计算机犯罪侦查是指为了揭露和证实计算机犯罪案件,查获犯罪嫌疑人,依法收集相应的电子证据,进行专门的调查和实施强制性措施活动。计算机犯罪案件属于一般刑事案件的范畴,因而对其侦查应遵循一般刑事案件侦查的原则、步骤。但由于计算机犯罪案件有其自身的特点,如计算机犯罪案件的高科技性、智能性、隐蔽性等特点,这又决定计算机犯罪侦查与一般刑事案件侦查有所区别。计算机犯罪侦查对应公安工作的业务部门是网络安全监察与管理部门,是对一切涉及网络、计算机的的案件进行侦破的部门。
背景介绍
以计算机犯罪为代表的
高科技犯罪,已成为发达国家和发展中国家的主要社会问题之一。计算机犯罪案件不仅范围广,涉及经济、政治及社会的各个领域,而且技术含量高,侦破难度大。特别是加入
WTO以后,我国在信息安全与计算机犯罪侦查方面将面临更大的压力和挑战。而实践证明,侦破此类案件的难度已远远超过其他案件。为此,我们应广泛开展对计算机犯罪的研究,加强对计算机犯罪的防范,以适应我国在21世纪所面临的挑战。 对计算机犯罪的侦查,除了参照
刑事案件的侦查方法外,还应根据案件的自身特点,找出更快更有效的侦查方法,以有力地打击计算机犯罪。
首先,计算机犯罪是以计算机系统为目标的犯罪,如高科技犯罪等必须涉及到
计算机信息系统的使用,涉及到计算机信息系统内存储和处理的信息,而不是将计算机看成一般意义上的物件或实体。其次,计算机犯罪是以计算机为工具或手段的犯罪,如在其他形式的犯罪活动中涉及的计算机设备使用、在计算机内储存信息等。
主要形式
一般为:制作、传播有害信息;编制、传播
计算机病毒;攻击计算机信息系统;利用联网窃密、泄密;金融系统的计算机犯罪等。
表现形式
政治犯罪
对社会不满者及邪教等非法组织成员,以政治目的或以危害国家安全和
公共安全、扰乱社会秩序为目的攻击计算机信息系统。
金融犯罪
多为
经济犯罪,大多以占有资金为目的进行金融诈骗、盗窃、贪污、挪用公款等。
其他犯罪
如故意制作与传播计算机病毒、利用联网窃密与泄密以及计算机黑客入侵等。
实施方法
计算机犯罪可以是对单机作案,如篡改、破坏硬盘数据、编制有害信息等;也可以在互联网上作案,如黑客入侵、非法访问黄色网站或反动网站、网上散播谣言及恐吓诽谤他人等;还可以针对专用网络作案,如对银行、证券等金融领域的计算机信息网络实施经济犯罪等。
计算机犯罪与常规犯罪不同,实施计算机犯罪一般可以分为以下四个步骤:
首先,犯罪分子要使用各种方法和手段进入到计算机信息系统中;
其次,进入计算机信息系统后,犯罪分子要非法地扩充自己在系统中的特权;
第三,犯罪分子得到特权后,要最大限度地利用这些特权进行各种犯罪活动,以达到自己的目的。
最后,犯罪分子作案后要千方百计地将留下的作案痕迹抹掉,特别是计算机电子信息痕迹。
侦查方法
划分作案群体
根据计算机犯罪的类型,并利用已掌握的情况分析可能作案的人员,这一点是所有侦破过程必须要做的。
查找第一现场
互联网犯罪:一旦发现网上犯罪,首先需要根据ISP系统日志追查犯罪嫌疑人的IP地址,并根据DHCP记录,核查主叫号码,对于境内号码,再根据主叫号码确定实际地址,即第一现场。
专用网络犯罪:这种犯罪主要发生在金融领域。一旦发现犯罪,首先要根据报案人提供的明细帐目,查看银行主机的日志,确定具体发案的营业部、所;然后,确认网络线缆和集线器、路由器、交换机、MODEM等设备的工作状态是否正常,以确定是否存在来自外部的入侵。根据
主机日志,确定具体详尽的作案时间和终端设备。
现场勘查与证据的提取
搜查与提取步骤 在初级阶段,检查各软件日志,找出临近时使用该系统的情况;根据操作系统的文件管理办法,有条理的搜查每个
目录、子目录及文件;对可疑文件的内容及属性做进一步检查;检查隐藏文件(主要是计算机信息系统提供的隐藏文件)。在高级阶段,从存储介质上搜寻相关信息,采用专用软件工具,按关键字检索。在这一步工作中,应着重注意搜查隐藏的、不可见的、加密的及已删除的证据,并将所有证据的内容和状态归档。然后,再从大量数据中抽取与被调查案件有关的那部分数据。
外部搜查与提取
勘查人员到达现场后,应先进行外部勘查。主要包括对环境、打印机、显示器及其他外部设备的搜查与提取。除按一般刑事案件进行侦查外,还应重点检查并记录现场的各种磁记录物、书面材料、显示器的内容以及打印机、系统外部设备的状态等。要对所有与案件有关的计算机信息系统的硬件、文件资料、磁盘等做标记,注意搜寻包含用户标识和密码的文件资料。收集上机记录和工作日志,封存程序备份、各种打印结果及一切相关证据,不要随意丢弃废纸。注意搜索是否有使用者的密钥等有用信息,搜索使用者的足迹、指纹等。如果计算机信息系统正在运行,显示器正在显示信息,可以用照相机拍照或摄像机录下来,并保护好与案件有关的计算机信息及其相关设备,复制与案件有关的原始电子数据,同时记录其工作状态和相关参数。如果是针式打印机,还要注意色带上是否留有痕迹。
内部搜查与提取
搜寻在存储介质上的相关信息及隐藏信息。隐藏信息包括存储在
硬盘上不可(被操作系统)访问部分的信息。如果在未分配或未格式化的区域,就是用密写术隐藏的信息以及加密的信息。在存储介质上检查使用者入侵活动的证据,以确定计算机设备使用者在机上活动的时序,在损坏的存储介质上恢复数据。现场勘查中要清楚、完整地拷贝所获取的文件,并打印介质中的文件目录、属性、后缀等特征。了解并记录案发现场的计算机信息系统的型号及运行状态、操作系统以及数据库的类型和版本号、网络应用环境以及应用系统是否具有审计功能等。
注意事项
在
勘查过程中,勘查人员必须严格遵守计算机设备的操作规程,了解所有操作的副作用,并把采取的各种步骤及遇到的情况记录成文,以便对操作结果作出合理解释。一般情况下,不要使用被调查的计算机信息系统的任何硬件或软件工具。使用自己的工具时,要使用
正版软件,防止进一步发生侵害和损失。在不具备访问涉案计算机信息系统技能的情况下,应聘请可靠的专家协助,以防止操作中的任何疏忽或错误造成的数据丢失。除搜查硬盘和软盘外,不可忽视对外部设备的检查,如系统的许多外围设备包括缓冲器和媒介、网络中的多路调制器、中继器以及一些接口设备中的存储器等,这些设备都可能存有计算机犯罪证据。