基于增強(qiáng)現(xiàn)實技術(shù)的網(wǎng)絡(luò)犯罪現(xiàn)場勘查實訓(xùn)設(shè)計

◆武鴻浩 金士禮

（1.北京警察學(xué)院北京 102202；2.北京市公安局北京 100029）

近年來隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)滲透到人們生活的各行各業(yè)。與此同時網(wǎng)絡(luò)犯罪也愈演愈烈。根據(jù)2017年1月12日中央政法工作會議披露的數(shù)據(jù)我國每年網(wǎng)絡(luò)犯罪數(shù)量增長 30%，網(wǎng)絡(luò)犯罪占犯罪總數(shù)的三分之一。幾乎所有的犯罪形式都已觸網(wǎng)，各種犯罪中電子證據(jù)也起了越來越重要的作用。

與此同時我國公安院校網(wǎng)絡(luò)安全執(zhí)法專業(yè)大多開設(shè)了網(wǎng)絡(luò)犯罪偵查課程。網(wǎng)絡(luò)犯罪偵查課程是網(wǎng)絡(luò)安全執(zhí)法專業(yè)的主干課程，網(wǎng)絡(luò)犯罪偵查技能也是網(wǎng)絡(luò)安全執(zhí)法專業(yè)的核心技能之一。網(wǎng)絡(luò)犯罪偵查的技能包括：網(wǎng)絡(luò)犯罪現(xiàn)場勘查，電子數(shù)據(jù)檢驗，網(wǎng)絡(luò)犯罪線索分析等能力[1]。網(wǎng)絡(luò)犯罪偵查工作，實操性強(qiáng)，通過現(xiàn)實場景的訓(xùn)練有利于學(xué)生深入的掌握網(wǎng)絡(luò)犯罪偵查工作所需的技能，然而網(wǎng)絡(luò)犯罪偵查形勢日新月異，搭建實踐教學(xué)的周期非常長，無法滿足實踐教學(xué)要求。

目前虛擬現(xiàn)實技術(shù)已經(jīng)在教育領(lǐng)域得到了發(fā)展。這種教育應(yīng)用具有非常強(qiáng)的直觀性，能夠使學(xué)生更加專注，同時能夠調(diào)動學(xué)生的多種感官。虛擬現(xiàn)實技術(shù)在近年來得到了快速發(fā)展，虛擬現(xiàn)實技術(shù)可以給用戶更加真實的體驗，使用戶有置身其中的感覺。實訓(xùn)教學(xué)近年來越來越受到重視，正需要這樣的技術(shù)解決實訓(xùn)中的場地受限的問題。技術(shù)具有三個特性，分別是沉浸性，交互性和構(gòu)想性。設(shè)計者不僅可以使用虛擬現(xiàn)實技術(shù)模擬現(xiàn)實世界中的場景還可以根據(jù)想象創(chuàng)造現(xiàn)實世界中不存在的場景。

網(wǎng)絡(luò)犯罪現(xiàn)場勘查，涉及大量電子設(shè)備的勘查，因此設(shè)計虛擬現(xiàn)實場景的時候需要考慮虛擬場景和電子設(shè)備內(nèi)部現(xiàn)實場景的融合，而近年來出現(xiàn)的增強(qiáng)現(xiàn)實技術(shù)能夠?qū)崿F(xiàn)虛實結(jié)合。因此本文嘗試將增強(qiáng)現(xiàn)實技術(shù)引入到網(wǎng)絡(luò)犯罪現(xiàn)場勘查的教學(xué)工作中。本文首先分析了增強(qiáng)現(xiàn)實技術(shù)在實訓(xùn)教學(xué)中的應(yīng)用方法，梳理了網(wǎng)絡(luò)犯罪現(xiàn)場勘查的知識點，最后結(jié)合增強(qiáng)現(xiàn)實技術(shù)提出了一種新的網(wǎng)絡(luò)犯罪現(xiàn)場勘查實訓(xùn)方案。

1 增強(qiáng)現(xiàn)實技術(shù)在實訓(xùn)教學(xué)工作中的應(yīng)用

當(dāng)前實訓(xùn)教學(xué)在高等教學(xué)中得到了越來越多的重視，實訓(xùn)教學(xué)可以讓學(xué)生在真實環(huán)境中訓(xùn)練技能，提高掌握知識的效率[2]。然而場地、資金、環(huán)境的制約，許多實訓(xùn)科目難以開展。

增強(qiáng)現(xiàn)實（Augmented Reality，簡稱AR），通過對現(xiàn)實場景拍攝和測繪實現(xiàn)虛擬場景和現(xiàn)實場景的疊加，并和用戶實現(xiàn)互動[3]。由于增強(qiáng)現(xiàn)實技術(shù)能夠?qū)F(xiàn)實場景和虛擬場景有機(jī)結(jié)合在一起，因此可以充分對兩種場景進(jìn)行優(yōu)勢互補(bǔ)，如虛擬場景可以以較低的成本模擬昂貴的科學(xué)儀器，并可以實現(xiàn)任意數(shù)量的布置，同時也可以將虛擬場景中難以模擬的觸覺和味覺信息加入進(jìn)去，實現(xiàn)對任意場景的模擬。同時增強(qiáng)現(xiàn)實技術(shù)也實現(xiàn)了人際交互和小組協(xié)同，適合實訓(xùn)教學(xué)工作的開展。

目前國內(nèi)包括清華大學(xué)在內(nèi)以后多家高校采用增強(qiáng)現(xiàn)實技術(shù)開展物理化學(xué)等實訓(xùn)課程的教學(xué)，極大降低了實訓(xùn)課程的成本。目前將虛擬現(xiàn)實技術(shù)應(yīng)用于實訓(xùn)教學(xué)最廣泛是醫(yī)學(xué)領(lǐng)域，虛擬現(xiàn)實技術(shù)可以極大降低樣本購買的成本，美國舊愛州大學(xué)圣地亞哥分校建立了虛擬醫(yī)學(xué)中心開展精神和心理疾病的研究工作。同時VR技術(shù)被用于解剖課程的教學(xué)工作中。在國內(nèi)虛擬現(xiàn)實技術(shù)也被用于法醫(yī)專業(yè)的解剖教學(xué)工作中，上海六院通過虛擬現(xiàn)實技術(shù)開展骨科教學(xué)工作[4]。

在公安院校的實訓(xùn)教學(xué)工作中，已有多家院校提出了建設(shè)虛擬實訓(xùn)教學(xué)場所的規(guī)劃[5]，從已公開發(fā)表文獻(xiàn)看，虛擬場景包括了火災(zāi)[6]，刑事犯罪現(xiàn)場，毒化品的檢查等[7]。

2 網(wǎng)絡(luò)犯罪現(xiàn)場勘查實踐教學(xué)內(nèi)容分析

網(wǎng)絡(luò)犯罪現(xiàn)場勘查，是對網(wǎng)絡(luò)犯罪現(xiàn)場存在的犯罪證據(jù)進(jìn)行搜索的過程，是發(fā)現(xiàn)犯罪線索，產(chǎn)生偵查思路的重要環(huán)節(jié)。決定了整個偵查過程能否順利開展，甚至是能否破案[8]。

網(wǎng)絡(luò)犯罪現(xiàn)場勘查脫胎于傳統(tǒng)刑事案件的現(xiàn)場勘查，既包括了對傳統(tǒng)物證的搜集，同時也有大量的工作需要在電子設(shè)備中進(jìn)行檢索。同時電子證據(jù)具有易失性，操作不慎將導(dǎo)致證據(jù)的丟失。相對傳統(tǒng)證據(jù)，電子證據(jù)由于以電子數(shù)據(jù)的形式存儲的同一性認(rèn)證難度更大，需要通過拍照、錄像、截屏等形式附證。2019年2月1日，公安部出臺了《電子物證勘查規(guī)定》對網(wǎng)絡(luò)犯罪現(xiàn)場勘查的規(guī)范做了詳細(xì)規(guī)定，根據(jù)該規(guī)定網(wǎng)絡(luò)犯罪現(xiàn)場勘查技術(shù)的能力點可以歸納如下。

（1）保護(hù)現(xiàn)場的能力?，F(xiàn)場勘查人員到達(dá)現(xiàn)場之后要做的第一個工作就是保護(hù)現(xiàn)場。保護(hù)現(xiàn)場的目的在于防止人員和證物受到損害。主要工作包括了：隔離無關(guān)人員，拉警戒帶，保護(hù)電源和網(wǎng)絡(luò)節(jié)點設(shè)備，如路由器、交換機(jī)等。需要學(xué)生能夠根據(jù)給定的虛擬場景畫出現(xiàn)場的網(wǎng)絡(luò)拓?fù)?，找出重要的網(wǎng)絡(luò)節(jié)點和電力供應(yīng)設(shè)備。

（2）搜集證據(jù)的能力。網(wǎng)絡(luò)犯罪包含大量的數(shù)字線索和證據(jù)，其存儲介質(zhì)具有多樣性的特點，并且近年來隨著硬件技術(shù)的發(fā)展，數(shù)據(jù)載體出現(xiàn)微小化、異形化的特點，因此犯罪現(xiàn)場勘查的一項重要工作就是完整的查找現(xiàn)場存在的所有電子設(shè)備，尤其是小型電子設(shè)備如優(yōu)盤、SD卡等。

（3）收集電子證據(jù)的能力。在進(jìn)行現(xiàn)場勘查過程中拍照、錄像、截屏、磁盤復(fù)制等。需要現(xiàn)場提取線索證據(jù)的情況包括：無法扣押原始證據(jù)、證據(jù)屬于易失證據(jù)、案件緊急、證據(jù)存于服務(wù)器設(shè)備（因為會導(dǎo)致重要信息系統(tǒng)停止服務(wù)，如銀行系統(tǒng)的服務(wù)器），有系統(tǒng)密碼導(dǎo)致重新開機(jī)后無法獲取數(shù)據(jù)等。為了最大限度收集證據(jù)，因此對于處于開機(jī)狀態(tài)的計算機(jī)首先要收集證據(jù)再關(guān)機(jī)，對于處于關(guān)機(jī)狀態(tài)的計算機(jī)由于可能存在自毀程序也不要隨便開機(jī)。

（4）固定保存證據(jù)的能力，在現(xiàn)場提取的時候需要保護(hù)證據(jù)的原始性，不在原始證據(jù)的中開展任何操作，因此需要首先制作磁盤備份，在備份中開展檢驗工作，如果無法制作備份的要全程錄像，同時在制作備份后要生成哈希值，用哈希證明證據(jù)的原始性。由于電子證據(jù)具有易失性和易篡改性網(wǎng)絡(luò)犯罪現(xiàn)場勘查過程中要求拍照和錄像。其中需要拍照的情況包括無法扣押原始存儲介質(zhì)并且無法提取電子數(shù)據(jù)的；存在電子數(shù)據(jù)自毀功能或裝置，需要及時固定相關(guān)證據(jù)的；需現(xiàn)場展示、查看相關(guān)電子數(shù)據(jù)的。對于拍照的要求：照片清晰能夠反映證據(jù)的特征，并有偵查人員和電子數(shù)據(jù)持有人的簽字。

（5）扣押封存證據(jù)的能力。為了保存證據(jù)對于現(xiàn)場扣押的電子物證需要將小型的電子設(shè)備裝入靜電屏蔽袋，大型的設(shè)備貼封條。其中貼封條要求在不解封的情況下無法啟動，同時如果有必要可以將其存儲設(shè)備拆下單獨封存；對于具有無線通信功能的設(shè)備如手機(jī)、平板電腦、以及裝有SIM卡的計算機(jī)需要屏蔽信號，裝入屏蔽袋。封存前后要對設(shè)備進(jìn)行拍照。能夠反映封存狀態(tài)。

（6）文書制作的能力。在勘查過程中需要制作各種法律文書，并注意文書制作的規(guī)范性。在網(wǎng)絡(luò)犯罪現(xiàn)場勘查過程中需要制作的文書包括：在扣押原始存儲介質(zhì)后制作《扣押清單》，內(nèi)容包括：介質(zhì)名稱、編號、數(shù)量、特征、來源；份數(shù)；現(xiàn)場提取電子數(shù)據(jù)時需要制作《電子數(shù)據(jù)現(xiàn)場提取筆錄》，提取證據(jù)后制作《電子數(shù)據(jù)提取固定清單》。如果無法扣押也無法一次提取完的還需制作《登記保存清單》。在線提取的需要制作《遠(yuǎn)程勘查筆錄》。

3 基于增強(qiáng)現(xiàn)實的網(wǎng)絡(luò)犯罪現(xiàn)場勘查實現(xiàn)

學(xué)員在進(jìn)入現(xiàn)場所使用的傳感器包括：頭盔式眼睛，用于虛實結(jié)合；相機(jī)和攝像機(jī)，用于影像的收集，需要和場景中的對象或者屏幕結(jié)合起來作為檢測動作的指標(biāo)。對應(yīng)網(wǎng)絡(luò)犯罪現(xiàn)場勘查所需要掌握的技術(shù)要領(lǐng)，本虛擬場景設(shè)計了如下環(huán)節(jié)：

（1）勘查準(zhǔn)備環(huán)節(jié)：進(jìn)入勘查現(xiàn)場前學(xué)員可以通過眼鏡觀察到現(xiàn)場勘查需要準(zhǔn)備的人員、軟件和硬件，并由勘查人員選擇攜帶的設(shè)備。在選擇參加勘查的人員時對現(xiàn)場勘查的人員類別進(jìn)行分類，包括了指揮員、操作員和拍照員。同時在現(xiàn)場設(shè)計虛擬人，主要包括：包括現(xiàn)場工作人員，涉案人員，見證人和其他工作人員。

（2）保護(hù)現(xiàn)場環(huán)節(jié)：這部分主要讓學(xué)員練習(xí)保護(hù)現(xiàn)場人員和物品的能力。因此設(shè)計出損毀證據(jù)，人員跳窗和打印資料三種。損毀證據(jù)和人員跳窗是屬于緊急情況，在考核中需要設(shè)定時間，超過時間處理會扣分。打印資料的情況需要設(shè)置保持打印，否則會扣分。同時現(xiàn)場會配置電源和Wi-Fi。需要找到電源和Wi-Fi，并安排人員保護(hù)。

（3）進(jìn)入現(xiàn)場后設(shè)計電子設(shè)備的搜索環(huán)節(jié)，可以使學(xué)生練習(xí)對一些小型的電子設(shè)備尤其是存儲設(shè)備的查找；現(xiàn)場會隨機(jī)配置一些材料及設(shè)備，學(xué)員收集跟案件相關(guān)的內(nèi)容，搜集完成后填寫電子證據(jù)清單。打開工具箱，選擇電子清單，勾選各項，系統(tǒng)自動填寫。

（4）處理現(xiàn)場計算機(jī)的環(huán)節(jié)。在這個環(huán)節(jié)中現(xiàn)場會有一臺虛擬計算機(jī)黑屏狀態(tài)，首先考查學(xué)生判斷計算機(jī)開機(jī)狀態(tài)，學(xué)員需要用手去觸碰鍵盤的方向鍵或者晃動鼠標(biāo)，來激活計算機(jī)。激活動作完成后，計算機(jī)狀態(tài)關(guān)閉時，電源和硬盤區(qū)域高亮顯示，選擇電源扣分。選擇硬盤，硬盤自動彈出。點擊硬盤數(shù)據(jù)線電源線自動拔出。再點擊電源，電腦啟動，進(jìn)入BIOS拍照記錄當(dāng)前系統(tǒng)時間。如果激活動作完成后，計算機(jī)打開狀態(tài)。進(jìn)入在線取證與固定。打開工具箱對當(dāng)前系統(tǒng)時間的拍照，和物理內(nèi)存的固定等。遺漏的話會扣分。在旁邊放置另外一臺計算機(jī)，打開網(wǎng)絡(luò)時間，與當(dāng)前系統(tǒng)時間進(jìn)行比對（桌面放置系統(tǒng)時間圖標(biāo)）在旁邊放置另外一臺計算機(jī)，打開網(wǎng)絡(luò)時間，與當(dāng)前系統(tǒng)時間進(jìn)行比對（桌面放置系統(tǒng)時間圖標(biāo)）。如果桌面出現(xiàn)QQ等通信工具圖標(biāo)，點擊進(jìn)行聊天記錄及聯(lián)系人信息的導(dǎo)出選擇。檢查是否使用加密容器，如有使用，在線進(jìn)行固定，轉(zhuǎn)換為鏡像文件（e01dd）檢查是否有硬盤加密。如有使用，在線進(jìn)行固定，轉(zhuǎn)換為鏡像文件（e01dd）現(xiàn)場取證結(jié)束，合理關(guān)閉計算機(jī)。點擊主機(jī)彈出選項正常關(guān)機(jī)和拔出電源關(guān)機(jī)讓學(xué)生選擇。

（5）介質(zhì)復(fù)制環(huán)節(jié)。工具箱選擇硬盤復(fù)制機(jī)，進(jìn)行位對位的復(fù)制，不方便的硬盤，通過網(wǎng)線進(jìn)行位對位的復(fù)制。打開工具箱選擇電子清單，勾選現(xiàn)場勘察記錄、拷貝復(fù)制文件取得的電子證據(jù)等，系統(tǒng)自動填寫。

（6）電子設(shè)備的封存環(huán)節(jié)。選擇封存的計算機(jī)，旁邊出現(xiàn)封條，手動調(diào)整封條位置。調(diào)整好點擊確認(rèn)。如果沒有蓋住螺絲，系統(tǒng)將扣分。硬盤封存，打開工具箱，選擇硬盤封存袋，點擊硬盤，自動封存。

偵查結(jié)束后，彈出小組總成績及各個人員成績。

5 結(jié)束語

本文對網(wǎng)絡(luò)犯罪現(xiàn)場勘查工作所需要的主要環(huán)節(jié)進(jìn)行了分析，對其流程和工作內(nèi)容進(jìn)行了梳理。分析了利用增強(qiáng)現(xiàn)實技術(shù)提高網(wǎng)絡(luò)犯罪現(xiàn)場勘查實訓(xùn)教學(xué)效果的可行性和主要技術(shù)難點，并設(shè)計了一套有效的基于增強(qiáng)現(xiàn)實的網(wǎng)絡(luò)犯罪現(xiàn)場勘查實訓(xùn)課程。通過本研究可以有效提高網(wǎng)絡(luò)犯罪現(xiàn)場勘查工作的實訓(xùn)教學(xué)效果，同時為增強(qiáng)現(xiàn)實技術(shù)應(yīng)用到網(wǎng)絡(luò)安全人才的培養(yǎng)中做出了嘗試。