|
网络犯罪的现场勘查当中,实地访问是一种行之有效的获取证据、发现线索的手段。实地访问的对象主要是当事人和知情人。例如:计算机操作人员,分管领导,技术维护人员等。访问内容应当根据访问对象有策略地加以变化,概括起来包括以下内容:系统的运行状态,曾经进行过哪些操作和维修,操作人员和技术人员以及分管领导的思想表现;技术水平高低、分别能够接触哪些软硬件内容,如何发现系统出现的异常现象、采取过哪些处置措施等等。
(三)对证据资料进行技术分析
在前一阶段勘查取证的基础上,侦查人员可以对所得的相关证据资料(例如:磁介质、系统备份、数据备份)进行技术分析,从而发现作案人是在何时、采取何种手段、从哪些方面对网络系统进行了哪些侵害,从中选取有价值的侦查线索。目前,对相关证据资料进行技术分析的手段多种多样,其中常用的有以下几类:
1、对比分析技术。
这种技术主要是将收集到的程序、数据的备份与当前运行的程序、运行结果数据进行对比,从而发现异常状况,进而分析是否有被篡改的痕迹。
2、关键字查询技术。
这种技术主要用于对系统硬盘备份进行分析。在侦查人员所做的对现场系统硬盘的备份当中,以某些具有特殊功能的指令语句为关键字进行匹配查询,查询的结果将说明是否存在这一特殊功能的指令语句,侦查人员可以从中发现问题。
3、数据分析技术。
对于被作案人删除、修改的文件和磁盘数据,可以通过数据分析技术进行恢复,或者查明文件被修改移动的时间、修改前的状态和属性。这类技术包括:
(1)被删改、破坏数据的恢复技术。
这种技术通过磁盘操作技术和电磁学技术,将被删除、破坏的数据进行一定程度的恢复。这对于克服由于作案人故意毁灭证据而制造的困难有着重大意义。
(2)残留数据分析技术。
文件存盘以后,实际的长度要小于或等于所占用的簇的大小,空出来了这部分磁盘空间中会保存有原来存储的某些文件数据。对这些数据的分析,可以了解原来磁盘上存储的内容。
(3)文件“指纹特征数据”分析技术。
在每个文件的尾部均有一些记录该文件生成信息的数据,伴随着文件的修改而变动,这些数据也就是该文件的指纹特征数据。根据这些数据,可以判断文件的最后修改时间和修改次数,这可以帮助侦查人员判断作案时间。
4、文件内容分析技术。
在某些软件运行过程中,经常会产生一些记录软件运行状态和结果、数据操作过程的文件。例如:临时文件(.TMP)、备份文件(.BAK)、交换文件(.SWP);WIN95的“文档”菜单当中记录了使用过文件名称;IE、NETSCAPE等网络浏览工具的书签簿、地址簿当中记录了浏览过的网络站点地址和图片内容。这些文件内容可以为侦查工作提供线索和证据。
四、对付网络犯罪应采取的侦查措施
(一)深入调查
通过初查与现场勘查之后,如果确认所发生的事件为网络犯罪,那么就应进一步深入进行调查工作。顾名思义,深入调查是在实地访问的基础上展开的。深入调查的访问范围比实地访问的范围广,所采用的访问方法比实地访问更加多样化。在深入调查过程中,除应对实地访问中访问过的有关人进行更深入的访问外,还应根据案件的实际情况继续寻找访问对象,获取更多更全面的情况。这时的访问对象就不能局限于现场及其周围,有时可能要跨省、跨区或跨国对有关人进行询问。深入调查的方法更灵活,更多样。有时可以公开调查,有时可以秘密调查;有时可以以侦查人员的身份进行询问,有时则应化装前往某一地区、某一单位展开访问;有时可采用传统的调查法,有时则可以利用网络展开网上调查。
(二)利用网络耳目
|
