探索计算机犯罪案件的侦查

主要是侦查机关在办理其它案件的过程中发现的有关计算机犯罪的情况，特别在侦查金融领域的犯罪案件时发现的计算机犯罪问题。主动发现计算机犯罪线索这是主要指公安机关的计算机网络监察部门或国家安全机关履行法定职责，主动去发现计算机犯罪。目前，这种情况主要是针对网络系统，发现犯罪线索的方法主要有几种。1）建立专门的网络系统来发现犯罪线索。即通过建立一个完善的获取计算机犯罪信息的网络系统，运行该系统来搜集线索。如现在网上电子警察的建立，就是不断地在网络上进行“巡逻”，发现犯罪迹象和线索。2）通过组织“浏览日”活动发现线索。即在特定的时间在网上搜寻某一特定种类的犯罪活动，来发现犯罪线索。3）利用专门工具对黑客行为进行监视，从中发现犯罪线索。这是针对黑客行为在网络犯罪中占据及其重要的位置而提出的一种发现线索的方法。

计算机犯罪案件的技术侦查途径

计算机犯罪是一种智能型犯罪，在表现形态、犯罪手段等方面与传统犯罪有很大不同。计算机犯罪案件侦查中，应针对具体案情，多方寻求、认真论证、择优确定并及时调整侦查途径，通过常规侦查措施与运用计算机技术相结合的方式开展工作。（1）勘查保护外部现场。提取现场脚印、指纹、现场遗留物、门窗锁具撬压痕迹、监控器录像资料等，封存各类备份资料，如备份程序、数据、打印材料、系统信息、日志、工作记录等。这些证据虽不直接与计算机发生联系，但很可能作为划定嫌疑人范围或嫌疑人同一认定的有力证据。（2）询问有关人员包括当事人、系统管理员、操作员、安保人员、现场人员、知情人、嫌疑人等。了解案发前后设备及系统运行状态、有无异常、有过何种操关操作。相关人员有无异常表现。注意参考其他刑事案件的询问技巧和方法。（3）根据被取证计算机是否接入网络，计算机犯罪取证分为独立计算机的取证和网络计算机的取证。针对不同的犯罪类型，运用专业知识或人员查找电子证据。1）从对计算机文件搜查入手。以计算机为工具的犯罪，往往在计算机中存有犯罪嫌疑人留下的电子痕迹，还有一些人会把与犯罪相关的重要信息资料储存在计算机内。这种情况下，需要对计算机及移动存储器等外设进行搜查。搜查时可利用专用浏览、恢复删除、物理扫描、解密等工具软件，查找可疑文件。对隐藏或加密的硬盘分区和文件、能够恢复的被删除文件以及非正常用途文件，要重点审查。2）从查找系统信息记录文件入手。计算机系统中都存有日志、系统注册表等系统记录文件和信息，从这些记录中可以发现对系统的访问、操作、更改等情况。尽管有时作案人想到消除记录，但也常由于作案时间不充裕或自身技术水平不够高而删除不了所有证据，留下犯罪信息，查找到这些信息能为侦查工作指引方向。3）从采取网络接入设施监测入手。这是计算机犯罪案件侦查中经常选用的侦查途径。即利用犯罪分子往往会再次登录、重复侵入的特点，采取网络监测手段，在受害系统中设置更加完善的审计监察、跟踪监测系统，或设立虚假系统陷阱，在犯罪嫌疑人再次登录或入侵时，即时响应、报警，监测并记录入侵时间和手段、所在终端、对计算机系统所进行的非法操作以及导致的结果等信息。4）从有关接入网站记录入手。入侵计算机系统并进行破坏的犯罪，受害系统中的犯罪记录很可能连同系统一同被破坏。这种情况下，可以从有关网络站点的记录入手开展侦查。因为一般的计算机系统都只与几个固定的站点直接相连，无论从何处入侵受害系统都必须经由这些站点。通过检查有关站点的通讯记录发现蛛丝马迹，再沿迹追踪，可能获取更多线索。

计算机犯罪证据的获取

目前，利用计算机和网络作为犯罪工具或针对计算机资产进行犯罪，已成为高科技犯罪的一种新动态。在这些案件中的取证，是把计算机看作犯罪现场，运用先进的辨析技术，搜寻确认罪犯及其犯罪证据，并据此提起诉讼。计算机犯罪证据的获取主要包括几个环节。（1）现场勘查案件现场勘查是指调查人员依照《公安机关办理刑事案件程序规定》和《公安机关办理行政案件程序规定》等规定，使用计算机科学技术手段和调查访问的方法，对与案件有关的场所、物品及犯罪嫌疑人、可能隐藏犯罪证据的人的身体进行搜查，并对相关证据扣留封存的一种侦查和调查活动。由于电子证据的易失性，为避免犯罪证据的破坏，现场勘查的效果和及时性直接影响犯罪证据获取是否成功。（2）查找证据对于新时代的计算机犯罪侦查人员而言，由于面对全新的计算机犯罪形式，对于如何进行搜查，从何处入手搜查等都需要进行仔细的研究，同时也有许多困难要克服。搜查的对象、地点、执行和提取等都表现出特殊性，如果侦查人员不能掌握电子证据的搜集规律，并遵循一定的规则，则会导致证据的遗漏和法律效力上存在问题。（3）收集证据证据手段收集过程的复杂性反应出案件本身的复杂性。在证据收集的过程中，应尽可能地收集一切通过合法手段获取的信息。计算机取证人员是否能找到犯罪证据取决于：有关犯罪证据必须没有被覆盖；取证软件必须能找到这些数据；取证人员能知道这些文件，并且能证明它们与犯罪有关。由于电子证据的特点，一旦离开案件的事发地就可能永远无法再找回证据了。如计算机系统日志、互联网服务提供商的日志等只保存30天。而一旦超过期限就会被覆盖重写，再也无法找回。（4）证据固定保全只有证据保存符合法律手续，其真实性和可靠性才有保障。不符合法定的手续和要求的证据，则可能存在人为的因素伪造、变造、调换或由于自然因素发生变化的可能性。对存储介质操作前应先进行写保护，并打封签字，避免介质损坏或被修改。对获取的电子证据采用安全措施进行保护，非相关人员不准操作存放原始电子证据的计算机。（5）审查证据在计算机犯罪证据的取证过程中，取证人员往往要面对繁杂的电子证据。由于电子证据本身的特点及数字取证的复杂性，如何从中分析、辨识异常数据与正常数据，审查判断出与案件相关的的电子证据，也是计算机犯罪取证的关键。这通常要运用专用的辅助分析软件工具对数据进行筛选，根据数据确定犯罪实施的过程。（6）分析证据根据获取的电子证据，分析还原出计算机犯罪的过程，发掘同一事件的不同证据直接的关联，甚至是不同事件的证据关联。根据对犯罪嫌疑人的计算机设备情况的分析，掌握犯罪嫌疑人的计算机技术水平，进一步获取可能的隐藏证据。（7）给出结果并整理诉讼依据在计算机犯罪证据获取的最后阶段，应证据取证分析的结果供法庭作为诉讼证据，为确保证据的可信度，必须对各个步骤的情况进行归档以使证据经得起法庭的质询。

结束语

计算机犯罪是伴随着电子计算机、互联网和信息技术的产生和应用而出现的一种新型犯罪形式。面对日益增加的计算机犯罪案件的发生，加强计算机犯罪侦查手段、提高侦查人员的技术水平越来越迫切。计算机取证所面临的问题是入侵者的犯罪手段和犯罪技术的变化，计算机犯罪取证还需要更高的技术和软硬件配套发展。

作者：孙 莉 单位：河南警察学院信息安全系