网络犯罪中电子证据的侦查取证路径探析

姜寒秋

（中国人民公安大学，北京 100038）

网络犯罪中电子证据的侦查取证路径探析

姜寒秋

（中国人民公安大学，北京 100038）

虽然互联网的发展突飞猛进，但网络空间的秩序还有待进一步完善。电子设备给人们生活带来方便的同时，也留下很多安全隐患，如信息泄漏、电子诈骗、网络犯罪等。电子证据对于警方侦查破案至关重要，但其易失等特点也较为明显。虽然如此，倘能对网络犯罪的攻击路线图进行全程把控，全面掌控“网络现场”并现场锁控电子证据，利用侦查技术手段形成立体的证据体系，就能实现查羁犯罪嫌疑人的目的。

网络犯罪；侦查取证；电子证据

电子科技的发展拓宽了人们的活动范围，并使得社会的发展朝向虚拟公共空间拓展，“电子科技”风暴席卷全球。计算机网络科技为全球带来互联便利的同时，也为其“衍生物”提供了滋生的温床，如网络犯罪。“自1986年出现首例计算机网络犯罪以来，计算机网络犯罪的数量和活跃程度有增无减，网络入侵、网络欺诈、网上黄赌毒、网络诽谤等肆意横行。[1]相对于传统犯罪而言，当前网络犯罪呈现出技术性强、复杂性变化不一等特点。犯罪嫌疑人往往具有高超的计算机技能水平，经常玩弄高科技手段隐藏电子证据，使得侦查取证变得异常艰难。在证据信息化的大背景下，以计算机及其网络为依托的电子证据在侦查破案、收集证据、缉查犯罪嫌疑人等方面起到了不可替代的作用。此外，电子数据在证明案件事实的过程中也变得日益重要。网络警察的职责是依法维护网络安全，保护网民的利益，打击网络犯罪。如何对信息化网络犯罪定罪处罚，找准网络犯罪侦查路径，搜集电子证据并对网络破坏者进行定罪处罚，成为当前公安机关网警侦查取证面对的主要挑战。

一、电子证据的内涵

电子证据在网络犯罪中被誉为“证据之王”，在网络案件侦查中通过对电子证据的固定提取，从而使其转化为法定证据，以此锁定网络攻击犯罪嫌疑人，达到胜诉定罪的目的。

（一）电子证据的概念

电子证据是指网络计算机系统运行过程中基于电子技术生成并以数字化形式 （01 01 01代码）存在，所产生的用以记录的内容来证明案件真实情况，并存储于磁盘、光盘、存储卡、手机等物理介质当中的数据信息。必须明确的是，公安机关通过技术侦查获取的电子证据必须具备可信、准确和完整属性，而不能简单将电子证据等同于计算机证据、数字证据。其主要形式包括：（1）电子计算机技术中的电子证据，例如计算机数据文件、电子数据库、外设驱动器、浏览痕迹等，这是从专业技术视角对电子证据进行分类，往往需要具有专业网络侦查背景的民警方能胜任；（2）通讯技术应用中的电子证据，例如往来电报电文，传真资料、实时电话录音、好友名单等即时通讯工具，这是从社会生活视角对电子证据进行分类，这些证据种类往往在网络诈骗中多有体现；（3）网络技术中的电子证据，例如电邮、电子公告牌记录、电子聊天记录、电子数据交换、电子报关单、智能交通信息卡资料、光盘资料等大量存储数据信息的物理介质存盘。

（二）电子证据的独有特性

同传统侦查取证相比，由于电子证据具有一定的独有属性，其高超的隐蔽性决定了侦查取证的困难程度，攻击目标的集中性决定了深层次的社会危害性，高信息科技特点又使其有较高的精密性和脆弱性。[2]

1.隐蔽性强。网络犯罪属于高科技属性的犯罪行为，具有“无形性”、“瞬时性”、“不易识别性”的特征，网络上实施的数据入侵行为不易被受害人察觉，具有内在实质上的无形性特点。现实犯罪是“有行”行为，而网络犯罪行为只是一堆按编码规则处理成的特定的二进制编码的数据命令，一切都由这些不可见的无形编码来传递，侵害无形的数据和信息，是一种“无形犯罪”模式。

2.目标集中。网络犯罪的目的是获取一定的利益，例如获取他人信息用以销售牟利等。网络命令的标准编码程序同一性使得受害目标范围的无限扩大，给网安侦查部门提取电子证据带来了挑战。

3.危害性大。衡量网络犯罪的危害性的尺度主要有两个：经济尺度和社会尺度。计算机网络犯罪通常会引起网络系统大面积的瘫痪与资料泄露，控制程度越高，其危害性、波及面就越广，尤其是在利用计算机系统向社会提供公共服务的政府部门、公共服务部门，因其掌管着广大民众的个人基本信息，一旦系统受到攻击，造成的社会危害会非常巨大。

4.取证困难。电子证据以数字形式呈现其价值信息，不像现实案件的取证那样对犯罪嫌疑人的遗留物、指纹，脚印进行证据提取。我们知道数字存储是脆弱的，容易遭到破坏，因此保全电子证据变得十分困难。另外网络犯罪的高科技性使得网络犯罪超越时空的局限，犯罪证据可能隐藏在“网络现场”的细小角落里，网监民警除了要按照一般刑事案件收集证据的方式收集物理证据外，更多的需要通过搜索事发后的计算机和网络数据，从计算机网络服务器以及现场系统的日志文件中、ARP（地址解析协议）缓存中获得证据。

二、电子证据的“网络现场”痕迹遗留

案件现场是犯罪“痕迹”的集中体现，也是留有痕迹、电子证据最多的地方，是犯罪嫌疑人最容易暴露的场所，也是搜集证据的首要场所。这对网络犯罪案件同样适用，计算机网络将地理位置上分散的物理计算机连接在一起，利用网络环境实施攻击、入侵，犯罪证据通常遗留在网络中，网络犯罪的案件现场较之传统案件现场更为复杂。

（一）网络犯罪的攻击路线图

犯罪分子对计算机网络进行攻击，首先是要对网络用户的网络通行数据进行扫描、搜集信息，以获取受害人的IP地址，为发动网络攻击奠定基础；随后就是网络攻击行为，钻取网络计算机系统在分辨用户时认“码”不认“人”的漏洞，通过破解计算机用户识别口令，利用系统的溢出缺陷进行攻击；紧接着深挖受害人的身份信息和网络资料，获得受害人的网络账号，提升自身网络访问的权限；最后，向攻击对象的计算机中植入木马病毒，为以后顺利潜入受害人计算机网络铺路。不少网络攻击者具备相当高的反侦查意识，为逃避法律惩处，使得网络警察不能侦查跟踪到攻击者的脚步，刻意进行日志删除达到擦除犯罪痕迹的目的，甚至人为注入欺骗性数据，实施证据伪装，以迷惑侦查人员的视线。

（二）“网络现场”的全面掌控

为了提取、固定电子证据，侦查人员需要综观全局，从宏观层面掌握攻击者在什么时间进入系统，并停留了多长时间，用什么方式进入系统，是冒用别人账号还是以用户的形态进入到计算机网络系统，攻入系统做什么，是拷贝东西、植入逻辑炸弹、还是木马程序，攻击者得到什么信息，如何找到并证明攻击者是现实中的某个人，被攻击者的损失情况如何，攻击者的行为和动机是什么，所有这些都需要侦查员按照法律规范进行证据识别、保存、分析、提交电子证据。

电子证据的侦查取证是网络案件侦查的重要环节，是技术侦查部门不可或缺的基础性工作，是维护司法公正和社会稳定的重要手段。当前利用互联网、计算机、手机等实施的科技犯罪行为，因其隐蔽性强、破坏性大、取证困难等特点，对侦查部门的电子证据提取、保全提出了新的要求和挑战。

三、电子证据的侦查取证

由于网络犯罪的发案特点、侦查模式有别于传统的案件侦查，对电子证据的侦查取证需要采取区别于传统案件侦查取证的特殊手段和侦查取证模式来进行，这需要网安部门掌握新型网络犯罪现场核心技术，包括电子证据的现场保护技术，电子证据的专用侦查技术，电子证据的现场侦查、取证、检验技术，电子证据的固定与保全技术，以及电子证据数据鉴定技术。此外，还要结合电子取证的工作特点、办理方式、应用技战法则，才能在电子侦查的路径拓展中事倍功半，提升侦查办案效率。

（一）电子证据的现场锁控

电子证据侦查取证战果的实现和扩大，首先取决于犯罪现场原貌的保持程度，使各种影响现场状态的可变因素减至最低，为后续有序开展侦查取证提供良好的条件。同时侦查人员还需做一些取证的整理准备工作，如拆卸工具、包装盒运输用品、存储设备等，比如侦查电子证据必要的不会发出静电或磁场的设备、工具以及射频屏蔽材料。

1.锁定“网络现场”。现场侦查员需进行证据识别，找出哪些是可以提取的证据，确保涉案设备和存储数据的完整性，不允许物理暴力和电子静电、磁铁、无线电的破坏或改变。网络犯罪现场分为物理现场和数字现场，对物理现场中电子证据的锁定，主要是控制硬盘、光盘、磁盘阵列、移动存储器、录音机、数码相机、计算机设备（路由器、交换机）、打印机、扫描仪、监视器等作案工具以及这些硬件实物所在的空间，例如机房、存放网络犯罪工具的场所。对数字现场中电子证据的锁定，主要是控制电磁辐射区、线路输送信号、篡改的数据、瘫痪的系统等。冻结网络犯罪作案现场，有利于确定侦查方向，缩小侦查范围，捕捉战机，减少侦查代价。

2.隔离网络系统。侦查人员进入犯罪现场后，要迅速掌握网络拓扑结构，切断远程控制，将人、机、物进行隔离。首先，防止犯罪嫌疑人故意破坏电子证据。犯罪嫌疑人可能通过网络、拨入设备远程控制计算机或网络，也可能在网络系统中预留自动清除程序，在系统遭受外来介入时自动清除相关电子证据。只要有物理连接，网络入侵者总会想办法找到漏洞侵入公安机关掌握的网络系统中，对不利于自己的电子证据进行篡改和擦除。因此，要实施物理隔离，创造内外网两个网络环境，保护系统，维持网络环境的状态。其次，保护电子数据的线索痕迹。在电子证据的控制操作过程中，侦查人员要避免无意中对正在运行的电子证据的破坏，尽量避免发生任何硬件损毁、数据破坏、病毒感染或者更改系统的设置，否则会破坏电子证据的客观性或造成证据的丢失从而使电子证据的定罪效果减弱。

（二）电子证据的侦查原则

侦查原则指导着电子证据的搜集活动，是电子证据搜集的标准。侦查员必须在掌握电子证据的收集规律基础上遵循一定的网络证据搜集原则进行侦查取证。首先是及时原则。所谓及时，就是赶赴现场要快，深入调查要快，否则就会影响电子取证的最佳时间，延误战机，影响对网络犯罪的案情推进。其次是全面原则。侦查员在取证态度上要做到深入细致，不放过任何可疑角落全面收集电子证据，为网络犯罪案情的侦查定罪提供充分、确实的数字资料。最后是保密原则。网络犯罪的高科技性使数字证据暴露于数字编码空间，这对电子证据的保密封锁提出了挑战，侦查人员必须确保在侦查取证时，电子证据不会被犯罪分子攻击、篡改或窃取。

（三）电子证据的侦查元素分类

对电子证据进行挖掘的目的在于分析犯罪、重构犯罪。对电子证据的侦查主要从三方面结构属性进行分类，首先，物理证据。物理证据的搜查指侦查员对网络犯罪攻击者的人身、物品、住处和素质载体进行侦查的活动。现场中的物理证据主要有指纹、NDA信息、打印机及文件、硬盘、光盘、数码相机、摄像机、监视器、手写便条、有书写压痕的空白记事薄纸、挂历台历、手机、PAD等。其次，数字证据。数字证据的侦查指收集设备中的数据，主要包括日志信息系统、加密数据、计算机审核记录，使用者账号、IP地址、起止时间、使用时间和修改时间，登录资料、申请账号时填写的姓名、电话来电显示记录、地址等基本资料。此外，还包括犯罪事实资料，即证明该犯罪事实存在的数据资料，包括文本、屏幕界面、原始程序，网络传输的交换机、路由、防火墙等。[3]因电子证据属于易失证据，是持续发生变化的证据，因此要采取动态提取的策略。

（四）电子证据的侦查技术手段

技术性是整个电子证据侦查取证的本质和核心。侦查人员应用电子证据的侦查技术手段是对计算机和相关设备中可能涉案的电子数据进行发现、保全、收集、检验等应用中所采用的一切技术手段。[4]

1.数据截取技术。电子证据的截取主要针对数据的网络传输过程，在犯罪嫌疑人进行网络犯罪的同时，侦查人员利用某些技术把对方的犯罪证据进行截获，并对截取的电子证据采用分析、出示的手段，比如网络嗅探,或者在传输介质上进行搭线窃听或者电磁波截获。

2.数据复原技术。侦查员将人为或偶然原因受到不同程度破坏的数据采取一定技术手段予以恢复和重现，如还原“网络现场”，包括系统软、硬件和文件的恢复两大类。再如目录表、FAT表、系统引导扇区，对删除文件的恢复技术，信息按轴链进行分区。我们删除文件往往只是删除了索引文件，计算机找不到索引就找不到内容，但是数据仍在。因此，我们可以对磁盘空间进行发掘，对缓存文件进行复原，恢复硬盘的残留信息；对系统硬件的恢复，如修理替换硬件、读盘、修复伺服软件、重新读取数据等；对文件的恢复，如文件目录、文件数据特征、残缺文件。

3.数据复制技术。侦查员将涉案设备上的数据进行精准、完整的复制，并保存于存储介质中，以便侦查人员对与源目标数据一致情况下再深入挖掘电子证据时不对原始证据造成本质破坏，从而最大程度地保证电子证据的效力，例如数据备份技术、数据镜像技术、数据快照技术等。

4.数据解密技术。这是指通过解密算法和解密密钥将犯罪人员加密的数据恢复为明文，是数据加密的逆向操作。侦查员可采取多种解密技术对电子证据进行侦查深挖，例如穷举攻击、数学分析攻击、统计分析攻击、分布式网络密码破解系统等。

5.数据挖掘技术。从大量数据信息中自动搜索有特殊关系性的侦查过程，这些数据可以是结构化的，也可以是半结构化的，可以是数字的，也可以是非数字的。采取的方法包括关联规则分析法、聚类分析法和分类分析法。

（五）电子证据的保全与举证效能

在侦查实践中，有些证据随着时间的推移可能因丧失或者失真而难以取得，因此需要对证据加以保全。电子证据的保全是为防止电子证据的自然泯灭、人为毁坏或以后难以取得所采取的保全措施。

1.电子证据的保全原则。首先是安全原则,恶劣环境，人为破坏或者计算机的不当使用都可能破坏、改变电子证据，使得电子证据的完整性得不到保障，因此在侦查取证时，侦查员务必确保取证环境的安全。针对不稳定的电子证据应当制作复制件和副本，且应当进行备份，分开保管以备审查判断证据是否失真。其次是规范程序原则,电子证据的移交、保管、存储、运输、开封、拆卸必须由侦查人员和取证专家共同完成，必须保证每一个环节上原始数据的真实性和完整性，并制作详细笔录，以保证电子证据在移交、保管、开封、拆卸过程中不会产生信息失真。最后是法治原则,电子证据的最大作用就是举证效能，而电子证据法律效能的大小与电子证据的完整性密切相关。要使电子证据在侦查取证中不会产生遗漏就需要严格按照法律程序进行取证操作，提升电子证据的抗否认性，增强其法律效力。

2.电子证据的保全手段。首先是数据隐藏手段,它是一种密写手段，将电子证据可靠地嵌入宿主媒体中的方式，例如我们运用数字隐藏手段把数字证据隐藏在偶同的音乐或图片文件中，其目的是保护已经获取的电子证据，以免其在储存、处理过程中遭受非授权用户的访问、篡改。其次是数据签名和数字时间戳手段,数字签名能够用来检验数据传送的完整性和表明侦查员的身份信息。数字时间戳给电子证据烙上特定的时间和日期，给电子证据带来了无可争辩的公正性。数字签名手段和数字时间戳手段是相互支撑存在的，两者为电子证据的保全加了双保险，缺一不可。最后是数字摘要手段，又称安全HASH编码法。其工作原理是运用单向Hash函数对电子证据中的某些元素变换运算后得到带有固定编码痕迹的摘要码，是为了确保电子证据没有被修改过，以保证电子证据的完整性不被破坏。

四、电子证据在侦破网络犯罪中的价值

（一）拓宽侦查手段，发掘侦查深度，增强打击能力

在数字化领域，侦查人员的侦查意识过于局限，侦查经验缺乏，侦查技术略显滞后。侦查技能在现实领域的强大与在数字领域的困境形成强烈对比，侦查人员对电子世界的证据法律意识不强，还没有从意识上、观念上转变对电子证据的举证怀疑，导致在数字领域的侦查取证中，没能找准正确的方向，侦查效率降低。对电子证据的深入研究探讨，能加深侦查人员对电子证据在侦查取证中重要性的认识，增强打击网络犯罪的战斗力。通过对电子证据内涵的解读，“网络现场”痕迹的阐释，具体的侦查取证措施的运用，以及对电子证据的价值分析，将进一步提升侦查人员对电子证据的认识，强化侦查人员寻找电子证据打击网络犯罪的意识，转变侦查人员的观念，使其以一个全新的态度对待虚拟社会，更新侦查观念，从收集现实证据转变为虚拟证据，如电子证据，提升侦查人员自身的电子证据收集能力，通过电子证据的有效收集预防犯罪、打击犯罪，维护网络的安宁。

（二）完善证据结构，给侦查取证提供多种路径选择

刑事诉讼证据，是指以法律规定的形式表现出来的能够证明案件真实情况的一切事实，主要有物证、书证、证人证言、被害人陈述，犯罪嫌疑人、被告人供述和辩解，鉴定意见、勘验、检查、辨认、侦查实验等笔录、视听资料。首先是“两高一部”最新出台对电子证据可以采取查封、扣押、冻结等侦查手段。对于被扣押的原始存储介质或提取的电子证据，可以通过恢复、破解、关联、比对、破解等方式检查。对其中的相关性问题可以由鉴定部门出具相应的鉴定意见。其次是对于原始存储介质无法扣押的情况下，可以提取其中的电子证据，并注明原始介质的存放地点和电子数据的来源等情况。最后，提高电子证据提取电子化能力，通过电子证据等间接证据的提取倒逼犯罪嫌疑人对事实供述，实现电子证据等间接证据与嫌疑人的供述等直接供述相互印证。

(三）强化举证效能，增强电子证据的定罪证明能力

数字化社会的发展，使得电子证据在定罪量刑当中显得愈发重要。由于当下电子时代的到来，网络犯罪的手段电子化，方式电子化，留存的往往也是电子痕迹，因而固定犯罪证据也必须从犯罪分子所留存的电子痕迹入手。电子证据在强大的社会物质诉讼下显得有些羸弱，但是伴随着电子时代的来临，人们在交往过程中所用到的数字证据越来越多，电子证据在定分止争中愈来愈重要，电子社会的到来将会倒逼电子证据的证据能力得到提升。对侦查中的电子证据能力，在审查其证据形式的同时更要加强对其证据收集行为进行审查。侦查行为合法性是电子证据证明能力的基础，故在电子证据收集中不能使用强制性调查措施，而更多地的应用任意性调查措施。如《刑事诉讼规则》规定在初查中在不限制初查对象人身、财产权利的条件下可以采取询问、查询、勘验、检查、鉴定、调取证据材料的方式，初查中也不得利用技术侦查措施。在立案之前的电子取证只能使用任意性调查措施才具有证据能力。

[1]贺电.侦查技术创新论[M].北京：中国人民公安大学出版社，2014：36-39.

[2]蒋平.数字取证[M].北京：中国人民公安大学出版社，2007: 169-170.

[3]陈欣.基于Windows平台的计算机隐秘取证系统的研究与实现[D].上海交通大学硕士论文，2009.

[4]赵国辉.网络案件侦查[M].北京：中国人民公安大学出版社，2014:85.

Investigation and Evidence Collection of Electronic Evidence in Cybercrime

Jiang Hanqiu
(Chinese People's Public Security University,Beijing 100038)

While the Internet is developing at an unprecedented speed,the online order leaves much room for improvement.Electronic devices have brought enormous convenience to people,however,we cannot deny the fact that they also make people become susceptible to security risks such as data leakage,online fraud and cybercrime.Electronic evidence becomes indispensable for solving such crimes,but its volatile nature renders it difficult to collect.In spite of this,Criminal suspects can be brought to justice if investigators are able to reconstruct the crime scene by tracking the perpetrator’s “roadmap”,securing the electronic evidence on site, and developing multi-dimensional evidence on the strength of police investigatory expertise.

cybercrime,investigation and evidence collection,electronic evidence

G202，D631.2

A

1671-5101(2016)06-0039-05

（责任编辑：王泓）

2016-09-22

姜寒秋（1987-），男，江苏徐州人，中国人民公安大学2014级公安学专业硕士研究生。研究方向：公安思政与文化。