来源头条作者:张洪强律师
本文分两部分:
一:制作外挂程序、恶意软件的犯罪风险及定罪量刑标准。
二:如何争取到无罪和最轻的处罚。
摘要:编写开发制作代理销售恶意代码、秒杀抢购外挂程序软件、浏览器劫持、广告弹窗、外挂程序构成什么犯罪怎么判刑?
张洪强律师经验总结,禁止任何形式的转载复制剽窃。
很多程序员法律意识淡薄,在自己技术变现时徘徊在灰色地带或违法道路上浑然不知,不知道什么样的数据不能抓取,什么样的功能不能编写,什么样的需求应该直接拒绝。
随着网络黑产犯罪的多发,程序员和技术爱好者被指控涉嫌开发非法外挂软件、恶意代码、流氓程序构成犯罪的风险也越来越大,我们不要只埋头写代码,还要经常审视自己所做的产品,考虑一下风险,虽然此类“技术链”犯罪存在法律漏洞,但作为技术人员,千万不要高估自己的避险能力。
此类案件专业性极强,作为专业研究计算机类犯罪的律师,我也一直在思考,该如何才能化解程序员开发软件程序的相关法律风险,该如何才能维护此类案件中技术人员的合法权益,为他们争取到不立案、不批捕、不公诉、罪名不成立和最轻的处罚。
第一部分:制作外挂程序、恶意软件的犯罪风险及定罪量刑标准
一、制作软件程序的三大风险。
1、制作的程序被认定为病毒性程序。
2、制作的程序被认定为破坏性程序。
3、制作的程序被认定为专门侵入、控制计算机信息系统的程序和工具。
①具有“避开或者突破计算机信息系统安全保护措施”的功能。
②具有未经授权或者超越授权获取计算机信息系统数据的功能。
③具有未经授权或超越授权对计算机信息系统实施控制的功能。
二、定罪量刑标准。
制作外挂程序、恶意软件主要涉嫌以下四个罪名,具体量刑标准如下:
1、涉嫌破坏计算机信息系统罪。
量刑标准:①后果严重的,处五年以下有期徒刑或者拘役;②后果特别严重的,处五年以上有期徒刑。
2、涉嫌非法控制计算机信息系统罪。量刑标准:
判决三年以下有期徒刑或者拘役,情节特别严重的,判决三年以上七年以下有期徒刑。
3、涉嫌提供非法侵入控制计算机信息系统程序、工具罪。
量刑标准:①销售对象达20人次或者违法所得达到5000元,处三年以下有期徒刑或者拘役;②如果销售人次达到100人,或者收入达到25000元,即属情节特别严重,处三年以上七年以下有期徒刑。
4、涉嫌非法获取计算机信息系统数据罪。量刑标准:
判决三年以下有期徒刑或者拘役,情节特别严重的,判决三年以上七年以下有期徒刑。
恶意软件和外挂程序种类繁多,不同外挂的制作、运行原理不同,涉嫌的罪名也不同,随着网络计算机技术的发展,恶意代码和外挂技术不断的更新换代,存在法律漏洞在所难免,只有详细分析每一款恶意软件、外挂程序的制作、运行原理,认清外挂的制作具体需要**的内容,才能具体分析出某一种外挂行为涉嫌何种罪名。
我们律师在办理案件时要充分发挥专业性,从外挂的制作运行原理的技术角度争取最轻的罪名不成立以及最轻的认定。
第二部分:争取无罪和最轻处罚的一些技巧
当前对于外挂程序、恶意软件与计算机病毒、破坏性程序的界定缺乏规范性的指导文件,导致在一些案件中出现了盲目将恶意软件、外挂程序认定为计算机病毒、破坏性程序,
将不正当商业竞争行为认定为犯罪的错误倾向。
办理外挂犯罪案件不仅面临法律问题,也时刻面临错综复杂的技术问题,当前公检法机关对外挂的分类及运行原理不明确,定罪混乱,有些办案人员在办理外挂类案件时,对于外挂的具体内容、制作的方式、包括的程序内容、运行原理、实现的功能等不能熟练掌握,知识储备不够、办案经验不足,导致定性不准、甚至定性错误,有时出现轻罪重判的现象,这对外挂的从业者是不公平的。例如金某、李某外挂案件,二人销售外挂卡密赚取差价,一审被判五年,二审改判缓刑,为什么刑期差距这么大,因为二审经过努力改变了罪名,由非法经营罪改判提供侵入、非法控制计算机信息系统程序、工具罪。周某龙外挂案,一审判决有期徒刑五年,二审改判为两年9个月,罪名也由提供侵入、非法控制计算机信息系统的程序、工具罪改判为销售侵权复制品罪。
这就需要我们律师在办理此类案件时,必须足够专业,才有可能争取到不立案、不批捕、不公诉、最轻的定性和处罚。
一、从证据上辩护。是否有充分证据证明涉案的外挂程序、恶意软件代码是犯罪嫌疑人开发或销售。
为了防止被溯源追踪,目前部分恶意软件作者和团队已经具备溯源对抗意识并开始采用溯源对抗甚至伪造手段,在恶意代码发布之前,对代码文件进行痕迹(如生成时间、时区、特殊字符串、语言、C&C域名、团队代码特征、开发坏境等)消除、伪造或混淆处理,另外,大量使用加壳和代码加固方案,也提升了代码痕迹被提取分析的难度。
在很多此类案件中经常是代理充当刀下之鬼,真正的作者难以被定罪。
我们律师在办理案件时主要从以下两个方面努力争取事实不清、证据不足。
1、从证据体系入手,审查证据是否充分:
①是否从被扣押、封存的涉案电脑、U盘等原始存储介质中收集、提取相关的电子数据。面对各种各样善于伪装隐藏的木马、病毒、恶意程序、外挂软件该如何提取分析,并固定证据成为一项重要工作。
②是否对涉案程序、被侵入的计算机信息系统及电子数据进行勘验、检查后制作笔录。
③是否能够证实涉案程序的技术原理、制作目的、功能用途和运行效果的书证材料。
④是否有涉案程序的制作人、提供人、使用人对该程序的技术原理、制作目的、功能用途和运行效果进行阐述的言词证据,是否有展示涉案程序功能的视听资料。
⑤是否有能够证实被侵入计算机信息系统安全保护措施的技术原理、功能以及被侵入后果的专业人员的证言等证据。
2、按照以下几步来审查相关证据,看能否切断证据链。
在外挂犯罪案件中,证据一般都是围绕人员架构、资金流和网络痕迹,我们律师要重点审查人员链、资金流和网络痕迹的相关证据,看能否找到证据存在的问题,切断证据链。
第一步: 审查涉案外挂程序中是否留有代表作者身份信息的字符串信息,该字符串信息能否指向犯罪嫌疑人。
第二步:审查被告人电脑、手机中是否检测出恶意代码、外挂程序的相关文件、程序,是否与公安机关提取的涉案外挂程序一致,主要包括文件名、目录名、md5值、MAC等是否一致的质证。
第三步:是否存在ip地址吻合的情况,销售平台、下载网址等ip地址是否与被告人的电脑、qq、邮箱、微信、微博等个人账户的登录ip地址一致,审查虚拟主机、域名、解析记录、上网日志情况。
第四步:审查资金链的证据指向。资金链证据包括:销售平台的域名、ip地址、管理页面截图(证实充值金额)、销售网站的会员消费记录、银行账户交易清单、支付宝交易流水、转账记录等。 我们在办案时要审查是否有充分证据证明涉案资金流向了被告人这里。
第五步:审查人员链证据,即‘同案犯指认→被告人’的证据指向。
在很多案件中,公安机关只抓获黑色产业链一个环节上的犯罪嫌疑人,从这些被抓获的嫌疑人这里找证据指向其他环节的人,随着网络黑产从业者反侦察能力的提高,公安机关在取证时要找到“由人到人”的证据链越来越困难。
我们律师在处理案件时要审查证据中的聊天记录、转款记录、通话记录、联机记录等,看是否有充分证据证明他们之间有预谋、有联系,争取切断“由人到人”的证据链。
①审查上下线之间的供述是否吻合。
②审查聊天记录问题。此类案件,同伙之间多使用境外聊天软件,我遇到的有whatsapp、蝙蝠、飞机等,这些聊天软件不需要实名注册,一般都支持看后即焚、双向撤回等功能,警方在面对有反侦察能力的代理时有时候取证是非常困难的。我们在办理案件时,可以从以下三个角度入手:
首先,能否证明聊天账号是被告人在使用。
其次,聊天记录的取证是否合法。有些办案机关为了省事,可能仅仅对聊天记录截图打印或拍照,这是不符合电子证据取证规则的。
再次,审查聊天内容能否证明存在犯罪行为。
③审查同案犯之间的转账记录,是否有证据证明该转账的性质。
二、从基本工作原理、功能上辩护。
(1)争取认定为:不是病毒、破坏性程序。
我们律师在办理案件时,要从
涉案程序的特点、植入方式、运行状态、危险函数、启动方式、权限列表等方面进行分析,
根据对计算机影响后果和方式来争取认定为不是病毒、破坏性程序。
1、是否具有
自我复制、自我传播功能。
病毒等破坏程序应具有可自我复制、广泛传播的特性,或能够自动爆发造成计算机系统被破坏。相比之下,外挂和流氓程序的使用可能造成垃圾数据堆积致使服务器负荷超载,但程序本身并不具有破坏性,也不具有广泛的“传染性”,因此流氓软件和外挂程序并不能认定为破坏性程序的范围之中。
2、是否具有增加、修改、删除、干扰计算机信息系统的功能。
一些外挂程序、优先抢单、秒杀软件、自动点击软件、绑架、劫持等流氓软件具有强制安装、静默安装、难以卸载、浏览器劫持、广告弹出、恶意捆绑等特征,从表面上看触犯了《刑法》第 286 条所规定的破坏计算机信息系统罪,但如果仔细分析辩护,其实很多流氓软件不对计算机信息系统的功能进行删除或增加、也不具有自我复制、自我传播的功能。
①由于软件编程技术低下,质量不高,兼容性差,意外的影响了计算机信息系统的运行,即使后果严重,也不能认为是犯罪。
②
在很多外挂软件、恶意程序案件中,涉案的程序只会造成系统的卡顿,不会对系统文件增加、删除、修改。
例如,
运行机理为修改被挂软件代码的外挂软件、拦截被挂软件封包的外挂软件或独立型外挂软件均不具有同时对计算机信息系统的数据和应用程序进行删除、修改、增加的功能,制作销售该三类外挂软件相关行为均不会触犯到破坏计算机信息系统罪。
③直接模拟鼠标或键盘动作的外挂软件,一般不能认定为犯罪。例如一些游戏外挂软件以及一些抢购秒杀软件。
此类外挂软件这类外挂程序具体的开发技术是,使用脚本文件并制定一个操作序列,这个操作序列由鼠标或键盘的移动位置和点击动作组成。只能模拟鼠标或键盘发出的信号,适用于所有响应键盘和鼠标信号并有图像界面的程序,其典型代表软件是按键精灵。
这类外挂软件没有修改、替换被挂软件的代码,也没有拦截相应的数据包等,只是模拟鼠标或键盘,超出被挂软件规则的操作是无法实施的,并没有破坏被挂软件设定的规则。
2、是否会对“计算机信息系统中存储、处理或传播的数据、计算机应用程序”造成破坏。
我们要注意,很多外挂程序、流氓软件程序仅为自身功能的实现,不与计算机本身的系统程序、应用程序、数据等刑法保护的对象****。例如强制、修改计算机用户IE 浏览器、增加开机启动项和桌面图标等。
(2)争取认定为:不属于
侵入、控制计算机系统的程序工具。
1、是否具有避开或者突破计算机信息系统安全保护措施的功能。
结合被侵入的计算机信息系统的安全保护措施,分析涉案程序是否具有避开或者突破计算机信息系统安全保护措施的功能。
①有些外挂是利用开放接口的系统外挂,因其仅对计算机操作系统的应用程序进行修改,而操作系统和驱动程序本身会开放一些编程接口(API)让用来开发程序,利用这种接口做外挂本身也是被允许的,因而并不需要“避开”或“突破”计算机信息系统安全保护措施,因此这种行为就不算“侵入”计算机信息系统。
②是否绕过或避开了目标网站的验证机制,是否具有
**登录接口、密码加密算法等突破网站账号登录的风控、反爬安全措施的功能。
常见的验证机制有验证码验证、
滑块手动验证等。如果某款抢购外挂软件接入打码平台或通过其他方式
突破某网站数字验证、图片验证等措施,则有可能被认定为具有避开或者突破计算机信息系统安全保护措施的功能。
③是否通过自动拨号自动更换IP地址等技术手段突破目标网站安全防火墙对同一IP地址不能频繁发送网络需求的限制。
④是否会以非常规的方式构造虚假网络需求发送给目标网站的服务器。
如果外挂程序针对的目标网站本身没有验证码机制,或者外挂软件仅仅是模拟手动操作,
并没有对计算机的安全以及计算机信息系统造成威胁,仅仅是一种辅助系统,不能够将其认定为侵入或者控制计算机信息系统的程序或者工具。
例如针对12306的一些抢票软件,因为12306 网站取消图形验证码,抢票软件购买火车票无需再获取网站的验证码信息,这使得大部分的抢票软件都不用做到“侵入、控制”计算机信息系统的地步就能够实现“抢票”功能的正常运行。
从技术层面上看,目前流通的“抢票软件”均是基于 12306 售票系统的规则所开发的,仅需要通过程序重复模拟用户手动登录,以多次刷新的形式时刻监控相关车次的出票情况,以便在出票后第一时间将车票收入囊中。但是并不是所有的抢票软件都未触犯刑事法律,如果该抢票软件运用了特殊的技术手段来达到抢票成功的目的,则仍然可能触犯相关刑事法律。
2、是否具有“控制”
计算机信息系统的功能。
“控制”行为,是指通过各种技术手段,使他人计算机信息系统处于其掌控之中,能够接受其发出的指令,完成相应的操作活动。例如
在其他程序下载包中安装后门程序,控制他人电脑当肉鸡、静默卸载或下载等。
①外挂软件并不是木马程序,无论行为人使用何种外挂软件,其本人的计算机信息系统是完全受自己控制的,不会使合法用户不能按照其意愿来控制计算机信息系统。即外挂软件使用者的计算机信息系统没有被控制。无论针对何种外挂软件实施何种外挂软件相关行为,都不会触犯非法控制计算机信息系统罪。
②有些外挂程序未经授权或超越授权给服务器发送数据,但是这些数据并不影响服务器端的计算机信息系统的合法用户对其进行完全的控制,实现应有的功能。
例如有些抢购软件通过构造虚假网络需求发送数据包的行为以及批量下单的行为。在游戏外挂中,
如果只是通过拦截游戏进程数据的方式对游戏服务器加以“欺骗”,游戏服务器的正常运行不受影响,只是由于各种**了通讯协议,通过“自动”的设定,打破了游戏的平衡、进程,对游戏造成了干扰,这种干扰远远达不到控制计算机信息系统的效果,更不具备控制游戏服务器的能力,该类外挂软件不构成提供侵入、非法控制计算机信息系统的程序、工具罪。
③预装SDK工具包,推送广告行为的定性问题。广告SDK是一种运行程序,在运行过程中,并不影响手机用户对手机的使用。从影响的程度上看,也是十分有限,达不到通过刑事评价的程度。
④
外挂是否具有侵入目标网站客户端、服务器的功能。我们要注意外挂程序拦截数据与超越授权获取数据的区别。
破译通信协议,进行数据包拦截、修改与操作的外挂,因为是在客户端与服务器交换数据时实现作弊,该类外挂的实质是中途截获修改数据,并未对游戏进程中的数据通过入侵服务器的方式实际获取,并不具有实际侵入客户端、服务器的功能。
在冯某外挂案件中,法院最终认定检察院指控罪名不成立,冯某不构成提供侵入、非法控制计算机信息系统程序、工具罪,理由是:从该外挂的运行机理来看,其仅是通过截获并修改游戏客户端发送的数据欺骗服务器进而达到一定的游戏效果或体验,该外挂并未实际侵入游戏的客户端、服务器端,虽然干扰了网络游戏系统的正常运行,但尚未达到控制计算机信息系统的程度,也并未破坏网络游戏运行系统。
三、从后果上争取。
某些外挂软件、恶意程序在一定程度上会影响到计算机用户的正常使用,然而不会造成整个计算机信息系统的不正常运行,若认定该行为构成破坏计算机信息系统罪,则罪责失衡。
在判断某款外挂软件、恶意程序的危害性时,可以从以下几个方面考虑。
其一,在整体层面对于其主要功能进行删除、修改、增加或者干扰等操作,致使计算机信息系统严重脱离正常运行的状态甚至丧失基本功能。
其二,对于计算机信息系统中存储、处理或者传输的数据以及应用程序而言,主要表现为违反国家规定对上述对象进行删除、修改或者增加的操作,进而使数据或者应用程序处于严重不正常运行状态。
其三,对于涉及计算机病毒等破坏性程序的场合,主要表现为故意制作或者传播所涉破坏性程序,致使计算机信息系统整体或者系统中的数据、应用程序等处于严重异常运行状态。
时间原因,今天就简单说这些。关于对详细证据的质证技巧,有时间在分享,最后,我想说的是我们律师掌握专业知识的必要性。
恶意代码、外挂程序
犯罪案件属于新型犯罪案件,如果我们没有接触过研究过,在和被告人交流的时候可能就很难,很难形成一种默契,犯罪嫌疑人往往需要向律师解释他们是怎么做的,为什么这么做,结果说了半天,律师自己没听明白是怎么回事,也就没法找到案件中的问题,导致办案结果不是很理想。这类犯罪是新型犯罪,与传统犯罪不同,需要律师对计算机、网络技术案件有深入研究。
最后,还要说一下的是,随着司法打击力度的加大,技术爱好者、程序员千万不要迷信自己的计算机技术高超,能不留下任何证据,一旦被发现,即使最后争取到事实不清、证据不足,罪名不成立,这中间的过程也是极为煎熬和痛苦。
作者:张洪强律师,禁止转载复制,张洪强律师专注于计算机网络黑产犯罪研究。
