網(wǎng)上非法販賣槍支彈藥案電子數(shù)據(jù)取證方法研究

馬賀男（中國刑警學(xué)院 遼寧 沈陽 110035）

網(wǎng)上非法販賣槍支彈藥案電子數(shù)據(jù)取證方法研究

馬賀男
（中國刑警學(xué)院 遼寧 沈陽 110035）

隨著互聯(lián)網(wǎng)的廣泛應(yīng)用，利用互聯(lián)網(wǎng)非法販賣槍支彈藥案件逐漸增多。而且我國的涉槍案件多與一些“惡、賭、毒”犯罪交織在一起，給社會治安帶來了嚴(yán)重的隱患。在分析網(wǎng)絡(luò)非法販賣槍支彈藥案件的證據(jù)要點基礎(chǔ)上，對網(wǎng)絡(luò)非法販賣槍支彈藥案件的一般電子數(shù)據(jù)取證方法進(jìn)行了總結(jié)和分析。

互聯(lián)網(wǎng) 非法販賣 槍支彈藥 特點 電子數(shù)據(jù)取證

隨著信息技術(shù)的飛速發(fā)展和廣泛運用，針對和利用計算機(jī)犯罪的案件越來越多，而非法販賣槍支、彈藥這一傳統(tǒng)的違法行為也依托網(wǎng)絡(luò)成為新型的犯罪手段，依靠網(wǎng)絡(luò)所具有的傳播范圍廣、花費時間少、所需條件容易滿足等特點，迅速在我國蔓延，造成了嚴(yán)重的社會危害。而在網(wǎng)上販賣槍支彈藥案件中，由于買賣雙方都是通過互聯(lián)網(wǎng)遠(yuǎn)程溝通完成交易，因此，公安機(jī)關(guān)在查處此類案件時，除要獲取涉案人口供、物證等傳統(tǒng)證據(jù)之外，還需特別注意涉案電子數(shù)據(jù)證據(jù)的采集與提取。而隨著刑訴法的實施，電子數(shù)據(jù)證據(jù)已成為法定證據(jù)類型之一，但國內(nèi)外相關(guān)文獻(xiàn)中對此類案件的電子數(shù)據(jù)取證方法研究并不多。因此，本文結(jié)合實際案例，在分析了非法販賣槍支彈藥案件的證據(jù)要點的基礎(chǔ)上，對此類案件的涉案計算機(jī)的電子數(shù)據(jù)取證步驟和方法予以分析和總結(jié)，希望能為進(jìn)一步提高此類案件的電子數(shù)據(jù)取證工作水平和效率提供一定的助力。

1 網(wǎng)上非法販賣槍支彈藥的概述

1.1 網(wǎng)上非法販賣槍支、彈藥案的特點

1．1．1 多為跨境犯罪

近年來，由于黑槍價格越來越高，販賣黑槍的暴利令許多人不顧風(fēng)險加入這個行列。通常，販槍人員從我國周邊國家物色槍支，價錢談妥之后，由當(dāng)?shù)氐馁u家安排人員，避開邊境口岸將貨送到我國境內(nèi)。由于挑夫步行跨境目標(biāo)小、風(fēng)險低，所以這是槍販子最常用的方法之一。

1．1．2 涉槍案件多與“惡、賭、毒”犯罪交織

根據(jù)江蘇省南京市檢察院的統(tǒng)計，在其近幾年辦理的110件涉槍案件里涉槍團(tuán)伙常與黑惡勢力犯罪交織，涉槍案件中有27起案件與“惡、賭、毒”犯罪有關(guān)。

1．1．3 一般不當(dāng)面交易

因為槍支的敏感性和販賣槍支的違法性，犯罪嫌疑人一般利用阿里巴巴的支付寶交易，在買家確認(rèn)收到槍支前，由支付寶替買賣雙方暫時保管貨款，等買家收到槍模后，再通過支付寶將錢支付，雙方一般從不當(dāng)面交易。

1．1．4 團(tuán)伙化趨勢明顯，組織嚴(yán)密，分工明確

團(tuán)伙犯罪是當(dāng)前非法制販槍支案件的一個突出特點。網(wǎng)絡(luò)非法制販槍支、彈藥的團(tuán)伙在網(wǎng)上有嚴(yán)密的組織紀(jì)律和管理體系，犯罪嫌疑人的職業(yè)化、專業(yè)化程度較高，團(tuán)伙成員之間也采用單線聯(lián)系，分工越來越細(xì)，有專人負(fù)責(zé)采購原材料、造槍、牽線、看貨、運輸、銷售等環(huán)節(jié)的犯罪活動。

1.2 網(wǎng)上非法販賣槍支彈藥犯罪的主要形式

1．2．1 依托購物網(wǎng)站，以暗語方式進(jìn)行非法販賣

犯罪嫌疑人在淘寶等購物網(wǎng)站上注冊網(wǎng)店，專門銷售槍支、彈藥、仿真槍、鉛彈等，利用阿里旺旺聯(lián)系，通過支付寶等方式付款的販賣形式。

1．2．2 架設(shè)專門的銷售網(wǎng)站進(jìn)行非法販賣

犯罪嫌疑人以其他商品的名義設(shè)立專門的銷售網(wǎng)站，然后采用在網(wǎng)上發(fā)布信息、手機(jī)聯(lián)系確認(rèn)、銀行轉(zhuǎn)賬確認(rèn)到款、物流快遞運送槍支的一系列系統(tǒng)的銷售方法。

1．2．3 利用 QQ群，在網(wǎng)上發(fā)布有關(guān)販賣槍支的信息并進(jìn)行聯(lián)絡(luò)溝通

犯罪嫌疑人一般建立一個QQ群或者藏匿于一些有購買可能的QQ群中（如，槍支愛好者QQ群），伺機(jī)尋找到有需要買槍的買家就立刻現(xiàn)身與買家聯(lián)系，確認(rèn)身份后即開始交易。

1．2．4 利用論壇或信息發(fā)布網(wǎng)站，在網(wǎng)上發(fā)布有關(guān)販賣槍支的信息

犯罪嫌疑人利用論壇，在網(wǎng)上發(fā)布有關(guān)販賣槍支的信息，從而尋求買家，實施販賣活動。

1．2．5 熟人介紹客源，網(wǎng)絡(luò)工具溝通議價

犯罪嫌疑人往往不掌握固定的客源，在網(wǎng)上也很難尋覓買家，這時有些犯罪嫌疑人就找到一些總在網(wǎng)絡(luò)中混跡的熟人，請他們來介紹客源，因其常年在網(wǎng)絡(luò)中混跡，所以對上網(wǎng)的人的種類比較了解，能為非法販賣槍支的賣家找到很好的渠道。等到買賣雙方達(dá)成協(xié)議后，買家與賣家再通過 QQ、MSN等網(wǎng)絡(luò)工具溝通議定價格。

2 網(wǎng)上非法販賣槍支彈藥案的電子數(shù)據(jù)證據(jù)取證要點

在網(wǎng)絡(luò)販賣槍支、彈藥案件中通常的交易模式是：買賣雙方主要是通過 QQ、MSN等通信方式聯(lián)絡(luò)對方，在達(dá)成雙方都滿意的價格后，通過貨幣交易平臺，例如支付寶或銀行賬戶完成貨幣交易，而買賣中的實際貨品—— 槍支、彈藥則被拆裝成零件或填寫成其他物品利用快遞或者物流等運輸手段，發(fā)到買家手中。在買家拿到了槍支、彈藥后，本次非法販賣槍支、彈藥的罪名才算成立。

而在網(wǎng)上非法販賣槍支彈藥過程中最重要的證據(jù)要點就是買賣雙方一定要達(dá)成真實的交易。所以，在針對此類案件進(jìn)行電子數(shù)據(jù)取證分析時，應(yīng)重點從以下方面提取證據(jù)。

2.1 犯罪嫌疑人使用的主機(jī)中的各類文檔信息

在網(wǎng)絡(luò)非法販賣槍支、彈藥的案件中嫌疑人使用的主機(jī)一般都會存有其非法販賣槍支的記錄，例如有關(guān)槍支買賣的文檔信息、賬目信息等，所以公安機(jī)關(guān)在抓獲犯罪嫌疑人后可以檢驗其使用過的主機(jī)，從中獲取證據(jù)。

2.2 網(wǎng)站的日志記錄

在此類案件中，有時犯罪嫌疑人是通過在網(wǎng)上發(fā)帖或自設(shè)網(wǎng)站的方式來尋找買家的。因此，分析發(fā)帖網(wǎng)站的日志記錄，可以幫助我們提取屬于嫌疑人的訪問日志，明確發(fā)布信息人的IP信息、注冊信息等。而通過分析販賣網(wǎng)站后臺的日志記錄，可以幫助我們查找到曾經(jīng)登錄該網(wǎng)站，購買槍支人員的登錄信息情況。

2.3 通信信息

網(wǎng)絡(luò)販賣槍支彈藥的案件犯罪嫌疑人在進(jìn)行交易的時候一般都會事先與買家達(dá)成交易價格，他們聯(lián)絡(luò)的方式一般都是QQ、MSN等聊天軟件，所以，對聊天記錄進(jìn)行檢驗也是證明犯罪事實的常見方法。

2.4 支付寶轉(zhuǎn)賬和銀行賬號信息

網(wǎng)絡(luò)非法販賣槍支彈藥的犯罪嫌疑人與買家達(dá)成合適的價格后一般都會通過銀行轉(zhuǎn)賬或是支付寶轉(zhuǎn)賬的方式進(jìn)行槍錢之間的交易。所以，對犯罪嫌疑人主機(jī)中此類轉(zhuǎn)賬信息和賬號信息的檢驗也是此類案件的一項檢驗工作。

2.5 物流信息

網(wǎng)絡(luò)非法販賣槍支彈藥的案件中，最后賣家一般都是把槍支彈藥拆分成零件，然后寫上一些不引人注意的名字（如水暖器件等），通過快遞公司把槍支零件送到買家手中。所以，檢驗賣家的物流送貨清單，以及清單編號和物流公司的交易記錄也是對于此類案件取證的一種新途徑。

2.6 網(wǎng)站源代碼信息

在網(wǎng)絡(luò)非法販賣槍支、彈藥案件中，公安機(jī)關(guān)可以檢驗犯罪嫌疑人用來販賣槍支的網(wǎng)站源代碼，分析其網(wǎng)站的IP地址、后臺數(shù)據(jù)庫信息（可能含有所販賣槍支、彈藥的種類、數(shù)量、性能等信息） 從而確定其具體的犯罪證據(jù)。

2.7 智能手機(jī)可能存有的涉案信息

在網(wǎng)上非法販賣槍支、彈藥案件中最主要的證據(jù)來源一般就是計算機(jī)內(nèi)所存留的涉案信息，但隨著智能手機(jī)的不斷普及，手機(jī)也成為此類案件中重要的即時通信 （如 QQ、微信和阿里旺旺等）、網(wǎng)絡(luò)轉(zhuǎn)賬信息的存儲介質(zhì)。因此，針對手機(jī)中這些可能存有的信息的提取對案件的偵辦也有著重要的現(xiàn)實意義。

3 網(wǎng)上非法販賣槍支、彈藥案件的電子數(shù)據(jù)取證的一般步驟和方法

下面就分別針對計算機(jī)和手機(jī)兩類介質(zhì)的取證步驟和方法予以介紹。

3.1 計算機(jī)磁盤內(nèi)信息的電子數(shù)據(jù)取證步驟與方法

雖然由于各計算機(jī)系統(tǒng)內(nèi)所安裝軟件和使用習(xí)慣有所不同，使具體的檢驗步驟也不完全相同，但一般對此類案件可以按照以下步驟和方法來完成。

3．1．1 磁盤文件信息初步瀏覽

在對磁盤做具體檢驗操作前，先對涉案計算機(jī)磁盤上的信息進(jìn)行初步的瀏覽以明確下一步具體的檢驗工作是十分必要的。在瀏覽信息時一般主要關(guān)注以下幾個內(nèi)容。

（1） 明確有無可能與案件相關(guān)的軟件，如網(wǎng)頁制作軟件及數(shù)據(jù)庫管理軟件。由于網(wǎng)上非法販賣槍支彈藥案件有時是自己創(chuàng)建網(wǎng)站進(jìn)行販賣活動，所以，在犯罪嫌疑人的計算機(jī)中有可能有一些有關(guān)網(wǎng)頁制作的工具軟件和用于后臺網(wǎng)站管理的數(shù)據(jù)庫軟件。因此，首先瀏覽明確一下機(jī)器中是否有這類的軟件，對我們進(jìn)一步檢驗工作是有指導(dǎo)意義的。

（2）明確涉案機(jī)器中所使用的即時通信工具類型及版本。通過初步檢查，可以明確犯罪嫌疑人上網(wǎng)時，慣于使用哪類（些）即時通信工具、通信工具所使用的賬號信息、聊天信息等。如QQ，我們可以在QQ的安裝路徑下找到曾經(jīng)于這臺機(jī)器使用過的QQ號碼信息，聊天過程中曾經(jīng)發(fā)送、接收的圖片信息，最后一次聊天的時間以及QQ的版本情況等，以明確具體聊天記錄的提取方法和可能使用的關(guān)鍵字信息。而像 MSN這類軟件我們甚至可以直接讀取出聊天記錄信息。

3．1．2 文檔信息重點查閱

在網(wǎng)上非法販賣槍支、彈藥案件中，犯罪嫌疑人經(jīng)常會以文檔的形式，記錄存儲一些涉案相關(guān)的信息，如犯罪嫌疑人的通信錄信息、賬目信息、銀行賬號、轉(zhuǎn)賬、快遞物流等信息。因此，對文檔文件的查閱是十分重要的。

（1） 正常的文檔文件。即未進(jìn)行加密、刪除、修改或是隱藏等處理的文檔，主要包括.txt、.doc、.xls、.rtf等文件。此類文件可利用取證軟件所提供的過濾功能，進(jìn)行分類查閱，整理分析。如圖1對犯罪嫌疑人的主機(jī)利用 Encase進(jìn)行分類查閱時，在.txt文檔中發(fā)現(xiàn)的交易記錄。

（2）處理過的文檔文件。即進(jìn)行加密或是“修改”隱藏處理過的文檔。在有些案件中，犯罪嫌疑人會通過對文件修改擴(kuò)展名的方式進(jìn)行處理，以達(dá)到隱藏文件的目的。此時，需要通過取證軟件的文件簽名信息來明確文件的原本屬性，從而進(jìn)一步查看分析。如圖2為通過Encase軟件的文件簽名功能，檢驗出的有利用修改文件擴(kuò)展名來隱藏掩飾文件的情況，該文件原本是一個.txt的文本文件。而對于加密文檔，我們則可以通過 X-Ways軟件“磁盤快照”功能中的“加密文件檢測”來幫助我們快速確定出應(yīng)該重點關(guān)注的這些加密文檔。如圖3所示，加密的文檔經(jīng)檢測后，其屬性信息會顯示為“e!”。

圖 1 對犯罪嫌疑人的主機(jī)進(jìn)行分類查閱，在.txt文檔中發(fā)現(xiàn)的交易記錄

圖2 利用Ecase軟件檢驗出的處理過文件擴(kuò)展名的文件

圖3 利用 X-Ways軟件檢驗出磁盤中的加密文件

（3） 刪除文件的恢復(fù)。有時犯罪嫌疑人為了掩蓋罪行，會將一些重要的文檔信息刪除，此時，我們需要利用Finaldata、Easyrecovery等這類的數(shù)據(jù)恢復(fù)軟件將已刪除的文檔予以恢復(fù)，從而獲得與案件相關(guān)的重要信息。如圖4是對犯罪嫌疑人的主機(jī)進(jìn)行數(shù)據(jù)恢復(fù)時發(fā)現(xiàn)的銀行交易記錄。

圖 4 犯罪嫌疑人與買家的銀行交易記錄

3．1．3 圖片文件查找分析

在網(wǎng)上非法販賣槍支彈藥案件中，犯罪嫌疑人一般是通過網(wǎng)絡(luò)交涉槍支的型號、價錢及外觀情況，所以，一般在涉案人員的機(jī)器內(nèi)可能存有與案件有關(guān)的槍支圖片信息，并從中獲得涉案槍支的型號、價格、工藝情況等信息，如圖5是檢驗出的槍支販賣信息及價格。

3．1．4 整理歸納、深入挖掘，明確查找的重點

通過前面的查閱和瀏覽后，我們應(yīng)該把所得的信息進(jìn)一步進(jìn)行整理歸納，以期為后續(xù)的檢驗工作整理出一個明確的思路和檢驗方向。如在某網(wǎng)上販賣槍支彈藥案的鑒定中，通過瀏覽文件和查閱文檔后獲得了QQ號碼、銀行賬戶信息、賬目信息等相關(guān)內(nèi)容，對這些信息進(jìn)行歸納整理，可以為后續(xù)的檢驗工作明確查找信息的重點和關(guān)鍵字的設(shè)置。

圖5 從犯罪嫌疑人主機(jī)上檢驗出的部分槍支販賣信息及價格

3．1．5 結(jié)合案情和檢驗要求深入分析，查找更多相關(guān)證據(jù)

（1） 對于自己架設(shè)網(wǎng)站販賣槍支的犯罪嫌疑人計算機(jī)。我們可以分析其網(wǎng)站后臺數(shù)據(jù)庫信息，以明確該網(wǎng)站的實際交易情況。如涉案金額、涉案人員、銀行賬號、物流信息等。如圖6為檢驗出的犯罪嫌疑人機(jī)器后臺數(shù)據(jù)中有關(guān)槍支買賣情況的部分?jǐn)?shù)據(jù)庫信息。

圖6 數(shù)據(jù)庫中有關(guān)槍支買賣的部分信息

如圖7是檢驗出的犯罪嫌疑人機(jī)器后臺數(shù)據(jù)中有關(guān)物流快遞的部分?jǐn)?shù)據(jù)庫信息。

圖7 數(shù)據(jù)庫中有關(guān)物流快遞等方面的部分信息

（2） 對采用即時聊天工具作為作案時主要聯(lián)絡(luò)工具的案件。一方面要對即時通信聊天記錄的信息進(jìn)行分析，發(fā)現(xiàn)犯罪事實，得到案件線索。同時，還應(yīng)對該即時通信軟件進(jìn)行分析或試驗，利用軟件的自身功能查找到犯罪嫌疑人的注冊信息，從而幫助我們“了解”犯罪嫌疑人的特征，為檢驗提供指引。

另外，由于網(wǎng)絡(luò)即時通信工具種類繁多，其中跟案件息息相關(guān)的信息，如聊天記錄所存儲的位置、格式、加密方式均不相同，為了能及時有效的獲得信息，如果有條件的話我們可以采用專業(yè)的取證軟件來獲取。但對于目前使用較多的QQ，由于其在2008之后的版本通常的軟件的提取效果都不是很好，此時我們可以試試?yán)?Encase設(shè)置欲調(diào)查人 QQ的昵稱作為關(guān)鍵字，來查找尚存于交換分區(qū)中的部分聊天記錄，如圖8是某案中查找到的QQ聊天記錄。

圖 8 利用 Encase獲得的聊天記錄信息

3.2 手機(jī)內(nèi)信息的電子數(shù)據(jù)取證

由于目前此類案件中針對手機(jī)的電子數(shù)據(jù)取證，多是對即時通信、短信和文檔這些常規(guī)信息的提取，因此，我們通常可以直接使用取證工具來完成信息的提取，如圖9所示，即是利用DC4500工具提取到的手機(jī)內(nèi)的涉案 QQ信息，在此不加贅述。

圖9 利用DC4500提取到的QQ聊天記錄信息

4 總結(jié)

通常情況下，針對網(wǎng)上非法販賣槍支、彈藥案件的檢驗工作，主要是以獲得證明其買賣雙方真實的交易信息內(nèi)容為目的。因此，主要從買賣雙方通過貨幣交易平臺進(jìn)行交易的記錄、轉(zhuǎn)賬記錄、買賣的賬目信息、即時通信記錄中的議價信息，以及快遞的運單及送達(dá)記錄等幾個方面來進(jìn)行電子數(shù)據(jù)取證工作，本文也正是從這幾個方面來介紹了此類案件的檢驗方法。

[1]羅文華．偽造、變造證件或印章類案件電子數(shù)據(jù)取證方法研究[J]．北京：警察技術(shù)，2011，(3)：41-44．

[2]楊青．計算機(jī)犯罪的偵查取證[J]．濟(jì)南：山東公安?？茖W(xué)校學(xué)報[J]，2003，(6)：35-37．

[3]湯艷君．電子物證檢驗與分析[M]．北京：清華大學(xué)出版社[M]．2014，(2)：53-67．

（責(zé)任編輯：孟凡騫）

TP319

A

2095-7939（2015）03-0042-04

2015-04-09

馬賀男 （1979-），女，遼寧營口人，中國刑警學(xué)院網(wǎng)絡(luò)犯罪偵查系講師，碩士，主要從事電子數(shù)據(jù)取證研究。