计算机犯罪专业律师办案技巧指导《木马病毒类计算机案件无罪攻略》

济南张洪强律师关于木马病毒类计算机犯罪办案技巧指导木马病毒类计算机犯罪存在取证难、定罪难的问题，且专业性极强，稍微有些经验的黑客入侵者会删除相关日志记录、入侵痕迹，并且会对木马程序进行代码混淆、加壳加密、压缩等处理，溯源难度极大，要想争取到无罪和罪轻的处罚，必须熟练掌握此类犯罪的专业知识，如木马的行为、工作原理、窃取的信息、以及传播机理的侦查和取证，电子证据的提取、反编译、逆向和鉴定测试等。
济南计算机犯罪专业律师张洪强，深耕黑客类计算机犯罪的辩护研究，熟悉黑客技术原理和电子数据取证，对黑客入侵、网络盗窃、漏洞利用、权限提升、木马病毒、黑客ddos流量攻击、抓包撞库/木马盗号等计算机网络犯罪案件有深入研究总结，著作《流氓软件恶意程序类计算机犯罪无罪攻略》、《黑客入侵类计算机犯罪无罪攻略》、《网络攻击类计算机犯罪无罪攻略》《域名劫持流量劫持类计算机犯罪无罪攻略》《木马病毒类计算机犯罪无罪攻略》《爬虫类计算机犯罪无罪攻略》等，为办理计算机犯罪案件提供有效的指导。
张洪强律师对黑客个人、漏洞挖掘者、黑客工具开发者（木马、外挂、远控、爬虫、撞库工具）涉嫌入侵、控制、破坏计算机案件具有丰富的办案经验和技巧，善于维护黑客个人、漏洞挖掘者、黑客工具开发者的合法权益。
木马类计算机犯罪如何争取无罪和罪轻的处罚—— 张洪强律师木马病毒类计算机犯罪案件办案经验指导。
一、木马类计算机犯罪要从定性上争取更轻的罪名认定。
木马病毒类计算机犯罪案件的罪名经常存在争议，案件事实相似的案件，最后的判决结果大相径庭。例如张洪强律师总结的以下黑客类犯罪案例：
①“温+柔”系列木马案，该案检察院以破坏计算机信息系统罪起诉到法院，经徐州市鼓楼区法院审理后，罪名改变为提供侵入控制计算机信息系统程序工具罪、非法获取计算机信息系统数据罪。
②唐某编写木马程序案，一审法院判决被告人构成破坏计算机信息系统罪，二审成都市中级法院改判为非法控制计算机信息系统罪，刑期也大幅度降低。
③吕某编写木马程序，木马程序和后台程序租赁给被告人庄某，并传授其具体的操作方法用于盗窃支付宝，被温州市某法院判决构成盗窃罪共犯。
④王某等人制作木马程序，盗取他人游戏币，被金华市某法院判决构成非法获取计算机信息系统数据罪。
⑤董某、蒙某制造木马病毒程序，并将制造的木马病毒放置于购买的网络服务器上，骗取他人点击下载链接，获取他人财产信息、验证码信息，进而盗刷他人银行卡内金额，被淮北市某法院判决构成信用卡诈骗罪。
不同的罪名刑期差别较大，尤其是在破坏计算机信息系统罪的认定上，争议更大，木马程序不是病毒，也不一定都是破坏性程序，济南计算机犯罪专业律师张洪强律师在办理案件时，擅长从涉案木马程序的特点、植入方式、运行状态、启动方式、传播机制、是否具有增加、修改、删除、干扰计算机信息系统的功能等方面进行分析，根据对计算机影响后果和方式来争取认定为不是病毒、破坏性程序。
这就要求我们律师在办理案件时，要掌握木马的工作原理、传播机理、破坏性认定等专业知识，掌握木马类犯罪个各种类型和常见的争议罪名的认定逻辑，根据案件的实际情况，争取最轻的罪名认定。
二、木马病毒类计算机犯罪案件，要从证据上争取事实不清、证据不足，不能形成证据链，争取到撤案、不批捕、不公诉、罪名不成立等。
木马病毒类计算机犯罪案件，木马的行为、工作原理、窃取的信息、以及传播机理是侦查取证和定罪围绕的中心问题。我们律师在办理此类案件时，要围绕木马程序的提取、代码分析、服务器数据包等角度的专业分析，来看是否有充分证据证明被告人是木马的控制者、销售者、制作者，木马的功能、工作原理、传播机理是否查清，是否有证据证明将木马提供给了哪些人使用，使用木马造成的危害后果有哪些是否查清。
A、审查事实是否查清，以下证据是否获取、事实是否查清。如果以下关键事实没有证据证明，则案件有可能争取到罪名不成立。
1、犯罪嫌疑人的电脑、相关服务器是否被扣押到，是否从扣押的电脑、服务器等电子设备中提取到木马程序、工具性程序，是否提取了有关网络日志或相关数据、账单、资料等证据。
2、木马程序是否提取到。是否对木马程序进行司法鉴定和功能性鉴定，木马程序工作原理、植入方式、植入时间是否查清。
3、收信地址是否找到。木马追踪的核心是如何找到犯罪嫌疑人的收信地址。通常通过代码分析、木马内存分析、关键字搜索、网络监听试验等方法，对盗号木马的收信地址进行追踪 。
4、挂马服务器是否扣押到并提取回传的数据包等电子证据。
5、木马病毒的产业链信息是否查清，犯罪团伙的组织结构是否查清。
B、按照以下几步来审查相关证据，看能否切断证据链。
犯罪嫌疑人被抓，一般是木马代码、入侵痕迹、植入痕迹、回传路径、资金流向等元素与犯罪嫌疑人发生关联性，我们律师在办理案件时，要注意与犯罪嫌疑人发生关联性的元素证据是否形成了证据链，如果不能形成证据链则有可能争取到罪名不成立的处理结果。
①审查：入侵、植入痕迹与犯罪嫌疑人的关联性。服务器日志、网站日志记录中提取到的相关痕迹与犯罪嫌疑人之间是否具有一致性或关联性。包括：服务器日志、网站日志、用户文件、最近访问记录、浏览器记录、删除数据恢复等电子证据。
②审查：代码元素与犯罪嫌疑人的关联性。
第一、木马程序代码中是否留有代表作者身份信息的字符串等信息，例如个人虚拟身份信息，Q+Q号码、电子邮箱等。
第二、木马固定特征的问题。木马宿源难，木马在流传过程中由于“免杀”功能，经常升级换代。我们要注意，从木马流通环节获取的木马可能是不同时期形成的，最新的源代码与先前各目标代码已经不具备完全的对应关系，不可以将源程序编译后与被检目标程序直接比对。办案机关可能用地址结构、加密 参数和加密算法形成了木马的固定特征来关联犯罪嫌疑人。
③审查：收信地址与犯罪嫌疑人的关联性。主要包括收信地址的域名who+is信息和主机IP地址的关联系性分析。近几年出现的新型木马程序，收信地址中的手机号码、邮箱账户等信息均经过加壳加密处理，破解这些加密数据是目前面临的取证难点问题。
常见的追踪方法有代码分析、木马内存分析、关键字搜索、网络监听试验等方法。
④审查：黑客主机的IP地址和端口号等相关信息的关联性。
要注意三种情况下的取证以及证据。
第一、在受害者主机与黑客主机之间有TCP逻辑连接的。
第二、不采用TCP协议而是采用 UDP或lCMP类型协议的远程控制木马，不需要在受害者主机和黑客主机之间建立逻辑连接通道，因此使用nelSlatan命令查看不到任何信息。
第三、要注意通过木马通信数据流提取出黑客主机的IP地址和端口号等信息的方法的质证知识。
如何确定捕获的通信数据流属于木马的远程控制通信数据流。
如何通过远程控制通信数据流确定攻击行为，提取出黑客主机的IP地址和端口号等相关信息。
④审查：挂马服务器租用信息和维护信息与犯罪嫌疑人的关联性。
⑤审查：扣押的犯罪嫌疑人电脑、手机中提取电子证据的关联性。犯罪嫌疑人被扣押的电脑、手机等电子设备中是否检测出木马病毒程序的相关文件、程序、制作工具。是否与公安机关提取的木马程序一致，主要包括文件名、目录名、md5值、MAC等是否一致的质证。
⑥审查：资金流向犯罪嫌疑人的证据链。
木马病毒类案件，行为人在计算机系统上留下的相关痕迹是最直接的证据，但是，由于黑客都知道销毁或隐藏入侵的痕迹来掩盖自己，在很多案件中经常存在直接证据缺失的情况。
在直接证据缺失的情况下，警方会通过利益链条来追踪作案人，通过筛查资金去向，根据资金的转移路径、使用情况，对多次流转的涉案资金进行追踪。很多木马病毒类案件的嫌疑人被抓，就是因为资金流向。
但是随着反侦查能力的提高，查清资金流转路径、流转金额难度越来越大。很多木马作者、一级代理商、流量商人的专用账号内资金进出金额都很大，但终因无相关电子证据支持，再加上犯罪嫌疑人的诸多辩解，无法准确认定涉案金额。
⑦审查：人员链证据。
在很多此类案件中，办案机关通过对木马的网络痕迹追踪，找到木马控制者，然后通过木马控制者那里取证找到木马的销售者和制作者，即木马控制者---销售者---制作者的人员链证据。很多木马程序的制作者被抓是因为同案犯指认或者与同案犯存在聊天记录、转账记录、网络痕迹关联记录。
我们律师在办理案件时，要注意审查同案犯之间的证据链，看能否从证据上将犯罪嫌疑人与犯罪团伙分离出来，在很多案件中，这些人一般都互不认识，只是网友，互相之间连真实名字都不知道，同案犯之间经常存在认错和供述不一致的情况，并且同案犯之间使用一些境外聊天软件联系，这些聊天软件不需要实名注册，一般都支持看后即焚、双向撤回等功能，警方在面对有反侦察能力的代理时有时候取证是非常困难的。要注意是否有证据证明聊天账号是被告人在使用；聊天记录的取证是否合法，有些办案机关为了省事，可能仅仅对聊天记录截图打印或拍照，这是不符合电子证据取证规则的。
除此之外，要想争取到无罪和最轻处罚，还要注意以下三个方面：
1、参与的编程作用的大小。有些技术人员制作的不是完整的木马程序，而是其中的某部分，我们要看其参与编程的部分是否为核心功能部分。
一个木马程序一般都具有下几个功能：进程隐藏、开机自动运行、躲避杀 毒软件查杀、绕过防火墙拦截、实现与攻击者的远程通信联络、实现特定的恶意功能等。这些功能在实现时都需要使用特定的系统函数。在木马类案件中经常出现不同的技术人员分工开发的情况，我们律师要争取将被告人参与的编程部分认定为非核心功能模块。
2、在盗号木马案件中，收信服务器上的每封信不可能都是盗窃案受害者，需要进一步甄别取证，要看是否有洗信过程，是否有其他证据印证，是否有其他黑客侵入的情况等。
3、电子证据的提取贯穿木马类犯罪的侦办全过程，因犯罪嫌疑人作案地点多变、被害人情况不确定，电子证据不易提取和保存。在木马类案件中经常出现诸多电子证据无法一一对应的情况。公安机关办理案件中，如果错过固定第一手电子证据的机会，就只能依照嫌疑人的供述结合其他证据定案，导致部分犯罪事实无法认定，尤其表现在涉案金额的缩水。我们律师一定要掌握通过电子证据来争取无罪和罪轻处罚的技巧。
此外还有主从犯的问题，犯罪其他情节的问题，是否自首是否退赃是否得到谅解等问题，都会影响到案件的定罪量刑问题。
作者：济南计算机犯罪专业律师张洪强。
张洪强律师，现在是北京市京师（济南）律师事务所的高级合伙人律师，刑事辩护部主任，在2024年12月当选北京市京师律师事务所华东区刑事委员会的副主任，办理过众多公安部督办的大案要案，委托张洪强律师做辩护人的客户有某市的副市长、有某国企的副总、有某世界500强上市公司ceo，甚至有法官涉嫌刑事犯罪也委托张洪强律师，这些有一定身份、社会地位和法律知识的人涉嫌刑事犯罪案件时能委托张洪强律师作为他们的辩护律师，足以说明张洪强律师的辩护能力、专业能力得到了涉案副市长、法官、上司公司ceo等人的认可，张洪强律师立足济南，全国办案，很多外省的嫌疑人因涉嫌刑事犯罪案件慕名来到济南委托张洪强律师，自律师执业以来，张洪强律师办理过海口、兰州、岳阳、温州、南宁、成都、甘肃天水、甘肃陇南、吉林、辽宁、深圳、广州、河南新乡、许昌、商丘等众多外省刑事犯罪案件。