触目惊心的计算机犯罪

文/沈臻懿

触目惊心的计算机犯罪

Investigation and Evidence Collection of Computer Crime

文/沈臻懿

随着现代科技的发展，计算机在步入日常生活的同时，涉及计算机与网络的犯罪活动亦不断呈现。与传统犯罪相比，计算机犯罪所具有的显著特点，给案件侦查与取证带来了诸多挑战。这就要求在计算机犯罪案件侦查中，必须运用专门的技术与手段，以有效应对这一违法犯罪活动。

据瑞典互联网市场研究公司Royal Pingdom发布的研究报告显示，2012年全球网民人数的总量已突破22亿，较2007年的11.5亿人增加了将近100%。从这一仍在不断攀升的数据中我们不难发现，计算机及网络科学技术已与人们的日常生活密切相关。在对于此类技术高度依赖的同时，涉及计算机及网络的科学技术也悄然出现在犯罪活动中。作为现代科技的产物，计算机在一定程度上也成了犯罪手段、犯罪方式、犯罪工具、犯罪目标、犯罪证据以及储存有关犯罪行为的信息库。

与传统犯罪相比，计算机犯罪所蕴含的科技性、隐蔽性以及犯罪后果的严峻性，给案件侦查与取证带来了极大挑战。面对刑事司法领域中犯罪活动高科技化的严峻现实，以及犯罪现场中形形色色的计算机证据与电子数据，侦查人员也必须依赖高科技的侦查与取证技术，应对日益频发的计算机犯罪。

触目惊心的计算机犯罪

据英国《每日电讯报》报道，2011年上半年，美国联邦调查局曾破获了一起全球性的计算机犯罪惊天要案。该案件的查获，不仅使人们看到了全球在打击计算机犯罪行动方面所取得的显著胜利，更令人们真切感受到了计算机犯罪活动的触目惊心。美国司法部证实，该案件的始作俑者系一伙大规模的网络犯罪团伙，其利用恶意软件控制了全球200多万台电子计算机，并利用上述受到病毒感染的计算机所组成的“僵尸网络”，获取了一亿多美金的犯罪所得。

该案的犯罪手段与方法，无疑充满着高科技的元素。犯罪人借助于“僵尸网络”这一受到病毒感染的互联网计算机群，通过远程控制的方式发起大规模的网络攻击。譬如，向网站传播恶意代码，实施分布式拒绝服务(DDoS:Distributed Denial of Service)攻击以及发送大批量垃圾邮件等。利用这一方式，犯罪人往往可以肆意窃取储存于“染毒”计算机内的银行账号、密码以及其他敏感信息，并利用网络汇款和银行诈骗等方式来盗窃资金。为此，该网络犯罪团伙通过计算机专业技术，制造出了一款名叫Coreflood的恶意软件，并利用美国微软公司“视窗”操作系统的漏洞，成功入侵了全球233万台电子计算机，而美国本土就占到了其中的185万台。

经过一段时间的侦查与取证，调查人员成功摧毁了这一名为Coreflood的“僵尸网络”，不仅部分切断了感染病毒的计算机与主服务器之间的联系，且关闭了上述网络系统。据美国司法部与联邦调查局的联合声明显示，在该案的侦破过程中，调查人员查获了5台主控服务器与29个网络域名，并逮捕了13名犯罪嫌疑人。虽然该案所造成经济损失的确切数字仍未可知，但据相关安全专家估计，其被盗资金总数已超过1亿美金。这一计算机犯罪的受害者中，一家位于田纳西州的国防承包商损失了24万美金，另一家位于密歇根州的房地产公司则损失了近12万美金，而一家位于卡罗莱纳州的律师事务所亦损失了8万美金左右。

上述案例仅仅只是当前频发的计算机犯罪活动中的一个典型缩影。从该案例中我们不难发现，为了应对计算机犯罪的高科技属性，侦查人员也必然需要引入专门技术，对此类案件进行有效侦查与取证。

计算机犯罪活动的显著特点

一提到计算机犯罪，人们往往首先想到的就是那些智商过人、行为隐蔽的犯罪人。与那些传统犯罪相比，计算机犯罪的确可称得上高科技、高智商犯罪的典型代表。由于计算机信息技术自身所蕴含的现代科技属性，使得从事此类犯罪活动的作案人必然也需具备这方面的科学技术。因而，最初的计算机犯罪人往往主要集中于白领阶层。上述人群拥有的较高教育背景，且最先频繁接触与使用计算机，由此滋生出了所谓的计算机犯罪。然而时至今日，随着计算机的日益普及，这一现代科技的产物也被更多人群所认知，甚至部分犯罪人通过“自学成才”，掌握这一现代技术，并利用其实施犯罪活动。

除了具有高科技性这一特点外，计算机犯罪手段的隐蔽性同样不容忽视。实施这一违法活动时，犯罪人往往采取了篡改程序、恶意代码、错误指令等方式、手段。上述犯罪手段并不会对计算机硬件及信息载体造成物理性损害，且往往不留痕迹，这也令普通人难以察觉计算机内部所发生的一系列变化。犯罪人正是基于这一特性，“悄然无声”地窃取被害人的机密信息、账户资金等。而计算机犯罪极具隐蔽性的特点，也使得执法部门在侦查过程中面临着诸多困境。与传统侦查活动不同的是，侦查人员在面对计算机犯罪时，往往需借助于现代科技手段，有时还需借助于专门的计算机专家来借助进行现场勘查与取证工作。

计算机网络的无国界性，使得计算机网络犯罪的空间跨度往往较大，涉及面也极广。司法实践中常常出现跨省、跨国、跨洲的大型计算机网络犯罪活动。2011年年末时，欧洲各国警方曾联合破获了一起特大跨国儿童网络色情案件。该案犯罪人利用计算机视频技术，在网络上肆意传播各类加密的儿童性侵视频。经过为期一年的侦查取证，由丹麦主导，法国、德国、奥地利、波兰、比利时等多国参与的欧洲警方不仅破译与分析了大量加密淫秽视频，并在22个国家中成功抓获了112名犯罪嫌疑人。

传统犯罪所针对的对象，大多涉及人身安全与财产案件。而计算机犯罪的对象，则覆盖了公共安全、经济秩序乃至国家安全。毫不夸张地说，计算机犯罪能够使个人隐私泄露、企业倒闭破产，甚至国家经济瘫痪。其所造成的严重危害，远非普通犯罪所能比拟。域外计算机犯罪专家曾坦言：“当前没有任何一种犯罪，能够像计算机犯罪那样，不费吹灰之力就能得到巨额财产。”“莫里斯蠕虫”案件可谓计算机发展史上最为出名的一起刑事犯罪活动。该案始作俑者莫里斯在1988年冬天时编写了一个被称之为“蠕虫”的电脑病毒，并将其送入了互联网。随即，这一入侵者就立即进行自我复制，并在短短的时间内充斥了电脑内存，使得大批大批的计算机因感染病毒而“死亡”。该案不仅令成千上万的数据资料毁于一旦，更直接造成了其上亿美元的经济损失！

有别于传统案件的现场勘查

一提到犯罪现场，大部分人的第一反应往往是美剧CSI（犯罪现场调查）中那些横尸野外、满目狼藉的命案现场。与此类犯罪现场相似，犯罪人通过计算机及其网络实施犯罪行为后，也会在一定空间内遗留相应证据。然而，计算机证据与传统证据相比，往往更为复杂，如果未能通过专门方式妥善予以处理，极易使计算机证据发生变化或遭到不可逆转的破坏。因此，侦查部门就需要依靠具有计算机证据收集、提取专门知识的勘查人员与技术专家，在计算机犯罪现场中开展勘查活动，从而确保所提取到的计算机证据能够成功地在法庭上得以运用。

计算机犯罪的现场勘查，普遍均需进行计算机系统的操作，但为了不破坏原有系统，并获得更多与犯罪有关的证据，一般都不会使用现场遗留的计算机系统、硬件与软件。这就要求侦查人员在实施勘查活动前，除需备有常规勘查设备，如固定、记录现场及物证所用的摄影设备、摄像设备外，还应准备专门的计算机信息系统勘查设备。在硬件配备方面，勘查人员应当备有便于搜集证据，且使用方便的便携式电脑。此外，计算机取证勘查箱也是犯罪现场勘查中必备的专门设备，以用于对不同案件中的信息数据进行收集、取证。需要注意的是，技术人员在对计算机犯罪现场进行勘查时，应当自备电源插座与不间断电源。否则一旦现场突然断电并导致计算机关闭后，极易使得计算机内部的信息与运行程序消失或清除。特殊情况下，勘查人员还需备有专门的拆卸工具，以便能及时、妥善地将被调查的计算机及其相关设备带回检验机构作进一步的分析与鉴定。

与传统案件现场勘查不同的是，计算机犯罪现场勘查中还常常涉及各类系统软件与应用程序。由于计算机类型的不同，其操作系统也存在着诸多差异。如微软的Windows系列，苹果的Mac OS X系列等。这就要求勘查人员除硬件设备外，还需备有各类软件设备，以满足不同计算机犯罪案件侦查的实际需求。此外，各类专业应用软件在计算机犯罪案件的勘查与取证中，也往往占有极为重要的作用。譬如，利用EasyRecover数据恢复软件可对磁盘中丢失、删除、格式化的数据信息进行有效恢复；而NeoTracePro软件，则可用以追踪服务器的位置与IP位置。诸如此类的应用软件，均是计算机犯罪案件侦查取证中不可或缺的重要手段与专门技术。

现代科技背景下的取证技术

计算机犯罪现场勘查的一大重点，即是从现场中收集与案件相关的证据材料。此类证据普遍以数字化形式存在，具有复杂性、隐蔽性、技术性等特点，其取证方法与传统证据相比，存在着显著的区别。因此，勘查人员在对计算机犯罪现场上所涉及的电子证据进行收集、固定时，必须采取相应的专门取证技术。侦查实践中，常用的取证方法一般包括搜索技术、收集技术、恢复技术以及分析技术等专门手段。

计算机及其网络空间内，均储存着不计其数，且纷繁复杂的数据信息。此类材料中，往往只有极少一部分内容与案件事实相关。而计算机犯罪案件侦查取证的前提，则是如何收集此类与案件相关的证据材料。因此，侦查人员就需事先运用搜索或检查等专门方法，以过滤计算机及网络空间内无用的数据信息，进而确定与案件事实相关的证据材料。从理论层面而言，无论是人工方式还是计算机自动处理方式，均可用以数据信息搜索。然而在侦查实践中，通过人工方法在虚拟空间中探寻证据材料的方式几乎是完全不可想象的。一方面，案件侦查都必须在限定时间内予以完成；而另一方面，计算机证据往往需要借助于特定设备及载体才能为人们所认知。一项或多项合理运用的自动搜索技术，不仅能快速搜寻与定位及案件相关的信息，又不会过多地搜索出各类无关信息。可见，运用技术方法自动收集与案件相关的证据材料，已成为当前计算机犯罪侦查取证中必不可少的环节之一。

计算机证据的易失性、无形性、脆弱性、精确性等显著特点，决定了其与物证、书证等传统证据存在着诸多差异之处。因而，侦查人员及技术专家在收集此类证据时，所采用的方式、手段也必然与一般证据所不同。根据计算机证据易失性的特点，侦查取证实践中常常会用到专门的易失性数据收集技术。此类易失性数据多指内容中储存的数据以及某些更新较快的数据，通常包含了系统基本信息、系统状态信息、网络运行信息以及用户使用信息等方面。具体操作时，则需登录或远程连接至被调查的计算机，并使用特定的工具软件进行取证。除了易失性数据外，勘查人员如在犯罪现场上无法即刻判明某些数据与案件是否有关，或是否能对案件事实起到证明作用时，往往需要采取完全收集的办法，以待于后续实验室的进一步检验与分析。

侦查取证过程中，一旦遇到计算机内含的数据因损坏、删除、格式化等行为而令系统无法读取或反映此类数据时，就需运用到计算机恢复技术以还原或恢复此类数据。该技术通常包含了基于文件系统的数据恢复技术、基于文件特征的数据恢复技术、基于冗余信息的数据恢复技术、基于物理信号的数据恢复技术以及硬件恢复技术。目前，计算机取证中常用的数据恢复软件包括ENCASE数据恢复软件、EasyRecover数据恢复软件以及FTK数据恢复软件等。通过这一专门技术，可以有助于侦查人员收集、提取已被人为删除或无法正常显示的数据信息，从而获取到各类有价值的证据材料。

经过搜索、收集、恢复等技术获取的计算机数据信息，往往存在着与案件存在何种联系，能否证明案件事实以及哪些事项可得到证明等问题。而这些问题的解答，很大程度上需要专门技术人员对其作出分析与鉴定后才能准确判定。这一分析技术活动，通常可由具有专门检验能力的人员进行。某些情形下，则需依据相关法律，实施计算机司法鉴定，并由具有相应资质的司法鉴定人进行鉴定。

由于计算机司法鉴定涵盖的内容范围极广，其涉及的鉴定事项亦各有不同。根据鉴定内容的不同，又可进一步将其分为来源鉴定、内容鉴定、同一鉴定、相似性鉴定等主要事项。来源鉴定，即是根据计算机特定资源的唯一性，如计算机序列号、IP地址、MAC地址等，来确定设备或软件的最初来源。该鉴定技术在计算机犯罪侦查中，主要可用以确定犯罪人所使用计算机设备的位置以及软件的最初制作者等。内容鉴定，则是对文档内容的真实性作出分析、判断，并对储存介质内隐藏的数据信息进行恢复并分析。同一鉴定，通常即是对两份软件或数据是否真实一致进行鉴定。具体而言，则是判明两者的来源是否同一，内容是否一致。相似性鉴定，顾名思义，即是对两份软件的程序、源代码等内容进行分析与比对，以确定两者在实质层面是否相似……

编辑：黄灵 yeshzhwu@foxmail.com