單位犯罪現場中以計算機為中心的線索挖掘

李娜（中國刑警學院 遼寧 沈陽 110035）

單位犯罪現場中以計算機為中心的線索挖掘

李娜
（中國刑警學院 遼寧 沈陽 110035）

單位犯罪現場較為復雜，公安機關在具體辦案實踐過程中碰到很多難題，因此亟需對在單位犯罪現場進行以計算機為中心的線索挖掘搜集進行研究。在分析單位犯罪現場特點的基礎上，結合實踐案例，介紹了單位犯罪現場中以計算機為中心的線索挖掘規則和方法。

單位犯罪現場 計算機取證 線索挖掘

1 引言

在涉計算機的犯罪數量越來越多的背景下，在犯罪現場需要對計算機進行線索挖掘的需求也變得越來越多，有時，為了成功辦理犯罪案件，從計算機中挖掘線索是一個必要環節。在很多犯罪現場，通過對計算機中線索進行挖掘，可以幫助偵查員成功地偵破犯罪案件。由于計算機線索的脆弱性和易失性等特點，在犯罪現場挖掘計算機中線索的效果會很明顯。在現場完成線索挖掘的第一步就是勘查現場的計算機，這將決定著后續偵查工作的成功與否。在挖掘計算機中線索的同時不可忽視傳統線索的挖掘，尤其不可忽視計算機中線索與傳統線索的相互關聯的挖掘。在單位犯罪現場，情況更為復雜，因此尤其要重視各種線索的關聯。在單位犯罪現場進行以計算機為中心的線索挖掘的原因主要有兩個：一是計算機中的數據非常脆弱，而且容易消失，有時是很難再恢復，甚至是不可能恢復的，所以必須要在犯罪現場挖掘計算機中線索；二是在單位犯罪現場網絡拓撲結構復雜，如果不在現場進行勘查，復雜的網絡拓撲結構很難再重建。所以，必須要在單位犯罪涉及計算機的犯罪現場挖掘計算機中的線索，并且要運用恰當的、合適的方法與技巧，以達到成功辦理此類案件的目的。

2 單位犯罪現場概述

2.1 單位犯罪現場概念

犯罪現場的概念主要有以下 3種：一是從法學理論角度出發，犯罪行為依次在犯罪預備、犯罪實施和犯罪終止三個階段進行，犯罪現場則認定為在這些階段里發生和存在犯罪行為活動的空間場所；二是從痕跡學的角度則認為，犯罪現場就是實施犯罪行為和遺留有與犯罪有關的痕跡、物證的場所，不能僅僅理解為發生或實施犯罪的那個地點本身，而應理解為發生或實施犯罪的地點和可能留有痕跡、物證的周圍關聯場所；三是從案件要素結構來看，犯罪現場是指與犯罪行為有關的人、物、時、空的存在及其內在聯系的綜 合 。[1]

歐煥章教授主編的 《現場勘查學》 認為犯罪現場是指犯罪分子進行犯罪的地點和留有犯罪痕跡物證的有關場所。計算機犯罪現場是除了具備上述特點外,還有其自身的特殊性。通常，計算機犯罪現場總是與計算機有關，計算機的高技術含量使犯罪信息可能隱藏在各個環節或處于不同狀態。[2]計算機犯罪現場是指犯罪嫌疑人實施犯罪活動時所操控的或存在的計算機系統與相關和配套的附屬設備、設施、網絡傳輸節點等的有關場所。本文中單位犯罪現場是指犯罪分子實施犯罪活動的單位地點和留有犯罪痕跡物證的有關單位場所。由于信息化的發展，在單位犯罪現場必定有計算機及其相關的和配套的附屬設備、設施，本文重點對計算機、計算機網絡以及傳統現場中所留有的線索進行挖掘，并進行互相關聯，從而達到偵破案件的結果。

2.2 單位犯罪現場特點

2．2．1 線索分布廣

在單位犯罪現場中，因為空間大，設備多，因此線索分布區域大，可能性多，難于挖掘。計算機與計算機網絡設備中的線索具有存在形式多樣、載體豐富、位置隱藏、結構復雜、易失等特點，同時，線索存在位置多樣，既可以存在于硬盤、U盤、光盤、SD卡、SIM卡等可見設備中，又可以存在于內存、網絡傳輸數據流、無線傳輸數據流等不可見的媒介中，還可以存儲在任何的網絡節點中。

2．2．2 設備隱蔽

單位犯罪現場中的設備可以隱藏在單位現場的任何一個區域、房間甚至是角落，在線索實踐時，挖掘出有價值的設備是最耗費精力和時間的環節。

2．2．3 結構復雜

單位犯罪現場中，無論是傳統設備還是計算機拓撲結構都相當復雜，而在單位犯罪現場中，計算機的拓撲結構往往會對案件的偵破起著關鍵性的作用。

2．2．4 人員多

單位犯罪現場中，人員眾多，關系復雜，因此在單位犯罪現場中要梳理人員之間的關系與控制案件相關人員也會影響案件的偵破。

3 單位犯罪現場以計算機為中心的線索挖掘

在單位犯罪現場，進行線索挖掘時，有 3個方面的工作要做：第一個方面是要挖掘計算機中線索，這里的線索往往是最直接的線索；第二個方面是要挖掘計算機網絡拓撲結構中的線索，因為現在幾乎沒有不聯網的計算機，尤其是在單位現場，計算機都以某種形式與互聯網或局域網相連，因此網絡拓撲結構中往往包含有與案件有關的線索；第三個方面是要挖掘傳統的線索，無論辦理什么樣的犯罪案件，它本質都是一起犯罪案件，既然是犯罪案件就離不開傳統線索的挖掘。

3.1 計算機中線索挖掘

在涉及計算機的單位犯罪現場，應該對計算機實施勘驗，以挖掘和固定現場存留的與犯罪有關電子證據與線索。計算機中易失線索挖掘是計算機犯罪現場勘驗檢查的重要組成部分。

在挖掘計算機中線索時要圍繞著計算機線索的特點和案件的性質來確定線索的搜集內容或者方向。根據計算機線索隱蔽性的特點，首先要挖掘計算機中隱藏與加密的數據；根據案件的性質，還要挖掘與案件直接或間接相關的線索；最后，需要挖掘與計算機相關的其他設備中的線索，并對計算機進行扣押。這也是單位犯罪現場中以計算機為中心的線索挖掘的關鍵內容。

在挖掘計算機中線索時，有3類數據必須要挖掘，一是隱藏與加密的數據；二是單位計算機系統中的相關數據庫；三是能夠指向犯罪證據的特定線索。

3．1．1 計算機中隱藏與加密線索挖掘

如果單位犯罪現場中的計算機正在運行，不要貿然關機，而應該立即對此類數據進行挖掘，因為有一些正在運行的隱藏程序、軟件在關機后，相關信息亦會丟失，無法恢復。例如，進程信息、正在編輯的未保存的文檔、正在瀏覽的網頁、網絡信息等。

有一些程序即使正在運行也無法從電腦屏幕上判斷出來，不要說后臺程序，即使是應用程序也很難通過電腦屏幕上進行判斷，但是可以通過進程程序判斷出來有哪些程序在運行，從而挖掘出隱藏的線索。以QQ為例，默認狀態下，QQ程序在運行時，其圖標都是顯示在任務欄的，而經過設置之后，QQ圖標卻可以消失，令偵查員無法判斷其是否在運行。如圖1所示，任務欄并沒有顯示QQ圖標，這會給偵查員以錯覺，以為沒有QQ程序在運行，而通過調用進程程序卻可以判斷出“QQ.exe”程序是在運行的，也就是說這臺計算機中的QQ程序正在運行，只不過經過設置后，QQ圖標被隱藏了，這種設置在QQ程序中的“系統設置”中即可完成，如圖2所示。

圖 1 任務管理器

有些軟件，例如網絡賭博的客戶端，金融管理軟件等都是有密碼保護的。如果在犯罪現場，發現了此類軟件正在運行，那么必須立刻進行線索挖掘和證據固定，如果關機，有可能將再也無法獲得密碼，導致無法再獲得此類線索和證據。而越是有密碼保護的軟件往往越是存儲著關鍵的線索和證據。例如，網絡賭博案件中，有一些代理通過網頁實施犯罪，有些代理通過客戶端程序實施犯罪，不論哪種情況，他們的賬戶都是有密碼保護的，如果在犯罪現場發現了此類程序正在運行，必須立即挖掘或固定下相關證據。同時，對于網頁中的星號密碼，也要及時獲取，以進行密碼關聯與試探。

圖 2 QQ即使通訊軟件的“系統設置”窗口

3．1．2 數據庫線索挖掘

單位為了完成特定任務、進行人員管理或者財務管理通常會采用各種數據庫的形式來實現，因為在單位犯罪現場對計算機相關線索進行收集時，數據庫線索是重要的組成部分。常見數據庫系統有DB2 （IBM）、ORACLE、INFORMIX、Sybase、SQL Server、Postgre SQL、MySQL、Access、Foxpro等，有的數據庫是單機版，有的數據庫是網絡版。在單位犯罪現場，對不同的數據庫的線索挖掘的側重點也不同。

在筆者辦理的一起KTV販賣假酒案中，在計算機中發現了名為“陽光KTV管理系統”的管理軟件，如圖 3所示。

圖3 陽光KTV管理系統

此外，在計算機中還發現了 Sybase軟件，如圖 4所示。這就意味著，這個“陽光 KTV管理系統”必須要訪問某個服務器來完成對KTV的管理工作。

偵查員接下來需要挖掘的線索是這個管理系統訪問的服務器的 IP地址是什么，從而進一步確定服務器的物理位置。偵查員圍繞著Sybase檢查計算機，查找Sybase相關的文件，如圖5所示。最后，在這臺計算機中挖掘出了服務器的 IP地址，IP地址是129.134.4.200，如圖6所示，這個IP地址所在的服務器就是“陽光KTV管理系統”所訪問的服務器，從而確定了重要服務器的IP地址。

圖 4 Sybase for W indows NT軟件

圖 5 查找 Sybase相關文件

圖 6 服務器的IP地址

3．1．3 挖掘案件相關線索

挖掘出與案件相關的線索是找到證據的關鍵，也是辦理案件的關鍵。在挖掘相關線索之前，必須要對犯罪類型有所了解，不同類型的案件，挖掘計算機中線索的側重點也不同。如果是追查在逃人員，在對其居所內對其計算機進行線索挖掘的側重點就是犯罪嫌疑人可能藏匿的地點、逃跑的路線等。例如，馬加爵殺人案，民警在對馬加爵的計算機進行勘查時，發現馬加爵在潛逃之前瀏覽了大量關于海南省一個小漁村的相關網頁，包括這個漁村的位置、居民的受教育程度等情況。據此，偵查員判斷這個地點很有可能是馬加爵的藏匿地點。

3.2 網絡拓撲結構線索挖掘

現在幾乎所有的計算機都以某種形式與網絡相連，不論是互聯網還是局域網，單位中假設各種網絡拓撲結構實現對計算機的管理更是常見，在網絡的拓撲結構中很可能包含著與犯罪案件相關的線索，因此在挖掘單位犯罪現場線索時，網絡拓撲結構線索不容忽視。網絡拓撲結構如圖 7所示，常見的網絡拓撲結構有星型結構、環型結構、總線型結構、樹型結構、網狀結構、蜂窩結構、混合型結構、無線電通信。在單位犯罪現場，對不同的數據庫的線索挖掘的側重點也不同。

以網絡盜竊案件為例，偵查員除了要挖掘涉案計算機中的線索，還應該要挖掘相關網絡拓撲結構中的線索。犯罪嫌疑人為了要達到網絡盜竊的目的，勢必會在受害人的計算機中植入某種惡意程序或木馬程序，木馬程序可能植入在某個交換機中，也可能植入在主交換機匯總中，如圖7所示。如果在受害人的計算機中沒有發現此類程序，那么就很可能在其局域網中的某臺設備中植入了類似的程序，通過局域網中這臺設備中的惡意程序來完成盜竊犯罪。例如，在某超市的盜竊案件中，犯罪嫌疑人將惡意程序植入在交換機中，通過遠程登錄修改服務器中的數據，實現網絡盜竊犯罪。

圖7 網絡拓撲結構

3.3 傳統線索挖掘

無論在什么樣的犯罪現場，無論涉及不涉及計算機，傳統的線索都要挖掘與收集，例如足跡、指紋、視頻監控等。另外，在涉及計算機的犯罪現場往往需要扣押計算機，在拔掉所有插頭之前，務必對連線和插口進行對照標注，如圖8所示，以備日后重建現場。

在之前的KTV販賣假酒案件中，偵查人員在查找存有財物軟件的計算機時進展很慢，因為場所大、結構復雜，難于發現。但是在查看監控錄像時，發現有個房間中有保險箱和點鈔機，并且偵查人員從未進入此房間，如圖9所示。初步判斷是財務室，并最終在這個房間中發現了財物軟件，從而固定下犯罪證據。

圖8 連線和插口的標注

圖9 監控錄像中的財務室

4 結論

在單位犯罪現場中進行線索挖掘時，偵查員應該遵循正確的和恰當的原則、方法。因為現在絕大多數的犯罪都涉及計算機，因此挖掘計算機相關的線索非常重要，有時甚至起著決定性的作用。此外，單位犯罪現場中往往涉及復雜的拓撲結構。計算機網絡拓撲結構中也容易隱藏著與案件有關的線索，因此在挖掘線索時，不可忽視計算機網絡拓撲結構。當然，不管是什么犯罪，其本質都是犯罪，因此傳統線索挖掘也必須要做。將三者結合起來，完成在單位犯罪現場中以計算機為中心的線索挖掘工作才能成功地辦理相關犯罪案件。

[1]李喆 ，馬?。嬎銠C犯罪現場及現場電子數據處理研究[J]．信息網絡安全，2012，(5)：49．

[2]羅文華，胡欣，吳連鋒．計算機犯罪現場的認定[J]．警察技術，2007，（3）：38．

（責任編輯：孟凡騫）

DF793.5

A

2095-7939(2015)03-0038-04

2015-03-10

李娜（1978-），女，山東文登人，中國刑警學院網絡犯罪偵查系講師，碩士，主要從事網絡犯罪偵查、網絡安全管理研究。