網上非法販賣槍支彈藥案電子數據取證方法研究

馬賀男（中國刑警學院 遼寧 沈陽 110035）

網上非法販賣槍支彈藥案電子數據取證方法研究

馬賀男
（中國刑警學院 遼寧 沈陽 110035）

隨著互聯網的廣泛應用，利用互聯網非法販賣槍支彈藥案件逐漸增多。而且我國的涉槍案件多與一些“惡、賭、毒”犯罪交織在一起，給社會治安帶來了嚴重的隱患。在分析網絡非法販賣槍支彈藥案件的證據要點基礎上，對網絡非法販賣槍支彈藥案件的一般電子數據取證方法進行了總結和分析。

互聯網 非法販賣 槍支彈藥 特點 電子數據取證

隨著信息技術的飛速發展和廣泛運用，針對和利用計算機犯罪的案件越來越多，而非法販賣槍支、彈藥這一傳統的違法行為也依托網絡成為新型的犯罪手段，依靠網絡所具有的傳播范圍廣、花費時間少、所需條件容易滿足等特點，迅速在我國蔓延，造成了嚴重的社會危害。而在網上販賣槍支彈藥案件中，由于買賣雙方都是通過互聯網遠程溝通完成交易，因此，公安機關在查處此類案件時，除要獲取涉案人口供、物證等傳統證據之外，還需特別注意涉案電子數據證據的采集與提取。而隨著刑訴法的實施，電子數據證據已成為法定證據類型之一，但國內外相關文獻中對此類案件的電子數據取證方法研究并不多。因此，本文結合實際案例，在分析了非法販賣槍支彈藥案件的證據要點的基礎上，對此類案件的涉案計算機的電子數據取證步驟和方法予以分析和總結，希望能為進一步提高此類案件的電子數據取證工作水平和效率提供一定的助力。

1 網上非法販賣槍支彈藥的概述

1.1 網上非法販賣槍支、彈藥案的特點

1．1．1 多為跨境犯罪

近年來，由于黑槍價格越來越高，販賣黑槍的暴利令許多人不顧風險加入這個行列。通常，販槍人員從我國周邊國家物色槍支，價錢談妥之后，由當地的賣家安排人員，避開邊境口岸將貨送到我國境內。由于挑夫步行跨境目標小、風險低，所以這是槍販子最常用的方法之一。

1．1．2 涉槍案件多與“惡、賭、毒”犯罪交織

根據江蘇省南京市檢察院的統計，在其近幾年辦理的110件涉槍案件里涉槍團伙常與黑惡勢力犯罪交織，涉槍案件中有27起案件與“惡、賭、毒”犯罪有關。

1．1．3 一般不當面交易

因為槍支的敏感性和販賣槍支的違法性，犯罪嫌疑人一般利用阿里巴巴的支付寶交易，在買家確認收到槍支前，由支付寶替買賣雙方暫時保管貨款，等買家收到槍模后，再通過支付寶將錢支付，雙方一般從不當面交易。

1．1．4 團伙化趨勢明顯，組織嚴密，分工明確

團伙犯罪是當前非法制販槍支案件的一個突出特點。網絡非法制販槍支、彈藥的團伙在網上有嚴密的組織紀律和管理體系，犯罪嫌疑人的職業化、專業化程度較高，團伙成員之間也采用單線聯系，分工越來越細，有專人負責采購原材料、造槍、牽線、看貨、運輸、銷售等環節的犯罪活動。

1.2 網上非法販賣槍支彈藥犯罪的主要形式

1．2．1 依托購物網站，以暗語方式進行非法販賣

犯罪嫌疑人在淘寶等購物網站上注冊網店，專門銷售槍支、彈藥、仿真槍、鉛彈等，利用阿里旺旺聯系，通過支付寶等方式付款的販賣形式。

1．2．2 架設專門的銷售網站進行非法販賣

犯罪嫌疑人以其他商品的名義設立專門的銷售網站，然后采用在網上發布信息、手機聯系確認、銀行轉賬確認到款、物流快遞運送槍支的一系列系統的銷售方法。

1．2．3 利用 QQ群，在網上發布有關販賣槍支的信息并進行聯絡溝通

犯罪嫌疑人一般建立一個QQ群或者藏匿于一些有購買可能的QQ群中（如，槍支愛好者QQ群），伺機尋找到有需要買槍的買家就立刻現身與買家聯系，確認身份后即開始交易。

1．2．4 利用論壇或信息發布網站，在網上發布有關販賣槍支的信息

犯罪嫌疑人利用論壇，在網上發布有關販賣槍支的信息，從而尋求買家，實施販賣活動。

1．2．5 熟人介紹客源，網絡工具溝通議價

犯罪嫌疑人往往不掌握固定的客源，在網上也很難尋覓買家，這時有些犯罪嫌疑人就找到一些總在網絡中混跡的熟人，請他們來介紹客源，因其常年在網絡中混跡，所以對上網的人的種類比較了解，能為非法販賣槍支的賣家找到很好的渠道。等到買賣雙方達成協議后，買家與賣家再通過 QQ、MSN等網絡工具溝通議定價格。

2 網上非法販賣槍支彈藥案的電子數據證據取證要點

在網絡販賣槍支、彈藥案件中通常的交易模式是：買賣雙方主要是通過 QQ、MSN等通信方式聯絡對方，在達成雙方都滿意的價格后，通過貨幣交易平臺，例如支付寶或銀行賬戶完成貨幣交易，而買賣中的實際貨品—— 槍支、彈藥則被拆裝成零件或填寫成其他物品利用快遞或者物流等運輸手段，發到買家手中。在買家拿到了槍支、彈藥后，本次非法販賣槍支、彈藥的罪名才算成立。

而在網上非法販賣槍支彈藥過程中最重要的證據要點就是買賣雙方一定要達成真實的交易。所以，在針對此類案件進行電子數據取證分析時，應重點從以下方面提取證據。

2.1 犯罪嫌疑人使用的主機中的各類文檔信息

在網絡非法販賣槍支、彈藥的案件中嫌疑人使用的主機一般都會存有其非法販賣槍支的記錄，例如有關槍支買賣的文檔信息、賬目信息等，所以公安機關在抓獲犯罪嫌疑人后可以檢驗其使用過的主機，從中獲取證據。

2.2 網站的日志記錄

在此類案件中，有時犯罪嫌疑人是通過在網上發帖或自設網站的方式來尋找買家的。因此，分析發帖網站的日志記錄，可以幫助我們提取屬于嫌疑人的訪問日志，明確發布信息人的IP信息、注冊信息等。而通過分析販賣網站后臺的日志記錄，可以幫助我們查找到曾經登錄該網站，購買槍支人員的登錄信息情況。

2.3 通信信息

網絡販賣槍支彈藥的案件犯罪嫌疑人在進行交易的時候一般都會事先與買家達成交易價格，他們聯絡的方式一般都是QQ、MSN等聊天軟件，所以，對聊天記錄進行檢驗也是證明犯罪事實的常見方法。

2.4 支付寶轉賬和銀行賬號信息

網絡非法販賣槍支彈藥的犯罪嫌疑人與買家達成合適的價格后一般都會通過銀行轉賬或是支付寶轉賬的方式進行槍錢之間的交易。所以，對犯罪嫌疑人主機中此類轉賬信息和賬號信息的檢驗也是此類案件的一項檢驗工作。

2.5 物流信息

網絡非法販賣槍支彈藥的案件中，最后賣家一般都是把槍支彈藥拆分成零件，然后寫上一些不引人注意的名字（如水暖器件等），通過快遞公司把槍支零件送到買家手中。所以，檢驗賣家的物流送貨清單，以及清單編號和物流公司的交易記錄也是對于此類案件取證的一種新途徑。

2.6 網站源代碼信息

在網絡非法販賣槍支、彈藥案件中，公安機關可以檢驗犯罪嫌疑人用來販賣槍支的網站源代碼，分析其網站的IP地址、后臺數據庫信息（可能含有所販賣槍支、彈藥的種類、數量、性能等信息） 從而確定其具體的犯罪證據。

2.7 智能手機可能存有的涉案信息

在網上非法販賣槍支、彈藥案件中最主要的證據來源一般就是計算機內所存留的涉案信息，但隨著智能手機的不斷普及，手機也成為此類案件中重要的即時通信 （如 QQ、微信和阿里旺旺等）、網絡轉賬信息的存儲介質。因此，針對手機中這些可能存有的信息的提取對案件的偵辦也有著重要的現實意義。

3 網上非法販賣槍支、彈藥案件的電子數據取證的一般步驟和方法

下面就分別針對計算機和手機兩類介質的取證步驟和方法予以介紹。

3.1 計算機磁盤內信息的電子數據取證步驟與方法

雖然由于各計算機系統內所安裝軟件和使用習慣有所不同，使具體的檢驗步驟也不完全相同，但一般對此類案件可以按照以下步驟和方法來完成。

3．1．1 磁盤文件信息初步瀏覽

在對磁盤做具體檢驗操作前，先對涉案計算機磁盤上的信息進行初步的瀏覽以明確下一步具體的檢驗工作是十分必要的。在瀏覽信息時一般主要關注以下幾個內容。

（1） 明確有無可能與案件相關的軟件，如網頁制作軟件及數據庫管理軟件。由于網上非法販賣槍支彈藥案件有時是自己創建網站進行販賣活動，所以，在犯罪嫌疑人的計算機中有可能有一些有關網頁制作的工具軟件和用于后臺網站管理的數據庫軟件。因此，首先瀏覽明確一下機器中是否有這類的軟件，對我們進一步檢驗工作是有指導意義的。

（2）明確涉案機器中所使用的即時通信工具類型及版本。通過初步檢查，可以明確犯罪嫌疑人上網時，慣于使用哪類（些）即時通信工具、通信工具所使用的賬號信息、聊天信息等。如QQ，我們可以在QQ的安裝路徑下找到曾經于這臺機器使用過的QQ號碼信息，聊天過程中曾經發送、接收的圖片信息，最后一次聊天的時間以及QQ的版本情況等，以明確具體聊天記錄的提取方法和可能使用的關鍵字信息。而像 MSN這類軟件我們甚至可以直接讀取出聊天記錄信息。

3．1．2 文檔信息重點查閱

在網上非法販賣槍支、彈藥案件中，犯罪嫌疑人經常會以文檔的形式，記錄存儲一些涉案相關的信息，如犯罪嫌疑人的通信錄信息、賬目信息、銀行賬號、轉賬、快遞物流等信息。因此，對文檔文件的查閱是十分重要的。

（1） 正常的文檔文件。即未進行加密、刪除、修改或是隱藏等處理的文檔，主要包括.txt、.doc、.xls、.rtf等文件。此類文件可利用取證軟件所提供的過濾功能，進行分類查閱，整理分析。如圖1對犯罪嫌疑人的主機利用 Encase進行分類查閱時，在.txt文檔中發現的交易記錄。

（2）處理過的文檔文件。即進行加密或是“修改”隱藏處理過的文檔。在有些案件中，犯罪嫌疑人會通過對文件修改擴展名的方式進行處理，以達到隱藏文件的目的。此時，需要通過取證軟件的文件簽名信息來明確文件的原本屬性，從而進一步查看分析。如圖2為通過Encase軟件的文件簽名功能，檢驗出的有利用修改文件擴展名來隱藏掩飾文件的情況，該文件原本是一個.txt的文本文件。而對于加密文檔，我們則可以通過 X-Ways軟件“磁盤快照”功能中的“加密文件檢測”來幫助我們快速確定出應該重點關注的這些加密文檔。如圖3所示，加密的文檔經檢測后，其屬性信息會顯示為“e!”。

圖 1 對犯罪嫌疑人的主機進行分類查閱，在.txt文檔中發現的交易記錄

圖2 利用Ecase軟件檢驗出的處理過文件擴展名的文件

圖3 利用 X-Ways軟件檢驗出磁盤中的加密文件

（3） 刪除文件的恢復。有時犯罪嫌疑人為了掩蓋罪行，會將一些重要的文檔信息刪除，此時，我們需要利用Finaldata、Easyrecovery等這類的數據恢復軟件將已刪除的文檔予以恢復，從而獲得與案件相關的重要信息。如圖4是對犯罪嫌疑人的主機進行數據恢復時發現的銀行交易記錄。

圖 4 犯罪嫌疑人與買家的銀行交易記錄

3．1．3 圖片文件查找分析

在網上非法販賣槍支彈藥案件中，犯罪嫌疑人一般是通過網絡交涉槍支的型號、價錢及外觀情況，所以，一般在涉案人員的機器內可能存有與案件有關的槍支圖片信息，并從中獲得涉案槍支的型號、價格、工藝情況等信息，如圖5是檢驗出的槍支販賣信息及價格。

3．1．4 整理歸納、深入挖掘，明確查找的重點

通過前面的查閱和瀏覽后，我們應該把所得的信息進一步進行整理歸納，以期為后續的檢驗工作整理出一個明確的思路和檢驗方向。如在某網上販賣槍支彈藥案的鑒定中，通過瀏覽文件和查閱文檔后獲得了QQ號碼、銀行賬戶信息、賬目信息等相關內容，對這些信息進行歸納整理，可以為后續的檢驗工作明確查找信息的重點和關鍵字的設置。

圖5 從犯罪嫌疑人主機上檢驗出的部分槍支販賣信息及價格

3．1．5 結合案情和檢驗要求深入分析，查找更多相關證據

（1） 對于自己架設網站販賣槍支的犯罪嫌疑人計算機。我們可以分析其網站后臺數據庫信息，以明確該網站的實際交易情況。如涉案金額、涉案人員、銀行賬號、物流信息等。如圖6為檢驗出的犯罪嫌疑人機器后臺數據中有關槍支買賣情況的部分數據庫信息。

圖6 數據庫中有關槍支買賣的部分信息

如圖7是檢驗出的犯罪嫌疑人機器后臺數據中有關物流快遞的部分數據庫信息。

圖7 數據庫中有關物流快遞等方面的部分信息

（2） 對采用即時聊天工具作為作案時主要聯絡工具的案件。一方面要對即時通信聊天記錄的信息進行分析，發現犯罪事實，得到案件線索。同時，還應對該即時通信軟件進行分析或試驗，利用軟件的自身功能查找到犯罪嫌疑人的注冊信息，從而幫助我們“了解”犯罪嫌疑人的特征，為檢驗提供指引。

另外，由于網絡即時通信工具種類繁多，其中跟案件息息相關的信息，如聊天記錄所存儲的位置、格式、加密方式均不相同，為了能及時有效的獲得信息，如果有條件的話我們可以采用專業的取證軟件來獲取。但對于目前使用較多的QQ，由于其在2008之后的版本通常的軟件的提取效果都不是很好，此時我們可以試試利用 Encase設置欲調查人 QQ的昵稱作為關鍵字，來查找尚存于交換分區中的部分聊天記錄，如圖8是某案中查找到的QQ聊天記錄。

圖 8 利用 Encase獲得的聊天記錄信息

3.2 手機內信息的電子數據取證

由于目前此類案件中針對手機的電子數據取證，多是對即時通信、短信和文檔這些常規信息的提取，因此，我們通?？梢灾苯邮褂萌∽C工具來完成信息的提取，如圖9所示，即是利用DC4500工具提取到的手機內的涉案 QQ信息，在此不加贅述。

圖9 利用DC4500提取到的QQ聊天記錄信息

4 總結

通常情況下，針對網上非法販賣槍支、彈藥案件的檢驗工作，主要是以獲得證明其買賣雙方真實的交易信息內容為目的。因此，主要從買賣雙方通過貨幣交易平臺進行交易的記錄、轉賬記錄、買賣的賬目信息、即時通信記錄中的議價信息，以及快遞的運單及送達記錄等幾個方面來進行電子數據取證工作，本文也正是從這幾個方面來介紹了此類案件的檢驗方法。

[1]羅文華．偽造、變造證件或印章類案件電子數據取證方法研究[J]．北京：警察技術，2011，(3)：41-44．

[2]楊青．計算機犯罪的偵查取證[J]．濟南：山東公安?？茖W校學報[J]，2003，(6)：35-37．

[3]湯艷君．電子物證檢驗與分析[M]．北京：清華大學出版社[M]．2014，(2)：53-67．

（責任編輯：孟凡騫）

TP319

A

2095-7939（2015）03-0042-04

2015-04-09

馬賀男 （1979-），女，遼寧營口人，中國刑警學院網絡犯罪偵查系講師，碩士，主要從事電子數據取證研究。