2022年浅论网络犯罪侦查精选.docx

第 1 页 共 要是指侦查人员对不能停止运行而又没有备用应急措施的信息系统进行数据复制，以便尽快复原系统正常工作。备份的对象主要是：系统中的相关数据、系统日志文件等。备份当中应留意的问题是：对于磁介质中全部的数据根据其物理存放格式进行全盘复制，而不是简洁地拷贝文件。
收集，就是将现场上遗留的原始资料、数据参数等“网络证据”资料进行提取、包装。收集的对象主要是：计算机软、硬件，各种输入和输出设备，调制解调器，各种操作手册，各种连接线，同时还要留意收集计算机旁边遗留的可能写有计算机指令的纸片等。在对网络犯罪的物证、书证及视听资料等进行包装运输时，要留意避开静电干扰。不能用塑料包装，并将其无线电设备远离磁场放置，避开电子储存的数据丢失。保管所缴获器材的房间应有空调装置。另外，还应将立体声喇叭之类的磁源保管好，不和上述器材放到一块。










2、实地访问
网络犯罪的现场勘查当中，实地访问是一种行之有效的获得证据、发觉线索的手段。实地访问的对象主要是当事人和知情人。例如：计算机操作人员，分管领导，技术维护人员等。访问内容应当依据访问对象有策略地加以改变，概括起来包括以下内容：系统的运行状态，曾经进行过哪些操作和修理，操作人员和技术人员以及分管领导的思想表现；技术水平凹凸、分别能够接触哪些软硬件内容，如何发觉系统出现的异样现象、实行过哪些处置措施等等。
（三）对证据资料进行技术分析
在前一阶段勘查取证的基础上，侦查人员可以对所得的相关证据资料（例如：磁介质、系统备份、数据备份）进行技术分析，从而发觉作案人是在何时、实行何种手段、从哪些方面对网络系统进行了哪些侵害，从中选取有价值的侦查线索。目前，对相关证据资料进行技术分析的手段多种多样，其中常用的有以下几类：
1、对比分析技术。
这种技术主要是将收集到的程序、数据的备份与当前运行的程序、运行结果数据进行对比，从而发觉异样状况，进而分析是否有被篡改的痕迹。
2、关键字查询技术。










这种技术主要用于对系统硬盘备份进行分析。在侦查人员所做的对现场系统硬盘的备份当中，以某些具有特别功能的指令语句为关键字进行匹配查询，查询的结果将说明是否存在这一特别功能的指令语句，侦查人员可以从中发觉问题。