基于開放網(wǎng)絡(luò)的電子證據(jù)取證研究

王新　南俊松

[摘要]互聯(lián)網(wǎng)技術(shù)的發(fā)展給人類生活帶來便利的同時也引發(fā)了一些安全隱患利用網(wǎng)絡(luò)進行犯罪呈高發(fā)態(tài)勢。本文主要分析了當(dāng)前對于開放網(wǎng)絡(luò)的取證現(xiàn)狀與難點，并重點探討了開放網(wǎng)絡(luò)的電子證據(jù)的取證方式與法律審查。

[關(guān)鍵詞]開放網(wǎng)絡(luò) 電子證據(jù)取證 法律審查

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展和普遍應(yīng)用， 網(wǎng)絡(luò)犯罪呈現(xiàn)高發(fā)趨勢，客觀來說，計算機網(wǎng)絡(luò)犯罪的犯罪特點為智能化程度高、且犯罪手段復(fù)雜多樣、犯罪證據(jù)的收集與審查與普通刑事案件有很大的差異。對于查辦該類刑事案件，迅速準確獲取電子證據(jù)是整個案件查辦的關(guān)鍵。因此，認真研究開放網(wǎng)絡(luò)的電子證據(jù)取證取證， 是十分必要的。

一、開放網(wǎng)絡(luò)的電子證據(jù)取證現(xiàn)狀以及難點

所謂開放網(wǎng)絡(luò)的電子證據(jù)取證， 是指在符合法律規(guī)定的情形下，綜合利用網(wǎng)絡(luò)軟硬件技術(shù)對網(wǎng)絡(luò)犯罪行為進行證據(jù)獲取、保全、以及分析出示的過程。一般認為，對于網(wǎng)絡(luò)電子證據(jù)的取證可以分為動態(tài)取證和靜態(tài)取證兩種， 所謂動態(tài)取證是指利用網(wǎng)絡(luò)技術(shù)對犯罪行為進行證據(jù)上的誘捕、保存、分析、追蹤和提交的過程。所謂靜態(tài)取證，則是指通過對計算機網(wǎng)絡(luò)終端進行犯罪證據(jù)提取、保存、分析的過程。

與普通犯罪不同的是，網(wǎng)絡(luò)犯罪智能化技術(shù)含量高、手段復(fù)雜多樣，傳統(tǒng)的取證、偵查手段并不能很好地適用，因而，這要求我們必須采取更為特殊的偵查技術(shù)手段來取證。當(dāng)前在檢察實務(wù)中主要應(yīng)用的取證技術(shù)方法有：1.查找服務(wù)器。主要是通過遠程網(wǎng)絡(luò)訪問技術(shù)來查找犯罪嫌疑人進行網(wǎng)絡(luò)犯罪所使用的服務(wù)器IP地址，然后在定位找到服務(wù)器。2.扣押并查處犯罪嫌疑人使用的服務(wù)器。通過網(wǎng)絡(luò)軟件技術(shù)對服務(wù)器進行證據(jù)分析、提取，尋找犯罪行為遺留的犯罪痕跡。3.查扣犯罪嫌疑人進行網(wǎng)絡(luò)犯罪的計算機等媒介工具，如電腦、優(yōu)盤以及可移動硬盤等，可以采用恢復(fù)技術(shù)對該媒介中可能存在的痕跡進行恢復(fù)、提取等操作，用以證明案件事實。

然而，由于上述方法的局限性會導(dǎo)致以下困難：首先是網(wǎng)絡(luò)犯罪發(fā)現(xiàn)難、確定難問題，由于網(wǎng)絡(luò)犯罪沒有時間以及地點等空間限制， 且受害人往往過一段時間后才發(fā)現(xiàn)， 相應(yīng)的證據(jù)可能因為時間或者被犯罪份子采用技術(shù)手段所銷毀，因而即便是認定了犯罪嫌疑人，但由于定罪證據(jù)的丟失，也很難對其定罪處罰。其次是網(wǎng)絡(luò)犯罪證據(jù)保全技術(shù)上的缺失，當(dāng)前檢察機關(guān)偵查人員對計算機技術(shù)的掌握程度普遍較低，部分辦案人員在實際的辦案過程中甚至因為不熟悉操作，而導(dǎo)致誤修改、誤刪除等操作頻發(fā)，影響網(wǎng)絡(luò)電子證據(jù)的收集，從而放縱網(wǎng)絡(luò)犯罪的發(fā)生。最后從證據(jù)的角度來說，網(wǎng)絡(luò)電子證據(jù)通常是以二進制等計算機語言存儲與計算機媒介中，如果要作為訴訟證據(jù)使用，則應(yīng)當(dāng)進行格式的轉(zhuǎn)換，在這么一個復(fù)雜的轉(zhuǎn)換過程中如何來保證以有形形式表現(xiàn)出來的內(nèi)容就是存儲于媒介中的證據(jù)呢？

二、基于開放網(wǎng)絡(luò)的電子證據(jù)取證方法與法律審查

1. 基于開放網(wǎng)絡(luò)的電子證據(jù)取證方法

筆者認為，根據(jù)網(wǎng)絡(luò)犯罪電子證據(jù)的特點，應(yīng)當(dāng)從靜態(tài)取證和動態(tài)取證兩個方面來分析：

（1）靜態(tài)取證方法。首先，我們可以對計算機日志文件進行查詢。日志作為計算機運行的記錄文檔，會記錄一些簡單的犯罪痕跡，在日志中獲得非法入侵行為痕跡的可能性極大。如犯罪嫌疑人利用IP訪問目標系統(tǒng)，，就會在目標系統(tǒng)內(nèi)留下訪問者的用戶名以及密碼、訪問時間等就會，同樣用FTP探測也會在FTP日志中留下探測者的IP地址、用戶名密碼和探測時間。因此對于日志的取證能夠有效地獲取網(wǎng)絡(luò)電子證據(jù)。其次，我們可以查詢?nèi)肭终咴L問網(wǎng)站以及入侵文件。在網(wǎng)絡(luò)犯罪中，我們可以通過查詢非法入侵者所訪問的網(wǎng)址、文件以及下載痕跡等探尋犯罪嫌疑人非法入侵的目的以及非法入侵的證據(jù)。例如在開始菜單中運行regedit ， 從注冊表中搜索recent， 將得到許多recent 記錄。再次，可采用數(shù)據(jù)恢復(fù)技術(shù)調(diào)查取證。對于被犯罪嫌疑人銷毀的硬盤數(shù)據(jù)以及其他媒介中存儲的數(shù)據(jù)，我們可以采取恢復(fù)技術(shù)重新提取原始數(shù)據(jù)。最后，也查看網(wǎng)絡(luò)日志。防火墻日志、IDS日志、網(wǎng)絡(luò)工具所產(chǎn)生的記錄和日志均可查看。

（2）動態(tài)取證方法。首先可以采用數(shù)據(jù)抓包方法。所謂數(shù)據(jù)抓包方法主要是利用網(wǎng)絡(luò)端口技術(shù)在網(wǎng)絡(luò)上截取數(shù)據(jù)的一種技術(shù)，該種方法是在網(wǎng)絡(luò)的最底層進行，在截取數(shù)據(jù)的過程中不容易被察覺，并且能夠獲得賬號密碼等相關(guān)信息，還可以用來查詢高等級的訪問權(quán)限以及根據(jù)網(wǎng)絡(luò)實際情況進行分析進入等。有效地利用嗅探能實時地捕獲入侵者破壞目標系統(tǒng)的證據(jù)，這樣的現(xiàn)行證據(jù)具有極強的說服力。其次我們可以進行誘惑取證技術(shù)?，F(xiàn)在通常的做法是蜜罐誘捕，該技術(shù)主要采取的是設(shè)置一種能夠“誘惑”入侵者的網(wǎng)絡(luò)技術(shù)，從而根據(jù)一開始設(shè)定好的程序來獲取不法侵入者的侵入情況。比方說探取不法者的賬號以及密碼情況或者其上網(wǎng)所使用的IP地址等關(guān)鍵信息。最后可以采用網(wǎng)絡(luò)監(jiān)控方式。這種方法是一種監(jiān)控技術(shù)，主要是對網(wǎng)絡(luò)一切數(shù)據(jù)進行監(jiān)控，從而檢測外來入侵者侵入痕跡。我們可以通過IDS，對每一個網(wǎng)絡(luò)數(shù)據(jù)包進行截取和分析，這對于動態(tài)取證具有重大的作用。

2. 基于開放網(wǎng)絡(luò)的電子證據(jù)取證的法律審查

對開放網(wǎng)絡(luò)電子證據(jù)的法律審查，是對網(wǎng)絡(luò)電子證據(jù)的合法性進行審查，主要是電子證據(jù)的收集應(yīng)當(dāng)符合法律的規(guī)定，并具有關(guān)聯(lián)性和客觀性等證據(jù)特點。西方發(fā)達國家對于電子證據(jù)的審查均有一系列的證據(jù)審查規(guī)則，主要是圍繞電子證據(jù)的合法性問題，而我國訴訟法律制度也有相關(guān)條款涉及電子證據(jù)的這些方面。分析國內(nèi)外證據(jù)制度對于電子證據(jù)的規(guī)定，對網(wǎng)絡(luò)電子證據(jù)的法律審查主要是從電子證據(jù)收集主體以及證據(jù)客觀形式以及提取方式等三個方面來判定，筆者認為，網(wǎng)絡(luò)電子證據(jù)只有滿足了這三個方面的硬性法律規(guī)定，才具有合法性，才能作為訴訟證據(jù)使用。具體而言，對于網(wǎng)絡(luò)犯罪電子證據(jù)的合法性審查， 筆者認為也應(yīng)從以下幾方面進行：（1）應(yīng)當(dāng)審查網(wǎng)絡(luò)電子證據(jù)取證主體是否合法。（2）應(yīng)當(dāng)對網(wǎng)絡(luò)電子證據(jù)的證據(jù)形式以及內(nèi)容進行審查。（3）審查網(wǎng)絡(luò)電子證據(jù)收集程序是否合法。

作者簡介：王新，法學(xué)碩士，江西省吉安市青原區(qū)人民檢察院；南俊松，江西省南昌市青山湖區(qū)人民檢察院檢察技術(shù)科。