第一节  涉案网络空间的内涵

一、网络空间概述

（一）网络空间的概念

网络空间来源是加拿大作家威廉·吉布森1984年在其科幻小说《神经漫游者》（见图4-1-1）中对网络与人的神经系统合为一体后产生的虚拟空间的描述，吉布森把这个空间取名为"赛博空间"( Cyberspace )。"网络空间"一词是随着20世纪90年代中期互联网在中国的兴起而出现的，当时对网络空间的定义与互联网基本相同。进入21世纪后，网络空间逐渐得到美国政府和军方的广泛重视，并随着认识的不断深入而多次对其定义进行了修订。布什政府2003年2月公布的《保护网络空间国家战略》中，将网络空间定义为"国家关键基础设施的中枢神经，由成千上万互联的计算机、服务器、路由器、交换机、光纤线路组成，并使美国的关键基础设施能够正常工作"。因此，网络空间的正常运行对美国经济和国家安全至关重要。要召唤一个魔鬼，你必须知道它的名字。神经漫游者威廉·吉布森（知）长篇小说 WilliamGibsonANCERNEUR

 图4-1-1《神经漫游者》译本封面随着社会和科技的发展，网络空间的概念也在不断演变。当今时代，网络空间是指由互联互通的设备和网络按照一定的规则和程序组成的、可供人们交流互动的虚拟空间。人们通常所说的网络空间，是指基于因特网而形成的全球性网络空间。

（二）网络空间的特点

网络空间是一个类似领土、领海、领空和大气空间的全球领域。与自然空间相比，网络空间是一个极度分散的物理区域，依靠技术把这些物理区域连成一体，并改变了传统社会与组织的固有结构，形成了这个空间特有的生活方式和运作秩序。

网络空间具有以下特点：

1．无界性。由于电磁频谱和电子数据的传播不受地理和自然边界限制，使得在网络空间的行动几乎可以在任何地方发生。网络空间与其他自然空间都有所重叠，并且在网络空间内，公共和隐私、官方和民间、军事和非军事等领域之间的界限也相对模糊。

2．匿名性。网络空间内的活动从根源上都是由自然人发起并主导的，但是由于自然人与网络空间的交互是通过终端设备并借由虚拟角色完成的，故可以实现隐匿或替换自然人部分乃至全部真实身份信息。

3．不稳定性。网络空间内的设备的数量和状态不固定，其中的数据时刻在被计算与处理中，导致网络空间的微观结构处在不断变化，某些设备和数据仅在一定时间段内存在于该空间。

4．依赖性。网络空间是"人造"的空间，依赖于设备（见图4-1-2)、技术和能源，需要不断消耗技术资源和能源以保证设备处于不间断运行的过程中才能存在和发展。

图4-1-2网络空间所依赖的设备之﹣-﹣网络线缆和集成器

5．持续发展性。网络空间随着技术的不断革新而变化，其结构处于不断的重构中。用于网络空间的相关装备和技术的操作要求必须基于动态标准。

（三）网络空间的要素

网络空间本质上是由"网络"与"空间"两大部分构成，"网络"包含设施与数据两个要素，"空间"包含用户与交互两个要素。其中，设施是网络空间的载体，包括端节点、连接边界及交换节点等；数据是网络空间的客体，是指在设施中保存和流转的电子数据；用户是网络空间的主体，以虚拟角色的形式存在于网络空间并发起交互行为；交互是网络空间的行为，指用户之间及与网络空间设施之间的数据交互。因此，网络空间具有四个基本要素：设施、数据、用户、交互（见图4-1-3)。

图4-1-3网络空间的要素

二、涉案网络空间的含义

在违法犯罪活动过程中，只要利用网络进行了交互活动，所涉网络空间就是涉案网络空间。涉案网络空间是电信网络诈骗案件的涉案电子数据的主要来源之一，涉案网络空间勘查主要是通过对设施中的存储载体进行电子数据提取，从而为确定犯罪嫌疑人（主体）及查明犯罪事实（行为）提供线索和证据。根据《公安机关电信网络诈骗案件现场勘查工作指引（试行）》的相关条款，涉案网络空间包括网站、服务器后台等，并未包含被害人使用的本地涉案电子设备、所查获的窝点涉案电子设备、犯罪嫌疑人使用的本地电子设备和其他通讯网络设备等，故该工作指引所指的网络空间是狭义的网络空间，特指涉案网站、服务器后台这类与电信网络诈骗案件的犯罪行为有直接关联的远程虚拟空间。如无特定说明，本章后续所提到的涉案网络空间将沿用这一狭义含义。

三、涉案网络空间电子数据的含义

根据《刑事诉讼法》《民事诉讼法》和《行政诉讼法》的有关条款规定，电子数据属于法定证据，经法庭审查属实，可作为认定案件事实的根据。广义的涉案网络空间电子数据的形成过程错综复杂，有的是犯罪行为人与被害人的交互活动所产生的，有的是犯罪行为人之间的交互活动所产生的，还有的是被害人或犯罪行为人与网络节点（如某涉诈 APP 的网络服务器）的交互活动所产生的。这些交互活动中，既有单向的也有双向的，既有主动的也有被动的，既有一对一的也有一对多的和多对一的。概括来说，广义的涉案网络空间电子数据，是指在违法犯罪活动过程中，案件相关人利用网络与案件其他相关人、机、物进行交互活动，并在网络空间的存储载体留下的与违法犯罪案件有关的电子数据。对于电信网络诈骗案件，公安机关须提取的涉案网络空间电子数据主要为网站和服务器中的电子数据。

四、涉案网络空间电子数据的载体

涉案网络空间电子数据与其他电子数据一样，其实际载体为具有存储功能的电子设备，如数据服务器（见图4-1-4)、计算机硬盘、缓存、存储卡等。涉案网络空间电子数据载体的特点是其不需要用户置备实体硬件，而由虚拟的网络空间中的数据存储载体取代，以实现便捷、经济的数据交互。

图4-1-4数据服务器

在网空间中，这些数据载体的数量往往较多且分布较分散，涉案电子数据可以快速在各载体之间流转，所经过的每个节点都可能留下它的身影，就某个案件中的某个具体的网络交互活动而言，只要能掌握其数据交互的机制，理论上就能实现对相关数据的追溯。在固定提取案网络空间电子数据时，应厘清各载体在网络空间数据传输过程中的关系，选择恰当的载体和方法进行固定与提取；在应用这些数据时，不应过分纠结数据在载体间的流转过程，而应注重分析电子数据内容本身与犯罪行为人和案情关系密切的数据，充分挖掘与利用数据的证据价值。

图4-1-5电子数据内容分析

第二节  涉案网络空间勘查流程

关于涉案网络空间的勘查，2016年9月发布的最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》中首次提出了"对于原始存储介质位于境外或者远程计算机信息系统上的电子数据，可以通过网络在线提取。为进一步查明有关情况，必要时，可以对远程计算机信息系统进行网络远程勘验"。2019年2月实施的《公安机关办理刑事案件电子数据取证规则》指明了网络在线提取的范围为"公开发布的电子数据、境内远程计算机信息系统上的电子数据"，并列举了应进行网络远程勘验的6种情形。

一、网络远程勘验

网络远程勘验，是指通过网络对远程计算机信息系统实施勘验，发现、提取与犯罪有关的电子数据，记录计算机信息系统状态，判断案件性质，分析犯罪过程，确定侦查方向和范围，为侦查破案、刑事诉讼提供线索和证据的侦查活动。它可以理解为网络在线提取电子数据的一个非必要的前置环节，只有在需要进一步查明有关情况时才进行；其最终目的也是在线提取电子数据，但它有一个勘验的过程，甚至涉及技术侦查措施的使用。它与网络在线提取电子数据相辅相成、各有应用方向，也可以在进行网络远程勘验的同时在线提取电子数据。

（一）适用情形

网络在线提取时，有以下情形之一的，应当对远程计算机信息系统进行网络远程勘验：

1．需要分析、判断提取的电子数据范围的；

2．需要展示或者描述电子数据内容或者状态的；

3．需要在远程计算机信息系统中安装新的应用程序的；

4.需要通过勘验行为让远程计算机信息系统生成新的除正常运行数据外的电子数据的；

5．需要收集远程计算机信息系统状态信息、系统架构、内部系统关系、文件目录结构、系统工作方式等电子数据相关信息的；

6．其他网络在线提取时需要进一步查明有关情况的情形。

（二）程序网络远程勘验

由办理案件的县级公安机关负责。上级公安机关对下级公安机关刑事案件网络远程勘验提供技术支援。对于案情重大、现场复杂的案件，上级公安机关认为有必要时，可以直接组织指挥网络远程勘验。

网络远程勘验在线提取数据按如下步骤进行：

1．对现场环境、使用设备进行拍照或录像。

2．确定远程数据存储的位置、记录远程存储设备的域名、域名对应的 IP 。

3．登录、浏览远程目标设备、网站账户，对操作过程进行截屏、拍照并录像，记录登录的用户名、密码、路径等信息。

4．依据《电子物证数据搜索检验规程》( GB /T29362-2012）进行数据搜索，提取远程目标中网页、邮件、文件等数据内容，保存在有唯一性编号的专用存储介质中，并计算、记录提取数据的哈希值。对操作过程进行截屏、拍照并录像。

5．记录远程勘验在线提取数据的北京时间、地点、人员及使用的软硬件等信息。

6．记录数据提取路径和保存路径。

7．封存专用存储介质。

二、网络在线提取电子数据

（一）适用情形

对于公开发布的电子数据、原始存储介质位于境外或者境内远程计算机信息系统上的电子数据（可理解为由于办理刑事案件的需要，获取远程登录权限即视同于来干现场翻查向公安机关"公开")，可通过网络在线提取。网络在线提取基本可以理解成一个下载动作。

（二）程序

1．记录易失、易变信息。对可能无法重复提取或者可能会出现变化的电子数据，应当采用录像、拍照、截获计算机屏幕内容等方式记录以下信息：

(1）远程计算机信息系统的访问方式；

(2）提取的日期和时间；

(3）提取使用的工具和方法；

(4）电子数据的网络地址、存储路径或者数据提取时的进入步骤等；

(5）计算完整性校验值的过程和结果。

2．提取电子数据。通过网络在线提取电子数据。必要时，可以提取有关电子签名认证证书、数字签名、注册信息等关联性信息。

3．计算电子数据的完整性校验值。网络在线提取应当计算电子数据的完整性校验值。完整性校验值，是指使用散列算法等特定算法计算电子数据或者存储媒介的哈希值。完整性校验值可以比作电子数据的" DNA "，只要数据内容发生任何变化，计算所得出的值也将不同，它的目的是确保数据没有被修改或变化，保证信息的完整性不被破坏。

三、制作笔录

（一）制作《远程勘验笔录》远程勘验结束后，应当及时制作《远程勘验笔录》（见图4-2-1)，并由侦查人员和见证人签名或者盖章。《远程勘验笔录》的内容如下：

1．基本情况。包括勘验的起止时间，指挥人员、勘验人员的姓名、职务，勘强对象、勘验目的等。

2．勘验过程。包括勘验使用的工具，勘验的方法与步骤，提取和固定数据的方法以及勘验照片、屏幕截图等。

3．勘验结果。包括通过勘验发现的案件线索、目标系统的状况、目标网站的内容等。

图4-2-1《远程勘验笔录》样例

远程勘验并且提取电子数据的，应当在《远程勘验笔录》中注明有关情况，并附《电子数据提取固定清单》（见图3-2-2)。

（二）制作《网络在线提取笔录》

网络在线提取电子数据结束后，应当及时制作《网络在线提取笔录》（见图4-2-2)，由侦查人员签名或者盖章。《网络在线提取笔录》的内容如下：

1、电于数据的来源、事由、目的、对象。

2．提取电子数据的时间、地点、方法、过程。

3．不能扣押原始存储介质的原因。

图4-2-2《网络在线提取笔录》样例

《网络在线提取笔录》应附《电子数据提取固定清单》（见图3-2-2)，注明电子数据的类别、文件格式、完整性校验值等。

四、注意事项

1．网络远程勘验应当统一指挥、周密组织、明确分工、落实责任。

2．网络远程勘验应当由符合条件的人员作为见证人。由于客观原因无法由符合条件的人员担任见证人的，应当在《远程勘验笔录》中注明情况，并按照规定将勘验过程进行录像，录像文件应当计算完整性校验值并记人笔录。

3.《远程勘验笔录》应当客观、全面、详细、准确、规范，能够作为还原远程计算机信息系统原始情况的依据，符合法定的证据要求。对计算机信息系统进行多次远程勘验的，在制作首次《远程勘验笔录》后，逐次制作补充《远程勘验笔录》。

4．网络在线提取或者网络远程勘验时，应当使用电子数据持有人、网络服务提供者提供的用户名、密码等远程计算机信息系统访问权限。

5．采用技术侦查措施收集电子数据的，应当严格依照有关规定办理批准手续。收集的电子数据在诉讼中作为证据使用时，应当依照《刑事诉讼法》第154条的规定执行。

6．对以下犯罪案件，网络在线提取、远程勘验过程应当全程同步录像：

(1）严重危害国家安全、公共安全的案件；

(2）电子数据是罪与非罪、是否判处无期徒刑、死刑等定罪量刑关键证据的案件；

(3）社会影响较大的案件；

(4）犯罪嫌疑人可能被判处五年有期徒刑以上刑罚的案件；

(5）其他需要全程同步录像的重大案件。

7．网络在线提取、远程勘验使用代理服务器、点对点传输软件、下载加速软件等网络工具的，应当在《网络在线提取笔录》或者《远程勘验笔录》中注明采用的相关软件名称和版本号。

8．网络在线提取应进行 host 记录检查和 tracert 路由检查。

9．使用浏览器前应清除浏览器缓存。

第三节  涉案网络空间勘查方法

一、下载与复制

（一）适用对象

对于网络上公开发布的电子数据，如 APP 安装文件、网页、网页链接所指向的文件、网页中的图片、网页中的文字等，可以通过直接下载或复制的方法固定提取。

（二）操作要点

对于使用浏览器进入相关页面后，可以将网页另存为 htm 等格式的文件；对于网页上发布的文件，可以通过点击链接直接用浏览器下载网页上的文件，也可选用第三方下载工具（如迅雷、蚂蚁下载管理器等）进行下载；对于网页中的图片，可在图片上单击右键，再点击"将图像另存为"（以 MicrosoftEdge 为例）（见图4-3-1)，将图片保存至所选路径，或者在图片上单击右键，再点击"复制"，随即将图片粘贴至编辑软件中并保存；对于网页中的文字，可以选定后单击右键，再点击"复制"（或按快捷键" Ctrl + C ")，随即将文字粘贴至编辑软件中并保存。新建标盖页新建窗口新建 InPrivate 窗口 Ctrl + TCtrl + NCtrl + Shift + N 缩放100%+白收藏央集绵 Ctrl + Shift + OCtrl + Shift + YCtri + HCtrl +)历史记录业下载田应用打印网页裤获共享在页面上查找 Ctrl + PCtrl + Shift + SCtrl + FCtrl + Shift + U A 大声朗读更多工具将页面另存为命名窗口．..将媒体投放到设备数学求解器 Ctrl + S 设置帮助和反馈关闭 MicrosoftEdge 定到任务栏固定财"开始"乘单启动任务栏固定内导浏览器任务营理器开发人员工具 Shift + EscCtrl + Shift +1是否海欢此背城？

图4-3-1MicrosoftEdge浏览器

将页面另存为"功能操作时，应注意以下要点：

1．须记录所下载或复制内容的 URL 。

2.网页另存为 htm 等格式的文件后，须打开相应文件检查所需元素是否能完整呈现。若某些素材缺失，可辅以截屏等形式进行补充。

3．某些文件（如嵌入式流媒体文件）（见图4-3-2）无法直接下载的，可利用第三方工具解析文件的真实地址再进行下载（如维棠、硕鼠、罗麦等），也可辅以录屏等形式进行补充。

图4-3-2视频网站的流媒体

4．某些文字不能直接复制的，可用截屏、录屏等方式进行固定提取。确需复制的，须采取特殊技术手段破解文字复制限制。

（三）优、缺点

下载与复制操作较简便；其保存和归档较方便；所下载或复制的内容与原始内容一致，尤其是对于图片、视频类内容，可实现无转换、无损失的提取。但是，该方法对于一些施加了保护技术的内容无法直接下载或复制；对于较大文件下载的效率，对网络环境的依赖程度较高。

二、照相、录像法

（一）适用对象

照相、录像法包含拍照、截屏、打印、录像和录屏等多种方式。对于静态外观包含所需信息的电子数据，如二维码、网页外观、文件路径、配置界面、统计图表等，可通过照、截屏或打印固定提取；对于动态外观包含所需信息的电子数据，如无法下载的流媒体、动图等，可通过录像或录屏等形式进行固定提取。对于网络远程勘验及在线提取的过程，可通过拍照和录像等方式进行记录。

（二）操作要点

1．拍照和录像应使用照相机、摄像机、执法记录仪等设备，结合勘验、取证或记录的需求进行。应着重记录设备的连接、运行情况和相关人员勘验及取证操作过程。

2．计算机全域截屏可按键盘的" PrintScreen "键（见图4-3-3)，再在图片编辑软件中粘贴并保存；计算机部分截屏可采用第三方软件，如 Windows 系统自带的"截图工具"、 QQ 和微信聊天框的截图工具、网页浏览器内置的网页截屏工具等；截取超出单屏范围的长图，可用第三方截图工具或网页浏览器内置的网页截屏工具的相关功能（如 Firefox 浏览器的"截取整个网页"功能）实现；移动智能终端一般均有系统自带的截屏和截长图工具；网页截图时，应包含 URL ；截图记录的北京时间应以中国科学院国家授时中心（http://www.ntsc.ac.cn/）实时显示的时间为准。 EnterShift 截图键

图4-3-3" PrintScreen "按键

3．计算机录屏可采用第三方软件，如" EV 录屏""迅捷屏幕录像工具"等。移动智能终端一般均有系统自带的录屏工具。录屏时，若同时需要录制系统或麦克风的声音，应在录屏前对录屏软件进行相应设置并测试（见图4-3-4)。 

EV 录屏:常规本地录制在线直播三列表选择录制区域选择录制音频全屏录制不录音频会员仅麦充风辅助工具仅系统声音图片水印文字水印麦和系统声音不量音频分屏录制按键显示Qo0:00:00-&0时长：

图4-3-4EV录屏的录制音频选项

4．若需提取高还原度的系统声音，应采用专业声卡和专业录音软件进行。

5．打印法可以通过相应浏览软件内置的打印模块，采用实体打印机将其打印成纸质文档并妥善留存，也可选用虚拟打印机（如 AdobePDF 等）（见图4-3-5）将其打印成电子文件保存。

图4-3-5AdobePDF虚拟打印机

（三）优、缺点

照相、录像法可如实、完整记录电子数据的动、静态外观，拍照和录像能记录勘验及取证的过程；可提取无法下载或复制的数据；提取的速度不依赖网络环境。但是，对于图片、视频、音频等内容，该方法提取的数据与原始内容相比并不完全一致，会有所损失，损失情况与提取设备的分辨率、采样率等有关；对于内容较多、层级较复杂的电子数据，截屏、录屏这类方法的操作比较繁复，提取的文件数量较多，整理归档工作量较大。

三、查询法

（一）适用范围对于网络远程勘验和在线提取目标设备的相关信息（如域名 IP 、域名注册信息等），可通过第三方信息平台查询而获知。

（二）主要方法

1.Whois查询。 Whois 是用来查询域名 IP ，以及所有者等信息的传输协议。

Whois 可用来查询域名是否已经被注册，以及被注册域名的详细信息（如域名所有人、域名注册商等）。进行 Whois 查询比较常用的是站长之家（ ip . chinaz . com )（见图4-3-6)、阿里云（ whois . aliyun . com )（见图4-3-7）等网站。

图4-3-6站长之家  图4-3-7阿里云

2.DNS查询。 DNS 提供一种分布式网络目录服务，是一个分布全球的分布式数据库，主要用于域名与 IP 地址的相互转换。主流的 DNS 服务有114DNS、百度 DNS 、阿里 DNS 、谷歌 DNS 等。

（三）特点

该方法充分利用互联网资源查询所需信息，操作便利。但是，通过第三方平台查询到的信息，要通过分析和核实，方能确认其真实有效。

四、网络扫描、嗅探和抓包

（一）适用范围网络扫描、嗅探和抓包主要用于获取 IP 地址信息以及服务器操作系统类型、版本和端口等。

（二）主要方法

对于网站的 IP 地址，可通过 ping 网站的域名获知。对于 APP 服务器，则需要通过抓包工具（如 Fiddler 、 Wireshark 等）（见图4-3-8）来抓取 APP 运行后请求服务器的数据包而获知服务器的域名或者 IP 。而服务器操作系统类型和版本，则可以通过 nmap 等工具进行扫描与嗅探而获知。 

图4-3-8Wireshark抓包工具

（三）优、缺点

网络扫描、嗅探和抓包需要使用专门的工具，操作难度较高，且须对获取的信息进行进一步甄别与分析，从而获知准确而有价值的信息，故一般应由具有一定专业背景和经验的人员进行。目前，也有一些取证工具集成了网络扫描、嗅探和抓包的功能，学习门槛相对较低，可酌情使用。

五、镜像法

（一）适用范围

镜像，是指将源数据，通过一定的工具，按照一定的格式制作成目标数据，以方便下载、转移以及从镜像文件还原到源数据，一般适用于需要完整提取其数据同时复刻其结构的远程设备，包括涉案网站和 APP 的服务器等。获取网站镜像后，可通过仿真、重构等方式建立镜像网站，用以分析和取证。

（二）主要方法

在线提取镜像前，应先获知电子数据持有人、网络服务提供者提供的登录地址、用户名、密码等，并使用其获取远程设备信息系统访问权限，再分析网站结构并查找数据库，然后使用远程取证工具获取数据镜像。

（三）优、缺点

镜像法可以在完整地提取目标数据的同时复刻其结构，对于网站服务器镜像后期我们可以通过仿真的方法在本地搭建虚拟镜像网站，然后对镜像网站进行勘验和取证。但是，镜像文件往往体积庞大，传输过程所需时间较长，这时，要注意采取证据保护措施（如修改服务器和数据库远程登录密码，保证云服务账户资金充足等），防止证据丢失和被破坏。

六、完整性校验

（一）适用范围

对所提取的电子数据和采用拍照、录像方式记录的勘验和提取的过程，均须及时对相应电子文件进行完整性校验值计算，并进行记录以固定。

（二）主要方法

完整性校验值使用哈希值计算软件（如" HashSlash "" HasherPro "等）（见图4-3-9）计算。常用的哈希算法有MD5、 SHA -1等。先打开哈希值计算软件，再在窗口指定区域拖入（或导人）相应文件，即可计算出该文件的完整性校验值。目前，有的软件支持对哈希值进行批量计算，如 HashTools 等，在需要计算的文件数量较多时可提升工作效率。

图4-3-9HasherPro软件

在涉案网络空间勘查过程中，基层办案单位往往重侦查轻边界，没有对相关的线索进行合法合规取证，甚至部分侦查人员超权限、超范围开展网络侦查取证，严重影响"电子数据"在新型网络犯罪中的证明力。应注意规范涉案网络空间勘查流程和取证方式法，制定结构化数据标准，利用大数据取证思维、侦查取证思维，将结构化数据平台化、可视化。探索打通电子数据的共享渠道，满足办案单位的需求，为境内"打回流"、扩展侦查提供证据支撑，助力"以诉讼为中心"证据体系的完善。

第四节  涉案网络空间勘查实例

一、基于涉众型犯罪网站的涉案网络空间勘查

涉众型网络犯罪案件技术性、专业性很强，作案手段隐蔽，涉及被害人众多且位置分散，社会危害性大，特别是在证据提取与认定方面存在诸多困难。涉案网络空间勘查策略运用得当可有效支撑公安机关收集证据、扩线串并。

2020年3月，浙江、四川等地多个网民被钓鱼网站诈骗，犯罪嫌疑人所用具体手法是利用互联网通讯、展示方式推荐微信公众号，进而利用微信公众号接入的二维码跳转支付宝，诱导网民输入用户名、密码、银行卡卡号等信息后，异地登录实施诈骗。

本案例中若仅对微信公众号基础信息、外链等进行提取是远远不够的，关键环节为如何利用网络在线提取钓鱼网站。根据案情和需求，估算钓鱼网站架设经济成本与时间成本，会发现该类钓鱼网站容易部署，页面简单，更容易诱导受害者上当受骗，且犯罪嫌疑人反侦查意识强，诈骗实施成功后立即弃用二维码。经验证发现，犯罪嫌疑人诈骗得手后虽然弃用了二维码，但不会立即从网站上删除二维码，或者在网站上生成新的二维码计划诈骗其他受害者，这为网络在线提取所有诈骗二维码图片进行串并案提供了有利条件。在本案例中，使用 wget 进行网络在线提取，通过 wget - r - p 命令，对涉案网站进行全站下载保存到本地，并保证目录完整和可视化。数据提取完毕后，通过查看分析文件内容，可扩展钓鱼网站25个、钓鱼二维码607个。对二维码进行批量解析，对存活钓鱼网站重新提取，固定相关证据，计算哈希值，填写网络在线提取文书、电子数据提取清单。综上所述，网络在线提取形成的电子数据可证明25个网站、607个钓鱼网站具备关联性，且为同一团伙所为，存活的 URL 提取可证明钓鱼网站的属性和运行状态，这为公安机关扩线串并提供了准确的数据支撑。

二、基于仿冒 APP 诈骗犯罪的涉案网络空间勘查

在部分案件中，办案人员可对网络在线提取分析形成的电子数据进行综合研判，利用各类数据辅助推演犯罪过程。

2020年5月，山东、四川等地多人在"聊呗、米聊"等聊天工具的 APP 应用中被骗，对相关 APP 样本进行境内调证，并未关联官方注册信息。经比对，涉案的 APP 安装包哈希值与官方 APK 哈希值不一致，经逆向、动态抓包，提取到封装在内的 URL 地址，访问该 URL 地址网站，指向网站内容和被仿冒 APP 呈现一致，初步断定涉案 APP 为仿冒 APP 。

本案中， APP 网页版页面采用 HTTP 协议，数据量不大，版块存在嵌套，采用 wget 命令进行全站网络在线提取，形成电子数据。

电子数据分析结果如下：

1．存在凤凰彩票、乐吧、微聊、彩吧等多个手机应用程序，可直接证实被害人被诱导到凤凰彩票诈骗的事实；

2．部分路径下有被害人与犯罪嫌疑人的聊天记录，可统计出被害人个数；

3．不同路径下存在多个 APP 安装包，经过分析，全部为同一模板仿冒的手机应用程序，内嵌多个赌博链接，推测出该案的作案手法为仿冒诈骗；

4．附带的文件类信息，分析后含有部分犯罪嫌疑人、被害人登录网站的账户、密码，银行卡记录等信息。对于这类案件，前期的网络在线提取过程具备不特定人员任意访问、浏览、下载的公共属性，若需要深入分析，属于远程勘验的内容，需严格区分，按照有关规定提取相关电子数据。

三、基于视频流文件的涉案网络空间勘查

在新型网络犯罪中，淫秽色情网站是涉案网络空间勘查的重点之一。其中，m3u8流媒体多应用于传播淫秽视频的网站，m3u8流媒体的特点是将完整的视频拆分成多个， ts 视频碎片，同时m3u8详细记录每个视频片段的地址。视频播放时，会先读取．m3u8文件，再逐个下载播放． ts 视频片段，通常将其用于直播业务和规避视频窃取的风险，加大视频窃取难度。通常MP4格式视频在下载器的帮助下程序后台下载，但是对于m3u8格式视频，下载器无法自动获取解析视频片段地址。因此，在线网络提取过程中该类视频无法直接下载，给公安机关办理此类案件带来很大挑战。针对此类案件，我们需要设计提取流程，定制自动化提取程序才能完成网络在线提取工作。根据m3u8流媒体文件的特点，需先获取其m3u8的 txt 文件，如果有二次提交，则根据 URL 路径获得下载的m3u8路径文件，再通过路径下载 ts 文件，

中星来网最后合成完整视频，实现文件的下载。使用 python 语言，引用 selenium 、bs4、 wget 等库设计提取脚本，运行 python 脚本输入网址提取电子数据时，可自动完成m3u8流媒体文件下载，包含m3u8文件获取、存储 ts 格式视频片段地址解析、 ts 格式视频自动断点续传和 ts 视频自动合并MP4格式的功能。

1．获取m3u8流媒体索引文件获取，利用 selenium 库创建 chromedriver 浏览器输入网址，自动浏览页面获取页面源码，利用bs4和正则解析 html 页面，提取下载m3u8流媒体索引文件地址。

2．进行m3u8流媒体片段地址解析。对m3u8流媒体索引文件进行正则提取，获取 ts 视频片段的地址。

3．实现 ts 片段的自动断点续传，使用 wget 库，自动批量下载 ts 视频。

4．实现 ts 片段自动合并。将下载的 ts 格式视频根据m3u8文件内的顺序自动排序，利用 copy 命令将 ts 视频文件合并为mp4格式视频文件。解决 ts 视频合并过程中出现的卡顿和视频播放错误问题。通过这种方式，为取证提供了便捷，遵从了证据的完整性原则，实现了流媒体类数据的快速下载。

四、基于 SSL 、 Cookie 技术网站的涉案网络空间勘查

涉案网站使用 SSL 、 Cookie 等技术时，可在涉案网络空间勘查时使用网络在线提取。

2020年7月，山东警方侦破谢某开设赌场案，经分析属于跨境网络赌博，服务器位于境外，谢某等具备有限的后台权限，不具备直接下载或者使用服务器的权限，其主要涉案人员在境外，根据抓捕前的取证部署安排，第一时间使用 Cookie 登录，对后台页面数据进行提取，成功在抓捕后50分钟内完成了网络在线提取，事后证明，抓捕60分钟后，网站数据全部清空。

网站使用了 HTTP 协议和 Cookie 技术，网络选择提取工作包括网站页面的保存和提取、站点登录、站点数据保存、站点数据提取、 SSL 证书获取等模块。为快速提取数据，使用 python 语言、利用 urllib 库进行 Cookie 登录。利用bs4库解析网站请求页面，并获取页面的链接，将获取的链接自动去重后，采取自动递归的方式，将网站页面进行逐一请求，并将页面进行保存。将远程获取到的网站数据进行提取，并存储在 Excel 表格中，实现将网页数据转化为结构化数据，便于查看分析。利用 SSL 和 openssl 库进行远程获取服务器上的 SSL 证书，并将 SSL 证书进行解析、提取固定。网络在线提取应当使用电子数据持有人、网络服务提供者提供的账户密码等远程计算机信息系统访问权限。在这种情况下且需要提取网站镜像时，可使 rsyne镜像保存，支持加密传输和匿名传输，保持原来文件的权限、时间、软硬链接，无须特殊权限即可安装，还能增量同步数据，同步时间短。

1．首先在被取证机器上配置 rsync 的 server 端。

2．在 server 端生成一个密码文件。

3．在 server 端将 rsync 以守护进程形式启动。

4．使用远程机器访问服务端即可完成网站镜像。

在实际案例中，需要对提取对象进行严密防护，若突袭抓捕后存在对抗性行为，务必权限维持，保留镜像，如果权限不足，可采用多种方法对云服务数据进行网络在线提取，牢固树立证据意识，从案件全局出发，迅速判断并提出合理有效的取证策略，为案件的侦办提供证据性、方向性的支撑。

【案例】株洲市李某"杀猪盘"被诈骗案

一、简要案情

2021年3月21日17时许，株洲市民李某报警称：其2021年3月7日在珍爱网 APP 通过昵称为"爱我就跟我走"的男子（ ID :11634602xx)，认识一名自称谢某盛（微信名：独善其身，微信号：QQ33166792xx，登记的手机号：152552936xx）的相亲对象。谢某盛自称是"澳门威尼斯人"网站系统维护人员，可以通过操控平台赚钱。3月18日，李某在"澳门威尼斯人"网站注册了账户（账号： lillingtaxi ),并开始向"澳门威尼斯人"客服提供的11张银行卡里转账1620400元。3月21日10时许，李某准备提现发现账户登录不上，意识到被骗。

二、侦办经过

案件发生后，在资金流无法取得进展的情况下，专案组从信息流入手，取得了以下突破：

（一）网站溯源锁定管理网站

嫌疑人通过对受害人登录的 m . allxfflle . com 、 m . xfflle . com 、 m . allxff . com 三个网站进行溯源，发现关联手机号码（186779007xx）和邮箱（13758047xx@qq.com)，并通过网技部门协助仅在案发第5天就抓获犯罪嫌疑人洪某群（身份证号码：44522119910713xxxx)。

（二）现场勘查提取线索

犯罪嫌疑人洪某群被抓后拒不承认涉案，技术人员第一时间在现场发现涉案数据，并通过技术手段，绕过密码进入网站后台管理平台，攻破犯罪嫌疑人心理防线。犯罪嫌疑人洪某群交代其为本案诈骗网站的服务器租赁和域名注册者，其委托"古哥"制作了该诈骗网站，然后洪某群将该网站及服务器交付给上线人员"莫语"（微信号：HLS945M）和"急急急优秀的男人"( QQ 号码：16874548xx)使用。

（三）服务器取证收集提取电子数据

通过嫌疑人洪某群交代的诈骗网站管理账号、服务器地址获取服务器管理权限，对涉案的香港地区服务器的所有网站源代码、数据库等电子数据进行提取和远程勘验，为下一步移送起诉筑牢证据基础。

（四）对服务器登录痕迹分析研判

该团伙成员在3月24日已将服务器登录日志清除，但技术人员采用编程和数据库技术，在近百万条网站访问日志中，筛选出18条高度可疑 IP 。电子物证专业技术人员立即开展进一步分析研判，为案件侦办拓展出众多线索。

1．锁定网站搭建维护团伙窝点。通过IP60.1.207.76的登录日志结合云脉系统，关联出河北省石家庄市长安区中山东路 xx 号，后与网技的 QQ 落地位置碰撞，锁定此为网站制作人员"古哥"住址，真实身份为河北石家庄籍古某海（身份证号码：13042419850925xxxx)。该犯罪嫌疑人于案发前已被江西省警方抓获。

2．落地诈骗实施团伙窝点。通过IP182.244.238.81登录日志结合云脉系统，关联出云南省临沧市沧源低族自治县可疑窝点6个，其中境内4个，分别为云南省临沧市沧源佰族自治县海牙新寨公路、茶山公路、永和线附近，有精准经纬度；境外窝点2个，分别为 MongYangShanMyanmar 、 HoPangShanMyanmar ，有精准经纬度；关联窝点设备43台，含可疑成员手机号码34个，其中1848799xxxx、1846985xxxx持有人疑为"莫语"本人，1878838xxxx持有人真实身份为王某。

3．深度挖掘，扩大战果。通过境外窝点成员继续扩线，发现上百名潜藏在国内的从事诈骗相关人员的手机号码，分布在云南普洱孟连、北京市昌平区、四川成都双流、广东深圳、江苏淮安市青浦区等地。

（五）对数据库进行删除恢复，查找被害人在涉案数据库中通过删除恢复，共提取171个会员账号，涉及银行卡、支付宝账号122个。

（六）对129平台呈现的线索进行梳理

通过平台呈现的大量数据进行分析梳理，基本厘清了该诈骗团伙的组织结构，并发现另一个诈骗网站 www . admin .ych16888.com，该网站目前仍在运营中。经过分析研判，通过该网站的IP103.232.221.149，反查出域名 www .yc45688.com，注册75台丁直 HO 日域名商：上海美橙科技信息发展有限公司。结合人像比对，对129平台呈现的许某明（身份证号：44088119831123xxxx）进行身份核实，发现其真实身份为许某明（身份证号：44088119831129xxxx)，为"莫语"丈夫，系该团伙主要成员。通过侦查中心发现高度可疑同行人员24名，已反馈给网技部门布控。

三、经验总结

此次案件侦办，主要通过对涉诈网址溯源找到管理网站犯罪嫌疑人，将犯罪嫌疑人抓捕后，经过讯问诈骗网站管理账号、服务器地址获取服务器管理权限开展电子数据取证分析。对香港地区服务器的所有网站源代码、数据库等进行远程勘验和电子数据在线提取，为移送起诉奠定基础；对服务器登录痕迹抽丝剥茧，拓展线索：对数据库进行删除恢复，查找被害人。电子物证技术人员使用服务器登录日志、 Wi - Fi 等电子数据进行分析，在窝点落地和成员深挖方面取得较大突破，主要借助于互联网公司分析研判系统，优势明显。下一步工作：一方面，可以组成专案组，积极开展调证、提审等工作，全力快速侦破此案。另一方面，组织警力前往云南临沧开展落实查证工作，并争取与厅驻滇工作站协作，增加侦控号源，加大侦控力度，以便查明该诈骗团伙的组织结构、人员身份、活动轨迹以及其他诈骗犯罪事实。

附：思维导图

被害人登录网站溯源手机邮箱抓获犯罪嫌疑人洪某群技术手段进入网站后台管理平台获取服务器管理权限服务器登录痕迹分析研判129平台数据库提取171个会员账号，涉及银行卡、支付宝账号122个对香港地区服务器网站源代码、数据库等电子数据进行提取和远程勘验IP60.1.207.76的登录日志网站制作人员住址已被警方抓获IP182.244.238.81登录日志另一诈骗网站洪某群交代其为服务器租凭和域名注册者人像比对犯罪嫌疑人许某明同行人员24名关联诈骗团伙窝点位置国内诈骗团伙手机号码关联窝点设备网站 IP 注册域名商

【思考题】

1．网络空间有何特点？

2.在何种情形下应进行网络远程勘验？

3.如何界定"公开发布的电子数据”？

4．照相、录像法包括哪些具体方式？

5．镜像法有何优、缺点？