一、计算机犯罪现场勘验需要遵守的规定是怎样的?
第一章 总 则
第一条为规范计算机犯罪现场勘验与电子证据检查工作,确保现场勘验检查质量,根据《刑事诉讼法》、《公安机关办理刑事案件程序规定》、《公安部刑事案件现场勘查规则》,制定本规则。
第二条 在本规则中,电子证据包括电子数据、存储媒介和电子设备。
(一)现场勘验检查。是指在犯罪现场实施勘验,以提取、固定现场存留的与犯罪有关电子证据和其它相关证据。
(二)远程勘验。是指通过网络对远程目标系统实施勘验,以提取、固定远程目标系统的状态和存留的电子数据。
(三)电子证据检查。是指检查已扣押、封存、固定的电子证据,以发现和提取与案件相关的线索和证据。
第四条计算机犯罪现场勘验与电子证据检查的任务是,发现、固定、提取与犯罪相关的电子证据及其他证据,进行现场调查访问,制作和存储现场信息资料,判断案件性质,确定侦查方向和范围,为侦查破案提供线索和证据。
第五条计算机犯罪现场勘验与电子证据检查,应当严格遵守国家法律、法规的有关规定。不受其他任何单位、个人的干涉。
第六条执行计算机犯罪现场勘验与电子证据检查任务的人员,应当具备计算机现场勘验与电子证据检查的专业知识和技能。
第七条 计算机犯罪现场勘验与电子证据检查工作,应当以事实为依据,防止主观臆断,严禁弄虚作假。
第二章 组织与指挥
第八条计算机犯罪现场勘验与电子证据检查,应当由县级以上公安机关公共信息网络安全监察部门负责组织实施。必要时,可以指派或者聘请具有专门知识的人参加。
第九条对计算机犯罪现场进行勘验和对电子证据进行检查不得少于二人。现场勘验检查,应当邀请一至两名与案件无关的公民作见证人。公安司法人员不能充当见证人。电子证据检查,应当遵循办案人员与检查人员分离的原则。检查工作应当由具备电子证据检查技能的专业技术人员实施,办案人员应当予以配合。
第十条 对计算机犯罪现场勘验与电子证据检查应当统一指挥,周密组织,明确分工,落实责任。
第十一条计算机犯罪现场勘验与电子证据检查的指挥员应当由具有计算机犯罪现场勘验与电子证据检查专业知识和组织指挥能力的人民警察担任。重大、特别重大案件的勘验检查工作,指挥员由案发地公安机关负责人担任。必要时,上级公安机关可以直接组织指挥现场勘验和电子证据检查工作。
第三章 电子证据的固定与封存
第十二条 固定和封存电子证据的目的是保护电子证据的完整性、真实性和原始性。
作为证据使用的存储媒介、电子设备和电子数据应当在现场固定或封存。
第十三条 封存电子设备和存储媒介的方法是:
(一)采用的封存方法应当保证在不解除封存状态的情况下,无法使用被封存的存储媒介和启动被封存电子设备。
(二)封存前后应当拍摄被封存电子设备和存储媒介的照片并制作《封存电子证据清单》,照片应当从各个角度反映设备封存前后的状况,清晰反映封口或张贴封条处的状况。
第十四条 固定存储媒介和电子数据包括以下方式:
(一)完整性校验方式。是指计算电子数据和存储媒介的完整性校验值,并制作、填写《固定电子证据清单》;
(二)备份方式。是指复制、制作原始存储媒介的备份,并依照第十三条规定的方法封存原始存储媒介;
(三)封存方式。对于无法计算存储媒介完整性校验值或制作备份的情形,应当依照第十三条规定的方法封存原始存储媒介,并在勘验、检查笔录上注明不计算完整性校验值或制作备份的理由。
(一)保护现场;
(二)收集证据;
(三)提取、固定易丢失数据;
(四)在线分析;
(五)提取、固定证物。
第十六条 对现场状况以及提取数据、封存物品文件的过程、在线分析的关键步骤应当录像,录像带应当编号封存。
第十七条 在现场拍摄的照片应当统一编号制作《勘验检查照片记录表》。
第十八条在现场提取的易丢失数据以及现场在线分析时生成和提取的电子数据,应当计算其完整性校验值并制作、填写《固定电子证据清单》,以保证其完整性和真实性。
第十九条在线分析是指在现场不关闭电子设备的情况下直接分析和提取电子系统中的数据。除以下情形外,一般不得实施在线分析:
(一)案件情况紧急,在现场不实施在线分析可能会造成严重后果的;
(二)情况特殊,不允许关闭电子设备或扣押电子设备的;
(三)在线分析不会损害目标设备中重要电子数据的完整性、真实性的。重要电子数据是指可能作为证据的电子数据。
第二十条 易丢失数据提取和在线分析,应当依循以下原则:
(一)不得将生成、提取的数据存储在原始存储媒介中。
(二)不得在目标系统中安装新的应用程序。如果因为特殊原因,需要在目标系统中安装新的应用程序的,应当在《现场勘验检查笔录》中记录所安装的程序及其目的。
(三)应当在《现场勘验检查笔录》中详细、准确记录实施的操作以及对目标系统可能造成的影响。
第二十一条现场勘验检查结束后,应当在及时制作《现场勘验检查工作记录》。《现场勘验检查工作记录》由《现场勘验检查笔录》、《固定电子证据清单》、《封存电子证据清单》和《勘验检查照片记录表》等内容组成。
第五章 远程勘验
第二十二条远程勘验过程中提取的目标系统状态信息、目标网站内容以及勘验过程中生成的其它电子数据,应当计算其完整性校验值并制作《固定电子证据清单》。
第二十三条 应当采用录像、照相、截获计算机屏幕内容等方式记录远程勘验过程中提取、生成电子证据等关键步骤。
第二十四条远程勘验结束后,应当及时制作《远程勘验工作记录》。《远程勘验工作记录》由《远程勘验笔录》、《固定电子证据清单》、《勘验检查照片记录表》以及截获的屏幕截图等内容组成。
第二十五条 通过网络监听获取特定主机通信内容以提取电子证据时,应当遵循与远程勘验相同的规定。
第六章 电子证据检查
第二十六条办案人员将电子证据移交给检查人员时应同时提供《固定电子证据清单》和《封存电子证据清单》的复印件,检查人员应当依照以下原则检查电子证据的完整性:
(一)对于以完整性校验方式保护的电子数据,检查人员应当核对其完整性校验值是否正确;
(二)对于以封存方式保护的电子设备或存储媒介,检查人员应当比对封存的照片与当前封存的状态是否一致;
(三)存储媒介完整性校验值不正确、封存状态不一致或未封存的,检查人员应当在《电子证据检查笔录》中注明,并由送检人签名。
第二十七条 电子证据检查包括:
(一)检查、分析电子证据中包含的电子数据,提取与案件相关的电子证据。
(二)检查、分析电子证据中包含的电子数据,制作《电子证据检查笔录》描述检查结论。
第二十八条 从电子证据中提取电子数据,应当制作《提取电子数据清单》,记录该电子数据的来源和提取方法。
第二十九条 复制、制作原始存储媒介的备份应当遵循以下原则:
(一)复制并重新封存原始存储媒介。
(二)对解除封存状态、开始复制、复制结束、重新封存等关键步骤应当录像记录检查人员实施的操作。
(三)复制完成后应当依照第十三条规定重新封存原始存储媒介,并制作、填写《封存电子证据清单》。
第三十条除下列情形外,不得直接检查原始存储媒介,应当制作、复制原始存储媒介的备份,并在备份存储媒介上实施检查:
(一)情况紧急的重大案件,不立即检查可能延误案件的侦查工作,导致严重后果的;
(二)已计算存储媒介的完整性校验值,检查过程能够保证不修改原始存储媒介所存储的数据的;
(三)因技术条件限制,无法复制原始存储媒介的。
第三十一条 检查原始电子设备,或者因第三十条描述的原因,需要直接检查原始存储媒介的,应当遵循以下原则:
(一)对解除封存状态、检查过程的关键操作、重新封存等重要步骤应当录像;
(二)检查完毕后应当依照第十三条规定重新封存原始存储媒介和原始电子设备,并制作、填写《封存电子证据清单》。
(三)应当制作《原始证据使用记录》,记录直接检查原始证据的原因和目的、实施的操作、对原始存储媒介和原始电子设备中存储的信息可能产生的影响,并由两名检查人员签名。
第三十二条 电子证据检查结束后,应当及时制作《电子证据检查工作记录》。
《电子证据检查工作记录》由《电子证据检查笔录》、《提取电子数据清单》、《封存电子证据清单》和《原始证据使用记录》等内容构成。
第三十三条《现场勘验检查工作记录》、《远程勘验工作记录》、《电子证据检查工作记录》应当加盖骑缝章后由至少两名勘验、检查人员签名。
(一)基本情况。包括勘验检查的地点,起止时间,指挥人员、勘查人员的姓名、职务,见证人的姓名、住址等;
(二)现场情形。包括现场的设备环境、网络结构、运行状态等;
(三)勘查过程。包括勘查的基本情况,易丢失证据提取的过程、产生的数据,在线勘验、检查过程中实施的操作、对数据可能产生的影响、提取的数据,封存物品、固定证据的有关情况等;
(四)勘查结果。包括提取物证的有关情况、勘查形成的结论以及发现的案件线索等。
第三十五条《现场勘查照片记录表》应当记录该相片拍摄的内容、对象,并编号入卷。拍摄的照片可以是数码照片或光学照片。
第三十六条 《远程勘验笔录》的内容一般包括:
(一)基本情况。包括勘验的起止时间,指挥人员、勘验人员的姓名、职务,勘验的对象,勘验的目的等;
(二)勘验过程。包括勘验使用的工具,勘验的方法与步骤,提取和固定数据的方法等;
(三)勘验结果。包括通过勘验发现的案件线索,目标系统的状况,目标网站的内容等。
第三十七条 《电子证据检查笔录》的内容一般包括:
(一)基本情况。包括检查的起止时间,指挥人员、勘验人员的姓名、职务,检查的对象,检查的目的等;
(二)检查过程。包括检查过程使用的工具,检查的方法与步骤,提取数据的方法等;
(三)检查结果。包括通过检查发现的案件线索,提取的信息内容等。
第八章 附 则
第三十八条 对刑事案件现场勘验、检查应当遵循公安机关对刑事案件现场勘验、检查的有关规定。
第三十九条 本规则自发布之日起施行。
二、计算机犯罪手段
1、网络扫描。网络扫描是计算机犯罪开始前的侦察活动,犯罪分子利用各种扫描工具找出目标主机上的各种信息和漏洞等,这些资料将为其下一步攻击作铺垫。扫描器是最常见的一种自动检测远程或本地主机安全性弱点的网络扫描工具,通过它可以不留痕迹的发现远程服务器的各种TCP端口的分配、提供的服务和它们所使用软件的版本;
2、口令攻击。口令验证是保证计算机和网络系统安全最基本、最重要的手段,口令能否被破解决定了计算机犯罪的成功与否,一般情况下犯罪分子都是通过盗窃用户的密码文件,然后通过专门的解密工具来完成密码的破解。
3、计算机病毒。计算机病毒简单地说就是一段会自我复制、 隐藏、感染的程式码, 通过各种侵入使用者的电脑, 达成其恶作剧或破坏资料的目的;
4、陷门。在程序员设计程序时,按照程序设计的一般程序,要先将软件分为若干模块,方便对每个模块进行单独设计、调试,而陷门就是其中一个模块的入口。对于这样的秘密入口,用户往往不知道陷门的存在,但很可能被利用穷举搜索方法搜索的计算机犯罪分子发现并利用,从而给用户带来安全隐患;
5、逻辑炸弹。逻辑炸弹是一种对计算机程序进行修改,使其在某种特定条件下按照不同的方式运行的一种攻击手段。在一般情况下,逻辑炸弹对系统无任何,用户丝毫感觉不到它的存在,但一旦满足了触发条件,逻辑炸弹就会突然“引爆”,破坏计算机里存储的数据,带来意想不到的损失;
6、伊木马。作为计算机术语意为把有预谋的功能藏在木马公开的功能中,掩盖真实的企图,这类程序通称为伊木马程序,这也是犯罪分子较常用的伪装手段;
7、搭线窃听。搭线窃听是一种通过专门工具进行信号窃取,并进行信号处理的犯罪手段。常用于国家秘密和商业机密的窃取;
8、拒绝服务攻击。拒绝服务攻击又称为“电子邮件炸弹”。这种攻击手段可以降低资源的可用性,这些资源可以是处理器、磁盘空间、CPU使用的时间、打印机、调制解调器,甚至是系统管理员的维护时间。
侵入他人的计算机系统、在计算机所有者没有同意的前提之下就实施远程控制等的行为,就属于计算机侵权,这些侵权行为在满足一定的条件之后,是会构成刑事犯罪的,一旦司法机关确定他人利用计算机实施了犯罪行为,那么该犯罪分子被量刑的概率是比较大的。
