梅 蓉

（南京森林警察學(xué)院 偵查系，江蘇 南京 210023）

信息化時代的重要特征就是數(shù)據(jù)化、網(wǎng)絡(luò)化和信息化。通常我們提到的網(wǎng)絡(luò)，指的是計算機網(wǎng)絡(luò)、電信網(wǎng)絡(luò)和有線電視網(wǎng)絡(luò)，其中計算機網(wǎng)絡(luò)發(fā)展最快且在很多領(lǐng)域發(fā)揮著重要作用。網(wǎng)絡(luò)正改變著人們工作、學(xué)習(xí)、生活、娛樂等方式，網(wǎng)絡(luò)給我們帶來便捷的同時，利用網(wǎng)絡(luò)實施犯罪的案件正以各種形式逐漸呈現(xiàn)出來。在現(xiàn)實物理空間中，犯罪嫌疑人只要實施作案，都會留下蛛絲馬跡。在虛擬空間中犯罪嫌疑人實施犯罪，同樣也會在電子設(shè)備上留下痕跡，偵查人員利用網(wǎng)絡(luò)開展偵查工作成為必然趨勢。此外，犯罪嫌疑人或者關(guān)系人具有網(wǎng)絡(luò)行為，公安機關(guān)可以根據(jù)網(wǎng)絡(luò)上留下的痕跡輔助偵查，獲取更多偵查線索。

一、網(wǎng)絡(luò)偵查的概念

到目前為止，網(wǎng)絡(luò)偵查在學(xué)理上還沒有統(tǒng)一的概念。個人以為，網(wǎng)絡(luò)偵查是指偵查主體在偵查破案過程中，以計算機網(wǎng)絡(luò)技術(shù)、數(shù)據(jù)庫技術(shù)、數(shù)據(jù)挖掘技術(shù)、電子取證技術(shù)、情報獲取和分析技術(shù)等為支撐，借助于公安專用網(wǎng)絡(luò)、互聯(lián)網(wǎng)以及其他專用網(wǎng)，按照法定程序，采取合適的網(wǎng)絡(luò)偵查技術(shù)對偵查對象網(wǎng)絡(luò)通信痕跡、通信數(shù)據(jù)流等進行分析，從而獲得犯罪線索和證據(jù)，查獲犯罪嫌疑人的一種偵查手段。早期網(wǎng)絡(luò)偵查的范圍主要是破壞計算機網(wǎng)絡(luò)、非法侵入計算機系統(tǒng)以及非法竊取計算機信息等案件，隨著網(wǎng)絡(luò)的普及以及各類應(yīng)用軟件的出現(xiàn)，特別是移動網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)偵查的范圍不斷擴大，如網(wǎng)絡(luò)色情犯罪、網(wǎng)絡(luò)傳銷、網(wǎng)絡(luò)走私犯罪、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)賭博等案件。各類網(wǎng)絡(luò)犯罪案件的頻繁出現(xiàn)推進了網(wǎng)絡(luò)偵查的發(fā)展，網(wǎng)絡(luò)偵查已經(jīng)成為信息化時代偵查工作不可缺少的手段。網(wǎng)絡(luò)社會是人類社會發(fā)展的延伸，人們自然地穿梭在網(wǎng)絡(luò)社會與人類社會中，犯罪嫌疑人也不例外。因此，無論是涉及網(wǎng)絡(luò)犯罪的案件還是非涉網(wǎng)的犯罪案件，犯罪嫌疑人均可能與網(wǎng)絡(luò)有著直接或者間接的接觸，從而在網(wǎng)絡(luò)空間中留下電子痕跡。偵查工作要求偵查人員挖掘出這些電子痕跡，再結(jié)合其他信息綜合分析，達到揭露犯罪事實、證實犯罪、抓獲犯罪嫌疑人的目的。

二、網(wǎng)絡(luò)偵查的特點

網(wǎng)絡(luò)偵查作為一種專門在網(wǎng)絡(luò)環(huán)境下開展偵查工作的手段，有著不同于其他偵查手段的特點。

（一）網(wǎng)絡(luò)犯罪案件種類繁多，案件均不易發(fā)現(xiàn)

網(wǎng)絡(luò)犯罪案件作案形式、手段多樣化，犯罪嫌疑人為了逃避打擊、非法謀取利益，總是在想方設(shè)法地使用聞所未聞的形式或者手段實施違法犯罪。常見的、多發(fā)的網(wǎng)絡(luò)犯罪案件有網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)色情傳播犯罪、制作和傳播計算機病毒犯罪、入侵網(wǎng)絡(luò)或者針對計算機進行一些非法操作以竊取他人資料等案件。由于網(wǎng)絡(luò)世界是一個無國度、無邊界的世界，作案不受時間和地點的限制，行為與結(jié)果相分離，作案在分秒中完成，使得案件不易被發(fā)現(xiàn)。有些案件雖可通過網(wǎng)絡(luò)監(jiān)控及時發(fā)現(xiàn)和制止，但絕大多數(shù)案件無法在第一時間發(fā)現(xiàn)。

（二）技術(shù)依賴性強

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用的更新，越來越多的傳統(tǒng)犯罪如盜竊、色情、詐騙、賭博、買賣槍支等以網(wǎng)絡(luò)為平臺，產(chǎn)生了新型的網(wǎng)絡(luò)犯罪，且犯罪的類型、手段也在隨之發(fā)生變化。網(wǎng)絡(luò)違法犯罪正在朝著越來越技術(shù)化、越來越隱蔽化、越來越多元化的方向發(fā)展，公安機關(guān)打擊網(wǎng)絡(luò)犯罪案件的難度愈來愈大。從取證的角度來看，犯罪嫌疑人的登錄網(wǎng)頁、電子郵件、網(wǎng)絡(luò)中保存的文件、聊天記錄、服務(wù)器日志等都可以作為重要證據(jù)使用。這些證據(jù)屬于電子證據(jù)，但電子證據(jù)具有不唯一、不穩(wěn)定等特點，只要犯罪嫌疑人具有計算機專業(yè)知識，犯罪的電子痕跡易被專業(yè)清除，使得電子證據(jù)很難恢復(fù)。對于一些計算機處理高手，可以遠程刪除服務(wù)器日志，使得電子證據(jù)不復(fù)存在。很多基層公安部門缺乏網(wǎng)絡(luò)偵查設(shè)備和網(wǎng)絡(luò)偵查專業(yè)人員，很多證據(jù)難以及時提取和固定，給后續(xù)工作帶來了困難。就目前情況來看，隨著計算機網(wǎng)絡(luò)新技術(shù)和新產(chǎn)品的不斷涌現(xiàn)，計算機網(wǎng)絡(luò)技術(shù)遠遠超過了網(wǎng)絡(luò)偵查技術(shù)，通過源IP地址確定犯罪嫌疑人的身份逐漸成為難點，很多案件也表明了源IP地址越來越難以確定。如犯罪嫌疑人會使用移動上網(wǎng)、代理上網(wǎng)、跨越多個服務(wù)器、控制多臺他人電腦等手段來隱藏真實的IP地址，藏匿蹤跡。因此，網(wǎng)絡(luò)偵查要求偵查人員必須具備較強的網(wǎng)絡(luò)管理、處理和分析技術(shù)，同時在案件偵查過程中能查找出相關(guān)的視頻信息、手機信息、銀行卡信息、身份信息等，能通過相關(guān)的技術(shù)手段與網(wǎng)絡(luò)偵查技術(shù)相整合，迅速鎖定犯罪嫌疑人。

（三）提取證據(jù)困難

由于網(wǎng)絡(luò)違法犯罪都是在基于網(wǎng)絡(luò)硬件和軟件為物理和技術(shù)基礎(chǔ)的虛擬空間發(fā)生的，難以追查到犯罪嫌疑人的身份和實際住所。網(wǎng)絡(luò)犯罪案件的很多證據(jù)都是以電子數(shù)據(jù)的形式存在，證據(jù)容易銷毀，相關(guān)證據(jù)的提取要有網(wǎng)絡(luò)技術(shù)的支持。眾多代理服務(wù)器的存在以及龐大的數(shù)據(jù)，使得取證難度較大。一般網(wǎng)絡(luò)犯罪的過程與時間越長，留下的電子痕跡越多，被發(fā)覺的可能性越大，獲取的證據(jù)也越多。但是，很多網(wǎng)絡(luò)犯罪都是在毫秒之間發(fā)生的，很少留下痕跡，使得證據(jù)獲取難度加大。另外，一些犯罪嫌疑人作案后都會清理系統(tǒng)，進行永久性刪除、重新分區(qū)格式化、格式化后覆蓋文件再格式化再覆蓋文件等，或者刪除服務(wù)器上的日志數(shù)據(jù)、系統(tǒng)數(shù)據(jù)等，使得目前的數(shù)據(jù)恢復(fù)技術(shù)無法恢復(fù)出數(shù)據(jù)。在這種情況下，證據(jù)提取更是舉步艱難。一些跨國網(wǎng)絡(luò)犯罪，或者作案的服務(wù)器在國外的違法犯罪案件，在提取證據(jù)方面均非常困難，很難直接提取到一些重要證據(jù)。對于一些涉案范圍廣、地域跨越大的網(wǎng)絡(luò)犯罪案件（如網(wǎng)絡(luò)詐騙案件），由于各個受案單位按照管轄的范圍各自辦案，如果不能及時確定主要管轄單位，將無法全面、充分、及時地獲取犯罪證據(jù)。

三、網(wǎng)絡(luò)偵查的作用

（一）實時監(jiān)控，制止預(yù)謀犯罪

涉網(wǎng)犯罪，如網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)郵購毒品、網(wǎng)絡(luò)賭球、網(wǎng)絡(luò)賣假發(fā)票、網(wǎng)絡(luò)傳播色情犯罪等，大多不用見面，只需要在網(wǎng)絡(luò)上聯(lián)系，并把錢匯到指定賬號，對方把貨物郵寄過來就可完成。這種犯罪行為主要依托網(wǎng)絡(luò)，在虛擬世界中實施犯罪。所以，偵查機關(guān)有必要直接在虛擬世界中發(fā)現(xiàn)和甄別犯罪線索，并實施必要的偵查行為，在網(wǎng)絡(luò)上展開斗智斗勇的偵查謀略。主動型網(wǎng)上偵查既具有現(xiàn)實合理性，又顯得尤為必要。

（二）網(wǎng)絡(luò)跟蹤定位，發(fā)現(xiàn)犯罪嫌疑人

由于網(wǎng)絡(luò)用戶都有一個身份證號——IP地址，可以借助IP地址來定位犯罪嫌疑人。首先根據(jù)涉案的網(wǎng)站、聊天工具等查找到提供服務(wù)的服務(wù)器，由服務(wù)器提供的數(shù)據(jù)和日志查找具體的ISP網(wǎng)絡(luò)服務(wù)商，再由ISP網(wǎng)絡(luò)服務(wù)商提供出涉案IP地址的具體地理位置、登記人信息等。若服務(wù)器在國外，可借助于跨國協(xié)作，通過技術(shù)手段對犯罪嫌疑人進行定位，從而抓獲犯罪嫌疑人。

（三）收集犯罪證據(jù)和線索

在網(wǎng)絡(luò)偵查過程中，要及時收集犯罪證據(jù)和線索。由于網(wǎng)絡(luò)數(shù)據(jù)流的傳輸都有關(guān)鍵的設(shè)備進行記錄，這為偵查人員發(fā)現(xiàn)線索和提取證據(jù)提供了條件。這些關(guān)鍵的軟硬件設(shè)備包含作案的主機、防火墻、代理服務(wù)器、網(wǎng)站服務(wù)器等。一些作案的主機無法快速確定，通常都是通過涉案網(wǎng)站服務(wù)器或者代理服務(wù)器提取服務(wù)器內(nèi)的數(shù)據(jù)以及管理員的維護日志，查找犯罪嫌疑人的行跡和網(wǎng)上虛擬的身份、作案手段以及其他的網(wǎng)絡(luò)行為，從而拓展偵查線索。當(dāng)確定了犯罪嫌疑人的IP地址，可對其實時監(jiān)控，收集犯罪證據(jù)和線索。抓捕犯罪嫌疑人時，應(yīng)及時對嫌疑人的電腦和網(wǎng)絡(luò)設(shè)備進行勘驗，收集和固定犯罪證據(jù)。若涉案的服務(wù)器位于國外，要及時通過下載、截屏等形式對證據(jù)進行固定，通過技術(shù)手段明確犯罪嫌疑人的活動軌跡，對網(wǎng)上行為進行遠程勘驗取證。

四、網(wǎng)絡(luò)偵查的條件

（一）網(wǎng)絡(luò)偵查的首要條件

網(wǎng)絡(luò)偵查的首要條件是犯罪嫌疑人或者關(guān)系人是使用過或者正在使用計算機網(wǎng)絡(luò)的網(wǎng)民。以計算機網(wǎng)絡(luò)系統(tǒng)為侵害對象或者以計算機網(wǎng)絡(luò)系統(tǒng)為工具的案件偵查，均離不開網(wǎng)絡(luò)偵查手段。對于非涉網(wǎng)案件，如果犯罪嫌疑人是網(wǎng)民，也可以采用網(wǎng)絡(luò)偵查手段偵辦案件。網(wǎng)絡(luò)偵查工作就是查找犯罪嫌疑人使用的網(wǎng)絡(luò)電子痕跡。犯罪嫌疑人只要使用網(wǎng)絡(luò)產(chǎn)生了信息流，就有可能在多個設(shè)備里留下了通信痕跡。這些痕跡的表現(xiàn)形式主要有文字、數(shù)據(jù)、圖片、視頻、表格等，痕跡的載體主要為各類服務(wù)器、主機、防火墻等。

（二）網(wǎng)絡(luò)偵查的技術(shù)條件

網(wǎng)絡(luò)作為虛擬空間，與物理空間有著較大的差異。網(wǎng)絡(luò)的開放性、隱蔽性、跨越時空性、數(shù)據(jù)海量性以及數(shù)據(jù)高速流轉(zhuǎn)性為各類網(wǎng)絡(luò)犯罪提供了有利條件。因此，網(wǎng)絡(luò)犯罪案件偵查破案難度較大，對偵查人員的偵查技術(shù)水平要求較高。

1.計算機網(wǎng)絡(luò)技術(shù)

計算機網(wǎng)絡(luò)技術(shù)是計算機技術(shù)和通信技術(shù)發(fā)展的產(chǎn)物。計算機網(wǎng)絡(luò)是按照通信協(xié)議將全世界的計算機通過互聯(lián)設(shè)備和連接介質(zhì)（有線介質(zhì)或者無線介質(zhì)）連接起來。計算機網(wǎng)絡(luò)是在硬件設(shè)備、操作系統(tǒng)、網(wǎng)絡(luò)管理軟件、通信協(xié)議的共同協(xié)調(diào)下，實現(xiàn)數(shù)據(jù)的傳遞和共享。網(wǎng)絡(luò)犯罪實際上就是犯罪行為人利用網(wǎng)絡(luò)存在的漏洞、弊端、功能等實施犯罪。在網(wǎng)絡(luò)犯罪案件特別是以計算機作為對象的網(wǎng)絡(luò)犯罪案件中，普通人很難躲避計算機系統(tǒng)的安全防范關(guān)卡，破譯密碼、植入程序、竊取數(shù)據(jù)、刪除日志等實屬不易。入侵侵害目標(biāo)的系統(tǒng)的操作程序較復(fù)雜，有些需要入侵者編譯程序，因此很多案件多為計算機專業(yè)人士所為。由于犯罪行為人懂得如何隱藏自己，刪除電子痕跡，偵辦此類案件的難度很大。因此，偵查人員要開展網(wǎng)絡(luò)偵查工作，必須掌握計算機網(wǎng)絡(luò)基礎(chǔ)原理和網(wǎng)絡(luò)偵查技術(shù)，從根本上把握網(wǎng)絡(luò)犯罪的實施方法，再對癥下藥，快速鎖定犯罪嫌疑人。

2.數(shù)據(jù)恢復(fù)技術(shù)

數(shù)據(jù)恢復(fù)技術(shù)是指通過各種手段將丟失或者毀壞的數(shù)據(jù)恢復(fù)為正常數(shù)據(jù)。導(dǎo)致數(shù)據(jù)毀壞或者丟失的原因主要分為兩類：一類是軟件原因，由病毒感染、誤刪除、系統(tǒng)故障引起；一類是硬件原因，由磁頭損壞、伺服軟件的損壞、電路板的損壞等引起。因此，數(shù)據(jù)恢復(fù)技術(shù)分為軟件數(shù)據(jù)恢復(fù)和硬件數(shù)據(jù)恢復(fù)。軟件數(shù)據(jù)的恢復(fù)通過一些專業(yè)軟件就可以復(fù)原，而硬件數(shù)據(jù)恢復(fù)對環(huán)境、人員的專業(yè)知識要求較高，可請專業(yè)人士進行。在案件偵查過程中，經(jīng)常會發(fā)現(xiàn)犯罪嫌疑人作案之后銷毀電子痕跡，為了獲取證據(jù)和線索，偵查人員必須使用數(shù)據(jù)恢復(fù)技術(shù)恢復(fù)故意刪除的數(shù)據(jù)。

3.網(wǎng)絡(luò)鏡像技術(shù)

網(wǎng)絡(luò)鏡像就是將指定端口的報文或者符合指定規(guī)則的報文復(fù)制到目的端口。利用鏡像技術(shù)，可對網(wǎng)絡(luò)進行網(wǎng)絡(luò)監(jiān)管和故障排除。鏡像技術(shù)包括三種方式：本地端口鏡像、遠程端口鏡像、流鏡像。本地端口鏡像是指將設(shè)備的一個或多個源端口的報文復(fù)制到本設(shè)備的一個目的端口，用于報文的分析和監(jiān)視。其中，源端口和目的端口位于同一個本地鏡像組中。遠程端口鏡像突破了源端口和目的端口必須在同一臺設(shè)備上的限制，使源端口和目的端口間可以跨越多個網(wǎng)絡(luò)設(shè)備。流鏡像，即將指定的數(shù)據(jù)包復(fù)制到用戶指定的目的地，以進行網(wǎng)絡(luò)檢測和故障排除。流鏡像分為三種：流鏡像端口、流鏡像CPU、流鏡像VLAN。網(wǎng)絡(luò)鏡像技術(shù)是偵查人員為了監(jiān)控偵查對象的數(shù)據(jù)流，獲取證據(jù)而采用的一種偵查手段。

4.網(wǎng)絡(luò)入侵技術(shù)

網(wǎng)絡(luò)入侵技術(shù)是黑客或者駭客所精通的技術(shù)，黑客或者駭客通過入侵技術(shù)，進入他人的計算機，任意修改、刪除、竊取信息，甚至破壞計算機系統(tǒng)。偵查人員使用入侵技術(shù)，并不是為了破壞或者竊取信息，主要的目的是為了獲取線索或者證據(jù)，對犯罪嫌疑人進行監(jiān)控。網(wǎng)絡(luò)入侵技術(shù)主要分為系統(tǒng)弱密碼入侵、利用CGI/IIS漏洞入侵、BufferOverflow入侵、DOS/DDOS攻擊、IPSpoof入侵、網(wǎng)絡(luò)監(jiān)聽、數(shù)據(jù)庫弱密碼入侵等。

5.數(shù)據(jù)分析技術(shù)

數(shù)據(jù)分析技術(shù)是指在已經(jīng)獲取的數(shù)據(jù)流或信息流中尋找、匹配關(guān)鍵詞或關(guān)鍵短語的技術(shù)。數(shù)據(jù)分析技術(shù)包括文件屬性分析技術(shù)；文件數(shù)字摘要分析技術(shù)；日志分析技術(shù)；根據(jù)已獲得的文件或數(shù)據(jù)的用詞，語法和寫作(編程)風(fēng)格，進而推斷其可能作者的技術(shù)；發(fā)掘同一事件的不同證據(jù)間聯(lián)系的分析技術(shù)；數(shù)據(jù)解密技術(shù)；密碼破譯技術(shù)；對電子介質(zhì)中被保護的信息強行訪問的技術(shù)(如無須密碼進入系統(tǒng),系統(tǒng)漏洞)。在網(wǎng)絡(luò)偵查的過程中，為了獲取犯罪嫌疑人的IP地址、網(wǎng)上活動的軌跡，需要使用到日志分析技術(shù)；為了監(jiān)控犯罪嫌疑人的網(wǎng)絡(luò)行為，提取證據(jù)，在法定程序允許的情況下可借助于系統(tǒng)漏洞、密碼破譯技術(shù)遠程入侵嫌疑人的主機。

（三）網(wǎng)絡(luò)偵查的必備條件

專業(yè)化隊伍的建設(shè)是網(wǎng)絡(luò)偵查的必備條件。網(wǎng)絡(luò)偵查對偵查主體的專業(yè)知識要求比較高，沒有相關(guān)專業(yè)知識的偵查人員開展工作時盲目性大、人力成本高、辦案效率低，可能貽誤最佳的作戰(zhàn)時機，甚至“幫助”犯罪嫌疑人脫逃。網(wǎng)絡(luò)偵查人員除應(yīng)具備一般偵查人員的專業(yè)素質(zhì)外，還應(yīng)熟悉TCP/IP網(wǎng)絡(luò)協(xié)議的運作流程，對網(wǎng)絡(luò)上常見的操作系統(tǒng)有深入的研究，熟練掌握各種操作系統(tǒng)的操作、編程、加密、解密，掌握入侵技術(shù)和計算機取證技術(shù)等。網(wǎng)絡(luò)偵查專業(yè)化隊伍除了偵辦涉網(wǎng)的案件外，還應(yīng)協(xié)助刑偵、技偵、圖偵人員，為他們提供與互聯(lián)網(wǎng)有關(guān)的辦案線索。由于網(wǎng)絡(luò)犯罪屬于高科技犯罪，因此偵查機關(guān)必須不斷研究偵查對策和方法，提高網(wǎng)絡(luò)偵查技術(shù)水平并加快網(wǎng)絡(luò)偵查裝備的研發(fā)。網(wǎng)絡(luò)偵查更多的是被動型偵查，要爭取主動權(quán)，必須增加資金投入，加大偵查裝備的研發(fā)力度。隨著技術(shù)的發(fā)展，特別是移動互聯(lián)網(wǎng)的普及，很多的案件線索都來源于網(wǎng)絡(luò)。為此，網(wǎng)絡(luò)偵查專業(yè)隊伍的工作量大、任務(wù)重，有必要將一些網(wǎng)絡(luò)偵查的基本方法傳授給其他偵查人員。

[1]李雙其.網(wǎng)絡(luò)犯罪偵查[J].中國人民公安大學(xué)學(xué)報,2001(3).

[2]劉品新.論網(wǎng)絡(luò)時代偵查模式的轉(zhuǎn)變[J].山東警察學(xué)院學(xué)報,2006(1).

[3]李棟.計算機網(wǎng)絡(luò)犯罪的偵查與防控探析[J].政法學(xué)刊,2014(3).