背景
以計算機犯罪為代表的
高科技犯罪,已成為已開發國家和開發中國家的主要社會問題之一。計算機犯罪案件不僅範圍廣,涉及經濟、政治及社會的各個領域,而且技術含量高,偵破難度大。特別是加入
WTO以後,我國在信息安全與計算機犯罪偵查方面將面臨更大的壓力和挑戰。而實踐證明,偵破此類案件的難度已遠遠超過其他案件。為此,我們應廣泛開展對計算機犯罪的研究,加強對計算機犯罪的防範,以適應我國在21世紀所面臨的挑戰。 對計算機犯罪的偵查,除了參照
刑事案件的偵查方法外,還應根據案件的自身特點,找出更快更有效的偵查方法,以有力地打擊計算機犯罪。
首先,
計算機犯罪是以計算機系統為目標的犯罪,如高科技犯罪等必須涉及到計算機信息系統的使用,涉及到計算機信息系統記憶體儲和處理的信息,而不是將計算機看成一般意義上的物件或實體。其次,計算機犯罪是以計算機為工具或手段的犯罪,如在其他形式的犯罪活動中涉及的計算機設備使用、在計算機內儲存信息等。
主要形式
一般為:製作、傳播有害信息;編制、傳播
計算機病毒;攻擊計算機信息系統;利用聯網竊密、泄密;金融系統的計算機犯罪等。
表現形式
政治犯罪
對社會不滿者及邪教等非法組織成員,以政治目的或以危害國家安全和
公共安全、擾亂社會秩序為目的攻擊計算機信息系統。
金融犯罪
多為
經濟犯罪,大多以占有資金為目的進行金融詐欺、盜竊、貪污、挪用公款等。
其他犯罪
如故意製作與傳播計算機病毒、利用聯網竊密與泄密以及計算機
黑客入侵等。
實施方法
計算機犯罪可以是對單機作案,如篡改、破壞硬碟數據、編制有害信息等;也可以在網際網路上作案,如黑客入侵、非法訪問黃色網站或反動網站、網上散播謠言及恐嚇誹謗他人等;還可以針對專用網路作案,如對銀行、證券等金融領域的計算機信息網路實施經濟犯罪等。
計算機犯罪與常規犯罪不同,實施計算機犯罪一般可以分為以下四個步驟:
首先,犯罪分子要使用各種方法和手段進入到計算機信息系統中;
其次,進入計算機信息系統後,犯罪分子要非法地擴充自己在系統中的特權;
第三,犯罪分子得到特權後,要最大限度地利用這些特權進行各種犯罪活動,以達到自己的目的。
最後,犯罪分子作案後要千方百計地將留下的作案痕跡抹掉,特別是計算機電子信息痕跡。
偵查方法
劃分作案群體
根據計算機犯罪的類型,並利用已掌握的情況分析可能作案的人員,這一點是所有偵破過程必須要做的。
查找第一現場
網際網路犯罪:一旦發現網上犯罪,首先需要根據ISP系統日誌追查犯罪嫌疑人的IP位址,並根據DHCP記錄,核查主叫號碼,對於境內號碼,再根據主叫號碼確定實際地址,即第一現場。
專用網路犯罪:這種犯罪主要發生在金融領域。一旦發現犯罪,首先要根據報案人提供的明細帳目,查看銀行主機的日誌,確定具體發案的營業部、所;然後,確認網路線纜和集線器、路由器、交換機、MODEM等設備的工作狀態是否正常,以確定是否存在來自外部的入侵。根據
主機日誌,確定具體詳盡的作案時間和終端設備。
現場勘查與證據的提取
搜查與提取步驟 在初級階段,檢查各軟體日誌,找出臨近時使用該系統的情況;根據作業系統的檔案管理辦法,有條理的搜查每個
目錄、子目錄及檔案;對可疑檔案的內容及屬性做進一步檢查;檢查隱藏檔案(主要是計算機信息系統提供的隱藏檔案)。在高級階段,從存儲介質上搜尋相關信息,採用專用軟體工具,按關鍵字檢索。在這一步工作中,應著重注意搜查隱藏的、不可見的、加密的及已刪除的證據,並將所有證據的內容和狀態歸檔。然後,再從大量數據中抽取與被調查案件有關的那部分數據。
外部搜查與提取
勘查人員到達現場後,應先進行外部勘查。主要包括對環境、印表機、顯示器及其他外部設備的搜查與提取。除按一般刑事案件進行偵查外,還應重點檢查並記錄現場的各種磁記錄物、書面材料、顯示器的內容以及印表機、系統外部設備的狀態等。要對所有與案件有關的計算機信息系統的硬體、檔案資料、磁碟等做標記,注意搜尋包含用戶標識和密碼的檔案資料。收集上機記錄和工作日誌,封存程式備份、各種列印結果及一切相關證據,不要隨意丟棄廢紙。注意搜尋是否有使用者的密鑰等有用信息,搜尋使用者的足跡、指紋等。如果計算機信息系統正在運行,顯示器正在顯示信息,可以用照相機拍照或攝像機錄下來,並保護好與案件有關的計算機信息及其相關設備,複製與案件有關的原始電子數據,同時記錄其工作狀態和相關參數。如果是針式印表機,還要注意色帶上是否留有痕跡。
內部搜查與提取
搜尋在存儲介質上的相關信息及隱藏信息。隱藏信息包括存儲在
硬碟上不可(被作業系統)訪問部分的信息。如果在未分配或未格式化的區域,就是用密寫術隱藏的信息以及加密的信息。在存儲介質上檢查使用者入侵活動的證據,以確定計算機設備使用者在機上活動的時序,在損壞的存儲介質上恢複數據。現場勘查中要清楚、完整地拷貝所獲取的檔案,並列印介質中的檔案目錄、屬性、後綴等特徵。了解並記錄案發現場的計算機信息系統的型號及運行狀態、作業系統以及資料庫的類型和版本號、網路套用環境以及套用系統是否具有審計功能等。
注意事項
在
勘查過程中,勘查人員必須嚴格遵守計算機設備的操作規程,了解所有操作的副作用,並把採取的各種步驟及遇到的情況記錄成文,以便對操作結果作出合理解釋。一般情況下,不要使用被調查的計算機信息系統的任何硬體或軟體工具。使用自己的工具時,要使用
正版軟體,防止進一步發生侵害和損失。在不具備訪問涉案計算機信息系統技能的情況下,應聘請可靠的專家協助,以防止操作中的任何疏忽或錯誤造成的數據丟失。除搜查硬碟和軟碟外,不可忽視對外部設備的檢查,如系統的許多外圍設備包括緩衝器和媒介、網路中的多路調製器、中繼器以及一些接口設備中的存儲器等,這些設備都可能存有計算機犯罪證據。