鄭州輕工業(yè)學(xué)院 何子軼

隨著計算機(jī)及網(wǎng)絡(luò)在各個行業(yè)的普及，利用高科技手段進(jìn)行的犯罪活動已經(jīng)在虛擬世界悄然開展并有愈演愈盛之勢，為打擊個別人通過互聯(lián)網(wǎng)進(jìn)行不法活動獲取不正當(dāng)利益，計算機(jī)與網(wǎng)絡(luò)取證技術(shù)已成為公安機(jī)關(guān)不可或缺的刑偵手段。本文，筆者將分析計算機(jī)與網(wǎng)絡(luò)刑偵在人們生活中的重要性及應(yīng)用到的幾個方式方法。

一、計算機(jī)與網(wǎng)絡(luò)刑偵技術(shù)的兩大類別

在R.McKemmish的《何為適用于法庭的計算機(jī)取證》一文中，將計算機(jī)與網(wǎng)絡(luò)刑偵技術(shù)定義為：識別、維護(hù)、分析與呈現(xiàn)法律上能夠接受的數(shù)字證據(jù)的過程。而數(shù)字證據(jù)一詞在實際應(yīng)用中大體分為2個方面。

1.計算機(jī)取證。通過解剖在犯罪現(xiàn)場獲取的計算機(jī)硬件部分，挖掘與提取出相關(guān)的法律能夠接受的數(shù)字證據(jù)。

2004年2月23日，昆明市公安局接報，云南大學(xué)學(xué)生宿舍發(fā)現(xiàn)男性尸體，而具有重大犯罪嫌疑的同宿舍學(xué)生馬加爵失蹤。在此案中，刑偵專家正是使用了計算機(jī)取證的高科技手段對馬加爵在宿舍內(nèi)使用過的電腦進(jìn)行了數(shù)據(jù)分析。雖然嫌疑人出逃前對電腦硬盤進(jìn)行了格式化，但通過專家恢復(fù)出的電子數(shù)據(jù)顯示，此人出逃前3天都在搜集有關(guān)海南省的信息，尤其是三亞的旅游交通和房地產(chǎn)信息。正是根據(jù)這一線索，警方果斷調(diào)整了緝捕重點，很快于2004年3月15日在三亞將馬加爵捉拿歸案。

2.互聯(lián)網(wǎng)取證。Hal Berghel曾經(jīng)將互聯(lián)網(wǎng)取證列為與計算機(jī)取證完全不同的范疇。互聯(lián)網(wǎng)取證主要應(yīng)用于探測網(wǎng)絡(luò)攻擊，例如黑客、木馬攻擊等等。而針對此類犯罪的偵測技術(shù)，基本相同于此類不法活動所使用的操作方法，兩者唯一不同的只有出發(fā)點及道德標(biāo)準(zhǔn)。

2007年1月，約有50萬計算機(jī)均感染了一種叫做熊貓燒香的病毒，數(shù)百萬網(wǎng)民深受其害。此病毒是一種感染型蠕蟲病毒，能夠終止大部分反病毒軟件和防火墻的進(jìn)程，通過互聯(lián)網(wǎng)和U盤插拔都能迅速傳播。

仙桃市公安局立案后，迅速上網(wǎng)搜集相關(guān)資料，對此病毒進(jìn)行數(shù)據(jù)分析調(diào)查后發(fā)現(xiàn)。熊貓燒香病毒的程序代碼中，均有whboy（武漢男孩）的簽名，并能把感染的網(wǎng)頁文件指向一個特定網(wǎng)站。而該網(wǎng)站注冊信息顯示，注冊人來自武漢。

2007年2月1日，專案組通過走訪調(diào)查，查明嫌疑人居住在武漢洪山區(qū)。偵查員在此佯裝購買殺毒軟件，最后鎖定一個出售者，通過對其出租屋24小時的監(jiān)控，最終將其抓獲，此人就是該病毒的制造者李俊。

二、計算機(jī)與網(wǎng)絡(luò)刑偵技術(shù)在虛擬世界中應(yīng)用的重要意義

以上2個典型事例形象的區(qū)分了計算機(jī)刑偵與網(wǎng)絡(luò)刑偵所歸屬的不同范疇，但它們在數(shù)字取證中都占有同樣的重要性。而且隨著科技的發(fā)展與社會的進(jìn)步，它們在刑偵工作中變得日益重要。

1.以互聯(lián)網(wǎng)為例。隨著因特網(wǎng)在日常生活中日新月異的發(fā)展，網(wǎng)絡(luò)犯罪的勢頭發(fā)展得尤為迅猛。網(wǎng)絡(luò)活動的一個重要特點是匿名性，而這種特點不僅能夠掩飾人們的真實身份，還能在一定程度上改變?nèi)藗兊男愿裉卣?。例如日常生活中膽小?nèi)向的人很可能以開朗奔放的另一面展現(xiàn)在互聯(lián)網(wǎng)上。而遠(yuǎn)程操作的非法活動通常提高了成功的幾率，相對卻降低了被檢測與被起訴的可能性。

2.電子取證的意義并不僅僅局限于偵測與計算機(jī)和網(wǎng)絡(luò)相關(guān)的犯罪活動。在馬加爵一案中，專家即是通過調(diào)查網(wǎng)頁緩存來緝捕兇手。另外，在很多經(jīng)濟(jì)犯罪中，專家們也通過獲取電子數(shù)據(jù)表來檢測嫌疑人是否參與洗錢操作或其他不正當(dāng)交易。

3.隨著科技的不斷進(jìn)步，數(shù)字取證擴(kuò)大到人們生活的各個方面。從計算機(jī)和互聯(lián)網(wǎng)提取的電子證據(jù)具有顯而易見的訴訟效果。許多刑偵專家也受到啟發(fā)，將這些偵測手段應(yīng)用于其他電子產(chǎn)品如手機(jī)，個人掌上電腦或MP3等。

三、計算機(jī)與網(wǎng)絡(luò)取證的實際操作

有些人認(rèn)為計算機(jī)與網(wǎng)絡(luò)刑偵中的電子取證是：運用軟件技術(shù)和工具，按照預(yù)定的步驟檢查計算機(jī)系統(tǒng)和相關(guān)外部設(shè)備，保護(hù)、提取和分析計算機(jī)犯罪的痕跡，并產(chǎn)生具有法律效力的電子證據(jù)的過程。也有人認(rèn)為計算機(jī)與網(wǎng)絡(luò)刑偵技術(shù)包括了上述特殊的技術(shù)手段，但并不限于此方法。換言之，雖然數(shù)字取證是一種帶有高科技色彩的偵測方法，但從司法實踐過程中我們可以發(fā)現(xiàn)，普通的當(dāng)事人完全可以利用他們自己的經(jīng)驗知識來進(jìn)行電子證據(jù)的保全和收集。雖然專家取證是相當(dāng)有成效的，但公安機(jī)關(guān)也不應(yīng)該忽略普通人在計算機(jī)與網(wǎng)絡(luò)刑偵過程中的重要作用。

但無論是什么人以何種方法來進(jìn)行電子取證的操作，都離不開對數(shù)據(jù)的提取、收集、整理與分析。而在處理數(shù)據(jù)的各個步驟中，有時需要進(jìn)行比現(xiàn)實犯罪現(xiàn)場取證的更多的繁瑣環(huán)節(jié)。

1.在許多傳統(tǒng)取證過程中，刑偵專家透過專業(yè)技術(shù)與工具來提取證物，例如鞋印、指紋、發(fā)絲等等，它們必須借助灌模等手段才能變?yōu)榫哂蟹尚ЯΦ淖C物。計算機(jī)與網(wǎng)絡(luò)取證除了與傳統(tǒng)取證一樣需要借助專業(yè)工具之外，還具備了幾個不同于傳統(tǒng)取證的特點。

（1）一般情況下，數(shù)字證物與傳統(tǒng)證物不同，具有變化快、易改動的特點。一臺正在運行的計算機(jī)系統(tǒng)中，寄存器和內(nèi)存中的數(shù)據(jù)，每時每秒都在變化，提取時有相當(dāng)大的難度。

（2）相比較傳統(tǒng)證物來說，數(shù)字證物在法庭上更容易受到質(zhì)疑，除非在刑偵過程中能保證其可靠性與真實性。而它們的獲取又牽涉到計算機(jī)、通信、網(wǎng)絡(luò)、硬件等多個方面，需要多領(lǐng)域刑偵專家的共同努力。

（3）另外一個區(qū)別于傳統(tǒng)取證的特點是：傳統(tǒng)取證通常實在犯罪過程終止后進(jìn)行，而有些計算機(jī)與網(wǎng)絡(luò)非法行為需要在其正在實施的過程中進(jìn)行取證，例如黑客攻擊或上文提到的熊貓燒香一案。

2.綜上所述，針對計算機(jī)與網(wǎng)絡(luò)取證區(qū)別于傳統(tǒng)取證的這些因素，刑偵專家有必要調(diào)整取證時所要遵循的原則。

（1）與傳統(tǒng)取證相同，計算機(jī)與網(wǎng)絡(luò)刑偵依然要遵守“保護(hù)現(xiàn)場”原則。對于數(shù)據(jù)時刻在變化的目標(biāo)計算機(jī)，需要進(jìn)行“凍結(jié)”來避免數(shù)據(jù)的改變，病毒入侵甚至自我的數(shù)據(jù)破壞。在這一環(huán)節(jié)中可以在拆卸任何設(shè)備前進(jìn)行拍照，記錄設(shè)備的狀態(tài)，如電源是否打開、設(shè)備連接的各類纜線等等。

（2）計算機(jī)各項數(shù)據(jù)的封存也是一個重要步驟。需要封存的目標(biāo)包括內(nèi)存數(shù)據(jù)、計算機(jī)工作日志、設(shè)備管理器狀態(tài)、各種打印結(jié)果與整個硬盤數(shù)據(jù)的克隆等等。全盤的鏡像復(fù)制可用軟件克隆如GHOST、SAFEBACK等，也可用專業(yè)的硬盤克隆或檢測設(shè)備。

有些情況下對設(shè)備的克隆并不只包括計算機(jī)本身，服務(wù)器、路由器、防火墻等設(shè)備也是克隆的重要對象，如有現(xiàn)場發(fā)現(xiàn)的U盤、光盤、軟盤等設(shè)備，甚至需要物理封存。

（3）整個取證過程需要在第三方專業(yè)人員的監(jiān)督下進(jìn)行。有些情況下，這種原則甚至應(yīng)該貫穿整個證物研究過程，以此來保證證據(jù)從最初的獲取狀態(tài)到呈現(xiàn)在法庭上出現(xiàn)的狀態(tài)中間沒有任何改變，即“證據(jù)的連續(xù)性”。在調(diào)查過程中，依然需要證人或嫌疑人的積極配合，來取得相應(yīng)的證據(jù)分析信息，如密碼、用戶口令、文件存儲的路徑等。

（4）目前有許多具有高科技犯罪能力的不法分子，針對公安機(jī)關(guān)的刑偵手段研制了許多反取證技術(shù)?？瓷先テ胀ǖ囊粡堈掌?jīng)過色階的調(diào)整之后，就清晰的顯示出一串字符。這就是數(shù)據(jù)隱藏的一種，即通過圖像的改變隱藏信息。

除此之外，刪除或隱藏證據(jù)使刑偵工作無效的方法層出不窮，總體來說分為3大類，即數(shù)據(jù)加密、數(shù)據(jù)隱藏和數(shù)據(jù)擦除。這些方法的同時使用，使數(shù)字取證工作大打折扣。但也從另一方面督促了取證新技術(shù)的研發(fā)。

四、計算機(jī)與網(wǎng)絡(luò)刑偵技術(shù)的發(fā)展方向

在科技迅速發(fā)展的今天，計算機(jī)與網(wǎng)絡(luò)刑偵技術(shù)也隨著犯罪環(huán)境變化而不斷發(fā)展，但是直至今日此行業(yè)暫時還沒有統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范，很難對數(shù)字證據(jù)的穩(wěn)定性和有效性進(jìn)行比對。另外，目前還沒有一家專業(yè)機(jī)構(gòu)對數(shù)字取證人員的資歷和水平進(jìn)行評測，也使得數(shù)字取證的權(quán)威性經(jīng)常受到質(zhì)疑。

本文，筆者對計算機(jī)與網(wǎng)絡(luò)刑偵技術(shù)的重要性和具體操作進(jìn)行了簡單的分析和初步的理論構(gòu)想。希望在各行業(yè)專家的共同努力下，計算機(jī)與網(wǎng)絡(luò)刑偵技術(shù)能夠朝著專業(yè)化與自動化的方向不斷發(fā)展。