涉网案件的调查取证方法与流程

  • A+
所属分类:安全闲碎
涉网案件的调查取证方法与流程

 本文由湖北警官学院19网安黄仁飞同学编写,转载请注明。

引言:暑假期间,我在鉴定所完成了为期一个月的实习工作。期间接触了线上微信聊天诈骗、实体医院医疗诈骗、短信电话网络诈骗等的案例。电子数据取证,就是利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。本文将从电子取证流程的角度,分享亲身经历的工作要点及注意事项。

    我们的工作是电子取证,而不是侦查,我们遇到的类型只有两种,一种是公安机关送来的检材,例如服务器、主机、手机、笔记本电脑、移动硬盘;一种是需要去现场提取证据的的检材


一,送检材料

(一)服务器、主机、Windows笔记本和一体机、移动硬盘的取证

这类计算机硬件一般拥有较大的存储空间,内部涉案重要信息,可以帮助侦查办案人员理清犯罪团伙结构、犯罪手段、受害者信息,还是法院定罪量刑的重要依据。小编曾在一个犯罪嫌疑人的手机中发现了5个微信,一个家用,一个联系上下级,剩余三个用来“钓鱼”,小编当时很是惊讶,没想到他还是个“海王”,而这部手机的微信记录取了近百万条,想来以后的日子应该是相当有“判”头了。
回归正题,当公安机关送来这类检材时,可能是用封条封住机箱盖处的,也可能是用证物袋密封的,这是为了确保电子数据不会被篡改、破坏,保证电子数据的原始性、完整性。因此,我们在拆卸服务器硬盘、主机硬盘、笔记本硬盘时,应当全程录音、录像,并且在拆卸之前,拍摄检材外观信息,确保封条、密封袋完整无缺,笔记本、一体机序列号也要清晰可辨。拆卸时,也要整体拍摄检材内部情况。拆卸完成,得到硬盘后,应贴上标签和检材编号,再进行拍照。
涉网案件的调查取证方法与流程


在得到硬盘和检材照片之后,需将照片放入取证报告中,硬盘放入取证设备的只读插槽制作镜像,再对镜像取证,并根据侦查办案部门的要求进行提取、分析、检验、鉴定、出示、存档工作。在这里需要强调的是,原始检材我们只能进行只读操作,不能有任何其他操作,否则此证据可能会无效。

(二)手机、Mac笔记本和一体机的取证

和上一类检材的取证最主要的区别就是无法拆机,必须原始检材设备进行取证操作,这就需要我们在取证过程谨记取证规范,不能胡乱操作。

这类检材的取证也可以分为两小类,一类是手机。我们将手机连接电脑,然后按照提示操作即可。(如果想学习如何制作手机镜像和手工取证手机,还是烦请移步本公众号其他文章)。最后,还要拍摄手机基础信息照片放入取证报告中。
另一类就是Mac笔记本和一体机的取证,当然也包括部分Windows一体机,只能打开电脑,根据侦查办案人员的要求,对检材本身进行操作。Mac笔记本和一体机也大部分存在这个问题。因此,取证这类检材,我们要在找寻证据时录屏,将寻找证据和证据展示的全过程录制下来作为证据,再对数据进行分析。


二,现场勘察

现场勘查就是前往犯罪现场,对犯罪证据进行固定、提取,简称现勘。小编在实习过程中出过一次现勘,当进入到诈骗窝点后,被满墙的GOIP设备震惊到了,下图是小编从网上扣下来的设备图,因为是办案现场,不能拍照上传网络,就无法带领大家观赏到满墙的GOIP设备的壮观“景象”了,小编大致算过,书房大小的房间插了近3000张电话卡!

涉网案件的调查取证方法与流程

现勘的第一步,就是拍照,将现场的设备进行整体拍照。

第二步,就是证据的固定了,此时,对于现场电子数据的取证有两种情况。
一种是处于关机状态,不要开启系统,应该记录相关连接状态,拍照留证,再拔下机箱硬盘数据线和电源线,进入BIOS记录机器当时的时间,这样做的目的是防止对象故意修改系统时间,导致文件时间属性有偏差。
另一种是处于开机状态的主机或者服务器,此时不能立即关机,应当对易丢失数据进行提取固定。针对易丢失数据,应该拍照以记录系统当前运行状态及时间信息,关键数据获取数据工具提取其他信息。取证完成后,按照正常步骤关闭主机或服务器。
小编跟着师傅出现勘时,经过现场评估,再与前期勘察网警沟通之后,决定开启主机获取证据。开启主机之后的第一步就是拷贝取证软件,开启录屏功能,之后才能开始取证。开启录屏之后,应首先打开国家授时中心的官网主页,展示时间。
涉网案件的调查取证方法与流程
电信诈骗类案件层出不穷,过半的刑事案件也都属于涉网类案件。电信诈骗案件的手段也是日新月异,我们的取证技术也要与时俱进,但是唯一不变的,就是要合理、合法、合规,只有这样的取证结果,才能真正打击电诈犯罪。

   涉网案件的调查取证方法与流程



原文始发于微信公众号(电子取证及可信应用协创中心):涉网案件的调查取证方法与流程

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: