“张晓鹏给‘寒江雪’发快递的地址是苏南省安云市长空县，收货点经常改，范围都在县城内。还有就是‘寒江雪’的qq号和半年的聊天记录，聊天记录就是第一手证据，要提取出来。”

　　顾风考虑了几秒说道：“咱们专案组有个技术民警叫小沈，把这些涉及网络的东西交给小沈，看看能不能查出什么。”

　　谢天也跟着道：“顾支说的对，小沈确实有这方面的才能。”

　　顾风对沈天成略有耳闻，实习民警，利用计算机技术侦破了几起大案，李局开会时曾点名表扬过，前几天成立专案组的时候见过一次，高高瘦瘦，开会时不发言，一直在后排笔直的坐着。

　　“qq号可以查，聊天记录怎么查，有没有拷贝一份？”

　　袁捷接口道：“聊天记录在电脑上，电脑在张晓鹏工作的网吧里，涉案电脑下午已经封存，我给天成打电话，他说拷贝不行，电子证据要先做全盘镜像，相当于‘证据保全’，然后在备份的硬盘上提取，才符合规范。”

　　顾风转头问道：“全盘镜像你会不会？”

　　“分局只有沈天成和曹文斌会，”袁捷想了想又说：“还有个办法，就是通过视频聊天，我也懂一点电脑，让沈天成或者曹文斌远程指导，我现场操作。”

　　“小袁，那你辛苦一下，尽快购买硬盘，提取证据，最好能把证据跟着押解车带回去。”

　　“是，顾支，估计一两个小时就能完成，不会耽误押解嫌疑人。”

　　“好，这项工作就交给你了。”顾风沉吟道：“谢天同志，接下来你继续带着广龙同志和小袁去天港市追查赃款流向，别的账户不用管，顺着一条线往下查，大刘这组机动，负责后勤保障和押解嫌疑人，你们只管抓，后续的事情不用管，抓了把人交给大刘，继续往下一站。”

　　谢天点头道：“是，顾支，我们晚上就出发。”

　　“工作是工作，休息一样重要，小袁马上还要加班，你们连续奋战这么多天，让同志们喘口气。”顾风顿了顿，又严肃道：“一进屋我就闻到一股馊味，抓紧洗澡换衣，晚上好好吃一顿，睡一觉，这是命令！”

　　“是！”三人同时答道。

　　顾风满意地点点头，走到门外打电话，先给李局汇报五云县局请求结对交流的事。

　　“顾风同志，有求于人必先方便于人，结对交流是公对公，你做不了主，我一样做不了主，我马上向张书记汇报，让张书记和湖州市局局长沟通。”李局话锋一转问道：“案子进展如何，嫌疑人抓到几个？”

　　“报告李局，买卖证件的嫌疑人抓到三个，押解组的四个民警连夜押解回去，从案情来看，现在只是查到冰山一角。”

　　“异地办案，每一步都走的不容易，五云县局是有求于我们，别的单位不一定那么顺利，你身上的担子不轻。”

　　“李局您放心，局领导把我放在这个位置，我一定不辱使命。”

　　“嗯，你是身经百战的老同志，对你我当然放心，专案组有什么困难都可以提出来，能解决的我尽量帮你们解决。”

　　“目前没什么困难，但是李局，案子往下会越查越大，拔出萝卜带出泥，专案组十来个人恐怕不太够。”

　　新型网络诈骗案件，作案过程非接触化，作案目标具有不确定性，资金流向十分复杂，呈公司化管理，涉案人数众多，办案周期长，需要投入大量的警力和经费，需要很多兄弟单位公安机关协助，李局接着问道：“下一步什么计划？”

　　“抓到的三个是小鱼，还要继续往上追。一组继续追查赃款流向，一组往上追证件贩卖网，留一组机动力量随时支援。”

　　“先按既定计划进行，警力的事不用担心，我会想办法协调。不怕你查出大案，真能查出重特大案件，市局会不惜一切代价！”

　　“李局，有您这句话，我就放心了！”

　　“嗯，有困难随时打我电话。”

　　……

　　为了减轻日常工作量，利用两天的业余时间，沈天成和曹文斌在出租房里把《基础网侦指南》制作了出来，分为两大部分，一是网络侦查技术，二是取证技术。

　　这本指南的读者是会上网、有一些电脑基础的民警。不需要你掌握计算机语言，更不需要掌握原理，学会按部就班的套用就能出效果。

　　网络侦查主要利用沈天成提供的软件，为此沈天成还向“四人群”的好友求援，软磨硬泡，把三位死党平时私藏的工具、软件都讹了过来。

　　通过简单的测试，沈天成发现有几个在少数人手中流传的工具非常好用，比那些开源的工具效率要高很多，自己的工具U盘也得到了大量更新。

　　通过整理，这些软件分为网络扫描、网络监听、口令破解等功能。

　　比如网络扫描，最简单的方式是通过ping这样的基础命令来判断某个IP地址是否有主机在线，然后通过小软件来对目标主机进行端口扫描，扫描到相应的端口就能确定目标主机上执行的服务，继而针对这些服务进行相应的攻击，还有一个旦旦提供的漏洞扫描软件非常厉害，通过网络自动检测目标主机的安全性弱点，既可以对系统管理员所维护的服务器进行外部特征扫描，又可以以系统管理员身份对服务器进行内部特征扫描。

　　网络监听，类似于技侦民警对手机进行监听，可以实时监听目标电脑的任何操作，监听效果最好的地方是在网关、路由、交换机等设备上，必须有网络管理员权限才能达成，如果通过网络获取不了权限，唯一的方式是与目标电脑物理接触，在电脑上做手脚，比如插上一个USB设备。

　　口令破解工具操作也很简单，就是利用穷举法，通过尝试各种数字、字母、符号或者三者的组合来破译密码，理论上来说，没有破译不了的密码，只是时间长短的问题，利用民用电脑的速度来破译密码，弱口令（123456，888888这种密码）只需要几秒，而要破译一个10位数字加字母加符号的密码需要两百多年！

　　除了工具，就是电子证据的提取和日志系统的分析。

　　目前涉及电子证据的设备主要是电脑和手机，电子证据表现形式多样，分为文本、图像、视频、音频等形式，特点是脆弱性、易破坏性，所以取证之前必须断网，做好全盘备份并记录时间、地点、数据来源、提取过程、使用方法并附录，证据提取民警和见证民警签名，确保目标电脑中的原始数据不产生任何改动和破坏，有条件的进行全程录像。取证过程在备份件上进行，以保证原始证据的可靠性和连续性，将来提交给法庭要保证存储介质是安全的、取证拷贝是安全的、用于拷贝证据的进程是可靠且可以复验的。

　　日志系统可以利用工具来分析，可以对系统文件进行详细审查，可以了解本机进行过哪些操作、哪些远程主机连接过本机、入侵者进行过哪些操作等等。

　　做出这本手册，以后谁来警务室请求提供技术协助，就可以把手册拿给他们，先学习自己动手，有不懂的再问。

　　你要提取电子证据是吧，先买个硬盘或者U盘，再看指南，什么？不会全盘镜像？我电脑上有步骤截图，一步一步照着做总会吧？

　　……

　　沈天成刚下班出警务室就接到袁捷的电话，说是要做一个涉案电脑的全盘镜像，让沈天成远程提供协助。

　　在外地办案比较着急，沈天成很理解他的心情，给曹文斌说了一声，顾不上吃饭又回到警务室，打开电脑打开qq和袁捷进行视频聊天。

　　从屏幕上看，袁捷所在的地方是一家网吧，摄像头对着一台主机。

　　袁捷对着话筒说：“天成，就是这个电脑。”

　　沈天成带上耳麦，让袁捷把摄像头位置调整好之后说道：“按照步骤来，先打开GHOST软件，进入界面后，选择Local然后Disk然后ToImage……”

　　袁捷学过图侦，对电脑操作不陌生，按照沈天成的讲解，很快就学会了使用软件。

　　“这个不难，就是速度太慢了，进度条像是停止了一样。”

　　沈天成对着耳麦道：“没停，一直在动，就是动的比较慢，剩余时间一小时五十分，慢慢等吧。”

　　袁捷问道：“是不是进度条跑完就算完成了？”

　　按照以往做备份的习惯，漫长的等待过程，沈天成一般会去做其它的事，隔段时间来看看进度条就行，但是他看到袁捷憔悴的模样，能想象到在外地办案的劳顿，“能跑完就成功，一般不会有什么问题，袁哥，看你双眼发红，这几天累坏了吧，我等你做完再回去，不然你自己呆着太孤独了。”

　　“谢了，天成，要说累，那外出办案肯定不如在家呆着，但是外出办案总有一种兴奋的感觉，特别新鲜刺激。”

　　虽然听上去很苦很累，但沈天成心里很羡慕他们：“没白累，这台电脑是嫌疑人用过的，这几天应该查到不少线索了吧？”