由于計算機(jī)線索的脆弱性和易失性等特點(diǎn)，在犯罪現(xiàn)場挖掘計算機(jī)中線索的效果會很明顯。在現(xiàn)場完成線索挖掘的第一步就是勘查現(xiàn)場的計算機(jī)，這將決定著后續(xù)偵查工作的成功與否。在挖掘計算機(jī)中線索的同時不可忽視傳統(tǒng)線索的挖掘，尤其不可忽視計算機(jī)中線索與傳統(tǒng)線索的相互關(guān)聯(lián)的挖掘。在單位犯罪現(xiàn)場，情況更為復(fù)雜，因此尤其要重視各種線索的關(guān)聯(lián)。在單位犯罪現(xiàn)場進(jìn)行以計算機(jī)為中心的線索挖掘的原因主要有兩個：一是計算機(jī)中的數(shù)據(jù)非常脆弱，而且容易消失，有時是很難再恢復(fù)，甚至是不可能恢復(fù)的，所以必須要在犯罪現(xiàn)場挖掘計算機(jī)中線索；二是在單位犯罪現(xiàn)場網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)復(fù)雜，如果不在現(xiàn)場進(jìn)行勘查，復(fù)雜的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)很難再重建。所以，必須要在單位犯罪涉及計算機(jī)的犯罪現(xiàn)場挖掘計算機(jī)中的線索，并且要運(yùn)用恰當(dāng)?shù)?、合適的方法與技巧，以達(dá)到成功辦理此類案件的目的。

2 單位犯罪現(xiàn)場概述

2.1 單位犯罪現(xiàn)場概念

犯罪現(xiàn)場的概念主要有以下 3種：一是從法學(xué)理論角度出發(fā)，犯罪行為依次在犯罪預(yù)備、犯罪實(shí)施和犯罪終止三個階段進(jìn)行，犯罪現(xiàn)場則認(rèn)定為在這些階段里發(fā)生和存在犯罪行為活動的空間場所；二是從痕跡學(xué)的角度則認(rèn)為，犯罪現(xiàn)場就是實(shí)施犯罪行為和遺留有與犯罪有關(guān)的痕跡、物證的場所，不能僅僅理解為發(fā)生或?qū)嵤┓缸锏哪莻€地點(diǎn)本身，而應(yīng)理解為發(fā)生或?qū)嵤┓缸锏牡攸c(diǎn)和可能留有痕跡、物證的周圍關(guān)聯(lián)場所；三是從案件要素結(jié)構(gòu)來看，犯罪現(xiàn)場是指與犯罪行為有關(guān)的人、物、時、空的存在及其內(nèi)在聯(lián)系的綜 合 。[1]

歐煥章教授主編的 《現(xiàn)場勘查學(xué)》 認(rèn)為犯罪現(xiàn)場是指犯罪分子進(jìn)行犯罪的地點(diǎn)和留有犯罪痕跡物證的有關(guān)場所。計算機(jī)犯罪現(xiàn)場是除了具備上述特點(diǎn)外,還有其自身的特殊性。通常，計算機(jī)犯罪現(xiàn)場總是與計算機(jī)有關(guān)，計算機(jī)的高技術(shù)含量使犯罪信息可能隱藏在各個環(huán)節(jié)或處于不同狀態(tài)。[2]計算機(jī)犯罪現(xiàn)場是指犯罪嫌疑人實(shí)施犯罪活動時所操控的或存在的計算機(jī)系統(tǒng)與相關(guān)和配套的附屬設(shè)備、設(shè)施、網(wǎng)絡(luò)傳輸節(jié)點(diǎn)等的有關(guān)場所。本文中單位犯罪現(xiàn)場是指犯罪分子實(shí)施犯罪活動的單位地點(diǎn)和留有犯罪痕跡物證的有關(guān)單位場所。由于信息化的發(fā)展，在單位犯罪現(xiàn)場必定有計算機(jī)及其相關(guān)的和配套的附屬設(shè)備、設(shè)施，本文重點(diǎn)對計算機(jī)、計算機(jī)網(wǎng)絡(luò)以及傳統(tǒng)現(xiàn)場中所留有的線索進(jìn)行挖掘，并進(jìn)行互相關(guān)聯(lián)，從而達(dá)到偵破案件的結(jié)果。

2.2 單位犯罪現(xiàn)場特點(diǎn)

2．2．1 線索分布廣

在單位犯罪現(xiàn)場中，因?yàn)榭臻g大，設(shè)備多，因此線索分布區(qū)域大，可能性多，難于挖掘。計算機(jī)與計算機(jī)網(wǎng)絡(luò)設(shè)備中的線索具有存在形式多樣、載體豐富、位置隱藏、結(jié)構(gòu)復(fù)雜、易失等特點(diǎn)，同時，線索存在位置多樣，既可以存在于硬盤、U盤、光盤、SD卡、SIM卡等可見設(shè)備中，又可以存在于內(nèi)存、網(wǎng)絡(luò)傳輸數(shù)據(jù)流、無線傳輸數(shù)據(jù)流等不可見的媒介中，還可以存儲在任何的網(wǎng)絡(luò)節(jié)點(diǎn)中。

2．2．2 設(shè)備隱蔽

單位犯罪現(xiàn)場中的設(shè)備可以隱藏在單位現(xiàn)場的任何一個區(qū)域、房間甚至是角落，在線索實(shí)踐時，挖掘出有價值的設(shè)備是最耗費(fèi)精力和時間的環(huán)節(jié)。

2．2．3 結(jié)構(gòu)復(fù)雜

單位犯罪現(xiàn)場中，無論是傳統(tǒng)設(shè)備還是計算機(jī)拓?fù)浣Y(jié)構(gòu)都相當(dāng)復(fù)雜，而在單位犯罪現(xiàn)場中，計算機(jī)的拓?fù)浣Y(jié)構(gòu)往往會對案件的偵破起著關(guān)鍵性的作用。

2．2．4 人員多

單位犯罪現(xiàn)場中，人員眾多，關(guān)系復(fù)雜，因此在單位犯罪現(xiàn)場中要梳理人員之間的關(guān)系與控制案件相關(guān)人員也會影響案件的偵破。

3 單位犯罪現(xiàn)場以計算機(jī)為中心的線索挖掘

在單位犯罪現(xiàn)場，進(jìn)行線索挖掘時，有 3個方面的工作要做：第一個方面是要挖掘計算機(jī)中線索，這里的線索往往是最直接的線索；第二個方面是要挖掘計算機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中的線索，因?yàn)楝F(xiàn)在幾乎沒有不聯(lián)網(wǎng)的計算機(jī)，尤其是在單位現(xiàn)場，計算機(jī)都以某種形式與互聯(lián)網(wǎng)或局域網(wǎng)相連，因此網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中往往包含有與案件有關(guān)的線索；第三個方面是要挖掘傳統(tǒng)的線索，無論辦理什么樣的犯罪案件，它本質(zhì)都是一起犯罪案件，既然是犯罪案件就離不開傳統(tǒng)線索的挖掘。

3.1 計算機(jī)中線索挖掘

在涉及計算機(jī)的單位犯罪現(xiàn)場，應(yīng)該對計算機(jī)實(shí)施勘驗(yàn)，以挖掘和固定現(xiàn)場存留的與犯罪有關(guān)電子證據(jù)與線索。計算機(jī)中易失線索挖掘是計算機(jī)犯罪現(xiàn)場勘驗(yàn)檢查的重要組成部分。

在挖掘計算機(jī)中線索時要圍繞著計算機(jī)線索的特點(diǎn)和案件的性質(zhì)來確定線索的搜集內(nèi)容或者方向。根據(jù)計算機(jī)線索隱蔽性的特點(diǎn)，首先要挖掘計算機(jī)中隱藏與加密的數(shù)據(jù)；根據(jù)案件的性質(zhì)，還要挖掘與案件直接或間接相關(guān)的線索；最后，需要挖掘與計算機(jī)相關(guān)的其他設(shè)備中的線索，并對計算機(jī)進(jìn)行扣押。這也是單位犯罪現(xiàn)場中以計算機(jī)為中心的線索挖掘的關(guān)鍵內(nèi)容。

在挖掘計算機(jī)中線索時，有3類數(shù)據(jù)必須要挖掘，一是隱藏與加密的數(shù)據(jù)；二是單位計算機(jī)系統(tǒng)中的相關(guān)數(shù)據(jù)庫；三是能夠指向犯罪證據(jù)的特定線索。

3．1．1 計算機(jī)中隱藏與加密線索挖掘

如果單位犯罪現(xiàn)場中的計算機(jī)正在運(yùn)行，不要貿(mào)然關(guān)機(jī)，而應(yīng)該立即對此類數(shù)據(jù)進(jìn)行挖掘，因?yàn)橛幸恍┱谶\(yùn)行的隱藏程序、軟件在關(guān)機(jī)后，相關(guān)信息亦會丟失，無法恢復(fù)。例如，進(jìn)程信息、正在編輯的未保存的文檔、正在瀏覽的網(wǎng)頁、網(wǎng)絡(luò)信息等。

有一些程序即使正在運(yùn)行也無法從電腦屏幕上判斷出來，不要說后臺程序，即使是應(yīng)用程序也很難通過電腦屏幕上進(jìn)行判斷，但是可以通過進(jìn)程程序判斷出來有哪些程序在運(yùn)行，從而挖掘出隱藏的線索。以QQ為例，默認(rèn)狀態(tài)下，QQ程序在運(yùn)行時，其圖標(biāo)都是顯示在任務(wù)欄的，而經(jīng)過設(shè)置之后，QQ圖標(biāo)卻可以消失，令偵查員無法判斷其是否在運(yùn)行。如圖1所示，任務(wù)欄并沒有顯示QQ圖標(biāo)，這會給偵查員以錯覺，以為沒有QQ程序在運(yùn)行，而通過調(diào)用進(jìn)程程序卻可以判斷出“QQ.exe”程序是在運(yùn)行的，也就是說這臺計算機(jī)中的QQ程序正在運(yùn)行，只不過經(jīng)過設(shè)置后，QQ圖標(biāo)被隱藏了，這種設(shè)置在QQ程序中的“系統(tǒng)設(shè)置”中即可完成，如圖2所示。

圖 1 任務(wù)管理器

有些軟件，例如網(wǎng)絡(luò)賭博的客戶端，金融管理軟件等都是有密碼保護(hù)的。如果在犯罪現(xiàn)場，發(fā)現(xiàn)了此類軟件正在運(yùn)行，那么必須立刻進(jìn)行線索挖掘和證據(jù)固定，如果關(guān)機(jī)，有可能將再也無法獲得密碼，導(dǎo)致無法再獲得此類線索和證據(jù)。而越是有密碼保護(hù)的軟件往往越是存儲著關(guān)鍵的線索和證據(jù)。例如，網(wǎng)絡(luò)賭博案件中，有一些代理通過網(wǎng)頁實(shí)施犯罪，有些代理通過客戶端程序?qū)嵤┓缸铮徽撃姆N情況，他們的賬戶都是有密碼保護(hù)的，如果在犯罪現(xiàn)場發(fā)現(xiàn)了此類程序正在運(yùn)行，必須立即挖掘或固定下相關(guān)證據(jù)。同時，對于網(wǎng)頁中的星號密碼，也要及時獲取，以進(jìn)行密碼關(guān)聯(lián)與試探。

圖 2 QQ即使通訊軟件的“系統(tǒng)設(shè)置”窗口

3．1．2 數(shù)據(jù)庫線索挖掘

單位為了完成特定任務(wù)、進(jìn)行人員管理或者財務(wù)管理通常會采用各種數(shù)據(jù)庫的形式來實(shí)現(xiàn)，因?yàn)樵趩挝环缸铿F(xiàn)場對計算機(jī)相關(guān)線索進(jìn)行收集時，數(shù)據(jù)庫線索是重要的組成部分。常見數(shù)據(jù)庫系統(tǒng)有DB2 （IBM）、ORACLE、INFORMIX、Sybase、SQL Server、Postgre SQL、MySQL、Access、Foxpro等，有的數(shù)據(jù)庫是單機(jī)版，有的數(shù)據(jù)庫是網(wǎng)絡(luò)版。在單位犯罪現(xiàn)場，對不同的數(shù)據(jù)庫的線索挖掘的側(cè)重點(diǎn)也不同。

在筆者辦理的一起KTV販賣假酒案中，在計算機(jī)中發(fā)現(xiàn)了名為“陽光KTV管理系統(tǒng)”的管理軟件，如圖 3所示。

圖3 陽光KTV管理系統(tǒng)

此外，在計算機(jī)中還發(fā)現(xiàn)了 Sybase軟件，如圖 4所示。這就意味著，這個“陽光 KTV管理系統(tǒng)”必須要訪問某個服務(wù)器來完成對KTV的管理工作。

偵查員接下來需要挖掘的線索是這個管理系統(tǒng)訪問的服務(wù)器的 IP地址是什么，從而進(jìn)一步確定服務(wù)器的物理位置。偵查員圍繞著Sybase檢查計算機(jī)，查找Sybase相關(guān)的文件，如圖5所示。最后，在這臺計算機(jī)中挖掘出了服務(wù)器的 IP地址，IP地址是129.134.4.200，如圖6所示，這個IP地址所在的服務(wù)器就是“陽光KTV管理系統(tǒng)”所訪問的服務(wù)器，從而確定了重要服務(wù)器的IP地址。

圖 4 Sybase for W indows NT軟件

圖 5 查找 Sybase相關(guān)文件

圖 6 服務(wù)器的IP地址

3．1．3 挖掘案件相關(guān)線索

挖掘出與案件相關(guān)的線索是找到證據(jù)的關(guān)鍵，也是辦理案件的關(guān)鍵。在挖掘相關(guān)線索之前，必須要對犯罪類型有所了解，不同類型的案件，挖掘計算機(jī)中線索的側(cè)重點(diǎn)也不同。如果是追查在逃人員，在對其居所內(nèi)對其計算機(jī)進(jìn)行線索挖掘的側(cè)重點(diǎn)就是犯罪嫌疑人可能藏匿的地點(diǎn)、逃跑的路線等。例如，馬加爵殺人案，民警在對馬加爵的計算機(jī)進(jìn)行勘查時，發(fā)現(xiàn)馬加爵在潛逃之前瀏覽了大量關(guān)于海南省一個小漁村的相關(guān)網(wǎng)頁，包括這個漁村的位置、居民的受教育程度等情況。據(jù)此，偵查員判斷這個地點(diǎn)很有可能是馬加爵的藏匿地點(diǎn)。

3.2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)線索挖掘

現(xiàn)在幾乎所有的計算機(jī)都以某種形式與網(wǎng)絡(luò)相連，不論是互聯(lián)網(wǎng)還是局域網(wǎng)，單位中假設(shè)各種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)實(shí)現(xiàn)對計算機(jī)的管理更是常見，在網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)中很可能包含著與犯罪案件相關(guān)的線索，因此在挖掘單位犯罪現(xiàn)場線索時，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)線索不容忽視。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖 7所示，常見的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)有星型結(jié)構(gòu)、環(huán)型結(jié)構(gòu)、總線型結(jié)構(gòu)、樹型結(jié)構(gòu)、網(wǎng)狀結(jié)構(gòu)、蜂窩結(jié)構(gòu)、混合型結(jié)構(gòu)、無線電通信。在單位犯罪現(xiàn)場，對不同的數(shù)據(jù)庫的線索挖掘的側(cè)重點(diǎn)也不同。

以網(wǎng)絡(luò)盜竊案件為例，偵查員除了要挖掘涉案計算機(jī)中的線索，還應(yīng)該要挖掘相關(guān)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中的線索。犯罪嫌疑人為了要達(dá)到網(wǎng)絡(luò)盜竊的目的，勢必會在受害人的計算機(jī)中植入某種惡意程序或木馬程序，木馬程序可能植入在某個交換機(jī)中，也可能植入在主交換機(jī)匯總中，如圖7所示。如果在受害人的計算機(jī)中沒有發(fā)現(xiàn)此類程序，那么就很可能在其局域網(wǎng)中的某臺設(shè)備中植入了類似的程序，通過局域網(wǎng)中這臺設(shè)備中的惡意程序來完成盜竊犯罪。例如，在某超市的盜竊案件中，犯罪嫌疑人將惡意程序植入在交換機(jī)中，通過遠(yuǎn)程登錄修改服務(wù)器中的數(shù)據(jù)，實(shí)現(xiàn)網(wǎng)絡(luò)盜竊犯罪。

圖7 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

3.3 傳統(tǒng)線索挖掘

無論在什么樣的犯罪現(xiàn)場，無論涉及不涉及計算機(jī)，傳統(tǒng)的線索都要挖掘與收集，例如足跡、指紋、視頻監(jiān)控等。另外，在涉及計算機(jī)的犯罪現(xiàn)場往往需要扣押計算機(jī)，在拔掉所有插頭之前，務(wù)必對連線和插口進(jìn)行對照標(biāo)注，如圖8所示，以備日后重建現(xiàn)場。

在之前的KTV販賣假酒案件中，偵查人員在查找存有財物軟件的計算機(jī)時進(jìn)展很慢，因?yàn)閳鏊?、結(jié)構(gòu)復(fù)雜，難于發(fā)現(xiàn)。但是在查看監(jiān)控錄像時，發(fā)現(xiàn)有個房間中有保險箱和點(diǎn)鈔機(jī)，并且偵查人員從未進(jìn)入此房間，如圖9所示。初步判斷是財務(wù)室，并最終在這個房間中發(fā)現(xiàn)了財物軟件，從而固定下犯罪證據(jù)。

圖8 連線和插口的標(biāo)注

圖9 監(jiān)控錄像中的財務(wù)室

4 結(jié)論

在單位犯罪現(xiàn)場中進(jìn)行線索挖掘時，偵查員應(yīng)該遵循正確的和恰當(dāng)?shù)脑瓌t、方法。因?yàn)楝F(xiàn)在絕大多數(shù)的犯罪都涉及計算機(jī)，因此挖掘計算機(jī)相關(guān)的線索非常重要，有時甚至起著決定性的作用。此外，單位犯罪現(xiàn)場中往往涉及復(fù)雜的拓?fù)浣Y(jié)構(gòu)。計算機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中也容易隱藏著與案件有關(guān)的線索，因此在挖掘線索時，不可忽視計算機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。當(dāng)然，不管是什么犯罪，其本質(zhì)都是犯罪，因此傳統(tǒng)線索挖掘也必須要做。將三者結(jié)合起來，完成在單位犯罪現(xiàn)場中以計算機(jī)為中心的線索挖掘工作才能成功地辦理相關(guān)犯罪案件。

[1]李喆 ，馬?。嬎銠C(jī)犯罪現(xiàn)場及現(xiàn)場電子數(shù)據(jù)處理研究[J]．信息網(wǎng)絡(luò)安全，2012，(5)：49．

[2]羅文華，胡欣，吳連鋒．計算機(jī)犯罪現(xiàn)場的認(rèn)定[J]．警察技術(shù)，2007，（3）：38．

（責(zé)任編輯：孟凡騫）

DF793.5

A

2095-7939(2015)03-0038-04

2015-03-10

李娜（1978-），女，山東文登人，中國刑警學(xué)院網(wǎng)絡(luò)犯罪偵查系講師，碩士，主要從事網(wǎng)絡(luò)犯罪偵查、網(wǎng)絡(luò)安全管理研究。