技術(shù)人員正在恢復(fù)硬盤數(shù)據(jù)

　　近日，面對來訪的記者，上海市徐匯區(qū)檢察院技術(shù)科干警陸淵神采飛揚地說。

　　陸淵的信心來自徐匯區(qū)檢察院辦理一起非法控制計算機信息系統(tǒng)犯罪案件的成功經(jīng)驗。

　　“傀儡機”惡意攻擊服務(wù)器

　　犯罪嫌疑人向某是個20歲的無業(yè)青年，雖然只有初中文化，但卻十分精通電腦技術(shù)。2010年，他通過運行黑客軟件，非法侵入并遠(yuǎn)程操控了55臺他人的計算機，并利用這55臺“傀儡機”連續(xù)惡意對某知名網(wǎng)絡(luò)游戲的服務(wù)器發(fā)動分布式拒絕服務(wù)攻擊(以下簡稱“DDOS攻擊”)。對該游戲服務(wù)器IP發(fā)送了大量的“icmp”或“syn”數(shù)據(jù)包，造成該服務(wù)器網(wǎng)絡(luò)帶寬被大量占用，進(jìn)而堵塞網(wǎng)絡(luò)通訊，導(dǎo)致被攻擊的服務(wù)器網(wǎng)絡(luò)中斷、玩家掉線。同時，向某還注冊了一個黑客網(wǎng)站，在網(wǎng)頁上發(fā)布“出售傀儡機”、“DDOS攻擊教程”、“黑客培訓(xùn)”等信息，從中牟利。

　　“網(wǎng)上管這叫‘炸房間’，我就是覺得這很光榮，很能滿足自己的虛榮心。”向某對自己行為的解釋令人啼笑皆非。原來，涉案網(wǎng)絡(luò)游戲的玩家均以登錄主頁面左上角第一個房間(即100號房間)為榮，導(dǎo)致游戲過程中出現(xiàn)了利用DDOS攻擊游戲服務(wù)器，致使網(wǎng)絡(luò)中斷，玩家掉線(俗稱“炸房間”)，然后爭搶登錄第一個房間的現(xiàn)象。向某為得到其他所謂“骨灰”級玩家的崇拜，在網(wǎng)絡(luò)世界里炫耀本領(lǐng)，就苦學(xué)“炸房間”技術(shù)，然后對該游戲服務(wù)器實施攻擊。

　　技術(shù)人員鎖定電子證據(jù)

　　2010年11月，該案移送徐匯區(qū)檢察院審查起訴。檢察官發(fā)現(xiàn)偵查機關(guān)雖然以向某涉嫌破壞計算機信息系統(tǒng)罪移送審查起訴，但查獲的向某電腦內(nèi)能證明其犯罪的大量數(shù)據(jù)都已被刪改，取證遭遇技術(shù)難題。

　　辦案檢察官幾次提審，向某都自恃擅長電腦知識，對犯罪行為避重就輕，拒不供述真實的作案過程。該案兩次移送審查起訴，又兩次被退回補充偵查。由于涉案硬盤中的數(shù)據(jù)難以讀取，案件遲遲達(dá)不到提起公訴的證據(jù)標(biāo)準(zhǔn)。

　　了解到公訴部門遭遇的難題，該院技術(shù)科主動提供幫助，嘗試以技術(shù)手段恢復(fù)電子資料。陸淵等檢察技術(shù)骨干與主訴檢察官一起認(rèn)真研究案情及相關(guān)材料。他們分析發(fā)現(xiàn)，要證實向某涉嫌破壞計算機信息系統(tǒng)罪，關(guān)鍵是要解決涉案硬盤的數(shù)據(jù)復(fù)原問題。經(jīng)過專業(yè)取證和數(shù)據(jù)分析，他們鎖定了該案的幾個重點技術(shù)難題，如被木馬程序控制的“傀儡機”IP地址名單、相關(guān)“DDOS攻擊”程式以及犯罪嫌疑人建立黑客網(wǎng)站、黑客培訓(xùn)教程等內(nèi)容。

　　多個基層院協(xié)同攻堅

　　“這起案件之所以最終能夠把證據(jù)固定下來，還得益于一個良好的技術(shù)攻堅機制。該案由我院技術(shù)科提出請求，市檢察院組織幾個基層院的專家進(jìn)行會診，才最終圓滿辦結(jié)。”陸淵說。

　　為解決硬盤數(shù)據(jù)恢復(fù)的諸多難題，徐匯區(qū)檢察院技術(shù)科在組織專業(yè)人員開展技術(shù)攻堅的同時，積極向上級檢察院提出建議。后經(jīng)上海市檢察院技術(shù)處統(tǒng)一協(xié)調(diào)，虹口、盧灣兩區(qū)檢察院技術(shù)人員應(yīng)邀前來協(xié)同作戰(zhàn)。各家檢察院的技術(shù)精英們集思廣益，使用只讀接口連接鏡像硬盤，同時利用多種軟件在電子取證工作站E-dec上對涉案硬盤中的備份數(shù)據(jù)進(jìn)行提取分析，全面檢查甄別，終于使涉案硬盤的證據(jù)復(fù)原工作獲得突破。

　　2011年5月21日，該案提起公訴。法庭審理時，公訴人憑借電子證據(jù)輔證，使所有證據(jù)形成一個完整鏈條。在強有力的證據(jù)面前，向某不得不低下頭。同年7月22日，法院支持了徐匯區(qū)檢察院對向某犯罪事實及罪名的指控，判處向某有期徒刑八個月。

　　是“非法控制”還是“破壞”

　　“雖然案件順利起訴，法院的判決也采納我們的起訴意見，但圍繞罪責(zé)刑是否一致，提起公訴前我們曾有過一番不小的爭論。”據(jù)該案公訴人、徐匯區(qū)檢察院公訴科主辦檢察官胡卓英介紹，在該院檢委會會議上，針對此案的討論相當(dāng)激烈。委員們各抒己見，在向某是構(gòu)成“非法控制計算機信息系統(tǒng)罪”還是“破壞計算機信息系統(tǒng)罪”上分歧明顯。

　　案件辦理過程中，向某一直聲稱55臺“傀儡機”中有部分是與他人共享，存在被其他黑客重新控制的可能。胡卓英認(rèn)為該辯解存在一定的合理性，因為憑現(xiàn)有技術(shù)手段無法完全排除這種可能性，這也是該類案件在證據(jù)上的天然缺陷。對此，檢委會得出結(jié)論是，現(xiàn)有證據(jù)無法證實目標(biāo)服務(wù)器所遭受的來自55個IP地址、共計731個小時的攻擊均由向某實施，但根據(jù)從向某電腦硬盤上獲取的證據(jù)，能夠證實向某曾通過非法控制55臺計算機向目標(biāo)服務(wù)器發(fā)動過攻擊。因此，將向某的行為認(rèn)定為非法控制計算機信息系統(tǒng)罪更為準(zhǔn)確、充分。

　　“隨著信息時代的到來，各類電子產(chǎn)品越來越多地應(yīng)用到人們的工作、生活中。這些電子產(chǎn)品所存的大量數(shù)據(jù)信息很少受客觀因素影響，不易損毀，有著極強的證明力，是‘不會說謊的證據(jù)’。”陸淵告訴記者，近年來，電子證據(jù)被大量運用到辦案中，上海市檢察院開始大力推廣一些新型檢察技術(shù)手段，各基層檢察院技術(shù)人員都陸續(xù)接受了規(guī)范、系統(tǒng)的相關(guān)培訓(xùn)。“2010年，我們共完成電子證據(jù)檢驗3件，到2011年這個數(shù)據(jù)就上升至8件。如今，檢察技術(shù)部門已不再是只是幫忙修修電腦，而是名副其實的業(yè)務(wù)部門了。”陸淵說。