0 引言
通过对现场的反复勘查和分析，侦查员们会首先在自己的脑海里构造一个犯罪场景，然后通过反复的分析、实验和对比进行验证，直到完成全部犯罪事实，同时所有的犯罪事实都能准确地找到已发现的勘验现象来加以佐证并给出科学合理的解释。通过对犯罪现场的重建，不论重建实验最终是否成功，都能够在一定程度上起到修正侦查方向，排除推测与论断，缩小侦查范围的作用，有时候甚至能帮助侦查人员发现更多的关键证据和重要线索。
1 网络犯罪现场重现的概念与原则
计算机网络犯罪现场重建，是根据计算机网络犯罪现场各种痕迹的基本形态，各类物证和电子证据的内容、位置和连接状态，现场勘验结果和基本分析，在其他场所（如模拟犯罪现场实验室内）构造一个模拟的犯罪环境，用以判断在犯罪现场所发生的部分或全部活动，是一个有实验性质的收集犯罪细节，重现犯罪步骤的科学化过程。和其他类型的侦查实验类似，其本质是一种刑事侦查学领域的验证型科学实验。正确进行计算机网络犯罪现场重建必须坚持“依法、科学、客观、连续、有效”的基本原则。
2 犯罪现场重建的步骤
一般来说，计算机网络犯罪现场重建有七个步骤 ：
2.1 现场勘查犯罪现场是全部侦查工作的原点，现场勘查的质量如何，往往对现场重建甚至是整个案件侦破的成败产生决定性的影响。犯罪行为的隐蔽性决定了只有充分观察、剖析、理解犯罪现场，才能发现证据和线索，把握案件的真实面貌，有效完成现场重现，最终揭露犯罪事实。在此步骤中，最好能系统地绘制一个犯罪现场图，现场图应包括尽可能丰富的案件细节信息，并对重要证据和线索突出表示。
2.2 提炼案件特征，总结犯罪模型
通过现场勘查到的大量人证、物证、书证和电子证据等素材，提炼案件的基本特征，对案件进行初步定性，并结合案件事实和以往的经验，总结出犯罪基础模型。犯罪基础模型的主要作用是对犯罪过程进行结构化的描述，它实际上也可能成为犯罪现场重现的基础结构模型，这个部分的工作应尽可能挑选经验丰富的侦查人员来完成。
2.3 评估分析
通过上述步骤中得到的犯罪基础模型对案件的复杂程度和是否需要进行现场重现实验进行评估，如果案情已经比较清楚，证据已经比较充分，则可以放弃现场重现，直接进入其他侦查阶段；如果发现案情非常复杂，或者关键证据和线匮乏，甚至犯罪基础模型都无法顺利完成，则可以考虑进
行犯罪现场重现来辅助发现证据，更清晰的理解案情，而对于无法完成犯罪基础模型的情况，则可以通过分布式的现场重现进行侦查扩线。这个步骤一般由案件决策层来执行。
2.4 环境准备
经评估决定进行现场重现的，就要开始进行犯罪现场重现的环境准备工作了。主要包括人员、场地、硬件、软件、网络、其他客观条件等因素。例如诈骗网站案件中可能需要准备相对封闭的局域网络，服务器、对应类型的操作系统和数据库系统、场勘验中获得的网站源代码和数据库表或数据库备份等素材；而制作传播计算机病毒案件则可能需要准备虚拟机操作系统、病毒源代码、病毒编译语言环境、反编译工具等素材。
2.5 重建现场并实施模拟犯罪实验
根据犯罪基础模型中提炼的犯罪流程，根据案件的复杂程度有针对性地设计一组或多组模拟犯罪方案，并在准备好的现场模拟环境中予以实施。在此过程中需要对具体实施操作的人员、地点、环境、操作步骤，实验现象等数据和信息做完整而详细的记录，有条件的可以进行全程录像和屏幕录像。现场重现实验可以重复进行，以便于排除特殊原因造成的误差对结果的影，最后由操作人员和见证人员签名确认。如果实际操作有困难的，可以在满足保密要求的情况下邀请专业人员参与指导。
2.6 验证犯罪现场重现的过程和得出的结论
这个步骤原则上不可缺少，它是对现场重现操作步骤正确、结果有效的良好保障，也是符合前面提出的犯罪现场重现五大原则中“连续”性要求的。这里不再赘述。验证的结果将导致犯罪现场重现继续进行或者结束。
2.7 出具最终的犯罪现场重现报告
经过验证的过程、现象、结论即可形成报告提交。报告中应对现场重现使用的科学原理、技术方法、操作步骤、实验现象、分析结论、详细记录、验证情况等信息一并说明。
3 犯罪现场重现的分类
根据案件本身的特征和现场勘验结果对犯罪现场重现进行简单的分类，分类的目的是为了更好地设计犯罪现场重现方案。
3.1 特定物证的犯罪现场重现
这里的物证既包括传统物证，也包括没有物质形态的电子证据。例如经过现场勘验或审讯，得到了犯罪嫌疑人的网络赌账号和登陆口令，为了验证该嫌疑人参与赌博的具体情况和赌博网站运营的细节，可以根据账号设计一个网络赌博犯罪现场重现实验，如果这个账号不仅仅有参赌的权限，还有管理网站的权限，则可以再设计一个赌博网站管理犯罪现场实验。
3.2 特定情节的犯罪现场重现
这种类型的犯罪现场重现往往是为了验证某个犯罪事实的合理性和可能性。例如在制作传播计算机病毒案件和入侵计算机系统案件中，可以在犯罪现场重现时安装不同类型的操作系统以检验病毒感染的现象和传播过程，同样的入侵方法和步骤是否可以对不同类型的操作系统形成威胁，是否都能在临时空间留下痕迹，以及在不同类型的日志文件中都能留下记录。
3.3 特定案件的犯罪现场重现
某些类型的案件往往拥有相同的犯罪模式，这些类型案件的犯罪现场重现模式也大都异曲同工，针对这些特点可以设计大致相同的模拟实验方案。例如：利用互联网传播淫秽色情信息、利用互联网进行赌博和传销等犯罪活动，大都是通过一个或多个连接了后台数据库，并通过 IIS 发布网站的形式。这为此类刑事案件的犯罪现场重现工作带来了快捷方式。当然分类的标准并不唯一，今后会有更多面向不同对象和针对不同应用的分类出现。
4 计算机网络犯罪现场重建涉及的主要技术简介计算机网络犯罪现场重现涉及到的知识领域非常广泛，在法学的刑事侦查学、现场勘查学、证据学、诉讼法学、犯罪心理学等领域，计算机科学中的计算机组成原理、计算机网络、操作系统、数据库等领域，以及伦理学、管理学、社会工程学等领域的研究中都有所涉及。本文主要是从计算机应用科学的角度，对专属于计算机网络犯罪案件的现场重现技术进行一个纲要性的总结和介绍。
4.1 计算机硬件技术
从犯罪现场勘查中获得的第一手资料是现场重现的基础，例如如何安全合法地获取存储介质中的数据，这个过程并不是简单拷贝操作，而是使用一些专业的手段，比如硬盘、U 盘的克隆或镜像等等，在此过程中也会遇到各类硬件接口匹配方面的问题，需要掌握诸如各类磁介质、光介质数据的获取、保存的技术和基本的计算机硬件接口技术等知识和技能。
4.2 操作系统技术
操作系统是计算机硬件资源和软件资源相互交流协作的中枢管理机构，现场重建过程，必须要考虑操作系统的类型3 漏洞数据分析3.1 漏洞总体情况2010 年 11 月，国家信息安全漏洞共享平台（以下简称 CNVD）收集整理信息系统安全漏洞 391 个。其中，高危漏洞 73 个，可被利用来实施远程攻击的漏洞有 297 个。受影响的软硬件系统厂商包括 Adobe、Apple、Cisco、HP、IBM、Linux、Microsoft 等。
根据 CNVD 的代码验证结果，11月共出现了49 个 0day 漏洞，其中影响最严重的是“Microsoft Internet ExplorerCSS 标 签 远 程 代 码 执 行 漏 洞 ” 和“Android 2.0-2.1下Webkit 缺陷引发的反弹 Shell 漏洞”。3.2 漏洞类型分布根据漏洞影响对象的类型，漏洞可分为操作系统漏洞、应用程序漏洞、WEB 应用漏洞、数据库漏洞、网络设备漏洞（如路由器、交换机等）和安全产品漏洞（如防火墙、入侵检测系统等）。11月CNVD 收集整理的漏洞中，应用程序漏洞占比例较大，具体分布情况如图所示。
4 网络安全事件接收与处理情况
4.1 事件接收情况
2010 年 11 月，CNCERT 收到国内外报告的网络安全事件 1056 件（合并了通过不同方式报告的同一网络安全事件，且不包括扫描和垃圾邮件类事件），与 10月的 1069 件相比下降 1%，其中来自国外的事件报告有 308 件。在 1056 件事件报告中，数量最多的分别是恶意代码类事件 460 件，漏洞类事件 391件，网页仿冒类事件 180 件。11月，除网页仿冒和网页挂马事件报告数量有所增长外，其他网络安全事件报告数量均有不同程度的下降。各类事件的具体数量如表所示。2010 年 1 月至 11 月，CNCERT 收到的网络安全事件报告数量（不含扫描和垃圾邮件类事件）月度统计如图所示。
11 月收到的网络安全事件报告数量处于较高水平。
4.2 事件处理情况
对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件，以及自主监测发现的网络安全事件，CNCERT 每日根据事件的影响范围和存活性、涉及用户的性质等因素，筛选重要事件进行协调处理。
2010 年 11 月，CNCERT 总部以及各省分中心共同协调处理了413 件网络安全事件。各类事件处理数量如图所示，其中恶意代码类事件处理数量较多（283 件），网页仿冒（79 件）和网页篡改类事件（35 件）也是处置的重点。