外掛犯罪研究：賣游戲外掛怎么定罪判刑？制作編寫外掛程序判幾年

外掛案件如何爭取無罪和最輕的處罰

外掛犯罪專題研究

并不是全部的外掛行為都構成犯罪。

目前對于外掛的違法性沒有統一的定論。

外掛案件如何防止被誤抓誤判。

張洪強律師總結了外掛案件爭取無罪和罪輕處罰的三個有效路徑方法，這里就簡單介紹一下，希望能維護好此類案件被告人的合法權益，促進此類案件的額正確處理，防止外掛的作者、銷售者被誤抓誤判。

第一部分：制作、銷售 外掛的定罪量刑標準

第二部分：外掛案件如何爭取無罪和罪輕的處罰。

張洪強律師外掛犯罪案件總結，禁止轉載復制

第一部分：制作、銷售 外掛的定罪量刑標準

外掛犯罪案件取證難、定罪難。

①有些外掛程序，屬于良性腳本輔助，不應當做犯罪處理。

②外掛行業已經形成完整的黑色產業鏈，查清難、取證難。

外掛開發者、銷售平臺、銷售代理以及使用外掛的工作室逐漸形成一條網絡黑色產業鏈條。各個環節隱匿在游戲和網絡中，從最上游的外掛制作者到最下游的推廣商，每個位置都有著明確分工，通過網絡進行非實名制的私下交易，因為網上證據與網下證據銜接難，很難形成完整的證據鏈，即使有線索將犯罪嫌疑人抓獲，也有可能因事實不清、證據不足而不批捕、不公訴、撤案。例如一起外掛案件，犯罪嫌疑人被抓以后，不承認他是外掛軟件的制作者，因為只有下線銷售代理的舉報而沒有其他證據而釋放。

③外掛犯罪立法缺失，存在司法缺陷。

目前對于外掛的違法性沒有統一的定論，導致在外掛罪名認定上處于混亂的狀態，同樣是外掛行為在不同的法院、不同的辦案人員那里經常會有不同的判決、不同的處罰結果。

下面，先說一下制作編寫外掛、銷售外掛案件的具體定罪量刑標準。

制作銷售外掛犯罪案件可能涉嫌以下罪名：

①編寫銷售外掛涉嫌：提供侵入、非法控制計算機信息系統的程序、工具罪。

量刑標準：①銷售對象達20人次或者違法所得達到5000元，處三年以下有期徒刑或者拘役；②如果銷售人次達到100人，或者收入達到25000元，即屬情節特別嚴重，處三年以上七年以下有期徒刑。

②制售游戲外掛構成非法獲取計算機數據罪、非法控制計算機罪的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。

③制售外掛程序構成破壞計算機信息系統罪的，后果嚴重的，處五年以下有期徒刑或者拘役；后果特別嚴重的，處五年以上有期徒刑。

外掛種類繁多，不同外掛的制作、運行原理不同，涉嫌的罪名也不同。只有詳細分析每一款外掛的制作、運行原理，認清外掛的制作具體需要破解的內容，才能具體分析出某一種外掛行為涉嫌何種罪名。

第二部分：外掛案件如何爭取無罪、最輕的處罰。

不是所有的外掛程序都是違法犯罪。

當前公檢法機關對外掛的分類及運行原理不明確，定罪混亂，、辦案經驗不足，導致定性不準、甚至定性錯誤，有時出現輕罪重判的現象，這對外掛的從業者是不公平的。

這里，我就講一下，此類案件如何爭取無罪和罪輕處罰的三個路徑和方法，防止外掛的作者、銷售者被誤抓誤判，以爭取當事人利益的最大化。

一、化解外掛犯罪風險的第一個路徑：

從外掛程序的技術、運行機理角度，爭取不構成刑事犯罪。

我們判斷一款外掛程序是否構成犯罪的時候，首先，要分析這款外掛的制作技術和運行機理。不同的外掛制作、運行原理不同，我們在辯護時要從外掛的具體內容、制作的方式、包括的程序內容、運行原理、實現的功能等技術角度爭取指控的罪名不成立，爭取最輕的認定。

通用總結的外掛的開發技術過于復雜，很多人看不懂，也不能理解。張洪強律師根據自己辦案經驗的總結，認為外掛案件的主流開發技術可分為四種，用通俗易懂的語言表述為：

①自動腳本類技術。

②數據獲取類技術。

③客戶端修改類技術。

④數據包（通信協議數據）修改類技術。

根據開發技術的原理，有一些外掛程序行為，是不應該被當做刑事犯罪處理的。具體如下：

1、數據獲取類技術。

數據獲取類技術，可以被稱為外掛之母，任何外掛要想發揮作用，都要先獲取網絡游戲中的數據。

該類技術，并不對游戲程序本身進行修改，通常不會獨立地產生作用，此類技術的主要應用途徑有兩類：

①圖像查找類。如“屏幕找色”，通過對電腦顯示屏輸出的畫面進行檢索，獲取如“金錢”“血量”“路徑”等信息，該類技術不會讀取游戲的內存數據，一般也不會繞過游戲的保護機制。

對于通過自動屏幕截圖、自動屏幕比色、自動屏幕點擊等技術手段實現的自動執行任務的腳本程序，不能認定為非法侵入、控制程序。

②內存查找類。內存查找類技術則是通過對加密的內存數據進行破解，得到正常玩家無法獲得的數據，正常玩家在游玩過程中只能獲得從畫面上顯示出來的信息，比如在射擊游戲中通過非法獲取到的敵人位置信息、玩家的坐標信息、屬性等，就是所謂的透視功能、隔墻看人等功能。

內存查找類數據獲取技術，屬于非法獲取游戲中的數據，廣大游戲廠商對于這類技術幾乎束手無策，只能通過不停地更新游戲版本來改變關鍵數據的位置或加密協議。

2、自動腳本類技術。

游戲腳本不涉及修改游戲數據或者新增功能，這種腳本只是代替人工完成機械性操作，它存在的意義就是解放雙手。

這種腳本所達到的效果，對游戲的影響微乎其微，沒有達到刑法所規定的社會危害性。

特點：它并不修改關于游戲程序本身的任何數據。該類技術本身并不存在極大的危害性，甚至一定程度可以優化網絡游戲玩家體驗，減少枯燥反復的操作。

A、模擬人工操作類腳本，不應被當作犯罪處理。

直接錄制一段固定按鍵序列，并對這個按鍵序列進行循環模擬，當游戲程序運行時，腳本會自動運行，并執行其中指定的操作，例如鼠標連點腳本、鍵盤連點腳本。

腳本程序的作用原理是編寫腳本去構造點擊邏輯，讓腳本分析器去解析參數傳遞給相應功能接口，從而實現點擊過程。常見的按鍵精靈、觸動精靈等都是通過這種操作實現的，該類技術本身并不存在極大的危害性，只模擬了人工操作點擊屏幕, 別的沒有進行過任何修改游戲本地信息,以及服務器傳輸數據的信息， 也沒有繞過游戲公司的任何安全保護機制，甚至一定程度可以優化網絡游戲玩家體驗，減少枯燥反復的操作。

B、圖色識別自動執行類腳本，不應被當做犯罪處理。

通過識別游戲畫面圖像觸發特定按鍵，例如通過識別游戲界面圖像，自動尋路、自動拾取、自動打怪等。

主要是通過對游戲畫面進行圖像檢索識別，獲取如“金錢”“血量”“路徑”等信息，該類技術不會讀取游戲的內存數據，一般也不會繞過游戲的保護機制。

例如，使用Python技術實現自動打怪的腳本，其運行機理是編寫函數來截取屏幕截圖，使用圖像識別技術，通過PyAutoGUI和Pillow庫來查找游戲中的角色和怪物，根據角色和怪物的位置和狀態，判斷是否需要進行攻擊或移動，使用模擬鍵盤鼠標操作庫（如pyautogui、pynput）模擬鍵盤和鼠標操作，實現角色的移動和攻擊。

根據腳本的運行機理，并不會讀取游戲數據，也不會修改游戲數據。

對于通過自動屏幕截圖、自動屏幕比色、自動屏幕點擊等技術手段實現的自動執行任務的腳本程序，不能認定為非法侵入、控制程序。

C、讀取內存自動執行類腳本。

當自動腳本功能實現是基于非法數據時，如果運氣不好、或者使用規模過大，此類腳本是有可能被刑事打擊的。

內存查找類技術通過對加密的內存數據進行破解，得到正常玩家無法獲得的數據，正常玩家在游玩過程中只能獲得從畫面上顯示出來的信息，比如在射擊游戲中通過非法獲取到的敵人位置信息、玩家的坐標信息、屬性等，就是所謂的透視功能、隔墻看人等功能。

當腳本類技術結合內存讀取類技術，則可以開發出各種功能強大的外掛，如 “自動瞄準”“自動躲避” “自動練級”等等，會在不同程度上去破壞游戲平衡性。

以自動執行為核心的腳本是否具有危害性，應當以其是否有非法獲取數據的行為來區分。當自動腳本使用的是合法信息，通過“屏幕找色”“操作錄制”等功能來做到自動執行的效果時，對此不應考慮入罪，因為既不存在破壞類行為，也不存在非法獲取行為，可以理解是玩家通過對電腦的充分利用來破壞游戲平衡，在危害性和構成要件上都不足以被計算機類罪名所規制，且由于我國對游戲代練、腳本軟件等方面并沒有進行政策上的規制，該類程序的出售或服務提供都不構成犯罪，只是單純對于網絡游戲用戶協議的違反，可以按照民事糾紛或不正當競爭行為處理。

而當自動腳本功能實現是基于非法數據時，可以根據其是否存在非法獲取數據，針對“處理或傳輸的數據進行增加、修改”等行為，判斷何種罪名更能夠精確的描述具體犯罪行為。

　 3、客戶端修改類技術。

客戶端指的是用戶在個人電腦上的程序，用于與運營廠商的服務器端協同工作。

目前游戲行業一般將計算量較大且運行延遲要求較高的部分放在客戶端處理，比如射擊類、格斗類游戲大多以本地數據計算為主，以求為玩家提供更好的游戲操作體驗。

客戶端修改類外掛開發涉及技術有以下類型：

①直接內存修改。

外掛通過檢測游戲運行時系統內存數據變化，進而確定內存中涉及游戲貨幣、道具數量、角色屬性等核心數據的區域，通過鎖定或修改相關數值來實現游戲作弊。

如圖所示：

例如，通過外掛程序檢測內存中玩家信息（角色、職業、級別、道具、財富），然后在鎖定內存修改所需要的游戲信息進行游戲作弊。

由于其本身的局限性并不會對網絡游戲產生多大的破壞，但是對于一些數據加密方式落后的游戲，直接內存修改也可以對其產生較為明顯的影響。

我在浙江處理的一起外掛案件，就屬于對客戶端進行修改。

②源程序修改。

這種技術也需要更高的專業水平，要求對計算機編程高級語言和匯編語言有一定的掌握，通常為專業外掛開發者所使用。

這種類型的外掛實際上就是在原始程序的基礎上創建了新的游戲內容，但與原始游戲共用一個服務器數據庫。

開發這類外掛，需要通過反匯編等手段對游戲的客戶端程序進行解析，了解游戲內部的運行方式，從根源上進行修改。

③動態鏈接庫注入修改。

動態鏈接庫（ＤＬＬ）是微軟公司在微軟Ｗｉｎｄｏｗｓ操作系統中，實現共享函數庫概念的一種方式。常見的有ＤＬＬ注入類外掛或者ＤＬＬ劫持類外掛，二者作用原理大致相同，都是對網絡游戲運行所需要使用的函數庫進行修改，并在運行時使其成為程序進程的一部分。

4、數據包修改類技術--修改通信協議數據。

當前主流的網絡游戲采用客戶端/服務器端模式，彼此兩端通過網絡通信協議完成游戲數據交互。

外掛通過破解網絡游戲客戶端程序和通信協議，截獲客戶端與服務器端通信協議數據包，修改并注入內容達到游戲作弊目的。數據包的修改是實現外掛功能的主要部分，比如服務器給客戶端的指示是讓玩家的游戲人物死亡，那么破解并修改通信協議數據包中的特定部分，就可以將指示改為存活或者復活。

簡單概括為：破解-抓包-修改-再發包。

①破解網絡游戲客戶端登錄窗口和通信協議-破解

②通過截獲通信協議數據包-抓包。

③對操作指令進行偽裝-修改。

④再發送給服務器修改后的指令-再發包

服務器端無法識別偽裝后的操作指令，就做出了外掛使用者想要得到的反應進而完成游戲作弊。

這種修改技術目前也很常見，常用于客戶端加密較強、無法直接修改的網絡游戲。開發者需要對游戲反編譯，理解游戲程序邏輯、通訊協議的結構、規則以及加密算法、函數功能、參數以及地址等，調用或修改游戲客戶端的某些程序功能，是較為先進的技術。

網絡上多用ＷＰＥ網絡編程控件來實現數據包的抓取、修改和發送，該類軟件存在眾多開源項目或者源代碼。

二、化解外掛犯罪風險的第二個路徑：從外掛程序功能和鑒定上爭取無罪。

外掛程序功能的認定，是給外掛定罪定性最重要最關鍵的部分，只有通過鑒定，認定外掛程序屬于破壞性程序、非法侵入、控制程序，制作外掛的行為才構成相關計算機犯罪。

例如，我遇到的一起案件，因無法做鑒定，最終嫌疑人的行為難以被認定為犯罪。

外掛腳本程序，是否具有非法侵入功能、非法控制功能、破壞功能是制作者、售賣者是否構成犯罪的關鍵點。

首先，爭取認定為：不具有非法侵入功能、不具有非法控制和破壞功能。

在準確理解什么是非法獲取數據行為、什么是計算機信息系統的前提之下，對外掛程序非法獲取數據、控制系統、破壞系統的相關罪行為，才能做出相對客觀的判斷。

1、“數據封包”和“游戲客戶端”不應被認定為“計算機信息系統”。

構成計算機犯罪的前提是侵入、控制、破壞計算機信息系統，而“數據封包”和“游戲客戶端”不應被認定為“計算機信息系統”。

依據：《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第十一條第一款規定，本解釋所稱“計算機信息系統”和“計算機系統”，是指具備自動處理數據功能的系統，包括計算機、網絡設備、通信設備、自動化控制設備等。

根據以上司法解釋的規定，計算機信息系統應是具備自動處理數據功能的設備。

A、數據封包并非具有自動處理數據功能的設備，不屬于計算機信息系統；

B、客戶端安裝在用戶自己的電腦上，不可能認為用戶自己侵入自己的計算機信息系統。

因此，計算機犯罪中的“計算機信息系統”應指服務器，而不是客戶端和數據封包，不應將“計算機信息系統”不合理地擴大解釋為包括“客戶端-數據封包-服務器”的整個游戲進程，而實踐中的網絡游戲外掛絕大部分都是作用于客戶端和數據封包的，因而不滿足該罪的“計算機信息系統”要件。

對于游戲運營商的服務器計算機系統而言，外掛程序雖然修改

了客戶端與之傳送的數據封包，造成服務器一定負擔，但并未入侵游戲服務器，也沒有修改服務器中的數據，因此不能認定為侵入服務器的計算機系統。

2、爭取認定為不具有“侵入功能”。

外掛程序的侵入功能，表現為：是否破解了客戶端的加密算法和通信協議、繞開安全防護機制、繞過外掛檢測防護機制，即通過各種技術手段突破游戲計算機信息系統的防護措施。

模擬人工操作類腳本、圖色識別自動執行類腳本，不具有侵入功能。

內存讀取自動執行類腳本，因為有非法讀取內存數據的行為，有可能被認定為有侵入功能。

客戶端修改類腳本、數據包（通信協議數據）修改類腳本，有被錯誤認定為“侵入”功能的可能。

3、爭取認定為“不具有非法控制功能”。

外掛雖經不法手段獲取游戲數據修改權限，但遠達不到控制計算機系統的程度，“非法控制”要求對計算機信息系統產生排他性支配，而網絡游戲外掛只是通過對客戶端或數據封包的數據進行修改，實現游戲本不具有的功能，并不影響其他玩家參與網絡游戲，未對游戲程序產生排他性支配，因而也不宜將其認定為“非法控制計算機信息系統的程序、工具”。

我們需要注意，外掛程序使游戲進行自動任務，自動控制游戲進行自動躲避、自動殺怪、自動刷關等操作，不代表對游戲系統進行了控制。

例如，夢幻西游的一款腳本，利用python圖像識別技術，編寫函數，讓玩家可以自動執行挖寶、接圖任務，這并不是對游戲系統的控制，而是通過圖像識別，編寫函數，在游戲系統外，再造一套執行程序，而不是通過對侵入、控制游戲系統實現的。

模擬人工操作類腳本、圖色識別自動執行類腳本，不具有侵入功能，一般也不具有非法控制功能。

讀取內存自動執行類腳本，因為有侵入功能，如果通過調用游戲內部函數，使游戲執行了某項操作或新增了功能，有被認定為具有非法控制功能的可能。

4、爭取認定為不具有“破壞性功能。

外掛程序破壞性功能的判斷標準是：對網絡游戲內部數據和應用程序實施了刪除、修改、增加的操作，且后果嚴重。

經常有不專業的人說，只要增加了游戲沒有的新功能，就是通過增改刪實現，就破壞了計算機系統是錯誤的。

我們在辦理案件時要特別注意，外掛程序增加了游戲本身不具有的功能，如透視、自動瞄準，自動挖寶、刷關等，不一定是通過對游戲的數據和應用程序實施了刪除、修改、增加的操作實現的，有可能是通過圖色識別實現，例如《英雄聯盟》某款腳本外掛，可以使游戲玩家在游戲中獲得自動攻擊、自動躲避敵方技能，是通過圖色識別實現，并不是通過對游戲的數據和應用程序實施了刪除、修改、增加的操作實現的。

①模擬人工操作類腳本外掛、圖色識別自動執行類腳本外掛，不具有侵入功能，不會對游戲的數據和應用程序實施了刪除、修改、增加的操作，不具有破壞功能。

讀取內存自動執行類外掛，雖然讀取了游戲內部的數據，但不會對游戲的數據和應用程序實施了刪除、修改、增加的操作，不具有破壞功能。

②數據修改類外掛存在侵入客戶端，復制修改客戶端程序數據的行為，不可否認其具有侵入性的特點，但是，根據運行原理，數據修改類外掛不存在對計算機信息系統功能進行刪除、修改、增加、干擾，其劫持的是數據封包，對計算機信息系統功能不具備影響力。

③從行為人的主觀目的來看，外掛開發者和銷售者是為獲取高額利潤而制作或銷售，其正常運行也需要依賴于安全的計算機信息系統和網絡系統，其不能也不想造成原游戲服務器不能正常運行。因而數據修改類外掛不具備破壞計算機信息系統安全的目的，不屬于破壞計算機信息系統安全的犯罪意義上的“破壞性程序”。

④所造成的后果不能達到“后果嚴重”的程度。

從外掛的危害后果來看，所影響的是游戲玩家的體驗感，對網絡游戲系統的應用程序和運行安全并不致以造成危害，與造成網絡黑屏、待機、卡機等因為應用程序受到破壞而使網絡游戲系統無法安全運行、游戲功能無法正常發揮的情形具有顯著的區別。

一般而言，外掛通過破壞原程序的技術保護措施，未經授權或超越授權對計算機信息系統進行訪問、使用，其干擾了主程序的正常運行，但尚未達到破壞計算機信息系統的程度，不宜以破壞計算機信息系統罪論處。

其次，從外掛程序功能的鑒定上入手，爭取不構成犯罪。

游戲外掛案件中，公安機關需要委托專門的鑒定機構對外掛程序的功能進行司法鑒定，鑒定機構的鑒定意見，是定罪的最關鍵的證據。

關于鑒定機構出具的鑒定意見，經常存在以下幾個方面問題。

第一方面：有些鑒定機構出具的鑒定意見比較模糊，不能夠對外掛程序具體運行機理做詳細說明，導致無法對外掛的功能做出準確的認定。

在徐州有一起游戲外掛案件，鑒定意見僅論證念蘇蘇外掛程序對游戲的正常操作流程和正常運行方式造成了干擾，進而將其界定為‘破壞性程序’，但未論證外掛程序對應用程序進行了修改、增加，亦未證明是否造成計算機系統無法正常運行，最終，法院認為，不能根據該鑒定意見將涉案外掛程序認定為“破壞性程序”。

我們在辦理案件時要注意：

①只是寫明網絡游戲外掛具有破壞性等概括性描述，并沒有論證外掛程序對應用程序進行了修改、增加，亦未證明是否造成計算機系統無法正常運行。

②只是寫明“改變軟件的運行過程、結果”或“對游戲的正常操作流程和正常運行方式造成了破壞”的模糊描述，并沒有論證運行機理。

③只是寫明“自動控制游戲進行挖寶、、、、、、、等自動任務”，并沒有論證控制自動執行任務是基于游戲畫面圖像識別還是基于非法獲取的內部數據。

因為鑒定意見中 ，沒有將外掛程序的運行機理講通、講透，經常會出現難以正確適用法律的情況。

第二方面：鑒定結論如何轉化成法律術語的情況。

技術人與法律人對專用名詞、專門問題的理解不同，鑒定人員因為缺乏對法律法規的理解，無法使用準確的法律用語來描述軟件的法律屬性。

如某鑒定機構的鑒定報告中認為“送檢程序具有避開專門為游戲采取的安全保護措施、未經授權獲取游戲內存數據，以達到自瞄、透視等特定功能，是一種破壞性程序”。

此處的破壞性程序該如何理解，能不能按照破壞性程序，來認定該外掛具有破壞性，給定破壞計算機信息系統罪，顯然不能。實際上，單純的獲取數據，屬于非法獲取行為，不屬于刑法第286條所規制的“破壞”行為。

這種表述、理解上的不對稱性，對司法實踐中準確認定腳本外掛的性質、是否應當適用刑法加以打擊、適用何條款進行打擊產生了相當大的影響。

要準確對外掛進行定性、適用法律規定加以規制，就必須對可能涉及到的數個罪名有準確理解。

第三方面：檢材、樣本來源不明的問題，提取程序不合法的問題。

公安機關在委托司法鑒定機構對涉案的腳本程序進行鑒定時，需要向鑒定機構移送他們提取的腳本程序，這個被移動的用于鑒定的腳本程序，就是用于鑒定的檢材，如果檢材來源不明，或者檢材提取程序不合法，則無法保證鑒定的針對性、客觀性，總結我遇到的外掛類案件，在鑒定檢材方面經常存在以下問題。

A、檢材來源不明的問題。

①沒有檢材外掛程序的提取筆錄。按照取證規定，對電子程序進行提取要制作筆錄，符合技術條件，并且要有見證人在場。

②檢材提取的時間與送檢的時間。

因游戲外掛一般有多個版本在售，要注意通過檢材提取時間來確認同一性。

在一起外掛案件中，檢測報告中“星火4.07B版本vmp.exe”是在2018年4月7日在網上發布，而被告人在2018年3月22日其已被羈押，顯然無法證明外掛的一致性。

③提取檢材、送檢檢材、被鑒定檢材的名稱、哈希值是否一致的問題。

王某編寫的QQ飛車游戲外掛案件，王某編寫的外掛名字為 “稱霸休閑”，而福建中證司法鑒定中心電子數據檢驗報告中載明的檢驗對象名為“9月1日盼盼最新飛車外掛”，不能證明檢材的一致性，鑒定意見沒有被采納。

B、檢材來源于證人而非嫌疑人那里。

有一起外掛案件，警方從嫌疑人那里沒有提取到外掛程序，而是從外掛使用者那里提取了一款外掛程序用于鑒定，而外掛使用者有多個渠道購買外掛，且市面上有多款類似的外掛，通過外掛使用者的購買記錄，無法確認被鑒定的外掛程序就是嫌疑人制作、售賣的。

C、檢材來源于新制作的外掛，無法確認同一性。

我在山東處理過一起案件，被告人被抓以前，已經將自己制作的外掛全部刪除了，警方為了辦案，讓嫌疑人又重新制作了一款外掛用于鑒定，顯然不能證明外掛的同一性。

第四方面：鑒定程序是否違反《軟件功能鑒定技術規范》《破壞性程序檢驗操作規范》等規定；鑒定過程是否符合技術標準和規范要求。

司法鑒定機構鑒定人員在鑒定時是否按照司法鑒定檢驗的一系列國家標準和行業標準，是我們要重點審查的。

①《電子數據司法鑒定通用實施規范》。

②《電子物證軟件功能檢驗技術規范》。

③《聲像資料鑒定通用規范》（SF/ZJD0300001-2010）。

三、化解外掛犯罪風險的第三個路勁：從證據上爭取不構成犯罪。

在外掛犯罪案件中，證據一般都是圍繞人員架構、資金流和網絡痕跡，我們律師要重點審查人員鏈、資金流和網絡痕跡的相關證據，看能否找到證據存在的問題，切斷證據鏈。

很多外掛從業者被抓之后，拒不承認外掛是他制作和銷售的，但最終也有一些人被定了罪判了刑，為什么？就是因為不能推翻偵察機關取得的證據鏈條。要爭取不批捕、不公訴、罪名不成立需要從證據入手，看能否切斷證據鏈。

例如某案件，犯罪嫌疑人被抓以后，不承認他是腳本外掛軟件的制作者，因為只有下線銷售代理的舉報而沒有其他證據而釋放。

1、如何證明被告人是外掛程序的制作者、銷售者。

網絡犯罪與傳統犯罪不同，即使有線索指向犯罪嫌疑人并將其抓獲，也很難確定犯罪嫌疑人就是外掛的制作者、銷售者。

首先，審查網絡痕跡證據指向。

我們在辦理案件時可以按照以下幾步來審查相關證據，看能否切斷證據鏈。

第一步: 審查外掛的代碼信息與嫌疑人的關聯性。

審查涉案腳本程序中是否留有代表作者身份信息的字符串信息，該字符串信息能否指向犯罪嫌疑人。例如在一起案件中，在涉案程序源碼中發現有一個字符串“mischa07”， 犯罪嫌疑人陳某供述自己曾用“mischa07”作為在一些網站、論壇以及郵箱、賬號的登錄名。該字符串就對犯罪嫌疑人形成了一定的指向性。

第二步：審查被告人電腦、手機中是否檢測出腳本的相關文件、程序，是否與公安機關提取的涉案外掛程序一致，主要包括文件名、目錄名、md5值的質證。是否發現“外掛”生成程序、“外掛”源代碼、輔助硬件等作案工具。

例如，我遇到的某起案件中，從嫌疑人電腦中提取到外掛卡密信息。

第三步：相關的ip地址、mac地址、域名、服務器中的痕跡信息等與嫌疑人的關聯性。

審查虛擬主機、ip地址、域名、解析記錄、上網日志的關聯性，審查銷售平臺、發卡機器人的注冊信息，相關銷售平臺、下載網址等ip地址等網絡痕跡是否與被告人的電腦、qq、郵箱、微信、微博等個人賬戶的登錄ip地址一致。

其次、切斷嫌疑人與外掛黑色產業鏈的“人員鏈”證據。

在很多案件中，公安機關只抓獲外掛黑色產業鏈一個環節上的犯罪嫌疑人，從這些被抓獲的嫌疑人這里找證據指向其他環節的人，我們遇到很多外掛從業者被抓都是因為下線銷售者、代理被抓而舉報，所以我們要重視人員鏈的相關證據。

切斷人員鏈證據,即‘同案犯指認→被告人’的證據指向。

外掛犯罪呈現出黑色產業鏈的特征，這些人一般都互不認識，只是通過微信、qq、以及境外聊天工具聯系的網友，互相之間連真實名字都不知道。

審查同案犯舉報是否有其他證據來證明，單純舉報而沒有其他證據印證的，難以定罪，就像我遇到的一起案件，嫌疑人被舉報被抓，但警方已經找不到他銷售的外掛，無法提取做功能性鑒定，最終，因證據不足，不能查清犯罪事實，檢察院無法逮捕。

我們律師在處理案件時要審查證據中的聊天記錄、轉款記錄、通話記錄、聯機記錄等，看是否有充分證據證明他們之間有預謀、有聯系，爭取切斷“由人到人”的證據鏈。

尤其要要審查qq、微信、whatsapp、紙飛機等境外網絡聊天記錄證據是否合法、能否相互印證。能否證明聊天賬號是嫌疑人在使用，能否證明聊天記錄的內容與涉案的外掛程序有關，聊天記錄的取證程序是否合法合規。

在很多外掛類案件中，警方會對聊天記錄進行截圖，要注意看偵查人員在取證時有沒有取證筆錄，有沒有見證人在場，如果沒有取證筆錄和見證人在場，不符合電子證據的取證規則，我們還要審查原始載體的問題。

再次、審查資金鏈的證據指向。

購買外掛的資金→外掛銷售者→外掛代理→外掛作者。

資金鏈證據包括：

①銷售平臺的域名、ip地址、管理頁面截圖（證實充值金額）銷售網站的會員消費記錄、銀行賬戶交易清單。

②相關微信、支付寶交易流水、轉賬記錄等。

③虛擬幣的流轉記錄。

現在很多外掛的作者都只收取虛擬幣，不接受銀行卡、支付寶等流水交易。關于比特幣、USDT等虛擬幣的追蹤問題，我已經說過多次，有需要的可以搜索張洪強律師網站查看，這里在簡單一說：虛擬幣流向路徑關聯到被告人的證據是否形成證據鏈的問題。

要審查虛擬貨幣賬戶、錢包地址、IP地址等網絡痕跡與被告人的關聯性證據。如果不能形成證據鏈，就有可能從證據上切斷涉案資金、虛擬貨幣的交易網絡、交易行為以及資金流向與被告人的對應或關聯關系。

例如在陜西毛某一案，第三級收款賬戶的錢如何轉出，以及尾號為TH5Y提幣地址如何變現都未查清，警方在補充偵查報告中，稱查清難度大，無法查清，便草草結案。

還有某起虛擬幣網絡盜竊案，警方在被入侵服務器上提取到犯罪嫌疑人對該服務器有xss攻擊記錄，便將犯罪嫌疑人抓獲，但因最終沒有發現虛擬幣的流轉證據以及變現證據，將犯罪嫌疑人釋放撤案。

我們律師在辦理案件時需要注意，由于數字貨幣具有具有強匿名特點，持有者信息則為公鑰與私鑰字符串，系統生成的不同賬戶、地址不存在關聯性。在這種特性之下，用戶的真實身份很難去追蹤和驗證。盡管用戶在區塊鏈網絡中的行為都是公開透明的，憑借這些交易行為確實可以利用大數據分析技術來對交易雙方的真實身份進行推斷，但這種方式的推斷具有很大的主觀性,容易找到辯護的空間。

我們還需要注意一種情況就是在一些案件中，犯罪嫌疑人可能會使用混幣器、聯合幣（共享發送）、暗錢包、隱形地址等方式混幣，分離交易中的輸入和輸出地址，即割裂輸入地址和輸出地址之間的關系，目的是提高加密貨幣的隱私性和匿名性，使其更難追蹤加密貨幣的用途以及它屬于誰。

我們在辯護時，在對證據進行審查與質證時，要有專業的思維，來審查數字貨幣賬戶與犯罪嫌疑人之間的關聯性證據。

我們律師要注意一些反偵查手段的實施，例如使用黑卡、地下錢莊、跑分平臺、虛擬貨幣OTC場外交易、暗網、混幣等手段，導致的證據鏈中斷無法追溯的情況，隨著反偵查能力的提高，查清資金流轉路徑、流轉金額難度越來越大。

例如，我在2018年辦理的李某網絡案件，涉及到比特幣的流轉證據問題，公安機關起訴意見書認定涉案贓款是2000多萬，但我們根據資金流水的證據，最終讓檢察院在起訴時，將金額降低為700多萬。

4、外掛程序是否提取到。如果提取不到，將無法確定外掛的功能，無法定罪。我在山東處理的一起案件，腳本外掛制作者被抓后，涉案的程序已經被銷毀，無法提取到。

5、外掛的運行原理是否查清。如果查不清運行原理，案件將無法定罪。

6、腳本黑色產業鏈的組織架構、運作模式是否查清。

7、外掛的銷售渠道、銷售人次是否查清。

辦理外掛犯罪案件不僅面臨法律問題,也時刻面臨錯綜復雜的技術問題，外掛犯罪案件專業性極強，正深刻顛覆著傳統的辦案模式,挑戰著辦案人員傳統的知識儲備，在這些小小程序中使用了許多計算機技術，我們律師要想在此類案件中，真正能維護好涉案人員的合法權益，就要加強專業知識的學習和經驗的積累，不能臨時抱佛腳，從網絡上查一下膚淺的知識就上戰場。

作者：張洪強律師，禁止轉轉載復制剽竊，張洪強律師外掛、腳本、私服類網絡犯罪案件經驗總結，有需要交流的可以搜索張洪強律師網站、電話、私信。

游戲外掛類犯罪研究-張洪強律師

游戲腳本類犯罪研究-張洪強律師

游戲私服類犯罪研究-張洪強律師

腳本外掛犯罪(一) 從外掛程序開發技術上爭取無罪。

腳本外掛犯罪(二)：從外掛程序功能鑒定上爭取無罪。

腳本外掛犯罪(三):外掛犯罪案件從證據上爭取無罪。