基于增强现实技术的网络犯罪现场勘查实训设计

◆武鸿浩 金士礼

（1.北京警察学院北京 102202；2.北京市公安局北京 100029）

近年来随着互联网的发展，网络渗透到人们生活的各行各业。与此同时网络犯罪也愈演愈烈。根据2017年1月12日中央政法工作会议披露的数据我国每年网络犯罪数量增长 30%，网络犯罪占犯罪总数的三分之一。几乎所有的犯罪形式都已触网，各种犯罪中电子证据也起了越来越重要的作用。

与此同时我国公安院校网络安全执法专业大多开设了网络犯罪侦查课程。网络犯罪侦查课程是网络安全执法专业的主干课程，网络犯罪侦查技能也是网络安全执法专业的核心技能之一。网络犯罪侦查的技能包括：网络犯罪现场勘查，电子数据检验，网络犯罪线索分析等能力[1]。网络犯罪侦查工作，实操性强，通过现实场景的训练有利于学生深入的掌握网络犯罪侦查工作所需的技能，然而网络犯罪侦查形势日新月异，搭建实践教学的周期非常长，无法满足实践教学要求。

目前虚拟现实技术已经在教育领域得到了发展。这种教育应用具有非常强的直观性，能够使学生更加专注，同时能够调动学生的多种感官。虚拟现实技术在近年来得到了快速发展，虚拟现实技术可以给用户更加真实的体验，使用户有置身其中的感觉。实训教学近年来越来越受到重视，正需要这样的技术解决实训中的场地受限的问题。技术具有三个特性，分别是沉浸性，交互性和构想性。设计者不仅可以使用虚拟现实技术模拟现实世界中的场景还可以根据想象创造现实世界中不存在的场景。

网络犯罪现场勘查，涉及大量电子设备的勘查，因此设计虚拟现实场景的时候需要考虑虚拟场景和电子设备内部现实场景的融合，而近年来出现的增强现实技术能够实现虚实结合。因此本文尝试将增强现实技术引入到网络犯罪现场勘查的教学工作中。本文首先分析了增强现实技术在实训教学中的应用方法，梳理了网络犯罪现场勘查的知识点，最后结合增强现实技术提出了一种新的网络犯罪现场勘查实训方案。

1 增强现实技术在实训教学工作中的应用

当前实训教学在高等教学中得到了越来越多的重视，实训教学可以让学生在真实环境中训练技能，提高掌握知识的效率[2]。然而场地、资金、环境的制约，许多实训科目难以开展。

增强现实（Augmented Reality，简称AR），通过对现实场景拍摄和测绘实现虚拟场景和现实场景的叠加，并和用户实现互动[3]。由于增强现实技术能够将现实场景和虚拟场景有机结合在一起，因此可以充分对两种场景进行优势互补，如虚拟场景可以以较低的成本模拟昂贵的科学仪器，并可以实现任意数量的布置，同时也可以将虚拟场景中难以模拟的触觉和味觉信息加入进去，实现对任意场景的模拟。同时增强现实技术也实现了人际交互和小组协同，适合实训教学工作的开展。

目前国内包括清华大学在内以后多家高校采用增强现实技术开展物理化学等实训课程的教学，极大降低了实训课程的成本。目前将虚拟现实技术应用于实训教学最广泛是医学领域，虚拟现实技术可以极大降低样本购买的成本，美国旧爱州大学圣地亚哥分校建立了虚拟医学中心开展精神和心理疾病的研究工作。同时VR技术被用于解剖课程的教学工作中。在国内虚拟现实技术也被用于法医专业的解剖教学工作中，上海六院通过虚拟现实技术开展骨科教学工作[4]。

在公安院校的实训教学工作中，已有多家院校提出了建设虚拟实训教学场所的规划[5]，从已公开发表文献看，虚拟场景包括了火灾[6]，刑事犯罪现场，毒化品的检查等[7]。

2 网络犯罪现场勘查实践教学内容分析

网络犯罪现场勘查，是对网络犯罪现场存在的犯罪证据进行搜索的过程，是发现犯罪线索，产生侦查思路的重要环节。决定了整个侦查过程能否顺利开展，甚至是能否破案[8]。

网络犯罪现场勘查脱胎于传统刑事案件的现场勘查，既包括了对传统物证的搜集，同时也有大量的工作需要在电子设备中进行检索。同时电子证据具有易失性，操作不慎将导致证据的丢失。相对传统证据，电子证据由于以电子数据的形式存储的同一性认证难度更大，需要通过拍照、录像、截屏等形式附证。2019年2月1日，公安部出台了《电子物证勘查规定》对网络犯罪现场勘查的规范做了详细规定，根据该规定网络犯罪现场勘查技术的能力点可以归纳如下。

（1）保护现场的能力。现场勘查人员到达现场之后要做的第一个工作就是保护现场。保护现场的目的在于防止人员和证物受到损害。主要工作包括了：隔离无关人员，拉警戒带，保护电源和网络节点设备，如路由器、交换机等。需要学生能够根据给定的虚拟场景画出现场的网络拓扑，找出重要的网络节点和电力供应设备。

（2）搜集证据的能力。网络犯罪包含大量的数字线索和证据，其存储介质具有多样性的特点，并且近年来随着硬件技术的发展，数据载体出现微小化、异形化的特点，因此犯罪现场勘查的一项重要工作就是完整的查找现场存在的所有电子设备，尤其是小型电子设备如优盘、SD卡等。

（3）收集电子证据的能力。在进行现场勘查过程中拍照、录像、截屏、磁盘复制等。需要现场提取线索证据的情况包括：无法扣押原始证据、证据属于易失证据、案件紧急、证据存于服务器设备（因为会导致重要信息系统停止服务，如银行系统的服务器），有系统密码导致重新开机后无法获取数据等。为了最大限度收集证据，因此对于处于开机状态的计算机首先要收集证据再关机，对于处于关机状态的计算机由于可能存在自毁程序也不要随便开机。

（4）固定保存证据的能力，在现场提取的时候需要保护证据的原始性，不在原始证据的中开展任何操作，因此需要首先制作磁盘备份，在备份中开展检验工作，如果无法制作备份的要全程录像，同时在制作备份后要生成哈希值，用哈希证明证据的原始性。由于电子证据具有易失性和易篡改性网络犯罪现场勘查过程中要求拍照和录像。其中需要拍照的情况包括无法扣押原始存储介质并且无法提取电子数据的；存在电子数据自毁功能或装置，需要及时固定相关证据的；需现场展示、查看相关电子数据的。对于拍照的要求：照片清晰能够反映证据的特征，并有侦查人员和电子数据持有人的签字。

（5）扣押封存证据的能力。为了保存证据对于现场扣押的电子物证需要将小型的电子设备装入静电屏蔽袋，大型的设备贴封条。其中贴封条要求在不解封的情况下无法启动，同时如果有必要可以将其存储设备拆下单独封存；对于具有无线通信功能的设备如手机、平板电脑、以及装有SIM卡的计算机需要屏蔽信号，装入屏蔽袋。封存前后要对设备进行拍照。能够反映封存状态。

（6）文书制作的能力。在勘查过程中需要制作各种法律文书，并注意文书制作的规范性。在网络犯罪现场勘查过程中需要制作的文书包括：在扣押原始存储介质后制作《扣押清单》，内容包括：介质名称、编号、数量、特征、来源；份数；现场提取电子数据时需要制作《电子数据现场提取笔录》，提取证据后制作《电子数据提取固定清单》。如果无法扣押也无法一次提取完的还需制作《登记保存清单》。在线提取的需要制作《远程勘查笔录》。

3 基于增强现实的网络犯罪现场勘查实现

学员在进入现场所使用的传感器包括：头盔式眼睛，用于虚实结合；相机和摄像机，用于影像的收集，需要和场景中的对象或者屏幕结合起来作为检测动作的指标。对应网络犯罪现场勘查所需要掌握的技术要领，本虚拟场景设计了如下环节：

（1）勘查准备环节：进入勘查现场前学员可以通过眼镜观察到现场勘查需要准备的人员、软件和硬件，并由勘查人员选择携带的设备。在选择参加勘查的人员时对现场勘查的人员类别进行分类，包括了指挥员、操作员和拍照员。同时在现场设计虚拟人，主要包括：包括现场工作人员，涉案人员，见证人和其他工作人员。

（2）保护现场环节：这部分主要让学员练习保护现场人员和物品的能力。因此设计出损毁证据，人员跳窗和打印资料三种。损毁证据和人员跳窗是属于紧急情况，在考核中需要设定时间，超过时间处理会扣分。打印资料的情况需要设置保持打印，否则会扣分。同时现场会配置电源和Wi-Fi。需要找到电源和Wi-Fi，并安排人员保护。

（3）进入现场后设计电子设备的搜索环节，可以使学生练习对一些小型的电子设备尤其是存储设备的查找；现场会随机配置一些材料及设备，学员收集跟案件相关的内容，搜集完成后填写电子证据清单。打开工具箱，选择电子清单，勾选各项，系统自动填写。

（4）处理现场计算机的环节。在这个环节中现场会有一台虚拟计算机黑屏状态，首先考查学生判断计算机开机状态，学员需要用手去触碰键盘的方向键或者晃动鼠标，来激活计算机。激活动作完成后，计算机状态关闭时，电源和硬盘区域高亮显示，选择电源扣分。选择硬盘，硬盘自动弹出。点击硬盘数据线电源线自动拔出。再点击电源，电脑启动，进入BIOS拍照记录当前系统时间。如果激活动作完成后，计算机打开状态。进入在线取证与固定。打开工具箱对当前系统时间的拍照，和物理内存的固定等。遗漏的话会扣分。在旁边放置另外一台计算机，打开网络时间，与当前系统时间进行比对（桌面放置系统时间图标）在旁边放置另外一台计算机，打开网络时间，与当前系统时间进行比对（桌面放置系统时间图标）。如果桌面出现QQ等通信工具图标，点击进行聊天记录及联系人信息的导出选择。检查是否使用加密容器，如有使用，在线进行固定，转换为镜像文件（e01dd）检查是否有硬盘加密。如有使用，在线进行固定，转换为镜像文件（e01dd）现场取证结束，合理关闭计算机。点击主机弹出选项正常关机和拔出电源关机让学生选择。

（5）介质复制环节。工具箱选择硬盘复制机，进行位对位的复制，不方便的硬盘，通过网线进行位对位的复制。打开工具箱选择电子清单，勾选现场勘察记录、拷贝复制文件取得的电子证据等，系统自动填写。

（6）电子设备的封存环节。选择封存的计算机，旁边出现封条，手动调整封条位置。调整好点击确认。如果没有盖住螺丝，系统将扣分。硬盘封存，打开工具箱，选择硬盘封存袋，点击硬盘，自动封存。

侦查结束后，弹出小组总成绩及各个人员成绩。

5 结束语

本文对网络犯罪现场勘查工作所需要的主要环节进行了分析，对其流程和工作内容进行了梳理。分析了利用增强现实技术提高网络犯罪现场勘查实训教学效果的可行性和主要技术难点，并设计了一套有效的基于增强现实的网络犯罪现场勘查实训课程。通过本研究可以有效提高网络犯罪现场勘查工作的实训教学效果，同时为增强现实技术应用到网络安全人才的培养中做出了尝试。