论网络犯罪之现场勘查
摘 要：当前我国计算机犯罪高发并依旧呈现上升态势，对社会
稳定、群众经济利益造成重大损害。计算机网络犯罪存在于虚拟空
间，具有隐蔽性强、取证难度大的特点，因此做好网络犯罪的现场
勘查是打击网络犯罪的关键所在。本文即从此类犯罪的现状及新特
点入手，分析取证中存在的难点，并探讨有针对性的侦查对策与措
施。
关键词：网络犯罪 信息技术 现场勘查 电子证据 侦查取证
一、我国网络犯罪现状及新特点
目前我国计算机网络犯罪案件高发且依旧呈增长态势，从1986
年我国发生第一起网络犯罪案件以来，到1999年公安机关立案侦
查的计算机违法犯罪案件400余起，再到2000年剧增为2700余起，
时至近日，公安机关立案侦查的网络犯罪案件依旧呈现高发态势，
以每年激增30%的速度发展着，可见其成爆炸性增长态势，对社会
稳定、群众经济造成越来越大的冲击。随着我国经济的快速发发展，
对外开放水平的进一步提高，网络犯罪也日益凸显出新的特点。
（一）网络犯罪主体“回归平民”。从传统计算机网络犯罪案件
的归纳分析中可以发现，其犯罪主体多集中在受过一定教育的高智
商群体。然而随着我国经济的高速发展，人民生活水平不断提高，
计算机已经走进千家万户，截至到2012年6月底，我国网民数量
达到5.38亿人，互联网普及率已经达到39.9%。也正是在这样一种
新的社会背景下，网络犯罪的主体也发生了巨大的变化，其已日渐
“回归平民”，且出现低龄化趋势，不再单单局限于高智商的白领
犯罪人群。
（二）网络犯罪“穿越时空”。网络犯罪由于其本身载体的特殊
性，在虚拟空间与现实空间的转化，致使其往往具有“穿越时空”
的特点。此类犯罪跨区域面广，异地犯罪极为突出。在时间上，同
样具有明显跨越性，网络犯罪人在实施犯罪后并不立即产生危害后
果，而是通过计算机程序设定时间延时产生以达到其所想达到的后
果，或者是满足某种条件时产生犯罪后果。在时间性问题上，除了
延时发展，网络犯罪还会出现“逆溯”时间的现象，通过此种时间
上的“穿越”修改以实现其犯罪的最终目的，并设法逃避侦查。
（三）网络犯罪“暗渡陈仓”。犯罪分子进行网络犯罪时，要么
是利用已经搭建好的虚拟网络平台展开违法犯罪活动，要么是通过
向计算机输入错误指令，篡改软件程序进行恶意攻击破坏，其作案
时间短且对计算机硬件和信息载体不会造成任何损害，很少留下具
有价值的犯罪证据，也使侦查人员很难在虚拟的空间中发现挖掘出
有价值的线索信息，也正是由于网络犯罪人这种“暗渡陈仓”的方
式使得网络犯罪具有极强的隐蔽性，致使网络犯罪的现场勘查极为
困难。
二、网络犯罪现场勘查概论及侦查难点
现场勘查指在犯罪案件发生后，侦查员为了查明案件性质及案件
事实，收集犯罪证据，发现侦查线索，揭露犯罪分子，依照法律的
规定，运用一定的技术手段和策略，对与犯罪有关的场所、物品、
尸体、人身进行勘验和检查的一种侦查行为。
网络犯罪现场勘查是取得第一手资料的重要途径，对于收集固定
证据，揭露和证实犯罪都起着重要作用。网络犯罪行为的隐蔽性决
定了只有充分观察、剖析、理解网络犯罪现场，才能发现证据和线
索，把握案件的真实面貌，有效完成现场勘查，最终揭露犯罪事实。
然而目前我国在网络犯罪勘查中却存在着诸多侦查取证难点。
（一）暗藏玄机，进入难
当前计算机取证技术还存在有很多局限性，真正找到进入网络犯
罪人犯罪空间的命门还存在很大难度。现阶段的计算机取证手段还
难以应对计算机犯罪手段和计算机犯罪技术的变化。当前我国适用
的取证软件的功能主要集中于磁盘分析上，如磁盘映像拷贝，被删
除数据恢复和查找等工具软件开发研制，然而在其他网络犯罪的现
场勘查中还存在有寻找电子证据的巨大盲区。
（二）大海捞针，发现难
由于计算机应用系统繁多、复杂，造成了犯罪行为产生的计算机
证据存储状态复杂、表现形式多样，所以，面对繁杂、海量的计算
机数据，真如“大海捞针”，在网络犯罪现场勘查的过程中，如何
审查判断出与案件有关联的、反映案件客观事实的计算机证据，这
个审查判断的甄别过程具有不小的难度。
（三）水落石出，举证难
电子证据的举证出示是诉讼过程中的一个重要步骤，计算机犯罪
行为产生的过程数据往往是与计算机信息系统等密切联系的，有的
数据是完全依赖特定环境才可被显示的。然而在诉讼中需要对该类
证据进行法庭举证和出示时，这一特殊电子证据出示难的问题将会
进一步凸显出来。
三、新形势下网络犯罪现场勘查的对策措施
在网络犯罪的现场勘查过程中，电子证据的收集是工作的重点。
电子证据的取证主体与传统证据相比有所不同，除了司法机关的侦
查人员以外，还需要电子技术专家予以协助。但是由于犯罪侦查并
不是纯粹的技术性活动，其更重要的特点是法律性，而电子技术专
家一般并不具备相应的法律知识和能力，他们只关注案件的技术问
题，其收集、保存证据的方法不一定符合法律要求。因此，他们应
当在侦查人员的指导下进行活动。
（一）综合利用第三方支付平台获取线索，侦查取证
随着电子商务的迅速发展，第三方支付平台应用日益普及，给广
大电子商务的参与者提供了方便快捷的支付结算服务，同时给犯罪
嫌疑人利用第三方支付平台进行经济犯罪提供了可乘之机。针对这
一现状，公安机关要积极应对形势的变化，采取相应的对策。
通过建立针对第三方支付结算业务的快速查询平台，保证及时查
明赃款流向，获取犯罪证据，有效地追赃挽损和精确打击犯罪。银
监部门等职能管理机构要整合现有资源，建立一个针对第三方支付
结算业务的快速查询平台，管理部门、金融机构、第三方结算平台
以及公安机关能够通过该平台实现信息资源共享。公安机关在侦查
办案中能够通过该平台一站式及时有效地获取涉案资金的流向轨
迹，查明赃款流向，精确锁定犯罪嫌疑人，破获案件。
（二）展开对电子证据的收集取证
1.windows系统取证
在windows系统取证取证过程中，关键是做好易失性证据的发现、
收集和保全。成立数字调查小组，建立收集策略并备好相关软件与
硬件，并建立起概要文档，同时要注意收集日志的完善，注明取证
人、取证工具以及取证时间等。接下来就是要进行具体证据的收集
工作，应当收集更新时间、日期、时间、命令记录等，在执行取证
工具或者命令的时候，将产生的数据和时间建立审计追踪，并建立
起命令历史记录，将所有的取证活动记录下来，在具体操作中主要
围绕文件系统、日志文件以及注册表三个方面具体展开证据收集活
动，从而收集涉及系统和网络的易失性信息。
2.即时通信取证
即时通信也称实时通信，是一个终端连网即时通信网络的服务，
允许两人或者多人使用网络即时地传递文字信息、文件、语音与视
频的交流方式。主要功能有：即时通信，聊天，文件传输，图片、
音频、视频、交流等。即时通信系统使用的底层协议基本相同，主
要使用tcp和udp。通过调取及时通信信息掌握相关线索，并进一
步搜集、固定相关有价值的证据。
3.电子邮件通信取证
所有的邮件服务器都可以保存日志记录信息，保留有发送的时间
等信息。邮件服务器上通常还有邮件的备份，并保留一段时间。在
必要和可能的情况下，可以把发件人的邮件或最后的收件人的邮件
和服务器上的邮件进行对比，从而获取有价值的电子证据。
4.p2p取证
对等网络，简称p2p。基于p2p应用进行资料存储和交换正变得
普遍。bt是目前国内最热门的下载方式之一，中文全称“比特共流”，
是一个多点下载的源码公开的p2p软件。侦查员应当及时收集调取
p2p上传者使用种子文件所描述得有关信息。并进一步收集、固定
网络用户在某服务器或上传者的计算机上下载的若干部分，做到电
子证据的全面收集。
四、小结
随着网络技术的发展，网络犯罪也日益频繁，犯罪形式不断升级，
传统犯罪在网络上出现了新的犯罪形式。加强对网络犯罪的研究，
不断强化和完善各种预防和打击网络犯罪的手段，具有重大的现实
意义。我们应密切关注国内外网络犯罪的新动向，对新形势下的犯
罪手段和危害方式进行研究，牢牢掌握与其作斗争的主动权。同时，
应进一步完善刑事侦查系统，提高侦查人员的技术水平，进一步完
善侦查取证过程的综合全面性，做好对网络犯罪虚拟空间的现场勘
查，依法有效地进行电子证据的收集，严厉打击网络犯罪，将犯罪
人绳之于法，确保安全的网络环境、法制环境、社会环境，促进和
谐社会的发展。
参考文献：
[1]王国强；信息时代数字取证面临的挑战及相关对策[a]；第26
次全国计算机安全学术交流会论文集[c]；2011年
[2]曹玉磊；电子取证：解剖计算机犯罪“痕迹”[n]；中国城乡
金融报；2011年
[3]叶红；电子取证：打击计算机犯罪的利器[n]；中国计算机报；
2007年
基金项目：
本文系2012年西南政法大学本科生科研训练创新活动资助项目。