涉網(wǎng)犯罪偵查工作基本思路與模型分析,刑事偵查學(xué)論文在現(xiàn)實(shí)社會(huì)中，計(jì)算機(jī)網(wǎng)絡(luò)正成為很多傳統(tǒng)犯罪的工具或媒介。當(dāng)前已經(jīng)出現(xiàn)了網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)詐騙等犯罪形式，甚至于傳統(tǒng)面對(duì)面施行的殺人、強(qiáng)奸案件也越來越多地和網(wǎng)絡(luò)關(guān)聯(lián)。這樣的客觀現(xiàn)實(shí)要求或迫使公安民警，在發(fā)生違法犯罪案件后必須從網(wǎng)絡(luò)中尋找破案線索、搜索犯罪證據(jù)，甚至是查獲犯罪嫌疑人。由于利用網(wǎng)絡(luò)進(jìn)行犯罪偵查不僅牽涉網(wǎng)絡(luò)技術(shù)，也牽涉刑事犯罪偵查技術(shù)，更和法律運(yùn)用密切相關(guān)，所以進(jìn)行基于網(wǎng)絡(luò)的犯罪偵查研究要牽涉技術(shù)、法律和社會(huì)問題，不但面廣，面臨的困難也多。對(duì)牽涉網(wǎng)絡(luò)的犯罪施行偵查，要利用網(wǎng)絡(luò)技術(shù)也要考慮傳統(tǒng)偵查手段，只要這樣才能快速破案。研究涉網(wǎng)犯罪偵查工作內(nèi)容，并建立基于經(jīng)過的偵查工作模型，一方面能夠規(guī)范形式冗雜的偵查工作，另一方面可以以為構(gòu)建網(wǎng)絡(luò)偵查應(yīng)用平臺(tái)奠定基礎(chǔ)。1涉網(wǎng)犯罪分類牽涉網(wǎng)絡(luò)的犯罪表現(xiàn)有多種，分類方式方法和結(jié)果也各異，但是，僅從犯罪偵查的角度考慮能夠把它們歸為兩類，一是利用網(wǎng)絡(luò)平臺(tái)從事的犯罪，二是針對(duì)網(wǎng)絡(luò)資源施行的犯罪。兩類犯罪的目的不同，施行犯罪的方式方法有差異，偵查的策略和方式方法自然不同，認(rèn)清兩類犯罪的本質(zhì)是有效開展涉網(wǎng)犯罪偵查工作的關(guān)鍵。1.1利用網(wǎng)絡(luò)施行的犯罪在這里類犯罪活動(dòng)中，網(wǎng)絡(luò)要么是施行犯罪的平臺(tái)，要么是犯罪工具，網(wǎng)絡(luò)僅僅是全部犯罪活動(dòng)的部分內(nèi)容。此類犯罪的經(jīng)過通常包括下面兩個(gè)階段。在網(wǎng)絡(luò)中構(gòu)建施行犯罪的平臺(tái)或?qū)⒕W(wǎng)絡(luò)作為施行犯罪的工具。在網(wǎng)絡(luò)中構(gòu)建犯罪環(huán)境或搭建網(wǎng)絡(luò)應(yīng)用平臺(tái)的種類較多，有將犯罪用的計(jì)算機(jī)和服務(wù)器設(shè)置成點(diǎn)對(duì)點(diǎn)通信環(huán)境，有在互聯(lián)網(wǎng)上構(gòu)建犯罪用專門網(wǎng)站，也有直接利用網(wǎng)絡(luò)通信工具進(jìn)行犯罪活動(dòng)。不同目的的網(wǎng)絡(luò)環(huán)境需要不同的技術(shù)或后續(xù)工作，有些犯罪的網(wǎng)絡(luò)環(huán)境在建成后需要經(jīng)常性維護(hù)以獲得更多利益，若僅把網(wǎng)絡(luò)當(dāng)作一個(gè)宣傳媒介，則可能無需后期維護(hù)。以常規(guī)或非常規(guī)的手段到達(dá)犯罪的最終目的。以經(jīng)濟(jì)利益為目的者想收錢，必然要利用銀行、手機(jī)收費(fèi)平臺(tái)、其他第三方支付平臺(tái)等合法途徑，或直接敲詐現(xiàn)金，或見面接觸交易，前者是考慮長(zhǎng)期行為，犯罪牽涉面寬且量大，后者僅對(duì)個(gè)別公司、個(gè)人施行犯罪。以發(fā)泄私憤為目的者，有可能持續(xù)一段時(shí)間，也有可能在施行犯罪后立即收手。到達(dá)犯罪目的行為的不確定性，使針對(duì)該類犯罪的偵查手段千差萬別。1.2針對(duì)網(wǎng)絡(luò)施行的犯罪在這里類犯罪活動(dòng)中，網(wǎng)絡(luò)既是施行犯罪的平臺(tái)，又是行為人攻擊毀壞的目的，犯罪危害對(duì)象是網(wǎng)絡(luò)資源，包括硬、軟件、數(shù)據(jù)信息資源和網(wǎng)絡(luò)系統(tǒng)功能。施行此類犯罪通常要精通網(wǎng)絡(luò)技術(shù)，犯罪經(jīng)過大致包括下面階段。侵入系統(tǒng)。利用系統(tǒng)漏洞獲取口令文件，或利用木馬騙取口令，或利用特殊軟件直接攻擊防火墻系統(tǒng)。侵入后若預(yù)留后門，可降低下一次入侵的難度。獲取使用特權(quán)。獲取超級(jí)用戶權(quán)限，才絕對(duì)擁有系統(tǒng)的控制權(quán)，所以超級(jí)用戶將成為侵入后新一輪的攻擊目的。利用權(quán)限施行危害活動(dòng)。侵入后的活動(dòng)范圍和獲取的權(quán)限有直接關(guān)系，權(quán)限越大活動(dòng)范圍越廣后果越嚴(yán)重。去除侵入、活動(dòng)記錄。退出被侵入的系統(tǒng)前，侵入者會(huì)去除日志記錄或毀壞整個(gè)系統(tǒng)，擦掉入侵痕跡。2涉網(wǎng)犯罪偵查工作基本思路涉網(wǎng)犯罪使網(wǎng)絡(luò)成為記錄犯罪痕跡的重要媒介，利用網(wǎng)絡(luò)技術(shù)偵查犯罪自然成為重要的工作手段，然而兩類涉網(wǎng)犯罪和網(wǎng)絡(luò)的關(guān)系存在重大差異不同，施行偵查的詳細(xì)方式方法必然也有所不同。2.1傳統(tǒng)偵查手段和網(wǎng)偵并用對(duì)于利用網(wǎng)絡(luò)施行犯罪的案件，能夠采用傳統(tǒng)偵查和網(wǎng)偵并用方式方法，有些甚至完全能夠采用傳統(tǒng)的犯罪偵查思路和手段施行偵查，如控制交易環(huán)節(jié)、從作案動(dòng)機(jī)反查犯罪嫌疑人、從交易中介追蹤犯罪嫌疑人、利用犯罪現(xiàn)場(chǎng)信息追蹤犯罪嫌疑人等。固然有些涉網(wǎng)犯罪活動(dòng)看似技術(shù)含量很高，實(shí)際上所需要的偵查手段可能并不復(fù)雜，如發(fā)生在鄭州的楊、何網(wǎng)絡(luò)傳黃案，因開設(shè)的網(wǎng)站上面掛接了很多國(guó)外的廣告，其牟利目的明顯，所以，利用銀行付款流向自然能夠查獲犯罪嫌疑人。當(dāng)然，涉網(wǎng)案件過分依靠傳統(tǒng)手段，會(huì)牽涉社會(huì)資源的配合偵查問題，對(duì)于小案或基層單位很可能成為無法逾越的障礙。在涉網(wǎng)犯罪的偵查工作，充分、有效地利用網(wǎng)絡(luò)技術(shù)自然是首要選擇，但是認(rèn)清網(wǎng)絡(luò)犯罪中網(wǎng)絡(luò)的作用才能把握主動(dòng)，若一味強(qiáng)調(diào)網(wǎng)絡(luò)犯罪的高技術(shù)而忽視傳統(tǒng)偵查技術(shù)并不可取，尤其是網(wǎng)絡(luò)僅在犯罪中起工具作用的案件，傳統(tǒng)偵查手段會(huì)起到更大或至關(guān)重要作用。2.2網(wǎng)偵主導(dǎo)由于在針對(duì)網(wǎng)絡(luò)施行的犯罪中網(wǎng)絡(luò)承載了犯罪的全部經(jīng)過，所以相關(guān)犯罪的偵查工作也必須依托網(wǎng)絡(luò)，偵查人員要在網(wǎng)絡(luò)中尋找犯罪活動(dòng)的蛛絲馬跡，只要尋線追蹤才可能最終查獲犯罪嫌疑人。以網(wǎng)偵為主導(dǎo)的偵查活動(dòng)能夠分為初期的線索查找階段、獲取線索后的追蹤階段和網(wǎng)絡(luò)證據(jù)搜尋階段。初期的手段有：網(wǎng)絡(luò)犯罪現(xiàn)場(chǎng)勘驗(yàn)，固定易失證據(jù)，提取有關(guān)的網(wǎng)絡(luò)痕跡；利用黑客的自我沉醉情結(jié)，到黑客網(wǎng)站、技術(shù)聊天室、BBS上查找線索；監(jiān)控犯罪嫌疑人預(yù)留的后門,等待下一次侵入；恢復(fù)被毀壞的日志記錄和文件，查找登錄線索。中期的手段主要是IP地址的追蹤，在獲取犯罪嫌疑人的蹤跡后，可利用專門的監(jiān)控軟件和ISP的信息追查犯罪嫌疑人施行犯罪的IP地址，并以此為突破口尋覓與此關(guān)聯(lián)的其他網(wǎng)絡(luò)標(biāo)記，盡快鎖定犯罪嫌疑人活動(dòng)的詳細(xì)位置，到達(dá)以IP地址找人的最終目的。后期工作主要是網(wǎng)絡(luò)搜尋取證。取證工作必須做到取證程序合法、經(jīng)過無侵權(quán)，扣押合理，對(duì)于扣押的證據(jù)要妥善保管，既要能夠證明證據(jù)的可靠性，也要避免數(shù)據(jù)丟失的可能性。通常要求取證遵循合法性、準(zhǔn)確性、及時(shí)性、全面性、專業(yè)人員收集證據(jù)原則和專門技術(shù)、工具收集證據(jù)原則。2.3網(wǎng)偵主要手段獲取網(wǎng)絡(luò)追蹤線索是網(wǎng)偵的首要任務(wù)，有目的監(jiān)控是追蹤犯罪嫌疑人的有效手段，在查獲和網(wǎng)絡(luò)犯罪有關(guān)的設(shè)備后利用數(shù)據(jù)恢復(fù)技術(shù)、文件指紋特征分析技術(shù)、殘留數(shù)據(jù)分析技術(shù)等，能夠獲取證據(jù)。2.3.1網(wǎng)上線索查找充分利用網(wǎng)絡(luò)工具在網(wǎng)上查找案件線索是網(wǎng)絡(luò)偵查的重要手段，主要包括下面內(nèi)容。根據(jù)案情在相關(guān)網(wǎng)站檢索與案件有關(guān)的信息。犯罪嫌疑人利用網(wǎng)絡(luò)施行犯罪活動(dòng)，必然會(huì)在網(wǎng)上留下線索或活動(dòng)痕跡，因而，根據(jù)案情制定有目的網(wǎng)絡(luò)線索查找方案，確定查找的信息內(nèi)容和網(wǎng)站，進(jìn)行案件線索查找是網(wǎng)偵重要的前期手段。有針對(duì)性分析網(wǎng)絡(luò)通信記錄。若案件能和網(wǎng)絡(luò)通信記錄關(guān)聯(lián)，則能夠利用時(shí)間二維表分析法查找指定時(shí)間段內(nèi)的線性活動(dòng)軌跡，可以以利用時(shí)間坐標(biāo)網(wǎng)格分析多對(duì)象關(guān)系。在平面坐標(biāo)中標(biāo)注多個(gè)對(duì)象的活動(dòng)情況，既能夠判定多個(gè)對(duì)象相互之間的關(guān)系，可以以根據(jù)坐標(biāo)點(diǎn)的疏密確定網(wǎng)絡(luò)活動(dòng)中的主次關(guān)系，該方式方法常用于多對(duì)象并發(fā)活動(dòng)的網(wǎng)絡(luò)行為分析。專業(yè)數(shù)據(jù)庫(kù)信息查詢。若能在犯罪現(xiàn)場(chǎng)獲取有價(jià)值的物證痕跡等信息，能夠此為線索在相關(guān)專業(yè)數(shù)據(jù)庫(kù)中查找與之關(guān)聯(lián)的信息，擴(kuò)展搜尋范圍甚至直接鎖定犯罪嫌疑人，故宮盜竊案的偵破經(jīng)過就是典型的應(yīng)用案例。2.3.2網(wǎng)上監(jiān)控很多證據(jù)需要在偵控對(duì)象施行網(wǎng)絡(luò)行為的經(jīng)過中獲取，因而，網(wǎng)絡(luò)監(jiān)視是發(fā)現(xiàn)、獲取證據(jù)、查獲犯罪嫌疑人的必要手段。常見的網(wǎng)上監(jiān)控包括事件監(jiān)控、全內(nèi)容監(jiān)控、陷阱跟蹤監(jiān)控等。〔1〕判定能否需要監(jiān)控能否需要進(jìn)行網(wǎng)絡(luò)監(jiān)控要視情況而定，基本準(zhǔn)則是網(wǎng)絡(luò)監(jiān)控能獲取更多證據(jù)時(shí)，需要網(wǎng)絡(luò)監(jiān)控。為了方便判定可提早設(shè)定基本條件，知足條件進(jìn)行網(wǎng)絡(luò)監(jiān)控。基本條件可條目羅列，如涉網(wǎng)犯罪活動(dòng)會(huì)持續(xù)進(jìn)行、已收集的證據(jù)缺乏以查獲行為人或定罪、涉網(wǎng)絡(luò)犯罪現(xiàn)場(chǎng)發(fā)現(xiàn)行為人預(yù)留的后門〔2〕監(jiān)控中必須考慮的問題。監(jiān)控中既要考慮技術(shù)問題，也要重視法律問題，華而不實(shí)最重要的是證據(jù)記錄問題。證據(jù)記錄的方式方法因監(jiān)控目的而異，僅僅僅是為了發(fā)現(xiàn)犯罪線索的監(jiān)控記錄方式能夠靈敏多樣，若準(zhǔn)備將獲取的內(nèi)容作為法庭證據(jù)使用，就必須知足來源合法性、形式合法性的證據(jù)要求。①事件監(jiān)控的證據(jù)記錄對(duì)特定事件監(jiān)控有明確的目的性，最好使用第三方的監(jiān)控軟件記錄特定活動(dòng)情況，能夠是網(wǎng)絡(luò)服務(wù)提供商的服務(wù)記錄，可以以使用屏幕錄像的方式直接從屏幕上記錄活動(dòng)情況。事件監(jiān)視獲取證據(jù)具有較大的動(dòng)態(tài)性，必須采取合法的方式方法收集并及時(shí)固定證據(jù)。對(duì)于監(jiān)控程序自動(dòng)記錄的內(nèi)容應(yīng)采用必要方式方法，使其具有抗修改性或采用輔助證明方式提高能證性。②全內(nèi)容監(jiān)控的問題直接從通信信道上收集原始數(shù)據(jù)包進(jìn)而獲取信息的方式方法稱為全內(nèi)容監(jiān)控。在網(wǎng)上監(jiān)控需要建立獲取全部通信內(nèi)容的監(jiān)視系統(tǒng)，此工作既面臨法律因素制約，也有對(duì)網(wǎng)絡(luò)正常運(yùn)行影響問題，不慎重考量可能引起法律官司或干擾正常網(wǎng)絡(luò)通信，進(jìn)而使問題復(fù)雜化。③非內(nèi)容信息記錄陷阱跟蹤能獲取非內(nèi)容信息，可用于發(fā)現(xiàn)異常現(xiàn)象、確定信息源頭。若從捕獲的信息中，解析得到源IP和源端口、目的IP和目的端口等數(shù)據(jù)，就能夠判別真?zhèn)芜M(jìn)而發(fā)現(xiàn)問題。陷阱跟蹤的輸出文件是所有經(jīng)過網(wǎng)絡(luò)適配器的通信報(bào)頭信息，信息記錄量龐大，對(duì)繁忙網(wǎng)絡(luò)影響較大。2.3.3IP地址追蹤利用網(wǎng)絡(luò)監(jiān)控獲取信息源IP地址，可尋址追蹤查獲信息源頭，但判定真假是首要工作。IP地址有靜態(tài)和動(dòng)態(tài)之分，無論用戶使用哪種IP地址，ISP都有相應(yīng)的使用記錄，能夠直接從ISP的服務(wù)器中提取。ISP的IP地址使用記錄信息量大，查詢歷史紀(jì)錄得到的IP地址又要和用戶關(guān)聯(lián)才能具體表現(xiàn)出利用價(jià)值，所以檢索查詢工作量大且有難度。3基于經(jīng)過的涉網(wǎng)犯罪偵查工作模型建立牽涉計(jì)算機(jī)網(wǎng)絡(luò)的犯罪偵查模型，既是規(guī)范涉網(wǎng)犯罪偵查工作的需要，也是犯罪偵查工作信息化的基礎(chǔ)。針對(duì)不同的涉網(wǎng)犯罪形式，應(yīng)采取不同的工作模型。利用網(wǎng)絡(luò)從事的大量犯罪活動(dòng)與傳統(tǒng)犯罪形式密切關(guān)聯(lián)，因而，傳統(tǒng)偵查技術(shù)在偵查涉網(wǎng)犯罪經(jīng)過中起著至關(guān)重要的作用，偵查工作模型框圖能夠用圖1表示。在針對(duì)網(wǎng)絡(luò)的犯罪活動(dòng)中，固然犯罪線索、證據(jù)需要在網(wǎng)絡(luò)上搜集，最后緝捕犯罪嫌疑人的相關(guān)工作也必須在網(wǎng)下進(jìn)行，因而，犯罪偵查的完好經(jīng)過必然包含傳統(tǒng)犯罪偵查的工作內(nèi)容，偵查工作模型框圖能夠用圖2表示。5結(jié)束語(yǔ)針對(duì)不同的涉網(wǎng)犯罪應(yīng)采用不同的偵查策略，若一味強(qiáng)調(diào)涉網(wǎng)絡(luò)犯罪的高技術(shù)性，忽略傳統(tǒng)偵查技術(shù)的作用，可能導(dǎo)致偵查成本增加，甚至使偵查工作陷入絕境。偵查利用網(wǎng)絡(luò)施行的犯罪活動(dòng)需要網(wǎng)上