首页 > 遵化 > 正文

从朽木事件思考网络犯罪取证

来源:华商网-华商报 发布时间:2019/12/2 9:55:46

朽木事件过去一段时间了,我是考完公务员后才知道这消息的,这半年感觉自己太落伍了……通过搜集资料和向朋友们请教,我也基本上了解了事情的始末,现在听说朽木被检查院不起诉处理,所以结合网上的东西和自己的猜想写点关于本事证据的问题,只做学术讨论,不存在任何攻击、教唆行为,请勿践约法律!
    现在假设朽木真如其《入侵后如何逃避追踪》一文所说的入侵TX,那深圳警方会提供什么证据呢?
    第一,入侵者肯定会删除网站日志,关于入侵者的踪迹即便能找到一二,那么……
    第二,查到的入侵者的IP可能是其使用的代理的IP,甚至真有可能是国外的IP,这就不能从服务器中得到入侵者地址的信息了。
    但现在是入侵者已经被抓到,只需提供其入侵被破坏计算机信息系统的证据,这就可以通过以下证据来固定了:
    第一,通过讯问口供,得到其在服务器中的操作,如果他转帐了QQ币,就可以分析服务器中QB的去向和其QQ号中QB的转入和转出记录,如果有大量QB流向其使用的QQ中,就可以借鉴传统的巨大财产来源不名罪:-) (当然这很牵强),但最起码证明了他曾经通过某种不正当手段获取QB,因为对与尚未有固定收入的孩子来说,虚拟财产也不是那么好获得的;
      第二,腾讯在给入侵者打完电话后便报案了,也就是说他想得到入侵者的信息并将其提供给警方,那么如果入侵者真对腾讯进行了敲诈,那么腾讯必然对电话进行了录音,这同样可做为证明其有罪的证据;
    第三,服务器中得不到记录,就只能从入侵者使用的电脑里来获取信息了,这方面主要包括他的IE浏览记录,使用的工具的信息(传说是在服务器中种植了木马等工具)以及是否对其他主机进行了3389连接(因为《入侵后如何逃避追踪》中介绍了这是黑客们主要使用的使用代理的方式),如果有,可以顺藤摸瓜,也可以证明其入侵了某主机。
    第四,也是朽木先生最后悔的一件事,也就是在本机保留了入侵TX后获取的TX的大量资料,当前面的都已成为不可能,这也算是最重要的。当然这也涉及最先进的数据恢复技术了,即使入侵者删除了这些证据,也可以通过恢复文件和浏览网页来恢复出来,只要入侵了,这点是避免不了的。
    当然大部分的证据只是指向了入侵,而所谓的诈骗勒索也只能通过电话录音来证明了,这份证据当然由TX和深圳警方来提供,但因为TX的无耻,这显然是不能提供。根据刑法的285.286条,这起入侵事件还够不上,只能符合治安管理处罚法的第19条,这也难怪事件的处理结果会这样了。
    从这起案件可看出计算机取证特别是网络犯罪取证的复杂,不仅取证困难,证据少,还跨地域,甚至可能用国外的代理,时间和空间的跨度增加了取证的难度,这就要求取证人员细致地收集分析每个蛛丝马迹。
    其中,网络取证包括远程勘查和本地证据获取。远程勘查在本案中基本用不上,而本地证据的获取主要是物理证的获取和笔录,其中物理证据获取主要通过对得到的被入侵服务器和入侵者主机,也就是网络入侵现场的勘验检查来实现;而笔录自然是TX和XM的描叙了。          物理证据的获取是全部取证工作的基础。只有取得了主机,才能从中收集入侵者的踪迹,而在对物理证据获取的时候要保证不对原始数据造成损害,这样才能进行下一步的数据分析,如果改变了原始的数据,就不能作为了证据,只能作为破案的参考了。获取物理证据是最重要的工作,保证原始数据不受任何破坏。而为了保证证据的证明效力,必须要按照法律规定对物理证据进行复制,保存,使用。
    接下来就可以对物理证据进行分析,发现其中的有用信息了,包括对入侵者有利和有害的信息,特别是破坏计算机信息系统的案件,获取入侵者没有对系统造成破坏的证据也是很重要的。从这件事也可以看出我国正在向重证据,轻口供的证据意识倾斜。
    目前,我国的计算机犯罪研究刚刚起步,对计算机证据的证明力和证明效力的研究还不成熟,司法部门也缺乏相关的知识,不能正确的对计算机犯罪进行认定,而计算机犯罪又成上升趋势,这就让我们期待着我国立法对计算机犯罪证据的完善,需要更多的计算机犯罪侦查的优秀人才参与其中来,也需要对在职侦查人员加强计算机取证的培训。
    以上只代表云端孤鹏的个人观点,如果侵犯了朽木,某警方和TX的利益,请见谅。

相关阅读:
现捞 http://www.lucai028.cn