计算机网络盗窃案件侦查
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• (1)利用系统正常授权输入非法数据。 • (2)非授权侵入目标系统。 • (3)以欺诈手段实施盗窃。 • (4)盗用他人合法上网账号、费用户账号、电信
号码等。 • (5)假冒受害人身份,伪造相关证件开通网上银
行或银证转账(银行与证券账户捆)业务实施 盗窃。
常见犯罪手段分析
• 常见的利用计算机实施盗窃犯罪的案件进行归 纳分析,从犯罪手段和行为过程可以看出嫌疑 人常见的犯罪手段有以下几大类。
典型案例剖析
• 5.重建现场
• 案发现场往往是能够提供最多、最直接、最有 效的破案线索的资源,但是自案发至明确案件 性质,案件调查过程已经迁延数月,且案发后 因被害企业无法确定损害发生的原因和程度, 所以将原财务系统替换为另一公司提供的财务 软件系统。应新系统要求,设备情况略有调整 ,服务器也已经更换。查阅初始案卷发现,现 场勘查笔录中仅记录了核心服务器所在位置和 周边线路情况,但网络拓扑、进程信息、易失 数据、权限分布等均未记录。
• (1)利用系统正常授权输入非法数据。 • (2)非授权侵入目标系统。 • (3)以欺诈手段实施盗窃。 • (4)盗用他人合法上网账号、费用户账号、电信
号码等。 • (5)假冒受害人身份,伪造相关证件开通网上银
行或银证转账(银行与证券账户捆)业务实施 盗窃。
常见线索和一般侦查思路
利益指向——通过追踪财物转移轨迹, 找到最终获益的嫌疑人。
典型案例剖析
• 首先是服务器的查验分析
• 相反,如果日志文件未被破坏和修改,同时日 志文件中未记敏感的特殊的操作内容,就说明 嫌疑人是直接针对后台数据实施了不法行为。 一般把这种手法作案的称作程序型案件,侦查 人员可调查程序属性的原始状态和现状,发现 修改特征,针对被修改的程序部分,分析其功 能,结合其他线索,划定嫌疑人范围。
• 首先是服务器的查验分析
• 如果日志完全被删除、破坏、修改过,那就证 明嫌疑人从系统前端合法登录但做过恶意操作 。一般把这样手法作案的称作操作型案件,侦 查人员可按照发案系统的数据流向,调查各个 网络节点日志信息,针对发现问题的节点,调 查合法或可能拥有系统对应权限的使用者,结 合线索,划定嫌疑人范围。
计算机信息系统实施 的盗窃犯罪案件的主要特征
• (1)犯罪手段隐蔽。 • (2)案件发现滞后。 • (3)犯罪风险小成本低。 • (4)规模化产业化发展。 • (5)黑客技术愈发紧密。
常见犯罪手段分析
• 常见的利用计算机实施盗窃犯罪的案件进行归 纳分析,从犯罪手段和行为过程可以看出嫌疑 人常见的犯罪手段有以下几大类。
侦查工作要点
• 4、侦查途径的选择
• (2) 因此推侦查阶段的侦查途径往往从 嫌疑的做案手法、技术手段上入手,通 过梳理被害人的被害账号的使用情况, 从网络环境、硬件设备上的遗留痕迹, 了解嫌疑人的作案过程,再从作案条件 、技术特点等方面圈定嫌疑范围。
侦查工作要点
• 4、侦查途径的选择
• (3) 侦查阶段的侦查途径还可以通过梳 理嫌疑人的作案手法、网络空间地址、 物理空间地址等线索,从大范围的案件 串并工作入手。
典型案例剖析
• 3、初步分析
ቤተ መጻሕፍቲ ባይዱ
•
(1)不排除赵某制卡或者与制卡人熟识的可
能,但需要证据证明。
• (2)既然发案单位的销售财务账目异常,那
么表象上看售卡与收入现金平衡,即无案件发
生,可能为内部事故或事件。但商场从未制作
和销售两万元的储值卡,当该卡出现且有效时
,商场无两万元的售卡收入,那么本质上案件
已经存在。
典型案例剖析
• 其次进行备份数据的合并检查。
• 该硬盘中,存有自商场开业系统启用到案发后 切换系统止,为期一年的全部月结算备份数据 。将所有12个备份数据文件包合并检验,发现 据库为Sybase库,计有各种表单三百多个(其中 有数据的两百四十多个);无程序说明文档。 侦查人员通过商业零售企业的数据特征,分析 各表各字段间的相互逻辑关系和数据流程,如 图所示。
典型案例剖析
• 3、初步分析
•
(3)从案发到初查结束,被害单位和侦查人
员的视线都集中在销售环节,但是从商业零售
企业所使用的管理信息系统软件结构看,此类
软件为进销存类软件,也就是说,以库存为核
心载体,进货与销售两个环节进行数据交互。
进销存类软件结构图
典型案例剖析
• 4、检验分析
• 发案目标系统中,提取核心服务器一台,机内 安装有X X财务管理系统;备份数据硬盘一块 ,存有历史数据。
• 2、初查情况
• 询问商场负责人,答称案发之前6个月内商 场销售财务系统账目未出现异常。案发后,因 为无法解释该卡为何出现且无预存资金异常报 警,为避免损失,商场将原信息与财务管理系 统停掉,替换为本地一家公司开发的系统。办 案人员为慎重起见,勘查了核心服器所在的现 场情况,并复制了每个月的月结算数据。
典型案例剖析
• X X X 系统数据流程简化示意图
典型案例剖析
• 其次进行备份数据的合并检查。
• 在理清数据关系后,将所有数据导出,脱离原 数据库系统进行计算。将每张储值卡的累计消 费额加上卡内余额,再减去卡原值(发卡单位 以卡号倒数第四位和第三位为金额标识),理 论上这一计算结果应该为零。但是本案数据分 析中发现,计有3193张卡的计算结果不为零, 累计差值金额超过103.7万元。
网络盗窃案件侦查
主要内容
-----------------------------
• 一、案件构成及主要表现形式 • 二、常见犯罪手段分析 • 三、常见线索和一般侦查思路 • 四、侦查工作要点 • 五、典型案例分析 • 六、其他问题
案件构成及主要表现形式
• 1、网络盗窃犯罪构成
• 网络进行盗窃犯罪的案件,其犯罪主体是一 般主体,即年满16周岁具有刑事的自然人。
• 经查,持卡人蔺某(女),从其男友赵某 处拿来此卡使用。赵某无业,专门倒买倒卖各 类储值卡赚取差价。追查赵某卡来源,赵称时 间久、买卖人多、卡种类多,已记不清当事人 ,但看到本人应该有印象。侦查人员从其住处 找到当地多家商场、娱乐场所储值卡四百余张 。现场情况看,符合赵某所述的行为特征。
典型案例剖析
• (1)利用系统正常授权输入非法数据。 • (2)非授权侵入目标系统。 • (3)以欺诈手段实施盗窃。 • (4)盗用他人合法上网账号、费用户账号、电信
号码等。 • (5)假冒受害人身份,伪造相关证件开通网上银
行或银证转账(银行与证券账户捆)业务实施 盗窃。
常见犯罪手段分析
• 常见的利用计算机实施盗窃犯罪的案件进行归 纳分析,从犯罪手段和行为过程可以看出嫌疑 人常见的犯罪手段有以下几大类。
典型案例剖析
• 5.重建现场
• 系统文件生成间为2007年1月,TTI文件夹生成 时间为2007年2月。通过查看tti. Exe的源代码, 发现其功能为根据输入的储值卡号,从系统中 调取并删除所有与消费有关的数据记录,直至 删除库存削减量。而后通过数据更新,用原值 参照表中该卡的原值减掉累计消费额(该程序 已经将消费清零),便可以将曾经用过作废的 卡重新恢复原值。
侦查实验(现场重建)
• 1、目的:重建犯罪现场是一种手段,其 目的在于研究犯罪活动的发生过程、产生 的遗留痕迹、行为结果。
• 2、重建的方法包括恢复系设备及其附属 设备的连接状态、工作状态,异地勘验还 可能需要模拟某些参数的设置。
• 3、网络犯罪现场重建的形式分为物理架 构重建、数据链路重建、逻辑结构虚拟重 建。
被害人用过的计算 机系统日志、植入 的木马、恶意软件
程序
侦查线索
银行账号
网站的注册信息 维护信息 管理员信息
非电子货币 变现过程
特定IP地址的计算 机系统
被害人用过的计算 机系统日志、植入 的木马、恶意软件
程序
侦查线索
银行账号
网站的注册信息 维护信息 管理员信息
非电子货币 变现过程
特定IP地址的计算 机系统
征、使用记录,找到原始的案发点。
侦查工作要点
2、现场勘查要点 • 首先是被害人计算机、被害单位系统中,关于
涉案财物留存信息的勘验检查。 • 其 次是被害人计算机、被害单位系统中,是否
存在异常的文件、权限设置、操作痕迹。 • 再次是被害单位系统,如果案件被害单位是一
个相对独立的企业局域网,那么勘查视该覆盖整个 网络。 • 同时注意寻找与已发案件关联紧密的虚拟账号信 息。
被害人用过的计算 机系统日志、植入 的木马、恶意软件
程序
侦查线索
银行账号
网站的注册信息 维护信息 管理员信息
非电子货币 变现过程
特定IP地址的计算 机系统
被害人用过的计算 机系统日志、植入 的木马、恶意软件
程序
侦查工作要点
• 1、案情分析 • 基本线索提取与分析 • 追踪盗窃财物的流失路径 • 据被害人被盗物品的历史存在特
• 施网络盗窃的主观方面表现为直接故意,其 动机都是以非法占有公私财物或非法牟利为 目的。客观方面表现为秘密窃取。
• 利用计算机信息系统进行盗窃的案件,其犯 罪对象是公私财物,包括国有财产、集体所 有财产、公民个人所有财产。
案件构成及主要表现形式
2、网络盗窃犯罪的主要表现形式
(1)盗窃银行账户内电子货币。 (2)盗窃有价值计算机程序、数据。 (3)利用经营管理或财务管理软件,盗窃 公私财物。 (4)盗窃虚拟财产。
典型案例剖析
• 1、简要案情
• 2008年1月2日16时许,某商场经理发现有 顾客购买SONY数码相机一部,于收银处刷储 值卡结账。货品价格五千余元,但商场发行的 储值卡最大面值为一千元。核实该卡,发现此卡 于系统内有效,卡原值为两万元,案发时卡内 余额尚有一万多元,遂报案。
典型案例剖析
• 2、初查情况
• (1)利用系统正常授权输入非法数据。 • (2)非授权侵入目标系统。 • (3)以欺诈手段实施盗窃。 • (4)盗用他人合法上网账号、费用户账号、电信
号码等。 • (5)假冒受害人身份,伪造相关证件开通网上银
行或银证转账(银行与证券账户捆)业务实施 盗窃。
常见犯罪手段分析
• 常见的利用计算机实施盗窃犯罪的案件进行归 纳分析,从犯罪手段和行为过程可以看出嫌疑 人常见的犯罪手段有以下几大类。
典型案例剖析
• 6.线索汇总
• (1)技术条件。嫌疑人必须了解系统连入互联网 的IP地址和登录权限,并全面熟悉该财务系统 的特性;具有使用PB编程的能力(tti. exe为 PowerBuilder环境开发)。
典型案例剖析
• 5.重建现场
• 经进一步询问,该服务器是应原系统提供商要 求设立,开放远程登录,其目的在于降低系统 异地维护、升级的成本费用,提高工作效率。 查看远程登录日志发现,自2007年3-6月,有数 十次远程登录记录,其中有近二十条记录IP地 址为发案单位所在城市,但因为距发现时间超 过一年,该IP已经失效。同时,查验中间层服 务器文件系统时,发现其SYS文件夹下有一隐 藏文件夹TTI,其内有tti. Exe和tti. Pbd两个文件 。
数据指向——通过网络数据追踪嫌疑人 的行为轨迹,找到最终获益的嫌疑人。
侦查线索
银行账号
变现过程
网站的注册信息、
维护信息、管理员
信息
特定IP地址的计算 机系统
被害人用过的计算 机系统日志、植入 的木马、恶意软件
程序
侦查线索
银行账号
网站的注册信息 维护信息 管理员信息
非电子货币 变现过程
特定IP地址的计算 机系统
侦查工作要点
• 3、询问和讯问 • 客观冷静地排除干扰,全面准确地了解案情。 • 尤其对案件发生的准确时间、过程、计算机设备信
息、网络环境;息等要及时掌握。此外,对于便于 识别的特征性信息要注意问清,比如银行卡号、网 络登陆用户名等。
侦查工作要点
• 4、侦查途径的选择
• (1)多数网络盗窃案件与其他侵财案件相 似,案发时首先是被害人察觉自己的经 济损失,所以报案时侦查人员首先掌握 的线索就是与资金、银行账户、虚拟财 产相关的。因此初查阶段的侦查途径往 往从利益流转的过程入手,涵盖从被害 人账号到嫌疑人帐号的转移和现实利益 转化的过程。
典型案例剖析
• 4、检验分析
• 发案目标系统中,提取核心服务器一台,机内 安装有X X财务管理系统;备份数据硬盘一块 ,存有历史数据。
典型案例剖析
• 首先是服务器的查验分析
• 对服务器的查验可先检查日志:一般情况下, 可作为成销售的财务软件都有比较完备的审计 和安全日志或明细记录。对于系统重要、敏感 的操作,财务类软件的日志或明细文件都会记 录,如果人为大额充值,日志会体现。
号码等。 • (5)假冒受害人身份,伪造相关证件开通网上银
行或银证转账(银行与证券账户捆)业务实施 盗窃。
常见犯罪手段分析
• 常见的利用计算机实施盗窃犯罪的案件进行归 纳分析,从犯罪手段和行为过程可以看出嫌疑 人常见的犯罪手段有以下几大类。
典型案例剖析
• 5.重建现场
• 案发现场往往是能够提供最多、最直接、最有 效的破案线索的资源,但是自案发至明确案件 性质,案件调查过程已经迁延数月,且案发后 因被害企业无法确定损害发生的原因和程度, 所以将原财务系统替换为另一公司提供的财务 软件系统。应新系统要求,设备情况略有调整 ,服务器也已经更换。查阅初始案卷发现,现 场勘查笔录中仅记录了核心服务器所在位置和 周边线路情况,但网络拓扑、进程信息、易失 数据、权限分布等均未记录。
• (1)利用系统正常授权输入非法数据。 • (2)非授权侵入目标系统。 • (3)以欺诈手段实施盗窃。 • (4)盗用他人合法上网账号、费用户账号、电信
号码等。 • (5)假冒受害人身份,伪造相关证件开通网上银
行或银证转账(银行与证券账户捆)业务实施 盗窃。
常见线索和一般侦查思路
利益指向——通过追踪财物转移轨迹, 找到最终获益的嫌疑人。
典型案例剖析
• 首先是服务器的查验分析
• 相反,如果日志文件未被破坏和修改,同时日 志文件中未记敏感的特殊的操作内容,就说明 嫌疑人是直接针对后台数据实施了不法行为。 一般把这种手法作案的称作程序型案件,侦查 人员可调查程序属性的原始状态和现状,发现 修改特征,针对被修改的程序部分,分析其功 能,结合其他线索,划定嫌疑人范围。
• 首先是服务器的查验分析
• 如果日志完全被删除、破坏、修改过,那就证 明嫌疑人从系统前端合法登录但做过恶意操作 。一般把这样手法作案的称作操作型案件,侦 查人员可按照发案系统的数据流向,调查各个 网络节点日志信息,针对发现问题的节点,调 查合法或可能拥有系统对应权限的使用者,结 合线索,划定嫌疑人范围。
计算机信息系统实施 的盗窃犯罪案件的主要特征
• (1)犯罪手段隐蔽。 • (2)案件发现滞后。 • (3)犯罪风险小成本低。 • (4)规模化产业化发展。 • (5)黑客技术愈发紧密。
常见犯罪手段分析
• 常见的利用计算机实施盗窃犯罪的案件进行归 纳分析,从犯罪手段和行为过程可以看出嫌疑 人常见的犯罪手段有以下几大类。
侦查工作要点
• 4、侦查途径的选择
• (2) 因此推侦查阶段的侦查途径往往从 嫌疑的做案手法、技术手段上入手,通 过梳理被害人的被害账号的使用情况, 从网络环境、硬件设备上的遗留痕迹, 了解嫌疑人的作案过程,再从作案条件 、技术特点等方面圈定嫌疑范围。
侦查工作要点
• 4、侦查途径的选择
• (3) 侦查阶段的侦查途径还可以通过梳 理嫌疑人的作案手法、网络空间地址、 物理空间地址等线索,从大范围的案件 串并工作入手。
典型案例剖析
• 3、初步分析
ቤተ መጻሕፍቲ ባይዱ
•
(1)不排除赵某制卡或者与制卡人熟识的可
能,但需要证据证明。
• (2)既然发案单位的销售财务账目异常,那
么表象上看售卡与收入现金平衡,即无案件发
生,可能为内部事故或事件。但商场从未制作
和销售两万元的储值卡,当该卡出现且有效时
,商场无两万元的售卡收入,那么本质上案件
已经存在。
典型案例剖析
• 其次进行备份数据的合并检查。
• 该硬盘中,存有自商场开业系统启用到案发后 切换系统止,为期一年的全部月结算备份数据 。将所有12个备份数据文件包合并检验,发现 据库为Sybase库,计有各种表单三百多个(其中 有数据的两百四十多个);无程序说明文档。 侦查人员通过商业零售企业的数据特征,分析 各表各字段间的相互逻辑关系和数据流程,如 图所示。
典型案例剖析
• 3、初步分析
•
(3)从案发到初查结束,被害单位和侦查人
员的视线都集中在销售环节,但是从商业零售
企业所使用的管理信息系统软件结构看,此类
软件为进销存类软件,也就是说,以库存为核
心载体,进货与销售两个环节进行数据交互。
进销存类软件结构图
典型案例剖析
• 4、检验分析
• 发案目标系统中,提取核心服务器一台,机内 安装有X X财务管理系统;备份数据硬盘一块 ,存有历史数据。
• 2、初查情况
• 询问商场负责人,答称案发之前6个月内商 场销售财务系统账目未出现异常。案发后,因 为无法解释该卡为何出现且无预存资金异常报 警,为避免损失,商场将原信息与财务管理系 统停掉,替换为本地一家公司开发的系统。办 案人员为慎重起见,勘查了核心服器所在的现 场情况,并复制了每个月的月结算数据。
典型案例剖析
• X X X 系统数据流程简化示意图
典型案例剖析
• 其次进行备份数据的合并检查。
• 在理清数据关系后,将所有数据导出,脱离原 数据库系统进行计算。将每张储值卡的累计消 费额加上卡内余额,再减去卡原值(发卡单位 以卡号倒数第四位和第三位为金额标识),理 论上这一计算结果应该为零。但是本案数据分 析中发现,计有3193张卡的计算结果不为零, 累计差值金额超过103.7万元。
网络盗窃案件侦查
主要内容
-----------------------------
• 一、案件构成及主要表现形式 • 二、常见犯罪手段分析 • 三、常见线索和一般侦查思路 • 四、侦查工作要点 • 五、典型案例分析 • 六、其他问题
案件构成及主要表现形式
• 1、网络盗窃犯罪构成
• 网络进行盗窃犯罪的案件,其犯罪主体是一 般主体,即年满16周岁具有刑事的自然人。
• 经查,持卡人蔺某(女),从其男友赵某 处拿来此卡使用。赵某无业,专门倒买倒卖各 类储值卡赚取差价。追查赵某卡来源,赵称时 间久、买卖人多、卡种类多,已记不清当事人 ,但看到本人应该有印象。侦查人员从其住处 找到当地多家商场、娱乐场所储值卡四百余张 。现场情况看,符合赵某所述的行为特征。
典型案例剖析
• (1)利用系统正常授权输入非法数据。 • (2)非授权侵入目标系统。 • (3)以欺诈手段实施盗窃。 • (4)盗用他人合法上网账号、费用户账号、电信
号码等。 • (5)假冒受害人身份,伪造相关证件开通网上银
行或银证转账(银行与证券账户捆)业务实施 盗窃。
常见犯罪手段分析
• 常见的利用计算机实施盗窃犯罪的案件进行归 纳分析,从犯罪手段和行为过程可以看出嫌疑 人常见的犯罪手段有以下几大类。
典型案例剖析
• 5.重建现场
• 系统文件生成间为2007年1月,TTI文件夹生成 时间为2007年2月。通过查看tti. Exe的源代码, 发现其功能为根据输入的储值卡号,从系统中 调取并删除所有与消费有关的数据记录,直至 删除库存削减量。而后通过数据更新,用原值 参照表中该卡的原值减掉累计消费额(该程序 已经将消费清零),便可以将曾经用过作废的 卡重新恢复原值。
侦查实验(现场重建)
• 1、目的:重建犯罪现场是一种手段,其 目的在于研究犯罪活动的发生过程、产生 的遗留痕迹、行为结果。
• 2、重建的方法包括恢复系设备及其附属 设备的连接状态、工作状态,异地勘验还 可能需要模拟某些参数的设置。
• 3、网络犯罪现场重建的形式分为物理架 构重建、数据链路重建、逻辑结构虚拟重 建。
被害人用过的计算 机系统日志、植入 的木马、恶意软件
程序
侦查线索
银行账号
网站的注册信息 维护信息 管理员信息
非电子货币 变现过程
特定IP地址的计算 机系统
被害人用过的计算 机系统日志、植入 的木马、恶意软件
程序
侦查线索
银行账号
网站的注册信息 维护信息 管理员信息
非电子货币 变现过程
特定IP地址的计算 机系统
征、使用记录,找到原始的案发点。
侦查工作要点
2、现场勘查要点 • 首先是被害人计算机、被害单位系统中,关于
涉案财物留存信息的勘验检查。 • 其 次是被害人计算机、被害单位系统中,是否
存在异常的文件、权限设置、操作痕迹。 • 再次是被害单位系统,如果案件被害单位是一
个相对独立的企业局域网,那么勘查视该覆盖整个 网络。 • 同时注意寻找与已发案件关联紧密的虚拟账号信 息。
被害人用过的计算 机系统日志、植入 的木马、恶意软件
程序
侦查线索
银行账号
网站的注册信息 维护信息 管理员信息
非电子货币 变现过程
特定IP地址的计算 机系统
被害人用过的计算 机系统日志、植入 的木马、恶意软件
程序
侦查工作要点
• 1、案情分析 • 基本线索提取与分析 • 追踪盗窃财物的流失路径 • 据被害人被盗物品的历史存在特
• 施网络盗窃的主观方面表现为直接故意,其 动机都是以非法占有公私财物或非法牟利为 目的。客观方面表现为秘密窃取。
• 利用计算机信息系统进行盗窃的案件,其犯 罪对象是公私财物,包括国有财产、集体所 有财产、公民个人所有财产。
案件构成及主要表现形式
2、网络盗窃犯罪的主要表现形式
(1)盗窃银行账户内电子货币。 (2)盗窃有价值计算机程序、数据。 (3)利用经营管理或财务管理软件,盗窃 公私财物。 (4)盗窃虚拟财产。
典型案例剖析
• 1、简要案情
• 2008年1月2日16时许,某商场经理发现有 顾客购买SONY数码相机一部,于收银处刷储 值卡结账。货品价格五千余元,但商场发行的 储值卡最大面值为一千元。核实该卡,发现此卡 于系统内有效,卡原值为两万元,案发时卡内 余额尚有一万多元,遂报案。
典型案例剖析
• 2、初查情况
• (1)利用系统正常授权输入非法数据。 • (2)非授权侵入目标系统。 • (3)以欺诈手段实施盗窃。 • (4)盗用他人合法上网账号、费用户账号、电信
号码等。 • (5)假冒受害人身份,伪造相关证件开通网上银
行或银证转账(银行与证券账户捆)业务实施 盗窃。
常见犯罪手段分析
• 常见的利用计算机实施盗窃犯罪的案件进行归 纳分析,从犯罪手段和行为过程可以看出嫌疑 人常见的犯罪手段有以下几大类。
典型案例剖析
• 6.线索汇总
• (1)技术条件。嫌疑人必须了解系统连入互联网 的IP地址和登录权限,并全面熟悉该财务系统 的特性;具有使用PB编程的能力(tti. exe为 PowerBuilder环境开发)。
典型案例剖析
• 5.重建现场
• 经进一步询问,该服务器是应原系统提供商要 求设立,开放远程登录,其目的在于降低系统 异地维护、升级的成本费用,提高工作效率。 查看远程登录日志发现,自2007年3-6月,有数 十次远程登录记录,其中有近二十条记录IP地 址为发案单位所在城市,但因为距发现时间超 过一年,该IP已经失效。同时,查验中间层服 务器文件系统时,发现其SYS文件夹下有一隐 藏文件夹TTI,其内有tti. Exe和tti. Pbd两个文件 。
数据指向——通过网络数据追踪嫌疑人 的行为轨迹,找到最终获益的嫌疑人。
侦查线索
银行账号
变现过程
网站的注册信息、
维护信息、管理员
信息
特定IP地址的计算 机系统
被害人用过的计算 机系统日志、植入 的木马、恶意软件
程序
侦查线索
银行账号
网站的注册信息 维护信息 管理员信息
非电子货币 变现过程
特定IP地址的计算 机系统
侦查工作要点
• 3、询问和讯问 • 客观冷静地排除干扰,全面准确地了解案情。 • 尤其对案件发生的准确时间、过程、计算机设备信
息、网络环境;息等要及时掌握。此外,对于便于 识别的特征性信息要注意问清,比如银行卡号、网 络登陆用户名等。
侦查工作要点
• 4、侦查途径的选择
• (1)多数网络盗窃案件与其他侵财案件相 似,案发时首先是被害人察觉自己的经 济损失,所以报案时侦查人员首先掌握 的线索就是与资金、银行账户、虚拟财 产相关的。因此初查阶段的侦查途径往 往从利益流转的过程入手,涵盖从被害 人账号到嫌疑人帐号的转移和现实利益 转化的过程。
典型案例剖析
• 4、检验分析
• 发案目标系统中,提取核心服务器一台,机内 安装有X X财务管理系统;备份数据硬盘一块 ,存有历史数据。
典型案例剖析
• 首先是服务器的查验分析
• 对服务器的查验可先检查日志:一般情况下, 可作为成销售的财务软件都有比较完备的审计 和安全日志或明细记录。对于系统重要、敏感 的操作,财务类软件的日志或明细文件都会记 录,如果人为大额充值,日志会体现。