栏目:网上股票配资开户 作者:767股票学习网 更新:2026-01-28 阅读:23
<怎么买股票>办案人员如何利用电子证据还原网络犯罪案件事实?
办案人员要尽量“细化”“揉碎”电子证据,“挖掘”不为人知的微观信息用于还原案件事实。笔者认为,需要进行二进制数据查看,对每一份电子文件都要分析其文件头、文件中间、文件尾,对每一份存储介质都要分析各个分区,特别是未分配空间。
办案人员要尽量将电子证据与其他证据进行整合,搭建各种有效的证据组合、印证体系、“鉴—数—取”体系、两个空间对接等结构办案人员如何利用电子证据还原网络犯罪案件事实?,以宏观的视角还原案件事实。
网络犯罪司法的中心任务是有效使用电子证据进行网络犯罪案件事实的重建。由于电子证据是一种“数字式痕迹”,网络犯罪司法中使用电子证据必须聚焦于“数字式案件事实重建”。这一“重建”也可以称为“电子证据重建”。简单地说办案人员如何利用电子证据还原网络犯罪案件事实?,电子证据可以被看成一个个信息“场”,可以还原网络犯罪案件的来龙去脉。它与人类社会出现的“人证重建”“物证重建”是一脉相承的办案人员如何利用电子证据还原网络犯罪案件事实?,但展示的效果更为显著。
基本原理的展开
如何科学处理网络犯罪中超容或巨量的电子证据?原子主义与整体主义证明模式是可以选择的科学理论,也是不同认识理论在司法领域的呈现。
依照前一理论,办案人员应当对电子证据尽可能地进行拆解,分解至最小单元“原子”的程度。当然,这是指“逻辑认识的原子”,不等于“物理分析的原子”。于电子证据定案而言,这个“最小的东西”当下通常可以指将电子证据的内在属性、关联痕迹、复合内容解析出来,以查明、证明网络犯罪案件事实。
依照后一理论电子物证取证,办案人员应当尽可能地将不同电子证据、电子证据与其他证据结合起来,构成一个整体,用以查明、证明网络犯罪案件事实。对于电子证据定案而言,当下通常可以将电子证据的组合、印证体系、“鉴—数—取”体系、物理空间—信息空间拼接起来,以查明、证明网络犯罪案件事实。
基于原子主义证明模式的实务技巧
当下电子证据用作证明的逻辑原子可以界定为如下三个方面:
以电子证据的“内在属性”重建案件事实。电子证据的内在属性是数据生成、存储、传递、修改、增删而形成的时间、制作者、格式、修订次数、版本等信息。其作用在于证明数据的来源和形成过程,即讲述关于数据如何得来的“故事”。简单地说,主要就是用鼠标点击某电子文件看到的信息。当然也有复杂的查看方法。
在一起破坏计算机信息系统案中,有较多电子文件在内在属性方面出现了异常,笔者对疑点较大的电子文件进行了“内在属性”全梳理,特别是对前后一对电子文件(指先后取证多次形成的对应电子文件)进行重点梳理。主要技巧是对Word文档的创建内容时间、最后一次修改时间、访问时间信息利用专门的取证工具()查看,查到的相关时间可以精确到“百纳秒”级别,再匹配寻找疑点。如果前后一对电子文件的创建内容时间、最后一次修改时间、访问时间信息在同一“百纳秒”级别是一致的,那就表明它们是同源文件,即后一Word文档是利用前一Word文档修改而来,而不是另行取证得来。依靠电子证据的“内在属性”重建案件事实,几乎是每个法律工作者都能完成的任务,关键是要有这一意识。
以电子证据的“关联痕迹”重建案件事实。关联痕迹是在电子证据形成之际同时产生的一些独立“痕迹”。电子证据本身就是“痕迹”,关联痕迹可以说是电子证据之“痕迹”边上的专门“痕迹”。通常来说,计算机等设备在生成、存储、传递、修改、增删数据时会引发信息系统环境产生关联痕迹。它们包括后缀为*.lnk、*.dat、*.、*.sys、*.tmp的各种痕迹文件,这是信息科学领域的痕迹文件;也包括该数据在数据磁盘层的存储规律,这是物证技术学领域的“痕迹”。后一“痕迹”在理解上有些困难,笔者试举例说明。我们在电脑中编辑Word文档时,通常会产生快捷方式文件、临时文件、日志文件、软件杀毒记录文件等,但假设当我们彻底检查一台电脑时,却没有发现与所编辑Word文档相关的任何快捷方式文件、临时文件、日志文件、软件杀毒记录文件等,这一“发现”就是物证技术学领域的“痕迹”,一如杀人现场的“擦拭血迹”。
在一起DDOS攻击(分布式拒绝服务攻击)案中,犯罪嫌疑人对某网站进行DDOS攻击导致网站崩溃,公司因赔付数千万元而倒闭,犯罪嫌疑人所使用的电脑硬盘是主要证据。该案的特别情节是犯罪嫌疑人使用了虚拟机技术。在办理该案过程中,为了查清犯罪嫌疑人是如何攻击、敲诈勒索被害公司的,鉴定人员通过取证工具分析虚拟磁盘,发现其中存在大量的数据交互记录,证明犯罪嫌疑人向被害公司所使用IP地址发动DDOS攻击;在电脑空余空间中发现犯罪嫌疑人敲诈勒索的聊天记录碎片文件,证明其曾于发动网络攻击后向被害公司实施敲诈勒索行为;在电脑底层数据中发现犯罪嫌疑人所使用的VPS服务器(用于搭建VPN,发动网络攻击所使用的中转服务器)。最终,鉴定人员基于这些痕迹制作了DDOS攻击与敲诈勒索案大事表,包括犯罪嫌疑人开始学习黑客攻击技术、锁定被害公司、对被害公司实施DDOS攻击行为、对被害公司实施敲诈勒索行为、被逮捕等环节。这个大事表就是直接、完整的案件事实重建。
以电子证据的“复合内容”重建案件事实。“复合内容”是受“复合文档”的启发而形成的一个概念。复合文档不仅包含文本,还包括图形、电子表格数据、声音、视频图像以及其他信息。这是当前电子证据内容的普遍承载方式。
在另一起破坏计算机信息系统案中,最重要的电子证据是警方抓获犯罪嫌疑人之后,使用犯罪嫌疑人账号、密码登录其邮箱获得的几百封电子邮件。这些邮件能够证明犯罪嫌疑人推广某非法软件及获利的情况。对于这些电子邮件,办案人员要关注的内容不仅包括每封邮件的正文,也包括邮箱收件夹、发送夹等文件夹中有多少邮件(即邮件列表)电子物证取证,还包括该邮箱“最近登录”(也称为“上次登录”)形成的时间、地点信息。
以上就是原子主义证明机制的办案技巧。办案人员要尽量“细化”“揉碎”电子证据,“挖掘”不为人知的微观信息用于还原案件事实。那么,具体需要对电子证据“细化”“揉碎”到什么程度?笔者认为,需要进行二进制数据查看,对每一份电子文件都要分析其文件头、文件中间、文件尾,对每一份存储介质都要分析各个分区,特别是未分配空间。这是一种理想状态,要达到这一理想状态还有很长的路要走。
基于整体主义证明模式的实务技巧
整体主义证明模式的逻辑要求:一份特定证据作为分析对象的证明价值,从根本上取决于其他所有证据。这一理论很容易同我国的证据组合、体系、锁链和印证等说法勾连起来。这样的联想是有道理的。值得注意的是,电子证据遵循整体主义证明模式的改造,会碰撞出独特的火花。
以电子证据的“证据组合”重建案件事实。证据组合是将能够支撑或反驳某一个案件事实的不同来源证据结合在一起的思路。对电子证据而言,构成证据组合还有新的优势和切入点,同一份电子证据往往可以在不同层面进行呈现,办案人员可以打造不同层面的证据组合。
如在一起破坏公用电信设施案中,犯罪嫌疑人于2014年12月8日至10日在公众场所使用短信群发设备向周围手机用户强行推送短信,后被刑事拘留。警方对犯罪嫌疑人的伪基站设备(电脑)送检后,发现其在被抓获前将系统时间归零,导致无法确定哪些推送短信记录是犯罪嫌疑人在案发过程中留下的。对于这样重要的案件事实,无法依靠电子证据(日志文件)及相关鉴定意见证实。对此,办案人员一方面对犯罪嫌疑人进行补充讯问电子物证取证,另一方面调整鉴定请求,改为伪基站设备中推送上述内容短信的日志记录“造成了多少部手机通信中断”。这样一来,电子证据、鉴定意见与讯问笔录(供述)就构成了一个有效的证据组合。
以电子证据的“印证体系”重建案件事实。印证体系是指同一网络行为产生了若干份电子证据,特别是不同网络节点的多份电子证据,它们相互印证构成虚拟空间中的一种独特证据锁链。这些电子证据往往是同一行为或关联行为产生的。如在发送电子邮件时会在发件人电脑、收件人电脑、邮件商的服务器等多点留下电子邮件;发送短信、微信等都会产生构成印证的网络证据。将这些网络证据匹配起来,审查其内容是否一致,特别是审查其相关时间信息、地址信息等是否正常,就可以还原整个网络行为事实。
