金融犯罪案件的电子物证取证型皇笙笠塑 应用CDFI对5例患者进行检查,显示光带上有 血流信号,PW测之呈视网膜中央动脉频谱。 4讨论 4。1外伤性视网膜脱离及诊断I3j 外伤性视网膜脱离一般可分为钝挫伤和穿通伤 两种性质。钝挫伤所致视网膜脱离可分为裂孔源性 视网膜脱离和非裂孔源性视网膜脱离,其中以裂孔源 性视网膜脱离为多见。眼球穿通伤所致视网膜裂孔, 再合并玻璃体液化,玻璃体纤维机化条的牵拉都可引 起视网膜的脱离。 视网膜脱离临床表现为视网膜脱离区的视野缺 损,如黄斑区受到影响则中央视力减退,一般临床上诊 断可依据散瞳后眼底检查而明确。但在某些特殊病 人,如外伤所致眼睑高度肿胀致睁眼困难,合并白内障 或玻璃体出血较多病人,这些患者南于上述原因眼底 检查困难不能做出明确诊断。而彩超在这方面恰好弥 补了其不足,因其不受眼睑,晶状体,玻璃体等通路影 响直接显示眼底眼球壁结构,能敏感检查出脱离部位。 病变早期由于视网膜的血流尚未完全中断,可在脱离 的视网膜上探测到多谱勒信号。视网膜脱离在彩超中 需与脉络膜脱离,玻璃体后脱离相鉴别,只要仔细分辨 各疾病不同之处,应不难做出正确诊断[4]。 4。2彩超检查的优点 彩超对软组织有敏感的分辨能力,有利于识别生 物组织的微小病变。
彩超检查所得到的组织器官断 层图像,层次清楚,接近于解剖真实结构,可以对病变 进行定位,定性诊断。可明确发现视网膜脱离,对于 屈光问质混浊不能窥清眼底者,彩超检查具有特殊意 义。其次可利用超声成像(USG)对外伤性视网膜脱 离以图像形式打印出来并作为客观证据加以保存,为 法医学鉴定提供详实全面的资料。再次彩超检查安 全无创,无痛苦性,更适合于某些特殊病人,如外伤所 致眼睑高度肿胀致睁眼困难,合并白内障玻璃体出血 较多的病人。此外彩超检查对人体无害,基本上没有 禁忌症,还具有廉价,可重复检查等优点。 综上所述,在外伤性视网膜脱离法医学鉴定中彩 超检查具有更高的应用价值,不仅可明确诊断外伤性 视网膜脱离,还可为法医学鉴定提供可靠的诊断依 据。特别对一些眼底检查困难的患者,更能发挥其在 诊断中的特殊作用。 参考文献: [1]宋世荣,刘世沧。临床法医学[M]。北京:人民卫生出版社,1998。 [2]严密。眼科学[M]。北京:人民卫生出版社,1998。 [3]周永昌,郭万学。超声医学[M]。北京:科学技术文献出版社, l999。。 [4]高晓瑜。玻璃体后脱离超声图像分析[J]。中国超声医学杂志。
2004,20(10):787—788。收稿日期:2006—08—29 ? 经验交流? 金融犯罪案件的电子物证 取证 何晓春,刘汉永(中国人民公安大学,-It。g。) 关键词:金融犯罪;电子证据;取证 中图分类号:DF793。2文献标识码:B 文章编号:(2008)01— l金融犯罪案件的特点 利用计算机技术实施金融犯罪,通常指破坏计算 机硬件,软件和信息网络设施,或运用计算机技术以 计算机为工具侵害有价值的程序,资料及数据形式存 在的财产,如电子货币等。这些犯罪活动严重影响金 融业正常的业务处理,引发资金和信誉损失,影响客 户利益,扰乱正常的金融秩序。与传统犯罪不同,金 融业计算机犯罪有其自身的特点。 1。1高技术 计算机技术自身科技含量较高,决定了计算机金 融犯罪的高技术性。犯罪的行为人大都是计算机专 业或与计算机相关专业的技术人员,精通计算机软件 和计算机操作技巧。他们非法入侵计算机系统,破坏 计算机系统功能,篡改计算机信息和网络数据。 1。2作案手段多样 计算机犯罪一般采用伪造账户资料,内外勾结数 据泄密等方法。 1。3隐蔽性 计算机犯罪大多是对程序和电子数据这些”无 形”的信息进行破坏,具有瞬时性和随机性,不易察 觉。
作案后易于转移,销毁或伪造证据,调查取证难 度很大。发达国家能被及时发觉的计算机犯罪也只 有10左右。美国某银行一位业务主管,因休假由 他人代职,来人在检查程序时,发现有非法插入的程 序,将客户支取利息时的低位舍弃额归于某一私设账 户,数额累计已达百万,该主管若不休假或替代者不 懂程序,隐患将长期不为人们知悉。 2对案件初步处理 2。1判断金融犯罪案件侦查方向 发现数据无缘无故丢失或是出现数据不平衡等 异常现象,首先要判断是来自外部入侵还是内部的人 员所为,一般通过日志工具如,webt— rends,和等分析日志数据,分析防 火墙,入侵检测系统,网络监控和审计系统的日志。 金融业的生产服务器主机都是封闭性强,安全性高, 外部入侵有一定的难度,如果入侵必定留下蛛丝马 ? 47? 迹。如果这些日志都正常的话,就要把精力重点放在 对内部人员的稽核上。 2。2做好现场记录 现场记录应当尽可能地详尽,。对计算机的工作 状态必须记录,~ni-#算机系统是处于_T作状态,关闭 状态。对于银行的生产服务器主机,一般说24小时 运行,生产服务器主机停机,会对银行造成很大名誉 和经济上的损失,所以不能因为侦查人员取证而停 机。
记录能进入生产主机的各个安全管理官员,系统 管理员,程序员的用户名及级别,各个级别所拥有的 权限,特别是系统管理员和程序员,这两个级别的用 户是给计算机专业人员进行生产和管理服务器主机 的,用户权限高,又具有专业知识,这两类用户具备修 改程序,文件,进行金融犯罪的客观条件。 3电子物证的提取和鉴定 3。1金融业生产服务器主机的简介 做好了提取电子物证的前期工作以后,现在可以 对生产服务器主机系统里的电子物证进行提取了。 现在银行系统生产服务器主机主要有3种类型, IBM—AS4()(]小型机,IBM—中型机,IBM— 大型机,小型商业银行一般使用小型机,大型 商业银行一般使用中型机或大型机。IBM的这3种 类型的机器在概念上基本相同,在系统里对资源的管 理实行目标管理。在此以IBM—AS400为例对系统进 行简要的介绍。 IBM—AS400是中小型计算机,采用单一操作系 统。AS400计算机应用系统以其崭新的硬件结构体 系,先进的应用体系结构,全功能的操作系统(OS/ 400),一体化的数据库管理系统,优良的应用开发环 境,广泛的办公自动化功能,强大的通讯网络功能及 其出色的性能价格比而着称。
系统对资源的管理实 行目标管理,如程序,文件,各种通讯端口,硬件,库 等。不同的目标类型有不同的属性,如数据文件,文 件的内容是数据,文件的属性包括:生成文件的用户 名,生成文件的时间,最后修改的时间,文件的大小, 文件能容纳数据的多少,哪些用户对文件有权限,有 什么样的权限。哪些程序关联它。再如:程序目标的 属性:生成程序的用户名,生成时间,最后修改的时 间,哪些用户对此程序有使用权,修改权等。 3。2电子物iX-的提取 3。2。1系统日志查询系统El志对任何时间任何地 点任何用户所做的任何事情,都有一个很详细的记 录。此时,侦查人员和技术人员要会同金融业的计算 机系统管理员,一起对生产服务器系统的日志进行查 询。同时对以前的系统日志进行查询,系统日志在机 器中一般只保留1天或3天(系统参数设定),但是系 ?48? 皇蕉堡笙 统的El志,银行每天晚上批处理时,把系统El志都备 份到磁带或磁盘上,这个工作量比较大。主要是查询 具有相关权限内部人员是否通过系统工具对账户文 件进行了非法操作,这种操作是系统级别的,在软件 系统中跟踪不到。 3。2。2扫描程序目标和文件目标IBM—AS400系 统提供程序控制语言CIP(— ),利用CLP语言,可以做一个扫描工具程 序,对生产服务器主机里的所有程序进行读取,把程 序的属性生成一个数据文件。
然后,把这个数据文件 导出到Excel文件,利用Excel的功能对数据进行查 询,查询哪些程序是哪些人员创建的,最后修改的。 这样就可以查询到非法人员所做的偷梁换柱的程序, 增加的程序。 用上面同样的方法,把数据文件的属性导出到 Excel文件,通过Excel的统计功能把有异常的文件 提取出来分析。 3。3鉴定 (1)通过查找有异常的程序属性,记录到程序的创 建时间,修改时间,通过这个时间,与技术人员的值班, 工作时间进行核查,这样就可以查到在某个时间段的 工作人员。再找到创建和修改程序的用户名。通过创 建时间,修改时间,值班人员的工作时间与创建和修改 程序的用户名这个三个条件可以唯一的确定一某个时 间点哪个技术员对程序做了什么样的事情。 (2)ig录异常的数据文件属性,查找修改文件的 时间和修改程序。(a)找到修改数据文件的程序,再 通过程序属性找到程序的修改者和创建者,方法如1 所叙。(b)查找到了修改文件的时间后,用这个时间 去查找服务器工作日志,就可以查出在这个时间点上 对这个文件做出修改的技术人员。 3。4注意事项 (1)在取证协作的问题上,应该注意,取证与银行 应保持良好的合作是非常重要的。
对银行的敏感数 据的取证,要与银行的高级系统管理员一起取证,取 证以后,需要对方签字,有些数据不能带回做技术取 证的,就应当和系统管理员一起当场取证。 (2)JJH强对侦查人员的培训和业务研究。对于侦 查员来说,主要应以岗位培训为主,本着学以致用的 原则,学习有关法律,金融业务操作规程,金融生产的 服务器等,以满足现实工作的迫切需要,要对金融案 件侦查的业务进行有组织,有目标的联合式研究。 (3)对于金融犯罪案件的取证,与传统的犯罪取证 相比,是有特殊性的,不能简单视之,应当充分认识其特 殊规律,研究新的取证对策,以正确指导我们的工作。 收稿日期:2006—11一O3
