网络犯罪是一种对存在于虚拟空间的信息进行侵犯的行为。尽管这种行为侵犯的只是肉眼见不到的比特，但犯罪分子在实施侵犯行为的过程中却必须使用电子计算机等物理设备，这些物理设备总是存在于一定的物理空间，因而网络犯罪同样有明显的犯罪现场，而且大多数网络犯罪现场是有勘查价值的。在我们发现网络犯罪线索后，只要有条件（知道用来实施犯罪行为的计算机等设备所在的空间）就应想方设法对犯罪现场进行勘查。

（一）临场初步处置

当具备赶赴现场的条件后，侦查人员应尽快行动。临场后具体应做好以下几方面的工作：

1、封锁现场，进行人、机、物品之间的隔离。

要对现场实行人、机隔离，人、物隔离。将现场内所有人员迅速带离现场，并立即检查他们随身携带的物品，重点是书面记录、通讯工具、磁卡类可以读写的卡片、磁介质（软盘、光盘等）。有关人员在滞留检查期间，不能与外界进行联系。

2、加强现场保护。

迅速派人看管配电室，避免发生突然断电导致系统运行中的各种数据结果丢失；看管现场上以及现场周围的各种电信终端设施（例如传真机、调制解调器等），检查现场上及周围有没有强磁场和可以产生强磁场的物品，妥善保管各种磁介质，避免被各种磁场消磁。

3、查明现场情况，确认事件性质。

通过对受害单位或个人基本情况的了解，结合对现场上各种情况的观察和检测，侦查人员应尽快召开现场会，综合各方面情况进行分析，判断所发生的事件是意外事故还是犯罪行为。对于事故，要及时向受害者讲明情况，移交有关部门进行处理；对于已经判定发生了犯罪行为的，要按程序办理立案审批手续，迅速进入侦查取证阶段。

（二）采取勘查措施

在临场初步处置的基础上，应进一步迅速采取措施获取证据。

1、实地勘验

通过实地勘验收集现场上遗留的原始资料、数据参数等。勘验过程中主要是针对“硬件、软件、管理制度和人员状况”等方面进行取证调查。这其中既包括传统意义上的取证（如：勘验手印、足迹、工具痕迹；拍摄现场照片、绘制现场图等），又包括对“网络证据”⑦的勘验。

在这里，我们不谈传统意义上的取证，而重点介绍“网络证据”的勘验问题。

“网络证据”，主要是指在硬件、软件、管理制度等方面可以反映网络犯罪行为真实情况的物证、书证及视听资料等。比如，在数据传送与接收过程中形成的电磁记录与命令记录；现场上各种系统硬件的连接状态、连接方式；屏幕显示的系统运行参数、运行结果；打印输出的结果；工作人员的日志记录等。对这些证据的勘验，常用的有记录、封存、备份、收集等手段。

记录，就是用适当的方式将现场上各种仪器设备的连接、配置状况和运行状态，各种电缆线的布线方式（串、并联方式、有无破损断裂），各种插头、插座、开关的工作状态等等情况记录下来。通过记录，保存案发当时的现场状况。进而通过综合电磁记录、命令记录，当事人、知情人、技术人员的回忆，工作日志记录等方面的证据，了解系统软硬件原始状态，并通过原始状态与现场遗留状况的比较，发现各种异常现象或者推断作案人使用的作案工具、作案手法。可用于现场记录的方法包括现场照相、笔录、绘图、录像等。这些工作，有的在临场处置时已经完成，进入实地勘验以后要力求将其细化、完备化。

如，应在临场处置的基础上，进一步审查监视器所显示的任何证据，如果有必要，拍摄下计算机屏幕上显示的内容，并在计算机专业人员的帮助下切断与计算机相连的电话线或闭路线，在不会造成数据丢失的情况下，拔掉墙上的电源，一般不能用起动开关去关闭计算机。拍摄下计算机尾部的线路结构。断电前标上线路系统（用遮蔽胶带或钢笔），将端口和插槽作上标记。如果所查获的不只一个系统，应将不同的零部件分别放置，并作标记。

封存，就是对现场上可能记录有犯罪行为过程和真实情况的物品、数据等证据，采取强制性手段维持其现有状态，以备进一步的分析。封存的对象主要包括：现场内的信息系统，各种可能涉及到的磁介质，上机记录，命令记录，内部人员使用的工作记录，现场上的各种打印输出结果，传真打印件，程序备份和数据备份等等。封存当中应当注意的是：封存正在运行的信息系统，要事先做好系统工作状态、系统运行参数的记录，以防关机以后无法恢复。

备份，主要是指侦查人员对不能停止运行而又没有备用应急措施的信息系统进行数据复制，以便尽快恢复系统正常工作。备份的对象主要是：系统中的相关数据、系统日志文件等。备份当中应注意的问题是：对于磁介质中所有的数据按照其物理存放格式进行全盘复制，而不是简单地拷贝文件。

收集，就是将现场上遗留的原始资料、数据参数等“网络证据”资料进行提取、包装。收集的对象主要是：计算机软、硬件，各种输入和输出设备，调制解调器，各种操作手册，各种连接线，同时还要注意收集计算机附近遗留的可能写有计算机指令的纸片等。在对网络犯罪的物证、书证及视听资料等进行包装运输时，要注意避免静电干扰。不能用塑料包装，并将其无线电设备远离磁场放置，避免电子储存的数据丢失。保管所缴获器材的房间应有空调装置。另外，还应将立体声喇叭之类的磁源保管好，不和上述器材放到一块。

2、实地访问

网络犯罪的现场勘查当中，实地访问是一种行之有效的获取证据、发现线索的手段。实地访问的对象主要是当事人和知情人。例如：计算机操作人员，分管领导，技术维护人员等。访问内容应当根据访问对象有策略地加以变化，概括起来包括以下内容：系统的运行状态，曾经进行过哪些操作和维修，操作人员和技术人员以及分管领导的思想表现；技术水平高低、分别能够接触哪些软硬件内容，如何发现系统出现的异常现象、采取过哪些处置措施等等。

（三）对证据资料进行技术分析

在前一阶段勘查取证的基础上，侦查人员可以对所得的相关证据资料（例如：磁介质、系统备份、数据备份）进行技术分析，从而发现作案人是在何时、采取何种手段、从哪些方面对网络系统进行了哪些侵害，从中选取有价值的侦查线索。目前，对相关证据资料进行技术分析的手段多种多样，其中常用的有以下几类：

1、对比分析技术。

这种技术主要是将收集到的程序、数据的备份与当前运行的程序、运行结果数据进行对比，从而发现异常状况，进而分析是否有被篡改的痕迹。

2、关键字查询技术。

这种技术主要用于对系统硬盘备份进行分析。在侦查人员所做的对现场系统硬盘的备份当中，以某些具有特殊功能的指令语句为关键字进行匹配查询，查询的结果将说明是否存在这一特殊功能的指令语句，侦查人员可以从中发现问题。

3、数据分析技术。

对于被作案人删除、修改的文件和磁盘数据，可以通过数据分析技术进行恢复，或者查明文件被修改移动的时间、修改前的状态和属性。这类技术包括：

（1）被删改、破坏数据的恢复技术。

这种技术通过磁盘操作技术和电磁学技术，将被删除、破坏的数据进行一定程度的恢复。这对于克服由于作案人故意毁灭证据而制造的困难有着重大意义。

（2）残留数据分析技术。

文件存盘以后，实际的长度要小于或等于所占用的簇的大小，空出来了这部分磁盘空间中会保存有原来存储的某些文件数据。对这些数据的分析，可以了解原来磁盘上存储的内容。

（3）文件“指纹特征数据”分析技术。

在每个文件的尾部均有一些记录该文件生成信息的数据，伴随着文件的修改而变动，这些数据也就是该文件的指纹特征数据。根据这些数据，可以判断文件的最后修改时间和修改次数，这可以帮助侦查人员判断作案时间。

4、文件内容分析技术。

在某些软件运行过程中，经常会产生一些记录软件运行状态和结果、数据操作过程的文件。例如：临时文件（．TMP）、备份文件（．BAK）、交换文件（．SWP）；WIN95的“文档”菜单当中记录了使用过文件名称；IE、NETSCAPE等网络浏览工具的书签簿、地址簿当中记录了浏览过的网络站点地址和图片内容。这些文件内容可以为侦查工作提供线索和证据。