当的方式将现场上各种仪器设备的连接、配置状况和运行状态，各种电缆线的布线方式（串、并联方式、有无破损断裂），各种插头、插座、开关的工作状态等等情况记录下来。通过记录，保存案发当时的现场状况。进而通过综合电磁记录、命令记录，当事人、知情人、技术人员的回忆，工作日志记录等方面的证据，了解系统软硬件原始状态，并通过原始状态与现场遗留状况的比较，发现各种异常现象或者推断作案人使用的作案工具、作案手法。可用于现场记录的方法包括现场照相、笔录、绘图、录像等。这些工作，有的在临场处置时已经完成，进入实地勘验以后要力求将其细化、完备化。

如，应在临场处置的基础上，进一步审查监视器所显示的任何证据，如果有必要，拍摄下计算机屏幕上显示的内容，并在计算机专业人员的帮助下切断与计算机相连的电话线或闭路线，在不会造成数据丢失的情况下，拔掉墙上的电源，一般不能用起动开关去关闭计算机。拍摄下计算机尾部的线路结构。断电前标上线路系统（用遮蔽胶带或钢笔），将端口和插槽作上标记。如果所查获的不只一个系统，应将不同的零部件分别放置，并作标记。

封存，就是对现场上可能记录有犯罪行为过程和真实情况的物

品、数据等证据，采取强制性手段维持其现有状态，以备进一步的分析。封存的对象主要包括：现场内的信息系统，各种可能涉及到的磁介质，上机记录，命令记录，内部人员使用的工作记录，现场上的各种打印输出结果，传真打印件，程序备份和数据备份等等。封存当中应当注意的是：封存正在运行的信息系统，要事先做好系统工作状态、系统运行参数的记录，以防关机以后无法恢复。

备份，主要是指侦查人员对不能停止运行而又没有备用应急措施的信息系统进行数据复制，以便尽快恢复系统正常工作。备份的对象主要是：系统中的相关数据、系统日志文件等。备份当中应注意的问题是：对于磁介质中所有的数据按照其物理存放格式进行全盘复制，而不是简单地拷贝文件。

收集，就是将现场上遗留的原始资料、数据参数等“网络证据”资料进行提取、包装。收集的对象主要是：计算机软、硬件，各种输入和输出设备，调制解调器，各种操作手册，各种连接线，同时还要注意收集计算机附近遗留的可能写有计算机指令的纸片等。在对网络犯罪的物证、书证及视听资料等进行包装运输时，要注意避免静电干扰。不能用塑料包装，并将其无线电设备远离磁场放置，避免电子储存的数据丢失。保管所缴获器材的房间应有空调装置。另外，还应将立体声喇叭之类的磁源保管好，不和上述器材放到一块。

2、实地访问

网络犯罪的现场勘查当中，实地访问是一种行之有效的获取证据、发现线索的手段。实地访问的对象主要是当事人和知情人。例如：计算机操作人员，分管领导，技术维护人员等。访问内容应当根据访问对象有策略地加以变化，概括起来包括以下内容：系统的运行状态，曾经进行过哪些操作和维修，操作人员和技术人员以及分管领导的思想表现；技术水平高低、分别能够接触哪些软硬件内容，如何发现系统出现的异常现象、采取过哪些处置措施等等。

（三）对证据资料进行技术分析

在前一阶段勘查取证的基础上，侦查人员可以对所得的相关证据资料（例如：磁介质、系统备份、数据备份）进行技术分析，从而发现作案人是在何时、采取何种手段、从哪些方面对网络系统进行了哪些侵害，从中选取有价值的侦查线索。目前，对相关证据资料进行技术分析的手段多种多样，其中常用的有以下几类：

1、对比分析技术。

这种技术主要是将收集到的程序、数据的备份与当前运行的程序、运行结果数据进行对比，从而发现异常状况，进而分析是否有被篡改的痕迹。

2、关键字查询技术。

这种技术主要用于对系统硬盘备份进行分析。在侦查人员所做的对现场系统硬盘的备份当中，以某些具有特殊功能的指令语句为关键字进行匹配查询，查询的结果将说明是否存在这一特殊功能的指令语句，侦查人员可以从中发现问题。

3、数据分析技术。

对于被作案人删除、修改的文件和磁盘数据，可以通过数据分析技术进行恢复，或者查明文件被修改移动的时间、修改前的状态和属性。这类技术包括：

（1）被删改、破坏数据的恢复技术。

这种技术通过磁盘操作技术和电磁学技术，将被删除、破坏的数据进行一定程度的恢复。这对于克服由于作案人故意毁灭证据而制造的困难有着重大意义。

（2）残留数据分析技术。

文件存盘以后，实际的长度要小于或等于所占用的簇的大小，空出来了这部分磁盘空间中会保存有原来存储的某些文件数据。对这些数据的分析，可以了解原来磁盘上存储的内容。

（3）文件“指纹特征数据”分析技术。

在每个文件的尾部均有一些记录该文件生成信息的数据，伴随着文件的修改而变动，这些数据也就是该文件的指纹特征数据。根据这些数据，可以判断文件的最后修改时间和修改次数，这可以帮助侦查人员判断作案时间。

4、文件内容分析技术。

在某些软件运行过程中，经常会产生一些记录软件运行状态和结果、数据操作过程的文件。例如：临时文件（.tmp）、备份文件（.bak)、交换文件(.swp)；win95的“文档”菜单当中记录了使用过文件名称；ie、netscape等网络浏览工具的书签簿、地址簿当中记录了浏览过的网络站点地址和图片内容。这些文件内容可以为侦查工作提供线索和证据。

四、对付网络犯罪应采取的侦查措施

（一）深入调查

通过初查与现场勘查之后，如果确认所发生的事件为网络犯罪，那么就应进一步深入进行调查工作。顾名思义，深入调查是在实地访问的基础上展开的。深入调查的访问范围比

上一页  [1] [2] [3] [4] [5] [6] 下一页