从具体案例出发，看司法鉴定过程中容易误判的细节

日前，周泰研究院成立仪式暨网络犯罪和电子数据研讨会在北京周泰律师事务所成功举办。当天邀请了多位学界、实务界人士参与网络犯罪和电子数据课题的研讨。

本文是研讨会上北京网络行业协会信息安全应急响应与处置中心主任、声像资料类司法鉴定人高显嵩老师的发言稿，整理刊发以飨读者。

全文共： 1297字   预计阅读时间： 4分钟 

大家好，非常荣幸今天能参加此次活动，正好最近我在处理一个跨境电诈的案件，因为时间有限，所以今天我主要分享几个案例。

技术是无罪的

首先我想说的是，技术本身是无罪的，任何一种技术都有正反两个方向，主要是看如何使用。

例如DDOS攻击技术，全称是分布式拒绝服务，那么其实这种技术也经常运用在例如服务器压力测试等正常场景。

再比如爬虫技术，这种技术本身是一种正常的搜索引擎应用技术，国际上有标准的爬虫协议即robots协议，但是这种技术由于现在经常被黑灰产使用，所以很多人就把这种技术也当作一个非法技术了。

所以说不要听到某种技术就把他明确定义为一种非法技术或者不非法的技术，主要还是看技术掌控者怎么去使用。

有些技术我觉得应该尽量地公开，不管是违法犯罪手段，还是取证手段。

因为只有完全公开，大家才能站在技术平等的角度上进行博弈；普通用户才会对犯罪手段有更深的了解；其他相关行业的从业者也会更清楚自己的工作如何开展。不应该有那些技术只能内部分享不对外公开的情况。

跨境网络赌博案例

今天我主要分享两个案例，第一个案例是网络赌博的案例，也是最近两年大家比较关注的犯罪类型，第二个是在取证过程中，如果不注意技术细节，很容易造成冤假错案的例子。

首先说一个关于网络赌博的案件，网络赌博案件有一个特点，就是其服务器往往都在境外，取证的过程比较困难。另外其技术团队都非常专业，反侦查手段也非常高、防范意识也非常好。

所以像这种案件，一般都需要前期做很多准备，我个人建议在案件侦查的初期就需要专家介入。例如在公安部某专案中，从开始侦察一直到最后的司法鉴定，我们全程参与行动。如果当时我们不去给他定制抓捕方案和侦查方案，很有可能有一些关键证据就拿不到。

在这个案件中，犯罪团伙防范意识很强，他们的开发团队电脑上没有任何有用数据，他们在境外的赌场里搭建了Citrix的私有云桌面服务器，每个人员分配一个云桌面，所有的工作都在这个云桌面上进行。我们当时做了很多前期工作，了解了他们的网络架构，包括内网的拓扑结构。

最后在定制行动方案时，我们明确要求应在第一时间获取三种数据：云桌面上关键人员存储的数据，云桌面中的gitlab源代码服务器中数据，以及云桌面中的数据库服务器内的数据库备份。

这三种数据获取完之后再对云桌面上不重要的计算机数据进行获取，然后再获取局域网内的数据。按照这个思路第一时间进行证据获取，当获取完云桌面中重要的数据后，进行其他云桌面电脑数据获取的时候，境外的服务器就已经关闭了。

由于前期行动方案制定正确，关键数据都已经拿到，不影响案件的后续办理。

司法鉴定过程中容易误判的细节

最后一个案例是在电子数据鉴定实践中，特别容易造成误判错案的案例。

这是一个做二手车的公司，这个公司在上市之前，其相关的财务报表数据被人完整录屏，发送给了投资人，结果导致了上市失败。

我们拿到录屏的视频的时，能看到他电脑上的时间，还有操作系统的一些信息，公司分析认为是内部员工通过虚假机进行的录屏操作。

但是在我们取证过程中发现该员工的账号从虚拟机创建的那一刻起，从来没有注销过，因为在虚拟机的Windows日志中，远程桌面有断开重连的日志，每次都是断开会话和重新链接到会话，但从来没有注销的过程。

通过仔细地对远程桌面的日志进行分析，我们发现一个细节，日志中记录了大量该员工局域网电脑断开重连的记录，所以很容易认为就是这个员工做的操作。

但是我们发现在案发时的这一段时间里，链接远程桌面的IP地址是127.0.0.1，像这种情况，如果你不了解一些黑客技术，可能就不知道为什么会是本地127.0.0.1来通过远程桌面登录本机。

远程桌面应该是网络登录，但这个IP地址是本地IP地址，这是正常情况下无法实现。产生这种日志有一种可能性，即通过远程跳板，将远程桌面的端口反弹出去，通过反弹以后再重连回来，因为这个虚拟机是在内网的，它没有互联网IP，在互联网上没有本地登录远程桌面的，所以他通过反弹的方式把远程桌面的端口反弹到互联网上的一个IP地址，再通过远程桌面链接到互联网上的这个IP地址，重新定向到局域网的这台虚拟机远程桌面上。后来我们根据这个线索最终发现是反弹到美国的一个VPN的主机上，最后反弹出去了。

因此我们就很难证明当天被怀疑的员工是不是真正的嫌疑人，因为还存在这个网络已经被黑客攻击并控制的可能性。如果在鉴定过程中不了解黑客技术，可能会出现错判的问题。

一般的司法鉴定不需要太多的技术基础，比如说使用某个取证大师，把设备跑一遍，可能数据就出来了。

但如果想做一个全面的鉴定，由于不同的技术存在不同的技术难点，需要相互配合，或者是要有经验比较丰富的、技术比较全面的人，比如说需要了解黑客技术，各种编程语言，各种网络协议、各种数据库、网络设备、网络服务器、逆向分析等相关技术才能把案件分析透彻。

我非常认同石鹏主任所说的观点，应该加大对犯罪手段进行打击的方式方法，专家应从前期参与侦破取证，否则可能会遗漏很多关键证据。

另外说到断卡行动，据我了解，大多数电信犯罪都会涉及到这个问题。它不光是国内的“四件套”，现在还有很多形成链条的专门的刷卡平台，链条中卖的卡适用于做简单的点赞、适用于做VPN或者是线上投票的，都是虚拟卡。虚拟卡有很多是美国的手机号，这种虚拟卡没有实际的号卡，而是以号码配合一个网址一个ul地址，这个号码去注册各种平台，通过配套的URL链接获取短信验证码，这个卡交易的模式也是一个庞大的黑灰产链条，由于时间关系不再过多介绍。

相关推荐

当网络犯罪“牵手”电子证据

周泰观察   10月20日

电子证据审查的突破、瓶颈及出

路在何方？

周泰观察   11月8日

专业、深入、有效审查， 让电

子数据鉴定意见存在的问题无

所遁形

周泰观察   11月11日

欢迎关注周泰，欢迎点“赞”和“在看”