探索計算機犯罪案件的偵查

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了探索計算機犯罪案件的偵查范文，希望能給你帶來靈感和參考，敬請閱讀。

主要是偵查機關在辦理其它案件的過程中發(fā)現(xiàn)的有關計算機犯罪的情況，特別在偵查金融領域的犯罪案件時發(fā)現(xiàn)的計算機犯罪問題。主動發(fā)現(xiàn)計算機犯罪線索這是主要指公安機關的計算機網絡監(jiān)察部門或國家安全機關履行法定職責，主動去發(fā)現(xiàn)計算機犯罪。目前，這種情況主要是針對網絡系統(tǒng)，發(fā)現(xiàn)犯罪線索的方法主要有幾種。1）建立專門的網絡系統(tǒng)來發(fā)現(xiàn)犯罪線索。即通過建立一個完善的獲取計算機犯罪信息的網絡系統(tǒng)，運行該系統(tǒng)來搜集線索。如現(xiàn)在網上電子警察的建立，就是不斷地在網絡上進行“巡邏”，發(fā)現(xiàn)犯罪跡象和線索。2）通過組織“瀏覽日”活動發(fā)現(xiàn)線索。即在特定的時間在網上搜尋某一特定種類的犯罪活動，來發(fā)現(xiàn)犯罪線索。3）利用專門工具對黑客行為進行監(jiān)視，從中發(fā)現(xiàn)犯罪線索。這是針對黑客行為在網絡犯罪中占據及其重要的位置而提出的一種發(fā)現(xiàn)線索的方法。

計算機犯罪案件的技術偵查途徑

計算機犯罪是一種智能型犯罪，在表現(xiàn)形態(tài)、犯罪手段等方面與傳統(tǒng)犯罪有很大不同。計算機犯罪案件偵查中，應針對具體案情，多方尋求、認真論證、擇優(yōu)確定并及時調整偵查途徑，通過常規(guī)偵查措施與運用計算機技術相結合的方式開展工作。（1）勘查保護外部現(xiàn)場。提取現(xiàn)場腳印、指紋、現(xiàn)場遺留物、門窗鎖具撬壓痕跡、監(jiān)控器錄像資料等，封存各類備份資料，如備份程序、數(shù)據、打印材料、系統(tǒng)信息、日志、工作記錄等。這些證據雖不直接與計算機發(fā)生聯(lián)系，但很可能作為劃定嫌疑人范圍或嫌疑人同一認定的有力證據。（2）詢問有關人員包括當事人、系統(tǒng)管理員、操作員、安保人員、現(xiàn)場人員、知情人、嫌疑人等。了解案發(fā)前后設備及系統(tǒng)運行狀態(tài)、有無異常、有過何種操關操作。相關人員有無異常表現(xiàn)。注意參考其他刑事案件的詢問技巧和方法。（3）根據被取證計算機是否接入網絡，計算機犯罪取證分為獨立計算機的取證和網絡計算機的取證。針對不同的犯罪類型，運用專業(yè)知識或人員查找電子證據。1）從對計算機文件搜查入手。以計算機為工具的犯罪，往往在計算機中存有犯罪嫌疑人留下的電子痕跡，還有一些人會把與犯罪相關的重要信息資料儲存在計算機內。這種情況下，需要對計算機及移動存儲器等外設進行搜查。搜查時可利用專用瀏覽、恢復刪除、物理掃描、解密等工具軟件，查找可疑文件。對隱藏或加密的硬盤分區(qū)和文件、能夠恢復的被刪除文件以及非正常用途文件，要重點審查。2）從查找系統(tǒng)信息記錄文件入手。計算機系統(tǒng)中都存有日志、系統(tǒng)注冊表等系統(tǒng)記錄文件和信息，從這些記錄中可以發(fā)現(xiàn)對系統(tǒng)的訪問、操作、更改等情況。盡管有時作案人想到消除記錄，但也常由于作案時間不充?；蜃陨砑夹g水平不夠高而刪除不了所有證據，留下犯罪信息，查找到這些信息能為偵查工作指引方向。3）從采取網絡接入設施監(jiān)測入手。這是計算機犯罪案件偵查中經常選用的偵查途徑。即利用犯罪分子往往會再次登錄、重復侵入的特點，采取網絡監(jiān)測手段，在受害系統(tǒng)中設置更加完善的審計監(jiān)察、跟蹤監(jiān)測系統(tǒng)，或設立虛假系統(tǒng)陷阱，在犯罪嫌疑人再次登錄或入侵時，即時響應、報警，監(jiān)測并記錄入侵時間和手段、所在終端、對計算機系統(tǒng)所進行的非法操作以及導致的結果等信息。4）從有關接入網站記錄入手。入侵計算機系統(tǒng)并進行破壞的犯罪，受害系統(tǒng)中的犯罪記錄很可能連同系統(tǒng)一同被破壞。這種情況下，可以從有關網絡站點的記錄入手開展偵查。因為一般的計算機系統(tǒng)都只與幾個固定的站點直接相連，無論從何處入侵受害系統(tǒng)都必須經由這些站點。通過檢查有關站點的通訊記錄發(fā)現(xiàn)蛛絲馬跡，再沿跡追蹤，可能獲取更多線索。

計算機犯罪證據的獲取

目前，利用計算機和網絡作為犯罪工具或針對計算機資產進行犯罪，已成為高科技犯罪的一種新動態(tài)。在這些案件中的取證，是把計算機看作犯罪現(xiàn)場，運用先進的辨析技術，搜尋確認罪犯及其犯罪證據，并據此提起訴訟。計算機犯罪證據的獲取主要包括幾個環(huán)節(jié)。（1）現(xiàn)場勘查案件現(xiàn)場勘查是指調查人員依照《公安機關辦理刑事案件程序規(guī)定》和《公安機關辦理行政案件程序規(guī)定》等規(guī)定，使用計算機科學技術手段和調查訪問的方法，對與案件有關的場所、物品及犯罪嫌疑人、可能隱藏犯罪證據的人的身體進行搜查，并對相關證據扣留封存的一種偵查和調查活動。由于電子證據的易失性，為避免犯罪證據的破壞，現(xiàn)場勘查的效果和及時性直接影響犯罪證據獲取是否成功。（2）查找證據對于新時代的計算機犯罪偵查人員而言，由于面對全新的計算機犯罪形式，對于如何進行搜查，從何處入手搜查等都需要進行仔細的研究，同時也有許多困難要克服。搜查的對象、地點、執(zhí)行和提取等都表現(xiàn)出特殊性，如果偵查人員不能掌握電子證據的搜集規(guī)律，并遵循一定的規(guī)則，則會導致證據的遺漏和法律效力上存在問題。（3）收集證據證據手段收集過程的復雜性反應出案件本身的復雜性。在證據收集的過程中，應盡可能地收集一切通過合法手段獲取的信息。計算機取證人員是否能找到犯罪證據取決于：有關犯罪證據必須沒有被覆蓋；取證軟件必須能找到這些數(shù)據；取證人員能知道這些文件，并且能證明它們與犯罪有關。由于電子證據的特點，一旦離開案件的事發(fā)地就可能永遠無法再找回證據了。如計算機系統(tǒng)日志、互聯(lián)網服務提供商的日志等只保存30天。而一旦超過期限就會被覆蓋重寫，再也無法找回。（4）證據固定保全只有證據保存符合法律手續(xù)，其真實性和可靠性才有保障。不符合法定的手續(xù)和要求的證據，則可能存在人為的因素偽造、變造、調換或由于自然因素發(fā)生變化的可能性。對存儲介質操作前應先進行寫保護，并打封簽字，避免介質損壞或被修改。對獲取的電子證據采用安全措施進行保護，非相關人員不準操作存放原始電子證據的計算機。（5）審查證據在計算機犯罪證據的取證過程中，取證人員往往要面對繁雜的電子證據。由于電子證據本身的特點及數(shù)字取證的復雜性，如何從中分析、辨識異常數(shù)據與正常數(shù)據，審查判斷出與案件相關的的電子證據，也是計算機犯罪取證的關鍵。這通常要運用專用的輔助分析軟件工具對數(shù)據進行篩選，根據數(shù)據確定犯罪實施的過程。（6）分析證據根據獲取的電子證據，分析還原出計算機犯罪的過程，發(fā)掘同一事件的不同證據直接的關聯(lián)，甚至是不同事件的證據關聯(lián)。根據對犯罪嫌疑人的計算機設備情況的分析，掌握犯罪嫌疑人的計算機技術水平，進一步獲取可能的隱藏證據。（7）給出結果并整理訴訟依據在計算機犯罪證據獲取的最后階段，應證據取證分析的結果供法庭作為訴訟證據，為確保證據的可信度，必須對各個步驟的情況進行歸檔以使證據經得起法庭的質詢。

結束語

計算機犯罪是伴隨著電子計算機、互聯(lián)網和信息技術的產生和應用而出現(xiàn)的一種新型犯罪形式。面對日益增加的計算機犯罪案件的發(fā)生，加強計算機犯罪偵查手段、提高偵查人員的技術水平越來越迫切。計算機取證所面臨的問題是入侵者的犯罪手段和犯罪技術的變化，計算機犯罪取證還需要更高的技術和軟硬件配套發(fā)展。

作者：孫 莉 單位：河南警察學院信息安全系