第一节  窝点的内涵

一、窝点的概念

本章根据《公安机关电信网络诈骗案件现场勘查工作指引（试行）》的规定，将"窝点"作为电信网络诈骗案件的现场之一进行相关介绍。窝点指违法犯罪分子聚集窝藏、进行秘密活动的地方。在电信网络诈骗案件中的窝点，是指犯罪分子聚集窝藏，通过故意编造虚假信息，采用电话、网络、短信（微信）等方式对被害人实施远程、非接触式控制，使其产生认知错误并诱使被害人自动处分财产的犯罪案件场所。本章中讲述的窝点均为电信网络诈骗案件的窝点。

二、窝点的表现形式

电信网络诈骗窝点包含话务窝点、转账水房、工作站、服务器及与之关联的实施软件制作、网络维护等帮助犯罪实施的场所。

（一）话务窝点

话务窝点，是指犯罪嫌疑人使用话术，采用给被害人打电话、发信息、视频聊天等方式实施电信诈骗的场所。话务窝点是犯罪嫌疑人实施电信诈骗的重要场所。

（二）转账水房

转账水房又称跑分平台，是指专门负责将赃款"洗白"的一种新型犯罪窝点。层层转账，可以极大地延缓警方追查、冻结资金的速度。利用收购来的银行卡，将诈骗入账的资金通过转账、支付、网购等方式，快速拆分流向多个二级卡、三级甚至更多层级的银行卡中。为逃避打击，一笔资金甚至会"飞"到境外，再兜一圈回来。

（三）服务器

服务器也称伺服器，是提供计算服务的设备。由于服务器需要响应服务请求，并进行处理，因此一般来说服务器应具备承担服务并且保障服务的能力。犯罪嫌疑人在实施犯罪过程中为使诈骗网站能正常运行和更新，往往会选择租用或自己架设专门的服务器，放置服务器的场所也是电信网络诈骗窝点之一。

三、窝点涉案证据的概念

凡是可以用于证明案件事实的材料，都是证据。在电信网络诈骗案件窝点中能够用于证明犯罪嫌疑人实施电信诈骗的材料即窝点涉案证据。电信网络诈骗窝点涉及的证据，不仅有电子数据，还有培训资料、内部讲稿等书证，计算机、手机、网卡、路由器、交换器等物证以及犯罪嫌疑人供述等言词证据，涉及的内容十分复杂。

四、窝点涉案证据的种类

（一）电子数据

电信网络诈骗案件中的电子数据，是指在案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据。2012年3月14日，第十一届全国人民代表大会第五次会议通过了修改的《刑事诉讼法》，首次明确把电子数据作为独立证据类型，现代信息技术是电子数据赖以存在的基础。相较于传统证据，其明显的电子信息技术含量使电子数据具有相对的易删改性、隐蔽性和分散性、自动性和实时性、多样性和复合性等特性。窝点中的电子数据大多来源于窝点涉案电子设备，包括手机、平板电脑、计算机、 U 盘、硬盘、路由器、 GOIP 、语音网关、工作站、服务器等。一是通信、网络类电子设备中与案件有关的电子数据；二是电子存储介质中与案件有关的电子数据；三是犯罪专用设备中与案件有关的电子数据。包括但不限于下列信息电子文件：

1．犯罪嫌疑人在用于电信网络诈骗的网页、博客、微博、朋友圈、贴吧、网盘等网络平台发布的信息。

2．窝点中犯罪嫌疑人用于实施电信网络诈骗发送的手机短信、电子邮件，进行的即时通讯，建立的通信群组等网络应用服务的通信信息。

3．在窝点发现的与犯罪有关的用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息。

4．在窝点发现的与案件有关的文档、图片、音视频、数字证书、计算机程序等电子文件电子数据。

（二）书证

书证是一种以文字、符号、图画等记载的内容和表达的思想来查明案件真实情况的证据形式。在通常情况下，电信网络诈骗窝点现场中能够提取到较多书证，是电信网络诈骗伙必不可少的作案工具，一般作为间接证据，对于证明不同犯罪嫌疑人在团伙中地位、分工及具体诈骗金额具有重要证据价值。电信网络诈骗窝点常见的书证有载有诈骗台词的笔记本、涉及诈骗对象信息及诈骗金额的便笺材料等，大致可分为以下几类：

1．证明诈骗团伙发起成立的书证，如公司注册登记材料、公司章程、营业执照、合伙协议、股东名册等。

2．证明诈骗行为实施的书证，如诈骗话术剧本、招募他人实施电信网络诈骗犯罪活动的材料、会议记录、虚假广告信息以及术语清单、托运单、仓单、货单、邮寄单等。

3．证明网络运营的书证，如网站服务器运营协议、租赁协议、网络经营许可证、网信部门出具的关于 IP 地址说明、云服务器分布点的证明材料。

4．证明诈骗赃款资金往来的书证，如银行支付凭证、网络转账记录、账户交易明细、现金收支凭证等。

5．证明诈骗赃款分成的书证，如考勤表、工资表、业绩单、分赃账目等。

（三）物证

在通常情况下，电信网络诈骗窝点现场中能够提取到较多物证，物证主要包括计算机硬件设备、手机、电话机、银行卡、打印机、传呼机等。这些是电信网络诈骗团伙必不可少的作案工具，常见的物证有：

1．通信、网络类电子设备，如计算机、平板电脑、手机、座机、对讲机、服务器、路由器、 GOIP 设备、交换机等。

(1) GOIP 设备。 GOIP 是一种网络通信虚拟拨号硬件设备，通过通信嵌入式软件，可以接入 GSM 、 CDMA 、 WCDMA 、 LTE 频段的手机卡，支持 SIP 协议，也可对接到 AI 机器人交互系统。它能从境外任意切换手机号码拨打被害人电话，具有无人值守、双向通话、隐匿犯罪分子位置的功能，可规避一般改号软件不能回拨的问题，一台 GOIP 设备可供上百张手机 SIM 卡同时运作，通过远程操控拨号，实现"人机分离"，从而逃避公安机关的打击。同时，它可以虚拟拨号，能任意切换手机号码拨打被害人电话，公安机关对其反制拦截和信号溯源难度极大，因此逐渐成为诈骗犯罪分子新的犯罪手段（见图5-1-1)。图5-1-1GOIP设备

(2）服务器。服务器的构成包括处理器、硬盘、内存、系统总线等，与通用的计算机架构类似，但是由于需要提供高效可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。在网络环境下，根据服务器提供的服务类型不同，分为文件服务器、数据库服务器、应用程序服务器、 WEB 服务器等。服务器具有可扩展性、易使用性、可用性和易管理性，一般来说，专门的服务器都要7x24小时不间断地工作（见图5-1-2)。图5-1-2服务器

(3）交换机。交换机（ Switch )，意为"开关"，是一种用于电（光）信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。广域的交换机就是一种在通信系统中完成信息交换功能的设备，它应用在数据链路层。交换机根据工作位置的不同，可以分为广域网交换机和局域网交换机（见图5-1-3)。 TP - LINKTL -SF1005P图5-1-3交换机

2．电子存储介质，如伪基站、猫池、电子数据销毁设备、改号软件、变声器、信息嗅探设备、 U 盘、硬盘、存储卡、录音笔、照相机、摄像机等。

(1）伪基站。伪基站，又称假基站、假基地台，是非法无线电通信设备，利用 GSM 单向认证的缺陷，通过仿制运营商移动网络发射射频信号对覆盖范围内的手机进行短信群发操作。伪基站主要由主机、操作终端、移动电源和天线组成，具有体积小、隐蔽性和流动性强等特点。伪基站运行时，用户手机信号被强制连接到该设备上，无法连接到公用电信网络，影响手机用户的正常使用（见图5-1-4)。图5-1-4伪基站

(2）猫池。猫池（ ModemPOOL ）就是将相当数量的 Modem 使用特殊的拨号请求接入设备连接在一起，可以同时接受多个用户拨号连接的设备。猫池广泛应用于大量具有多用户远程联网需求的单位或需要向多用户提供电话拨号联网服务的单位，如邮电局、税务局、海关、银行、证券商、各类交易所、期货经纪公司、工商局、各类信息呼叫中心等（见图5-1-5)。新华网 WWWNEWSCN 图5-1-5猫池

3．其他物证，如身份证、 SIM 卡、银行卡、画板等。

（四）其他证据

除上述几种证据外，窝点勘查中还能收集到犯罪嫌疑人、被告人供述和辩解，勘验、检查、辨认、侦查实验等笔录和视听资料等证据。

1．犯罪嫌疑人供述和辩解。犯罪嫌疑人供述和辩解主要包括现场讯问和羁押后讯问两项工作中所获取的口供。首先，在突袭进入诈骗窝点过程中，具备条件则应进行现场讯问，侧重点在于核实犯罪嫌疑人的身份信息和明确取证方向。羁押后，应由经验丰富的侦查人员及时强化细节讯问，以查明涉案人数、赃款及犯罪组织的管理运作方式。

2．勘验、检查、辨认、侦查实验等笔录。进入窝点现场开展勘验、检查、辨认、侦查实验等活动后，应如记录相关情况，可以此作为证明犯罪嫌疑人实施诈骗行为的重要证据。

3．视听资料。视听资料又称声像资料或直感资料，是指以音响、图像等方式记录有知识的载体。

在窝点中视听资料一般可分为以下三种类型：

(1）视觉资料也称无声录像资料，包括与案件有关的图片、摄影胶卷、幻灯片、投影片、无声录像带、无声影片、视听资料无声机读件等，在窝点现场中常见的有被害人照片、犯罪嫌疑人用于伪装身份的照片、话务员培训用的幻灯片等。

(2）听觉资料也称录音资料，包括唱片、录音带等，在窝点现场中常见的有被害人语音、犯罪嫌疑人语音、电话录音等。

(3）声像资料也称音像资料或音形资料，包括电影片、电视片、录音录像片、声像光盘等，在窝点现场中常见的有被害人视频录音录像片、犯罪嫌疑人用于伪装身份的视频、话务员培训用的视频等。

第二节  窝点现场勘查流程

窝点现场勘查，是指在犯罪分子聚集窝藏、实施电信网络诈骗活动的场所实施勘验，以提取、固定现场存留的与犯罪有关的证据。在窝点现场取证过程中，技术人员应当严格遵循法定程序和原则，严密控制取证现场，规范取证活动，使所收集和提取的证据符合法律要求，窝点勘查在犯罪嫌疑人的责任认定、诈骗团伙的诈骗事实认定上都起着举足重轻的作用，窝点查封得细致与否影响到整个案件侦查取证的效果。根据《公安机关电信网络诈骗案件现场勘查工作指引（试行）》的规定，窝点由受案地公安机关或窝点所在地公安机关进行勘查；窝点在境外的或者案情重大、疑难、复杂的案件，由公安部刑侦局负责指定主勘单位。窝点现场涉案证据的固定提取工作流程包括勘验准备、现场评估、证据的提取固定以及文书制作等。

一、准备工作

（一）了解案情 

根据《公安机关电信网络诈骗案件现场勘查工作指引（试行）》的规定，现场勘查人员应当按照《公安机关刑事案件现场勘验检查规则》要求在进入窝点前要充分了解案情。充分了解案情，有助于民警根据案情中涉及的网络通讯工具、网页网址信息、支付结算工具、涉案电子设备信息等制定勘验方案，做好勘验前的准备，具体如下：

1．勘验人员应尽量了解案件及现场情况，对案情进行评估，准确把握案件性质、犯罪嫌疑人特点。

2．明确现场获取证据的目的和范围、采用的方法和步骤。

3．明确现场助验人员及分工，落实责任。

4．配备相关检验装备。

（二）制定勘查方案

根据《公安机关电信网络诈骗案件现场勘查工作指引（试行）》的规定，现场勘查人员应当按照《公安机关刑事案件现场勘验检查规则》要求在进入窝点后及时勤肖品掌握窝点内部状况。经过前期的细致摸排和线索追查，在准确定位诈骗窝点后，一旦时机成熟，就应当及时开展窝点缉捕和取证工作。侦查人员突袭进入诈骗窝点后，首先应当尽快控制现场活动，及时发现并解除犯罪嫌疑人手头或可能取到的致伤物品，并把守好门、窗等出入口，防止其趁乱逃跑、毁灭证据或自伤自残，制定相关勘查方案。

（三）现场保护

现场保护人员一般由侦办民警或其他指定人员组成，现场保护人员应根据案件现场具体情况，划定保护范围，采取相应的保护措施，维持现场秩序，保证安全，严防意外，确保现场勘验正常进行。及时认真地保护现场是做好窝点现场勘查工作的前提条件，只有把现场保护好了，现场的原始状态没有遭受变动破坏，侦查人员才能正确分析案件性质，收集证据和揭露犯罪。此外，及时封锁和保护好现场还可以防止泄露现场情况，更好地甄别口供。

二、现场评估

通过电信网络诈骗犯罪行为轨迹查获诈骗窝点后，要结合这类案件的特点开展有针对性的现场勘查工作。由于电信网络诈骗案件的窝点并不是传统犯罪案件的典型犯罪现场，因此，寻找、发现、收集和固定证据的方法和侧重点也有所不同。现场勘验开始前，应对现场进行评估，确定勘验顺序、重点，并通过拍照、录像、制作笔录、绘制网络拓扑图等方式记录现场状况。

现场评估的具体事项如下：

1．记录涉案电子设备相关信息，包括：所处位置、连接状态、涉案电子设备密码及涉案电子设备使用者信息。

2．评估现场工作量以及所需的专业技术等。初步厘清犯罪分工、确定勘验顺序、权衡勘验力量，确定是否指派或聘请具有专门知识的人员参加。

3．如现场单位设有网络管理部门，应在技术负责人协助下，确定嫌疑电子设备位置、网络连接关系等。

4．如现场为住宅公寓，应查看网络布线及 Wi - Fi 连接情况，获取 Wi - Fi 名称、账号及密码。

三、窝点证据的固定提取

（一）电子数据的固定提取

窝点电子数据的收集与提取是电信网络诈骗案件侦破的基础，所获得的情况是侦查破案的客观依据，是获取侦查线索和犯罪证据的重要途径。窝点现场电子数据种类繁杂，不同的电子数据固定提取的流程是有差别的。但是，作为具有共同属性和特点的电子数据其收集提取的流程又有共性的方面。电子数据固定提取的基本流程一般分为四步，即观察评估、固定获取、梳理分析、形成报告。

(1）观察评估。在收集提取电子数据之前，或面对某一存储电子数据载体时，取证人员要观察了解与取证目标相关的情况，并对取证情况进行初步的全面评估。通过评估，确定取证重点、顺序，选择拟用的收集提取工具、方法，拟订取证方案。具体体现为检查准备工作是否妥当，进一步了解案情，确定取证范围、目标，观察了解取证目标，确定取证人员，选定取证器材，拟订取证方案。

(2）固定获取。窝点中存储电子数据的载体是十分复杂的。电子数据不仅存在于单独的文件中，还存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲硬盘空间、打印机缓存、网络数据、用户进程存储、堆栈、文件缓冲区、文件系统本身等不同的位置当中，可以说电子数据遍布存储介质。在对电子数据进行提取之前，必须对存储电子数据的介质进行拍照固定。与犯罪有关的电子数据需要提取后再进行分析，不可以在原始存储介质上直接进行分析。目前，提取电子数据主要使用获取的方法。在具体获取时，需对具体的介质进行写保护。写保护是获取和分析电子数据的前提，能够有效防止取证人员有意或无意地变动数据，确保所获取数据真实可靠。

(3）梳理分析。窝点电子数据梳理分析的内容包括系统数据、文件数据、隐藏数据等，对电子数据的梳理分析可以依托分析研究工具。梳理分析的专业工具包括 Encase 、 FTK 、 X - wayForensic 等。面对一些特定的案件，还需要用到一些特殊的分析工具。不同种类的案件，梳理分析数据的方法是不同的。总体而言，电子数据的梳理分析方法包括文件过滤、关键词查找、数字校验和文件签名等。

(4）形成报告。根据窝点取证的原始记录，形成电子数据取证报告。电子数据取证报告的形成既是法律的要求，也是取证结果的直观体现。报告里通常要体现犯罪行为的时间、空间、直接证据信息、系统环境信息，还要体现取证过程、对电子数据的分析结果等。

（二）其他涉案证据的固定提取

窝点现场除了电子数据外还有书证、物证、视听资料等证据，这些证据固定提取的流程是有差别的。但是，这些证据取证的一般流程可以总结归纳为四步，即记录原始状态、发现与鉴别、提取与包装、形成报告。

1．记录原始状态。窝点现场勘查人员到达现场后，首先要明确犯罪现场保持原始状态的时间段极为短暂，一旦实施后续工作，原始状态即会发生变化。因此，这些记录不仅会在随后的案件分析中起到作用，而且在法庭审判中能确保所提供犯罪现场及物证状况的准确性，一般采用摄录像的方式记录原始状态。

2．发现与鉴别。窝点现场勘查中对物证的发现要客观、全面，这就要求现场勘查的取证工作要系统、彻底，既不能忽视任何相关证据，也不能将大量无关的证据视为有关联，可采用专人负责监督和配合整理收集、明确区域分工等有效发现证据的方法。

3．提取与包装。尽可能保持物证材料与其在犯罪现场最初原始状态一致，是提取、包装物证的基本要求。这就要求技术人员采用科学、严格的提取与包装方法，保证提取的证据没有产生质和量的变化，能够证明案件事实。刑事科学技术的各个分支研究领域在物证的提取与包装方面都有详细的规定，这里不再赘述。

4．形成报告。窝点现场涉案证据的固定提取的痕迹、物品等要统一编号，并填写《提取痕迹、物证登记表》，完成涉案证据的固定提取后，要形成相应的现场笔录，对观察到的原始现场状况，以及证据是由谁、在什么时间、怎么发现的，由谁提取、包装并且记录的，进行详细记录。

四、文书制作

根据《公安机关办理刑事案件程序规定》第216条的规定，勘查现场，应当拍摄现场照片、绘制现场图，制作笔录，由参加勘查的人和见证人签名。对重大案件的现场勘查，应当录音、录像。在窝点现场勘验结束后，应当及时制作现场勘验工作记录，涉及的文书有：《现场勘验检查笔录》《扣押清单》《电子数据现场提取笔录》《电子数据提取固定清单》《登记保存清单》《远程勘验笔录》《网络在线提取笔录》《协助冻结电子数据通知书》《解除冻结电子数据通知书》《调取证据通知书》和《办案协作函》等，按照《公安机关办理刑事案件电子数据取证规则》还要完成《电子数据检查笔录》和《电子数据侦查实验笔录》等文书的制作。由于《现场勘验检查笔录》在现场勘查类书籍中已有详细的介绍，《电子数据现场提取笔录》《电子数据提取固定清单》在第三章已有详细介绍，《远程勘验笔录》《网络在线提取笔录》在本书第四章已有详细介绍，此处不再赘述。

（一）《电子数据检查笔录》的制作

1．内容。包括检查的起止时间，指挥人员、检查人员的姓名、职务，检查的对象，检查的目的等基本情况；检查过程使用的工具，检查的方法与步骤等检查过程；通过检查发现的案件线索、电子数据等相关信息检查结果；其他需要记录的内容。

2．要求。经两名以上侦查人员签名或者盖章（见图5-2-1)。

电子数据检查笔录

时间：至      地点：指挥人员姓名、单位、职务：侦查人员姓名、单位、职务：记录人姓名、单位：送检人姓名、单位：检查对象：检查目的： 对象封存、固定状况：远程、方法及结果：备注：指挥人员：侦查人员：记录人：

图5-2-1《电子数据检查笔录》示例

（二）《电子数据侦查实验笔录》的制作

1．内容。包括检材信息，实验目的，实验的起止时间，实验人员的姓名、职务，实验环境条件等基本情况；实验过程使用的工具，实验的方法与步骤等侦查实验过程；通过实验发现的案件线索、电子数据等侦查实验结果相关信息。

2．要求。由参加侦查实验的人员签名或者盖章（见图5-2-2)。

电子数据侦查实验笔录

时间：地点：指挥人员姓名、单位、职务：侦查人员姓名、单位、职务：记录人姓名、单位：对象：事由和目的：侦查实验的条件：远程、方法及结果:备注：指挥人员：侦查人员：记录人：

图5-2-2《电子数据侦查实验笔录》示例

(三）《扣押清单》的制作 

1. 内容。包括原始存储介质、物品、文件的扣押日期、名称、编号、数量、特征及其来源等基本情况。

2．要求。扣押物品、文件时，当场开具《扣押清单》，由侦查人员、见证人和物品、文件持有人分别签名或者盖章。对于持有人拒绝签名或者无法查清持有人的，应当在《扣押清单》上注明；《扣押清单》一式三份，一份交物品、文件持有人，一份交公安机关保管人员，一份附卷备查。

（四）《登记保存清单》约制作

1．内容。所有封存的电子数据存储介质的名称、品牌、颜色、型号、容量、序列号等特征标识。

2．要求。由侦查人员、持有人（提供人）和见证人签名或者盖章，一式两份，一份交给持有人（提供人），另一份连同照片或者录像资料附卷备查。

（五）《协助冻结／解除冻结电子数据通知书》的制作

1．内容。需要冻结电子数据的网络应用账号、期限等事项。需要解冻电子数据的网络应用账号等信息。

2．要求。经县级以上公安机关负责人批准后，由办案部门制作并加盖县级以上公安机关公章。正本由协助冻结／解除冻结单位留存，作为协助冻结／解除冻结电子数据的依据。回执联由协助冻结／解除冻结单位填写并加盖公章后退回公安机关，并附《冻结电子数据清单》，侦查终结时存入诉讼卷（见图5-2-3)。

**＊公安局协助冻结／解除冻结电子数据通知书（存根）

 x 公（）冻财／解冻财字〔〕

案件名称    案件编号

犯罪嫌疑人出生日期

协助冻结单位冻结／解除冻结原因

网络应用账号等信息

男/女冻结／解除冻结时间

批准人、批准时间

办案人、办案单位

填发时间、发人

（六）《调取证据通知书》的制作

1．内容。需要调取电子数据的相关信息。

2．要求。被调取单位、个人应当在通知书回执上签名或者盖章，并附完整性校验值等保护电子数据完整性方法的说明，被调取单位、个人拒绝盖章、签名或者附说明的，公安机关应当注明。

（七）《办案协作函》的制作

1．内容。案件名称、案件编号、嫌疑人的基本信息（性别、年龄、住址、单位、职业）、协作单位、协作事项、批准人、批准时间、办案人、办案单位等信息。

2．要求。由办案单位盖章。

第三节  窝点涉案证据固定提取方法

窝点涉案证据的固定提取方法既要立足于现场讯问犯罪嫌疑人、询问被害人、现场勘查等常规侦查措施，又要结合犯罪行为人在窝点通过电话、网络和短信方式设置骗局，对被害人实施非接触式诈骗的时间，窝点在作案环节和组织结构上往往是关键证据的集中区，由于电信诈骗案件所涉证据种类较为庞杂，要充分运用证据的固定、恢复、定位等专门技术构建完整的证据链条，与其他现场证据相印证，还原作案过程、团伙组织架构，达到准确追究犯罪嫌疑人刑事责任的目的，本节主要从五个方面介绍窝点涉案证据的固定提取方法。

一、文字记录法

（一）使用条件

根据相关规定，勘查现场，应当拍摄现场照片、绘制现场图，制作笔录，并由参加勘查的人和见证人签名。勘验结束后，应当及时制作现场勘验工作记录，提取现场物品、文件应当填写《提取痕迹、物证登记表》，对扣押的原始存储介质，当场开列《扣押清单》，提取电子数据，应当制作《电子数据现场提取笔录》，并附《电子数据提取固定清单》，采用打印、拍照或录像固定电子数据的，应在笔录中注明选取固定方式的原因以及文件路径和文件属性。在窝点勘查中涉及文字记录的内容十分广泛，文字记录法适用窝点中的物证、书证、视听资料、电子数据等多种证据固定提取。

（二）注意事项

1．文字记录应当客观、全面。在记录的过程中应当全面反映窝点现场的真实情况，记录应当具备客观性；

2．文字记录的内容应当与其他证据具有关联性和一致性；

3．文字记录应符合相关规定要求，具备规范性。

二、照相、录像固定提取法

（一）使用条件照相、录像法适用于所有窝点证据的固定提取，其中，对重大案件的现场勘查，应当录像，物证、书证在进行实物提取前应先照相，原始储存介质封存前后应当拍摄被封存原始存储介质的照片，易失电子数据的提取过程中，电子设备开机时屏幕上显示的内容、正在运行的程序、正在编辑的文档、内存中的数据（包括进程、已加载的服务和驱动等）、缓存中的数据、登录信息、网络信息（包括网络连接状态、正在浏览的网页、网络共享、即时聊天等社交软件的内容和状态）、系统时间、日期和时区信息等可见数据可采用照相或录像的方法提取，无论对涉案证据采取何种措施，都必须先进行照相固定。

（二）注意事项

采用照相、录像法人工对窝点现场取证时，应注意以下要求：

1．提取电子设备屏幕信息时，通常使用数码或光学照相机逐项拍摄屏幕上显示的内容，拍摄的照片应能够清晰显示重要的信息。

2．对与涉案计算机连接的外部电子设备的原始连接接口位置，要进行拍照或者录像。

3．对电子设备屏幕上的信息进行记录时，应拍摄屏幕的全貌。

4．拍摄窝点现场物证、文书照片时，应注意放置比例尺。

5．采用照相、录像法人工对窝点现场取证，录像反映的内容应具有连贯性，与现场勘验检查笔录具有一致性。

三、原物固定提取法

（一）使用条件

根据《公安机关办理刑事案件程序规定》第64条的规定，收集、调取的物证、书证应当是原物。只有在原物不便搬运、不易保存或者依法应当由有关部门保管、处理或者依法应当返还时，才可以拍摄或者制作足以反映原物外形或者内容的照片、录像或者复制品；只有在取得原件确有困难时，才可以使用副本或者复制件。原物提取法又称实物提取法，是指将留有痕迹的物体直接提取。在实践中为了能够直接观察痕迹的真实情况便于长期保存原始物证，在需要和可能的情况下应当对留有痕迹的一些体积小、价值低且容易进行分离的物体在征得有关方面同意后进行原物提取。在窝点现场通过勘验、检查发现与犯罪有关的物证、书证及电子数据储存介质应当提取原物。

（二）注意事项

1．提取原物 要在不损坏原物的基础上，征得事主和有关方面的同意。为了保持印迹的原始状态利于检验和鉴定，在经过物主同意和请示现勘指挥员后，可以进行原物提取，相关证据采集完成后必须将其及时归还原主。

2.照相固定。在进行实物提取前应先照相，照相后，可提取原物，并办理相关法律手续。

3．妥善保管。提取原物后勘验人员必须注意采取妥善的措施进行包装和运送，并积极采取措施防止运送过程中原物与包装物发生碰撞而损坏痕迹。

4．提取现场文件、物品时，应分别提取，分开包装，统一编号，注明提取的地点、部位、日期、案名，提取的数量、名称、方法和提取人。对特殊检材，应当采取相应的方法提取和包装，防止损坏或者污染。

3．提取秘密级以上的文件，应当由县级以上公安机关负责人批准，按照有关规定办理，防止泄密。

4．提取现场物品、文件应当填写《提取痕迹、物证登记表》，写明物品、文件的编号、名称、数量、特征和来源等，由侦查人员、见证人和物品、文件持有人分别签名或者盖章。对于物品、文件持有人拒绝签名或者无法查清持有人的，应当在《提取痕迹、物证登记表》上注明。《登记保存清单》一式两份，一份交给物品、文件持有人，一份连同照片或者录像资料附卷备查

四、扣押、封存原始存储介质

（一）使用条件

在勘查活动中发现的可以证明犯罪嫌疑人有罪或者无罪、罪轻或者罪重的电子数据，能够扣押原始存储介质的，应当扣押、封存原始存储介质，并制作笔录，记录原始存储介质的封存状态。勘验窝点现场时，涉及大量电子数据，应当按照有关规范处置相关设备，扣押、封存原始存储介质。窝点中扣押与封存的对象可以是电子设备、储存介质或电子数据。扣押与封存电子数据实际上是提取和固定电子数据。

（二）注意事项

在窝点中对扣押的原始存储介质，应当按照以下要求封存：

1．保证在不解除封存状态的情况下，无法使用或者启动被封存的原始存储介质。必要时，具备数据信息存储功能的电子设备和硬盘、存储卡等内部存储介质可以分别封存。

2．封存前后应当拍摄被封存原始存储介质的照片。照片应当反映原始存储介质封存前后的状况，清晰反映封口或者张贴封条处的状况；必要时，照片还要清晰反映电子设备的内部存储介质细节。

3．封存手机等具有无线通信功能的原始存储介质，应当采取信号屏蔽、信号阻断或者切断电源等措施。

4．对于完整的设备，可以整机封存固定。在台式计算机中，主板 BOS 内存储有系统时间信息，硬盘内留存有系统及用户的软件、数据等信息。在勘验检查时来不及进行全面分析的，可以整机固定提取，待后续通过检查进行深入分析。

5．封存固定计算机内的硬盘等存储介质。如果现场的电子设备数量较多，整机提取困难，或有其他不便提取整机设备的情况，可以封存固定计算机内的硬盘等存储介质，包括封存源盘和制作镜像盘。勘验检查发现的可作为证据的移动硬盘、 U 盘、光盘、 SD 卡、 TF 卡等存储介质，可单独提取、封存。

6．对扣押的原始存储介质，应当会同在场见证人和原始存储介质持有人（提供人）查点清楚，当场开列《扣押清单》一式三份，写明原始存储介质名称、编号、数量、特征及其来源等，由侦查人员、持有人（提供人）和见证人签名或者盖章，一份交给持有人（提供人），一份交给公安机关保管人员，一份附卷备查。

7．对无法确定原始存储介质持有人（提供人）或者原始存储介质持有人（提供人）无法签名、盖章或者拒绝签名、盖章的，应当在有关笔录中注明，由见证人签名或者盖章。由于客观原因无法由符合条件的人员担任见证人的，应当在有关笔录中注明情况，并对扣押原始存储介质的过程全程录像。

五、现场提取电子数据

在一般情况下，窝点现场电子数据的现场提取，都要遵循先静态后动态、先固定后提取的原则，包括不损害原则、充分记录原则、合法性原则、专业性原则、一致性原则。在勘查过程中，对可疑的可能留有与犯罪相关的电子数据都要固定和提取，脱离现场环境之后无法再次复现的数据都属于现场勘查的要点，如登录的网站信息（无账号密码）、登录的即时通讯（无账号密码）、 IP 限制（只有现场能登录）、内存的数据、加密的数据（无账号密码、现场已经解密）等。

（一）使用条件

根据《公安机关电信网络诈骗案件现场勘查工作指引（试行）》的规定，下列取布起我作样后设情形应现场固定、提取电子数据，制作《电子数据现场提取笔录》，并附《电子数据提取固定清单》:

1．电子设备及其内部存储介质不便封存的。

2．计算机内存数据、网络传输数据等易失性数据。

3．案件情况紧急，不立即提取电子数据可能会造成电子数据灭失或者其他严重后果的（如对于已登录的 VOS 软件，应立即固定提取 VOS 服务器数据；对于 GOIP 设备，应及时断开网络、固定提取）。

4．关闭电子设备会导致重要信息系统停止服务的。

5．需通过现场提取电子数据排查可疑电子设备的。

6．正在运行的计算机信息系统功能或者应用程序关闭后，没有密码无法提取的。

7．其他无法扣押原始电子设备的情形。

（二）提取方法

窝点现场中电子数据的现场提取主要包括以下三类：

1．易失数据的现场提取。易失数据的提取，是指存在于网络中传输的数据或运行于计算机等电子设备中随电源切断或关机而消失的数据。在收集提取电子数据的过程中，如果面对开机动态的电子设备，应该先提取易失性数据。常见的易失性数据包括系统时间、当前登录用户、网络连接状态、系统运行进程、系统服务及驱动信息和共享信息等。电子设备开机时屏幕上显示的内容、正在运行的程序、正在编辑的文档、内存中的数据（包括进程、已加载的服务和驱动等）、缓存中的数据、登录信息、网络信息（包括网络连接状态、正在浏览的网页、网络共享、即时聊天等社交软件的内容和状态）、系统时间、日期和时区信息等均应该提取。这些数据中的可见数据可采用拍照或录像的方法提取，对不可见数据可使用在线工具提取。

(1）提取时间信息。在任何情况下，对于任何有内置时钟的设备，都必须记录该设备当前时间、时区设置以及系统时间与北京时间的误差。要提取时间信息，需掌握查看设备时间的方式，不同系统运行状态下查看时间的方式不太一样。

(2）提取屏幕信息。原则上不允许使用截屏工具和屏幕录像工具对屏幕信息进行获取，因为使用截屏工具或用屏幕录像工具获取屏幕信息会破坏原有信息。

(3）有针对性地提取易失性数据。易失性数据的提取可以使用综合取证工具的"自动取证"功能来实现，或者使用专用工具、内存获取工具等来提取。对于电信网络诈骗案件，一般需要提取当前运行的进程、每个进程当前打开的文件、每个进程内存中的内容、每个进程提供的网络服务端口、每个进程所依赖的模块列表、当前网络连接状态和当前运行模式、当前网络共享列表、 MAC 地址、 ARP 缓存表、当前登录用户以及登录时间等易失性数据。

2．计算机中电子数据的现场提取。为了防止电子数据在收集过程中被改变，勘查人员应当第一时间记录计算机及其外围设备当前的活动情况，并确认其电源状态。(1）计算机关机状态的处理方法。计算机处于关机状态时，应对计算机的原始状态进行拍照或者录像，如果计算机连接了较多的外部电子设备，必要时应制作标签，对连接计算机所有的电源线、适配器、数据线、外部电子设备进行逐一标记，检查计算机光盘（如 CD 、 DVD 、蓝光）驱动器内是否有未退出的光盘，可以关机退出光盘的，应将光盘进行独；不能出光盘的将光盘驱动器封存，防止其打开并记录其状态，移除计算机所有的电源线、适配器、数据线，并按照封存程序进行封存，以备后续检验鉴定工作的开展。具体操作如下：①对物证进行唯一性编号；②对物证的连线及设备接口一对一进行唯一性编号；③对现场进行拍照或录像，包括物证的品牌、唯一性编号等信息；④绘制网络拓扑图；⑤拆除物证设备间连接线及电源线；⑥封存物证。

(2）计算机开机状态的处理方法。计算机处于开机状态下，应对计算机的原始状态进行拍照或者录像，如计算机处于开机状态，且系统正处于登录状态，应立即观察并记录显示屏上的信息和状态，如果发现数据正在被删除、格式化、移动、复制、剪切、清除、销毁等破坏数据原始性、完整性状态的操作，应立即终止其操作，必要时可以采取切断电源的措施，勘验人员根据现场情况，按照现场易丢失电子数据的提取、固定程序提取、固定易丢失电子数据，并对操作进行记录。如果计算机设置了锁定或者屏幕密码保护，应在第一时间向计算机持有人询问密码，记录当前屏幕显示的信息，并及时提取、固定易丢失电子数据。如果计算机连接了较多的外部电子设备，必要时应制作标签，对连接计算机的所有电源线、适配器、数据线、外部电子设备进行逐一标记，标记应该能清晰反映这些外部电子设备与计算机的原始连接接口位置，标记后要进行拍照或者录像，最后移除计算机所有的电源线、适配器、数据线，并按照封存程序进行封存。具体操作如下：①对物证进行唯一性编号。②对现场、屏幕进行拍照或录像。③对有屏保密码的设备应现场获取或使用免安装和免系统注册软件解除密码，对获取的密码应验证并记录。不能解除屏保密码时，应先关闭物证设备，再按照计算机关机状态处理。④使用在线取证软件在线提取易失性数据，保存在有唯一性编号的专用存储介质中，并计算、记录哈希值。⑤应查看硬盘分区状况、文件显示属性，并进行记录。⑥接入互联网的设备，应查看正在运行的浏览器、 QQ 等软件设置，关闭软件退出即自动删除数据的功能设置；若虚拟机、 VPN 等特殊软件正在运行，应记录使用状态，并记录本环境所处接入互联网中的 IP 。⑦校对物证的系统时间和北京时间。⑧对正在运行的有密码保护的数据进行提取，保存在有唯一性编号的专用存储介质中，并计算、记录哈希值；记录有密码的设备、软件、载体；现场获取或解除密码，对获取的密码应验证并记录。⑨记录数据提取路径和保存路径。⑩0关闭物证设备操作如下：对于切断电源不会导致数据损坏的物证，可直接切断电源；对于切断电源会导致数据损坏的物证，应按正常步骤关闭，最后封存物证和专用存储介质。

3．移动终端中电子数据的现场提取。

(1）关机状态的提取。当窝点中要进行数据提取的移动终端处于关机状态时，应采取以下方法进行移动终端电子数据的现场提取：①对物证进行唯一性编号。②对现场进行拍照或录像，包括物证的品牌、唯一性特征等信息。③获取加密设备、加密扩展存储卡等密码。对获取的密码应验证并记录。④封存物证。

(2）开机状态的提取。当窝点中要进行数据提取的移动终端处于开机状态时，应采取以下方法进行移动终端电子数据的现场提取：①对物证进行唯一性编号。②停止正在进行的录像操作。③对现场、屏幕进行拍照或录像。④记录物证的系统时间和北京时间。⑤隔离网络。对处于开机状态的移动终端可采取开启飞行模式、禁用 Wi - Fi 、使用屏蔽设备等方式使其与网络隔离，如目标移动终端正连接计算机进行同步，应先关闭计算机电源，防止数据传输或同步覆盖，同时获取移动终端和连接的数据线、底座及计算机。⑥获取或解除视频监控系统的登录密码。如果现场能够获取密码，应当场验证电话网络诈物荣件现场副并记录；需在现场对移动终端进行数据提取的，必须先确保移动终端已经从算机隔离。

⑦数据迁移。微信、 QQ 聊天记录等应用需要使用数据迁移方式获取数据的，使用取证专用设备对微信、 QQ 聊天记录等进行数据迁移并记录。⑧关闭物证设备。

（三）注意事项

现场提取电子数据的注意事项如下：

1．不得将提取的数据存储在原始电子物证中，防止对原始存储介质中的数据造成破坏。

2．不得在目标系统中安装新的应用程序。如果因为特殊原因，需要在目标系统中安装新的应用程序的，应当在笔录中记录所安装的程序及目的。

3．应当在有关笔录中详细、准确记录实施的操作。现场提取电子数据，应当制作《电子数据现场提取笔录》，注明电子数据的来源、事由和目的、对象，提取电子数据的时间、地点、方法、过程，不能扣押原始电子物证的原因、原始电子物证的存放地点，并附《电子数据提取固定清单》，注明类别、文件格式、完整性校验值等，由侦查人员、电子数据持有人（提供人）签名或者盖章；电子数据持有人（提供人）无法签名或者拒绝签名的，应当在笔录中注明，由见证人签名或者盖章。

4．及时将犯罪嫌疑人或者其他相关人员与电子设备分离，保护电源，防止人为故意断电导致系统关机二次丢失数据，未确定是否易丢失数据的情况下，不能关闭正在运行的电子设备。

5．对现场计算机信息系统可能被远程控制的，应当及时采取信号屏蔽、信号阻断、断开网络连接等措施。

6．对提取的电子数据可以进行数据压缩，并在笔录中注明相应的方法和压缩后文件的完整性校验值。

7．保证提取的数据与原始数据一致。一般采用对整个数据提取过程中进行屏幕录制和对所有提取的数据压缩并进行哈希计算两种办法来保证数据有效。

8．由于客观原因无法由符合条件的人员担任见证人的，应当在《电子数据现场提取笔录》中注明情况，并全程录像，对录像文件应当计算完整性校验值并记人笔录。

9．对无法扣押的原始电子物证且无法一次性完成电子数据提取的，经登记、照或者录像后，可以封存后交其持有人（提供人）保管，并且开具《登记保存清单》一式两份，由侦查人员、持有人（提供人）和见证人签名或者盖章，一份交给持有人（提供人），另一份连同照片或者录像资料附卷备查。

10．持有人（提供人）应当妥善保管，不得转移、变卖、毁损，不得解除封存状态，不得未经办案部门批准接入网络，不得对其中可能用作证据的电子数据进行增加、删除、修改操作。必要时，应当保持计算机信息系统处于开机状态。

第四节  窝点现场勘查

一、现场保护

现场保护人员应当根据案件现场具体情况，划定保护范围，禁止无关人员进入现场，应当设置警戒线，并采取必要的保护措施。

（一）固定团伙成员工位

由于电信网络诈骗案件窝点话务人员数量多，要注意运用拍照、录像等方式固定团伙成员的诈骗工位，并详细记录每个工位上的电话机号码、写有诈骗台词的笔记本、涉及诈骗对象信息及诈骗金额的便笺材料等涉案物品。突袭进入窝点后，侦查人员应当及时采取措施控制现场，并要求犯罪嫌疑人待在所处诈骗工位不动，然后使用摄像机或执法记录仪完整记录核实犯罪嫌疑人身份信息的过程，并一一对应拍摄犯罪嫌疑人所处工位上的计算机硬件设备、外部存储介质、电话机、手机、银行卡、诈骗剧本等涉案物品，以便后续将涉案的人与物进行关联分析。

（二）实行人机分离

侦查人员在封锁现场的过程中，在控制犯罪嫌疑人并拍照确定其工作位置后，应及时将犯罪嫌疑人与作案工具及随身携带电子设备分离，应特别注意要求犯罪嫌疑人将计算机、手机等电子设备置于桌面并保持一定距离，必要时可以分别指定专人负责看守或控制现场人员到特定区域，防止其突然趁乱毁坏计算机磁盘、格式化手机数据或擦除相关网络痕迹。在身份核实和现场讯问工作结束后，应将团伙成员带离现场，实现人、机、物之间的隔离。同时，应注意防止犯罪嫌疑人情急之中关闭电源使计算机因断电而丢失数据，给后续电子取证工作带来困难。

（三）检查现场情况

控制住现场后，侦查人员应当尽快检查现场计算机、手机的运行状况，如果发现有远程操控、病毒查杀、垃圾清理或格式化磁盘等可能致使电子数据损毁或丢失的程序正在运行，应立即采取技术手段予以终止。同时，侦查人员应详细检查现场电子设备的网络连接情况，记录相关信息后予以断开连接。

（四）保护电源和网络

注意对现场的电源网节护验常进行，在未完成易丢失数据提取的情况下，不能关闭或重启正处于运行状态的电子设备；对现场计算机信息系统可能被远程控制或现场环境可能被远程监控的，应当及时采取信号屏蔽、信号阻断、断开网络连接等措施。

二、现场绘图及照相、录像

运用照相、录像、绘图的方法对窝点现场进行记录，包括窝点现场通信网络、办公环境、外界环境等。犯罪现场绘图是犯罪现场勘查记录的重要组成部分，是现场勘查的一种重要记录措施，是公安机关进行刑事侦查工作的必要程序，更是起诉审判时的重要依据。窝点现场中证据种类繁多且分布位置不固定，因此，在窝点勘查中利用绘图和照相、录像的方式记录犯罪现场的客观状态及其与周围环境的关系十分重要。

三、窝点证据的固定提取

做好现场控制工作后，紧接着应开展现场取证工作，侦查人员在窝点内部的取证活动应当遵循法定取证程序和规则，严格、规范、全面、细致地收集和固定窝点现场各种形态的证据，确保所取得的证据在后续诉讼阶段的可采性。由于电信网络诈骗案件的话务员窝点并不是传统犯罪案件的典型犯罪现场，因此，寻找、发现、收集和固定证据的方法和侧重点也有所不同。

（一）现场物证、书证的扣押与提取

电信网络诈骗窝点现场应当收集和扣押的物证和书证主要有：计算机硬件设备、手机、银行卡、传真机、诈骗脚本、业绩记录、分赃账本等。因电信网络诈骗案件窝点勘查中涉及的物证多为电子设备和专用设备，所以实践中要注意以下几点：

1．在现场取证过程中，侦查人员应当按照固定好的诈骗工位逐人搜查和扣押对应的涉案物证和书证，全面提取用于作案的各类设备工具。例如，用于诈骗的计算机服务器、路由器、语音网关等作案设备，应予以扣押，并办理法律手续，为后续深人分析研究奠定基础。

2．充分了解电子设备的相关知识，防止内部电子数据丢失，防止犯罪嫌疑人接触物证。

3．对于能够确定到具体团伙成员的物证和书证，要规范提取涉案物品。在对诈骗工位上的涉案物品进行录像和文字固定后，应采取适当方法提取、包装并粘贴识别标签，注明提取时间、地点、扣押物状态及所属人等详细信息，并在当面清点完毕后逐一填写《扣押物品清单》，做到人、物、单相一致；对于难以确定到具体个人的物品和材料，应现场讯问该团伙成员，然后同样予以扣押并编号封存。

4．扣押犯罪嫌疑人可能与案件有关的物品。有些电信网络诈骗涉案证据和线索可能储存于话务人员的箱包、笔记本电脑、移动硬盘、手机、 U 盘等物品中，因此，对这些物品也应进行扣押，并注明相关信息。

（二）电子数据的收集与保全

电信网络诈骗作为一种依托信息网络平台的高度智能化犯罪，在犯罪行为人作案过程中往往会生成较多电子数据。由于电子数据的存在需要借助外部存储介质这一物质载体，一般观点认为，电子数据也属于一类实物证据，但又由于其具有显著区别于传统物证、书证的特点，因此其取证程序也是不同的。现场收集是电子数据收集提取的重要一环。现场收集电子数据通常要先收集可能与案件有关的设备。除计算机、手机、监控录像机等电子设备外，还要现场收集各种存储介质、日志、访问记录、书证等。侦查人员对发现的存储介质应进行拍照、摄像存档待查。

1．电子数据收集保全的工具。在收集提取、勘验检查、检验鉴定等几乎每一个环节中，都有专业的软硬件设备和工具辅助工作，如照相及录像设备、电子物证现场勘查箱、手机信号屏蔽设备、手机屏蔽箱（袋）、手机取证设备、仿真设备、保全备份设备、专用存储介质、便携式计算机、打印机等。这些设备和巩固的基础支撑技术包括数据恢复、数据搜索、加密破解、文件修复等。

窝点中常用的电子数据收集保全工具有以下几种：

(1）克隆工具。最常见的硬件克隆工具是磁盘复制机，又称磁盘克隆机。它基于位对位方式对硬盘或 U 盘进行物理复制，可将窝点现场发现的磁盘中的所有数据进行复制。磁盘复制过程中会严格对源盘数据进行写保护，除了硬件工具外，侦查人员还可以使用克隆的专用软件、取证分析软件、 dd 命令等进行克隆（见图5-4-1)。 ORICO ( EARXYOUAPC ]图5-4-1磁盘复制机

(2）写保护工具。"不改变原始数据"是电子数据取证最为重要的基本原则，对待取证的存储介质进行写保护，是防止存储介质上的数据被修改的最好解决方法。通过写保护工具可以使数据单向传输而不必担心改变源存储介质的数据。可以保证窝点现场提取电子数据的原始性和可靠性。

(3）电子数据现场勘查箱。现场勘查箱一般包括一台现场勘查专用设备和辅助的现场常用接口、线缆等工具。其中，现场勘查专用设备是一款现场勘查一体化综合取证设备，一般具有复制、镜像、校验、擦除功能；支持 Windows 、 Mac 、 Linux 系统取证分析，具有数据恢复功能；支持 Windows 、 Mac 、 Linux 系统仿真，还支持现场快速生成多个 U 盘，实现多台计算机批量取证等功能，适用于窝点电子设备多、电子数据突出的情况。

(4）现场快速搜索工具。在窝点现场勘查过程中，勘查人员通常需要对涉案计算机中易丢失数据进行固定。现场快速搜索工具将程序预写到一个特定 U 盘里，再将盘接入对象电子设备即可自动运行该程序进行数据提取。可在现场快速获取所需要的信息，如系统信息，它包括当前进程信息、当前使用的端口、网卡信息、用户列表、已安装的程序、服务列表、硬件及驱动信息等。

(5）手机取证设备。手机取证设备是用于手机数据提取和恢复并进行深度分析及数据检索的调查取证设备，可支持窝点现场多种国内外品牌手机和山寨机的已删除数据恢复，支持应用程序痕迹记录的解析和提取，手机机身、扩展卡存储的通讯录、通话记录、短信等信息的提取与关联。

(6）现场勘验软件工具。包括综合取证分析软件、手机取证分析软件、仿真软件、在线取证软件、免安装和免系统注册软件等。

2．电子数据收集保全的内容。侦查人员对电子数据的现场收集通常围绕以下五个方面展开：

(1）收集存储设备。存储设备规格不同、大小不一，很可能在犯罪嫌疑人身上就藏有小型存储设备。因此，要对在现场发现的犯罪嫌疑人进行人身搜查，通过搜查收集存储设备。除人身搜查外，还要搜查现场所有可能存储电子数据的设备，包括计算机、移动存储介质（如 U 盘、移动硬盘、 ZP 盘软盘、光盘、存储卡）、手机、备份磁带、数码相机、数码摄像机、数码录音笔、 GPS 、智能卡、磁卡等。

(2）收集附属设备。电子设备往往包括连接线、外接设备。现场收集电子设备时应收集附属设备。

(3）搜索基础数据。如果知道与犯罪相关的通信工具在特定的时间出现在现场或现场附近，通常要获取与该通信工具相关的基站数据。

(4）收集监控设备。在现场或现场附近、周围收集监控设备，并获取视频监控数据。

(5）收集其他证据。

侦查人员在窝点现场对电子数据的固定和保全，应当严格遵循2016年出台的最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》，确保电子数据的真实性、合法性和完整性。该规定指出，对电子设备、储存介质原件和电子数据复制件的搜查和扣押，应由二名以上侦查人员依照相关技术标准进行。对于能够扣押电子数据原始存储介质的，应当优先扣押、封存原始存储介质，并对扣押过程进行拍照，清晰反映储存介质扣押前后的状况。对于不便当场扣留原始存储介质的，则应完整导出电子数据复制件，为了满足最佳证据规则的要求，应当在扣押后制作获取复制件报告书以补强其证明效力，该报告书应详细载明获取电子数据复制件的时间、地点，不能获取原件的原因，复制件与原件内容一致等相关信息。另外，由于电子数据稳定性差、较为脆弱、极易被篡改和破坏，为保全电子数据，侦查人员可以通过完整性校验值计算、制作备份、冻结电子数据等方法对可作为证据使用的电子数据进行保护。

3．电子数据提取。电子数据提取包括远程勘验在线提取数据、计算机和硬盘监控录像机数据提取和其他电子设备的数据提取三个方面，远程勘验在线提取数据在第四章中已有介绍，这里不再赘述。

(1）计算机和硬盘监控录像机数据提取。计算机和硬盘监控录像机数据提取包括全部数据提取和部分数据提取两种方式，具体选择哪种方式应根据案件情况和侦查需要确定。

①全部数据提取。首先对物证进行唯一性编号，然后对现场进行拍照或录像，再对物证内置硬盘进行保全备份，具体操作为：第一，物证设备处于开机状态且不允许关机，应使用在线取证软件进行保全备份，并记录提取数据的哈希值、物证的系统时间和北京时间。第二，设备处于关机状态或允许关机，开机状态应停止正在进行的录像操作，对现场、屏幕进行拍照或录像，记录物证的系统时间和北京时间，获取或解除视频监控系统的登录密码，对获取的密码应验证并记录，关闭物证设备的步骤执行关机，然后使用保全备份设备进行保全备份，并记录提取数据的哈希值。第三，对保全备份硬盘进行唯一性编号并封存。

②部分数据提取。首先对物证进行唯一性编号，然后对现场进行拍照或录像，再提取目标数据，操作如下：第一，设备处于开机状态且不允许关机，应使用在线取证软件并依据 GB /T29362-2012进行数据搜索，在线提取目标数据，保存在有唯一性编号的专用存储介质中，并记录提取数据的哈希值、物证的系统时间和北京时间。

电信网络作训来干．第二，设备处于关机状态或允许关机，开机状态应按照全部数据提取中的步骤执行关机，然后通过电子物证现场勘查箱中的只读设备，将物证存储介质连接到已装载综合取证分析软件的便携式计算机上，使用综合取证分析软件依据 GB /T29360-2012和 GB /T29362-2012进行数据恢复搜索，提取目标数据，保存在有唯一性编号的专用存储介质中，并记录提取数据的哈希值、物证的系统时间和北京时间。第三，特殊类型的文件需要使用物证设备中特定的应用软件进行浏览，应使用仿真设备或使用保全备份设备制作的备份盘启动物证设备，依据 GB /T29360-2012和 GB /T29362-2012进行数据恢复搜索，提取目标数据，保存在有唯一性编号的专用存储介质中，并记录提取数据的哈希值、物证的系统时间和北京时间。第四，对保存数据信息的专用存储介质进行封存。

(2）其他电子设备的数据提取。首先对物证进行唯一性编号，然后对现场进行拍照或录像，再将物证与保全备份设备相连接或将物证通过电子物证现场勘查箱中的只读设备连接到已装载综合取证分析软件的便携式计算机上，并启动取证分析软件，最后使用保全备份设备或综合取证分析软件制作镜像文件或提取目标数据，保存在有唯一性编号的专用存储介质中，并记录提取数据的哈希值。

（三）视听资料的固定提取

窝点现场视听资料的固定提取主要包括监控视频数据调取和监控视频设备封存、扣押两部分内容。

1．监控视频数据调取。具体步骤为：确定调取目标、履行相关法律手续、准备好调取设备和存储工具。

在调取过程中应当注意以下几点：

(1）及时提取视频监控数据。无论案件性质如何，应当尽量查找周边的视频监控设备，对视频监控数据进行提取，以免案件升级，丢失相关证据。

(2）对目标视频监控数据进行调取并进行记录时，注意获取监控视频对应的播放工具、校对视频监控系统时间、记录视频监控系统的品牌信息、核查视频监控设备中存储介质是否更换。

(3）在调取视频监控证据时，尽量将相邻两天视频数据都调取固定使视频证据具有上下时间的逻辑关系，具有更高的证据力。

(4）不得用视频监控录像机回放内容让证人和犯罪嫌疑人指认。

2．监控视频设备封存、扣押。对于目标监控视频数据丢失、无法获取等情况，需要对记录监控视频数据的计算机或监控视频录像机等设备进行封存提取，相关封存提取办法参照计算机的封存办法。

（四）现场讯问犯罪嫌疑人

在冲击窝点的行动中，团伙成员大多处于毫无心理准备、惊慌失措的状态，侦查人员应该抓住这一有利战机，第一时间开展现场突击讯问，获取重要证据信息或有利线索，从而明确取证方向和重点。电信网络诈骗案件犯罪嫌疑人成员多，涉案程度各不相同。对抓获的犯罪嫌疑人要区分其涉案情况，结合其在犯罪团伙中的"角色"采取不同的讯问策略和方法。侦查机关应组织熟悉电信网络诈骗案件侦查业务情况的讯问人员组成讯问专班，通过全面熟悉研究案情，制订科学的讯问计划，以点带面，纵深突破。

对窝点成员的现场讯问，应重点获取以下信息：

1．讯问并核实团伙成员的详细身份信息，包括真实姓名、昵称、代号、绰号及所登录网络社交工具的账号和网名等信息，并进一步查明谁是该窝点的现场负责人。

2．讯问团伙成员平时在管理运作中所处的诈骗工位及工位上对应物品和资料的相关信息。

3．讯问是否存在其他相关联的电信网络诈骗窝点及电信网络诈骗团伙，以便后续开展诈骗团伙深挖和经营工作。

4．固定现场概况和取证过程，窝点现场往往人多物杂，取证环境较为混乱，为了避免疏漏一些细微证据，全面、细致地开展取证工作，侦查人员可以通过绘制现场方位图、拍照和录像等方式将取证过程固定下来，这样一方面可以详细记录现场情况，方便后续归类、梳理和审查现场证据；另一方面这也是规范化取证的要求，必要时可以用以证明取证过程的合法性。侦查人员采用拍照或录像的方式记录取证过程时，应注意将现场物品、文件对应到具体犯罪嫌疑人，避免在后续审查中出现无人认领、互相推诿的现象；同时应注意有关物品、文件细节特征的拍摄，以利于后续审查工作。

四、制作勘查笔录

现场勘查笔录是犯罪现场的客观记录，是重要的法律文书。对于分析研究案情，印证犯罪嫌疑人口供，破获案件，认定犯罪嫌疑人都具有重要作用。在窝点勘查结束后，为保障证据的原始性和来源一致性，需要制作现场勘查笔录。

五、注意事项

对电信网络诈骗案件窝点进行现场勘查时，应注意巩固完善证据链，注意以下内容：

1．现场勘查笔录要全面反映电信网络诈骗窝点的全貌，如实记录勘验过程和勘验结果。要重点提取的物证包括用于电信网络诈骗的计算机、服务器、电话、银行卡、 U 盘、移动硬盘等，书证主要包括实施电信网络诈骗的"台词"脚本、记载个人诈骗成功的"业绩"和报酬的记录本、反映诈骗过程的"流水账"、领取犯罪所得的"工资条"，以及电信网络诈骗团伙与电信运营商签订的租用协议等。

2．对犯罪嫌疑人的电子设备进行技术勘验，提取涉案信息，如登录的网站、使用的软件、平台聊天工具等，除对犯罪嫌疑人使用的计算机、手机及平板电脑进行勘验外，还应注意对智能手表、电话、摄录机等容易遗漏的电子设备进行勘验，提取犯罪嫌疑人的活动轨迹、作案过程、作案方法、同伙身份信息、被害人身份信息等重要信息。

3．询问房东、保洁人员等相关证人。在侦查人员进入窝点的过程中犯罪嫌疑人可能会破坏现场原貌、销毁相关证据，可通过询问房东、保洁人员等相关证人的方式，还原现场原貌、巩固完善证据链。

【案例】衡阳王某网络刷单被诈骗案

一、简要案情

2021年5月30日，衡阳市公安局高新分局接到被害人王某报警，称其经人介绍下载"绿洲国际" APP ，被以虚假投资理财方式诈骗现金90万元。经了解，王某在微信上收到一个微信好友（微信昵称：社区服务站，微信号码： woqianming ****113311）添加的消息，加了对方不久后对方就联系被害人问其要不要做一个刷流量的网兼职，被害人答应了，并按对方要求下载了一个叫作"绿洲国际"的 APP ，对方告诉被害人做任务需要先垫付一定的资金，不同的任务需要垫付不同的资金，在收取了一定的资金之后就没有资金返还了。

二、侦办经过

（一）涉诈 APK 解析、第三方服务公司调证

高新分局刑事技术民警使用"网勘通"对被害人手机涉案电子数据进行采集，并对涉诈程序"绿洲国际"的 APK 进行解析，发现该 APP 使用了高德地图、 open - install 统计等第三方服务。办案民警联系高德公司、深圳分秒公司调取账号注册信息，发现该 APP 的开发人员使用手机号173xxxx1501注册了多种服务。结合情报查询分析，确定该号码机主为厉某飞（男，25岁，浙江省永嘉县人）。侦查人员于2021年6月3日赴天津抓捕厉某飞（已因帮信罪被抓捕并判刑，正在缓刑期间）,厉某飞交代"绿洲国际"涉诈 APP 代码是本人所写，他还参与非法开发1000多个涉诈 APP ，出售给犯罪分子非法获利。

key :d02366b9fadccefebae2dedabf5b5263名称北京靖昭信息科技有限公司未认证开发者邮箱tech@fengcheim.com手机17367451501注册时间2020-04-2116:25:39注册来源官网注册联系人北京靖昭信息科技有限公司tech@fengcheim.com173674515012020-04-2116:25:39appkey的情况了；实性确定）19:01:51五、联系方式对方于2021年04月20号联系我们注锁个是对方的联系 QQ 号：50554177%高德地图调证 OP 推送调证

（二）引流团伙重点分析

办案民警对该案引流团伙进行重点分析，经对介绍被害人下载"绿洲国际" APP 的微信号进行调证分析，发现该微信号注册人为陈某欣（女，30岁，黑龙江省哈尔滨市人），通过平台关联，登录手机为1577609xxxx，手机号码有美团物流信息，从而找到陈某欣的地理位置。侦查人员于6月10日赴黑龙江省哈尔滨市将其抓捕归案，并顺线在山东威海、浙江杭州分别抓获其上线刘某勇（男，48岁，黑龙江省哈尔滨市人）、奚某龙（男，31岁，黑龙江省绥化市人）。经过两个月抽丝剥茧般的大数据分析，专案民警研判出了该诈骗团伙的组织架构、窝点分布及人员身份等。根据审讯情况和前期落地侦查，结合公安网和互联网平台研判，专案组发现该团伙藏匿在广东省惠东县一小区内，该小区位于当地度假风景区内，人口流动性强，人员结构十分复杂。该团伙成员十分狡猾，分散藏匿在9个不同的单元楼中，给抓捕带来了较大困难。为防止打草惊蛇，专案组民警决定先对团伙首脑进行抓捕，再逐一收网其下线。7月7日，在广东省惠东公安的协助和大力支持下，专案组成功收网，共抓获犯罪嫌疑人21人，该团伙10名主干成员无一逃脱，并抓获11名帮助信息网络犯罪人员。刑事技术人员对9个引流工作窝点逐一勘查，查获涉案手机160余部、笔记本电脑8台、电话卡30张。随后，衡阳市公安局刑科所对相关电子物证109A初宣进行数据恢复和检验分析，初步印证了相关犯罪事实。窝点勘查照片经审讯，该团伙自2020年10月起长期盘踞在黑龙江大庆、肇东，广东惠州等地从事电信网络诈骗活动，以微信引流的方式实施诈骗，将被害人拉入微信群中，以各种理由取得被害人信任后便让被害人下载诈骗 APP ，以虚假投资的方式骗取被害人钱财。8月上旬，湖南省公安厅刑事技术研判专班协助办案单位扩串扩案，分别利用涉诈 APP "绿洲国际"的包名、域名、 IP 和"2021·5·30"案采集的9个犯罪嫌疑人收款银行账号在全国现勘系统共串并35案，涉案金额387万元。

三、经验总结

对涉诈 APP 进行解析时，注意发现 APP 是否使用高德地图、 openinstall 统计等第三方服务，若发现，可到第三方服务调证，关联到注册信息。另外，对涉案微信号调证分析时可以关联到手机号码，通过系统查证该号码是否有购买信息进而确定犯罪嫌疑人的地理位置，便于抓归案。再逐层抓到上层人员，勘验窝点提取固定相关物证。根据涉诈 APP 的基本信息和犯罪嫌疑人的收款账号进行串并，进一步扩大战果。因此，电信网络诈骗案件现场勘查时涉诈 APK 的解析是否关联第三方服务至关重要，各部门信息平台的合作也是案件得以推动的重要因素。接下来可继续从资金流、网络流等深入研判和深挖实施诈骗的团伙。

附：思维导图

被害人手机使用高德地图服务使用 openinstall 统计服务引流入微信账号调证分析涉诈 APK 解析注册人为陈某欣，关联登录手机号：1577609xxxx调取账号注册信息开发人员手机号：173xxxx1501,机主：厉某飞手机号码关联美团物流信息，落地抓捕犯罪嫌疑人已抓捕根据审讯，抓获引流窝点犯罪嫌疑人，查获相关证据

【思考题】

1．简述电信网络诈骗窝点的特点。

2．简述电信网络诈骗窝点涉案证据的种类。

3．简述电信网络诈骗窝点现场勘查的工作流程。

4.  简述电信网络诈骗窝点中扣押、封存原始存储介质的条件。

5．简述电信网络诈骗窝点现场保护的要点。