黑客入侵怎么判刑？入侵網站服務器判幾年？網絡入侵犯罪研究

本文分兩部分：

一、非法網絡入侵的方式以及定罪量刑標準。

二、如何從證據上爭取罪名不成立和最輕的處罰。

摘要：非法入侵網站怎么判刑？黑客入侵網站修改刪除信息、植入廣告鏈接、木馬病毒、后門程序非法侵入控制計算機的定罪量刑標準。

張洪強律師經驗總結，禁止任何形式的轉載復制。

第一部分：非法網絡入侵的方式以及定罪量刑標準

一、非法“侵入”的方式主要有以下幾種：

1、冒充身份侵入。冒充有合法授權的用戶進入計算機信息系統的情形。冒充的方式主要有：

①破譯、盜竊了他人的登錄密碼而自行登錄。

②趁合法登錄的用戶未退出系統的時機，自行進行其他操作；

③使用某些非法程序附屬其他合法用戶登錄到系統進行操作。

2、技術攻擊侵入。即是指行為人通過技術攻擊使得計算機信息系統的安全保障機制失去屏障功能，從而可以進入系統的行為。

3、“后門”進入。

4、“活門”進入。

二、常見的非法侵入行為涉嫌的罪名以及量刑標準。

1、黑客入侵網站涉嫌非法侵入計算機信息系統罪的，判決三年以下有期徒刑或者拘役。

2、非法網絡入侵涉嫌非法獲取計算機信息系統數據罪的，判決三年以下有期徒刑或者拘役，情節特別嚴重的，判決三年以上七年以下有期徒刑。

3、非法侵入網站服務器涉嫌非法控制計算機信息系統罪的，判決三年以下有期徒刑或者拘役，情節特別嚴重的，判決三年以上七年以下有期徒刑。

4、非法網絡入侵涉嫌破壞計算機信息系統罪的，判決5年以下有期徒刑或者拘役，后果特別嚴重的，判決5年以上有期徒刑。

5、黑客入侵涉嫌非法控制計算機信息系統罪、破壞計算機信息系統罪等。

第二部分：非法侵入行為如何爭取無罪和罪名不成立

很多黑客被抓后都很疑惑，明明自己在入侵或攻擊時使用了跳板VPN、肉雞等方法隱藏自己的真實IP、清除系統日志、刪除上傳的工具、隱藏后門文件、擦除入侵過程中所產生的痕跡等，為什么還會被抓獲，這里面涉及的就是追蹤與溯源反制、電子證據的收集、保存以及分析和關聯的一些問題。

無論是警察破案還是法院定罪，都是基于證據，如果我們想爭取到無罪和最輕的處罰，同樣要靠分析證據，只有定罪的證據不成立、切斷指控犯罪的證據鏈，才有可能爭取到不批捕、不公訴、罪名不成立和最輕的處罰。

一、從五個環節爭取事實不清、證據不足、罪名不成立。

根據我們遇到的案件，我將黑客非法侵入案件定罪的過程分為五個環節，這五個環節，任何一個環節出現問題，或者五個環節的證據不能相互印證，都有可能導致罪名不成立。我們律師在辦理此類黑客類案件時，主要從這五個方面審查，是否存在沒有證據或取證程序不合法、或不能形成證據鏈等問題。

定罪的五個關鍵環節：

1、警方從被害人電腦或者網站服務器提取相關日志證據。

2、做“痕跡分析”與入侵路徑溯源，找到ip信息或其他標志信息。

3、根據ip信息或其他標志信息做出作案者畫像，抓到犯罪嫌疑人。

4、扣押相關電子設備取證。

5、突破口供。

二、通過對證據的審查爭取到撤案、不批捕、不公訴、罪名不成立和最輕的處罰。如果認定為事實不清、證據不足，就不符合定罪條件。

（一）爭取直接證據不成立 。

直接證據指：IP地址、域名、用戶名、計算機名稱、虛擬身份、入侵工具、木馬信息等與犯罪嫌疑人（被告人）產生一致性或關聯性。

1、服務器日志、網站日志記錄中提取到的相關痕跡與被告人之間不具有一致性或關聯性。

（1）服務器日志中，非正常用戶登錄服務器的用戶名、客戶端名、客戶端IP地址與被告人是否存在一致或相關聯。例如某黑客入侵案，客戶端名稱為被告人的生日。

（2）安全日志、FTP日志和www日志等日志記錄是否被清除，是否能提取到入侵者的IP地址、入侵時間、端口、http狀態、瀏覽器等。

（3）律師要注意:證據鏈中斷的情形。一旦證據鏈中斷，就不會形成相關直接證據。

①稍微有些經驗的黑客入侵者會刪除相關日志記錄，很多案件不會從日志中提取到入侵者的ip等信息。一旦入侵者獲得了系統 root 權限, 就可以輕易地修改、刪除操作系統所保存的日志記錄, 甚至偽造現場, 從而掩蓋入侵留下的痕跡。

②日志中發現的入侵IP，可能是跳板肉雞，不一定是入侵者的真實IP。

2、工具軟件中的信息與被告人是否一致或產生關聯。

（1）警方是否提取到黑客使用過或留下的工具軟件，如入侵、掃描、嗅探、攻擊工具軟件。

（2）這些工具軟件中是否提取到入侵者的個人虛擬身份信息，如QQ號碼、電子郵箱、木馬收信地址等是否與被告人產生一致性或關聯。

（3）要注意：

①有經驗的入侵者在入侵過程或成功后，會將相關工具軟件刪除。

②對于黑客刪除的工具軟件，要注意警方數據恢復的程序是否合法以及是否存在瑕疵的問題。

3、木馬程序中提取的相關痕跡證據是否與被告人產生一致性或關聯性。

網絡入侵常常伴隨著植入木馬行為，木馬制作者為了使木馬通過殺毒軟件的檢測，增加代碼閱讀難度，經常會對木馬程序代碼進行代碼混淆、加密、壓縮等處理，要想通過木馬溯源找到入侵者，難度極大。

我們在辦理案件時要注意：

（1）是否通過網站源文件與服務器日志找到可疑木馬文件。

（2）使用木馬的ip地址、虛擬身份等信息是否與被告人一致或產生關聯性。有些木馬文件在上傳時會修改其日期屬性，其日期屬性可能是篡改后的，需考慮此情況。

（3）木馬程序中的一些信息是否與被告人產生關聯。

（4）根據使用木馬的時間是否找到被創建的文件夾、被修改的網頁文件等，從被創建的文件夾、被修改的網頁文件中是否能發現線索，例如從被修改的網頁文件中發現被插入的外掛網站。

4、入侵者留下的其他痕跡與被告人產生一致性或關聯性。例如網絡通信數據、最近使用過的文件、預讀文件、回收站中的痕跡。

（二）切斷三條證據鏈。

1、切斷“端-端”的證據鏈。即“入侵端 - 被入侵端”的證據鏈。

公安機關在偵查此類案件時，首先從報案人電腦、網站、服務器上提取相關電子證據，包括：服務器日志、網站日志、用戶文件、最近訪問記錄、瀏覽器記錄、刪除數據恢復、可疑木馬文件等，主要依據電子形成的痕跡、物證，采取各種計算機技術追溯到作案的計算機，這是破案的關鍵一步。

我們律師在辦理案件時，從以下三個方面努力，爭取切斷由“入侵端→被入侵端”的證據鏈。

（1）律師在辦理案件時，要注意電子證據的提取過程、程序是否合法，要掌握電子證據的收集、保存專業知識。

①取證主體是否合法。要注意是偵查機關取證還是一些網絡科技公司取證，要注意電子證據的取證主體的合法性的問題。

②取證程序是否合法。制作、儲存、傳遞、獲得、收集、出示等程序和環節是否合法，取證人、制作人、持有人、見證人等是否簽名或者蓋章。

③電子數據真實性的審查。是否載明該電子數據形成的時間、地點、對象、制作人、制作過程以及設備情況等，內容是否真實，有無裁剪、拼湊、篡改、添加等偽造、編造情形，對有疑問的電子數據， 應當對其真偽進行鑒定。

（2）律師在辦理案件時要掌握常見的一些追蹤與溯源反制的思路、局限性以及技巧。

入侵溯源強烈依賴人力和經驗，根據某一入侵痕跡往下找，一旦出現卡點和痕跡消失，則不能完整證明證據鏈邏輯。

我們律師在辦理案件時，要從溯源中涉及的取證元素來審查溯源邏輯的完整性。通過對入侵行為時間線分析、攻擊行為分析、用戶權限分析、攻擊源分析來審查溯源證據鏈邏輯的完整性。

（3）對作案機與被入侵機做關聯性分析。

辦案機關扣押到犯罪嫌疑人的電腦手機等電子設備后，會對這些電子設備提取大量電子數據作為證據，我們律師在辦理案件時，要注意對入侵機與被入侵服務器中的數據、可執行程序、webshell等做關聯性分析，是否提取攻擊計算機與被攻擊計算機之間相關聯的部分。

①被扣押的犯罪嫌疑人的作案設備上是否有被入侵、被攻擊網站的瀏覽訪問記錄，IP 地址、訪問時間、訪問行為是否與被害方提取的電子證據相互印證。

②審查被入侵系統與作案設備上各種日志記錄在時間、日期、來源、目的甚至協議上是否存在一致性。

③對入侵機上的后門腳本、木馬程序等與被入侵服務器上的后門腳本、木馬程序的同一性進行分析，MD5是否完全一致。 是否搭建該工具的網絡環境，通過運行該工具是否找到入侵日志，與被入侵網站被入侵留下的日志記錄是否相同

2、切斷由“人-人”證據鏈。

黑客入侵攻擊活動已形成了由黑客教學、制作銷售黑客工具、實施攻擊、盜竊倒賣用戶信息及虛擬財產、提供交易平臺銷贓洗錢等各個環節分工合作的多元化、產業化的黑色鏈條。

在黑色產業鏈中，存在犯罪主觀證明較難，共犯聯系松散難以認定的特點，這些人一般都互不認識，只是網友，互相之間連真實名字都不知道。網絡犯罪中行為人之間意思聯絡形式多樣化、聯絡主體虛擬化、共同行為模糊化，有時候要形成指向某一犯罪嫌疑人的證據鏈是有難度的，在很多案件中，公安機關只抓獲黑色產業鏈一個環節上的犯罪嫌疑人，從這些被抓獲的嫌疑人這里找證據指向其他環節的人，這就是我所說的網絡犯罪中“由人到人”證據指向。

我們律師在處理案件時要審查證據中的同案犯的供述、聊天記錄、轉款記錄、通話記錄等，看是否有充分證據證明他們之間有預謀、有聯系，爭取切斷“由人到人”的證據鏈。

①審查同案犯之間的供述是否吻合。

②審查同案犯個人的電子設備中是否提取到一致或存在關聯性的證據。

③審查聊天記錄問題。此類案件，同伙之間多使用境外聊天軟件，我遇到的有whatsapp、蝙蝠、飛機等，這些聊天軟件不需要實名注冊，一般都支持看后即焚、雙向撤回等功能，警方在面對有反偵察能力的代理時有時候取證是非常困難的。要注意是否有證據證明聊天賬號是被告人在使用；聊天記錄的取證是否合法，有些辦案機關為了省事，可能僅僅對聊天記錄截圖打印或拍照，這是不符合電子證據取證規則的。

④審查同案犯之間的轉賬記錄，是否有證據證明該轉賬的性質。例如在某起案件中，雖然存在同案犯之間的大量轉賬，但最終檢察院認定證據不足。

3、切斷由“財-人”證據鏈，即資金流轉的證據鏈。

網絡入侵案件，行為人在計算機系統上留下的相關痕跡是最直接的證據，但是，由于黑客都知道銷毀或隱藏入侵和嗅探的痕跡來掩蓋自己，在很多案件中經常存在直接證據缺失的情況。

在直接證據缺失的情況下，警方會通過利益鏈條來追蹤作案人，通過篩查資金去向，根據資金的轉移路徑、使用情況，對多次流轉的涉案資金進行追蹤，以及搜集相關證人證言等間接證據進行偵查取證，如果能形成完整的證據鏈，也能夠達到指控行為人實施了相關網絡犯罪的證明標準。例如黃某利用木馬程序網絡盜竊案，涉案虛擬財產價值2000多萬元，由于黃某在完成犯罪行為后將其入侵的相關數據刪除，被害公司為堵住系統漏洞而將服務器重做，沒有保存系統日志，無法提供服務器被入侵記錄，導致證實黃某侵入系統盜竊財物的直接證據缺失。該案，警方通過資金鏈證據破案，最終黃某被認定為罪名成立。

我們律師要注意一些反偵查手段的實施，例如使用黑卡、地下錢莊、跑分平臺、虛擬貨幣OTC場外交易、暗網、混幣等手段，導致的證據鏈中斷無法追溯的情況，隨著反偵查能力的提高，查清資金流轉路徑、流轉金額難度越來越大。

例如，我在2018年辦理的李某網絡案件，涉及到比特幣的流轉證據問題，公安機關起訴意見書認定涉案贓款是2000多萬，但我們根據資金流水的證據，最終讓檢察院在起訴時，將金額降低為700多萬。

我們律師在辦理網絡犯罪案件時要重點審查：被指控的被盜資金流向能否形成完整的鏈條，是否均指向犯罪嫌疑人持有的銀行卡或支付寶等賬戶，盜竊時間、盜竊金額與犯罪嫌疑人之間的口供，與銀行卡、支付寶交易時間、金額以及做案時間是否吻合，要注意審查操作網絡賬戶的ip地址、mac地址等。

涉及虛擬貨幣的案件，要審查虛擬貨幣賬戶、錢包地址、IP地址等網絡痕跡與被告人的關聯性證據。如果不能形成證據鏈，就有可能從證據上切斷涉案資金、虛擬貨幣的交易網絡、交易行為以及資金流向與被告人的對應或關聯關系。例如在陜西毛某一案，第三級收款賬戶的錢如何轉出，以及尾號為TH5Y提幣地址如何變現都未查清，警方在補充偵查報告中，稱查清難度大，無法查清，便草草結案。

還有某起虛擬幣網絡盜竊案，警方在被入侵服務器上提取到犯罪嫌疑人對該服務器有xss攻擊記錄，便將犯罪嫌疑人抓獲，但因最終沒有發現虛擬幣的流轉證據以及變現證據，將犯罪嫌疑人釋放撤案。

（三）從入侵時間、入侵方式、入侵路徑的證據上找到他人作案的可能性，從而排除被告人的嫌疑。

有些網站因為存在漏洞，可能存在被多名黑客入侵的情況，我們在辦理案件時要防止因為辦案機關疏忽，將其他黑客的侵入行為算到我方身上的可能。如果在入侵時間、入侵方式、入侵路徑上存在其他黑客入侵的可能性，則說明不能排除他人入侵可能性，在其他證據不足的情況下，不能簡單的將被告人認定為入侵者。

例如蘇州一起虛擬貨幣網絡盜竊案，警方起訴意見書認定實施盜竊的時間是2019年10月22日，但是犯罪嫌疑人對該服務器進行入侵的時間是2019年9月25日，中間間隔了近一個月，并且被盜公司的服務器后臺日志顯示，在2019年10月16日，有一個美國的IP地址異常訪問了該公司網站的最高權限，2019年10月23日，有一個香港的IP地址異常訪問了該公司網站的最高權限。該案無法排除其他黑客入侵的可能性，最終檢察院認為事實不清、證據不足，對犯罪嫌疑人不起訴撤案。

我們律師在辦理案件時，可以從以下幾個方面來審查是否存在別人入侵的可能性。

①被害人陳述的入侵時間、入侵方式、入侵路徑與犯罪嫌疑人供述的入侵攻擊時間是否一致。

②審查被入侵系統與作案設備上各種日志記錄在時間、日期上是否存在一致性。

③審查入侵時間與入侵后果產生之前是否存在他人侵入或攻擊的行為。

④審查犯罪嫌疑人供述的入侵方式、入侵路徑是否與偵查機關查明的一致。不同的黑客有不同的入侵思路，入侵路徑也多不相同。在某起侵入大學教務系統案件中，警方查明的入侵方式是Mysql入侵，而犯罪嫌疑人供述，其利用sshd服務入侵，通過mysql日志分析，并沒有發現有寫入webshell的操作，ssh日志被刪除了，也無法完全認定是ssh入侵的，導致入侵方式、入侵路徑無法吻合。

因時間原因，今天就簡單說這些內容。關于此類案件的其他專業知識經驗，有時間時在介紹。

非法網絡入侵案件法條規定非常簡單，但是律師要想辦理好此類犯罪，維護此類犯罪嫌疑人的合法權利，不只是了解法條這么簡單。網絡入侵、攻擊、網絡盜竊案件涉及技術性問題較多，存在證據取證困難，犯罪定性爭議差別大等新問題。這都亟需律師提高自身法律素養和技術素養，并加強研究。

網絡入侵型案件的偵查與取證工作較為復雜，涉及網站架構、日志分析、惡意代碼分析等多種知識，要想從專業角度爭取到證據不足、罪名不成立，需要律師具備計算機網絡犯罪方面的專業知識，掌握常見的一些追蹤與溯源反制的思路、局限性以及技巧。對于律師的要求相比較傳統的犯罪更高。

如果我們律師不具備這方面的專業知識，在與犯罪嫌疑人（被告人）溝通時可能會出現障礙，王某網絡盜竊案，當庭拒絕律師辯護，法官問原因，被告人說律師不懂這方面的專業知識，存在溝通障礙，就是因為此。所以，我們律師必須掌握此類案件的專業知識和經驗技巧，才有可能爭取到無罪和罪輕的結果。

作者張洪強律師，禁止任何形式的轉載復制剽竊，張洪強律師專注于網絡黑產犯罪辯護研究，辦理了大量網絡犯罪案件。