外掛案件如何爭取無罪和最輕的處罰

外掛犯罪專題研究

并不是全部的外掛行為都構成犯罪。

目前對于外掛的違法性沒有統(tǒng)一的定論。

外掛案件如何防止被誤抓誤判。

張洪強律師總結了外掛案件爭取無罪和罪輕處罰的三個有效路徑方法，這里就簡單介紹一下，希望能維護好此類案件被告人的合法權益，促進此類案件的額正確處理，防止外掛的作者、銷售者被誤抓誤判。

第一部分：制作、銷售 外掛的定罪量刑標準

第二部分：外掛案件如何爭取無罪和罪輕的處罰。

張洪強律師外掛犯罪案件總結，禁止轉載復制

第一部分：制作、銷售 外掛的定罪量刑標準

外掛犯罪案件取證難、定罪難。

①有些外掛程序，屬于良性腳本輔助，不應當做犯罪處理。

②外掛行業(yè)已經(jīng)形成完整的黑色產(chǎn)業(yè)鏈，查清難、取證難。

外掛開發(fā)者、銷售平臺、銷售代理以及使用外掛的工作室逐漸形成一條網(wǎng)絡黑色產(chǎn)業(yè)鏈條。各個環(huán)節(jié)隱匿在游戲和網(wǎng)絡中，從最上游的外掛制作者到最下游的推廣商，每個位置都有著明確分工，通過網(wǎng)絡進行非實名制的私下交易，因為網(wǎng)上證據(jù)與網(wǎng)下證據(jù)銜接難，很難形成完整的證據(jù)鏈，即使有線索將犯罪嫌疑人抓獲，也有可能因事實不清、證據(jù)不足而不批捕、不公訴、撤案。例如一起外掛案件，犯罪嫌疑人被抓以后，不承認他是外掛軟件的制作者，因為只有下線銷售代理的舉報而沒有其他證據(jù)而釋放。

③外掛犯罪立法缺失，存在司法缺陷。

目前對于外掛的違法性沒有統(tǒng)一的定論，導致在外掛罪名認定上處于混亂的狀態(tài)，同樣是外掛行為在不同的法院、不同的辦案人員那里經(jīng)常會有不同的判決、不同的處罰結果。

下面，先說一下制作編寫外掛、銷售外掛案件的具體定罪量刑標準。

制作銷售外掛犯罪案件可能涉嫌以下罪名：

①編寫銷售外掛涉嫌：提供侵入、非法控制計算機信息系統(tǒng)的程序、工具罪。

量刑標準：①銷售對象達20人次或者違法所得達到5000元，處三年以下有期徒刑或者拘役；②如果銷售人次達到100人，或者收入達到25000元，即屬情節(jié)特別嚴重，處三年以上七年以下有期徒刑。

②制售游戲外掛構成非法獲取計算機數(shù)據(jù)罪、非法控制計算機罪的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。

③制售外掛程序構成破壞計算機信息系統(tǒng)罪的，后果嚴重的，處五年以下有期徒刑或者拘役；后果特別嚴重的，處五年以上有期徒刑。

外掛種類繁多，不同外掛的制作、運行原理不同，涉嫌的罪名也不同。只有詳細分析每一款外掛的制作、運行原理，認清外掛的制作具體需要破解的內(nèi)容，才能具體分析出某一種外掛行為涉嫌何種罪名。

第二部分：外掛案件如何爭取無罪、最輕的處罰。

不是所有的外掛程序都是違法犯罪。

當前公檢法機關對外掛的分類及運行原理不明確，定罪混亂，、辦案經(jīng)驗不足，導致定性不準、甚至定性錯誤，有時出現(xiàn)輕罪重判的現(xiàn)象，這對外掛的從業(yè)者是不公平的。

這里，我就講一下，此類案件如何爭取無罪和罪輕處罰的三個路徑和方法，防止外掛的作者、銷售者被誤抓誤判，以爭取當事人利益的最大化。

一、化解外掛犯罪風險的第一個路徑：

從外掛程序的技術、運行機理角度，爭取不構成刑事犯罪。

我們判斷一款外掛程序是否構成犯罪的時候，首先，要分析這款外掛的制作技術和運行機理。不同的外掛制作、運行原理不同，我們在辯護時要從外掛的具體內(nèi)容、制作的方式、包括的程序內(nèi)容、運行原理、實現(xiàn)的功能等技術角度爭取指控的罪名不成立，爭取最輕的認定。

通用總結的外掛的開發(fā)技術過于復雜，很多人看不懂，也不能理解。張洪強律師根據(jù)自己辦案經(jīng)驗的總結，認為外掛案件的主流開發(fā)技術可分為四種，用通俗易懂的語言表述為：

①自動腳本類技術。

②數(shù)據(jù)獲取類技術。

③客戶端修改類技術。

④數(shù)據(jù)包（通信協(xié)議數(shù)據(jù)）修改類技術。

根據(jù)開發(fā)技術的原理，有一些外掛程序行為，是不應該被當做刑事犯罪處理的。具體如下：

1、數(shù)據(jù)獲取類技術。

數(shù)據(jù)獲取類技術，可以被稱為外掛之母，任何外掛要想發(fā)揮作用，都要先獲取網(wǎng)絡游戲中的數(shù)據(jù)。

該類技術，并不對游戲程序本身進行修改，通常不會獨立地產(chǎn)生作用，此類技術的主要應用途徑有兩類：

①圖像查找類。如“屏幕找色”，通過對電腦顯示屏輸出的畫面進行檢索，獲取如“金錢”“血量”“路徑”等信息，該類技術不會讀取游戲的內(nèi)存數(shù)據(jù)，一般也不會繞過游戲的保護機制。

對于通過自動屏幕截圖、自動屏幕比色、自動屏幕點擊等技術手段實現(xiàn)的自動執(zhí)行任務的腳本程序，不能認定為非法侵入、控制程序。

②內(nèi)存查找類。內(nèi)存查找類技術則是通過對加密的內(nèi)存數(shù)據(jù)進行破解，得到正常玩家無法獲得的數(shù)據(jù)，正常玩家在游玩過程中只能獲得從畫面上顯示出來的信息，比如在射擊游戲中通過非法獲取到的敵人位置信息、玩家的坐標信息、屬性等，就是所謂的透視功能、隔墻看人等功能。

內(nèi)存查找類數(shù)據(jù)獲取技術，屬于非法獲取游戲中的數(shù)據(jù)，廣大游戲廠商對于這類技術幾乎束手無策，只能通過不停地更新游戲版本來改變關鍵數(shù)據(jù)的位置或加密協(xié)議。

2、自動腳本類技術。

游戲腳本不涉及修改游戲數(shù)據(jù)或者新增功能，這種腳本只是代替人工完成機械性操作，它存在的意義就是解放雙手。

這種腳本所達到的效果，對游戲的影響微乎其微，沒有達到刑法所規(guī)定的社會危害性。

特點：它并不修改關于游戲程序本身的任何數(shù)據(jù)。該類技術本身并不存在極大的危害性，甚至一定程度可以優(yōu)化網(wǎng)絡游戲玩家體驗，減少枯燥反復的操作。

A、模擬人工操作類腳本，不應被當作犯罪處理。

直接錄制一段固定按鍵序列，并對這個按鍵序列進行循環(huán)模擬，當游戲程序運行時，腳本會自動運行，并執(zhí)行其中指定的操作，例如鼠標連點腳本、鍵盤連點腳本。

腳本程序的作用原理是編寫腳本去構造點擊邏輯，讓腳本分析器去解析參數(shù)傳遞給相應功能接口，從而實現(xiàn)點擊過程。常見的按鍵精靈、觸動精靈等都是通過這種操作實現(xiàn)的，該類技術本身并不存在極大的危害性，只模擬了人工操作點擊屏幕, 別的沒有進行過任何修改游戲本地信息,以及服務器傳輸數(shù)據(jù)的信息， 也沒有繞過游戲公司的任何安全保護機制，甚至一定程度可以優(yōu)化網(wǎng)絡游戲玩家體驗，減少枯燥反復的操作。

B、圖色識別自動執(zhí)行類腳本，不應被當做犯罪處理。

通過識別游戲畫面圖像觸發(fā)特定按鍵，例如通過識別游戲界面圖像，自動尋路、自動拾取、自動打怪等。

主要是通過對游戲畫面進行圖像檢索識別，獲取如“金錢”“血量”“路徑”等信息，該類技術不會讀取游戲的內(nèi)存數(shù)據(jù)，一般也不會繞過游戲的保護機制。

例如，使用Python技術實現(xiàn)自動打怪的腳本，其運行機理是編寫函數(shù)來截取屏幕截圖，使用圖像識別技術，通過PyAutoGUI和Pillow庫來查找游戲中的角色和怪物，根據(jù)角色和怪物的位置和狀態(tài)，判斷是否需要進行攻擊或移動，使用模擬鍵盤鼠標操作庫（如pyautogui、pynput）模擬鍵盤和鼠標操作，實現(xiàn)角色的移動和攻擊。

根據(jù)腳本的運行機理，并不會讀取游戲數(shù)據(jù)，也不會修改游戲數(shù)據(jù)。

對于通過自動屏幕截圖、自動屏幕比色、自動屏幕點擊等技術手段實現(xiàn)的自動執(zhí)行任務的腳本程序，不能認定為非法侵入、控制程序。

C、讀取內(nèi)存自動執(zhí)行類腳本。

當自動腳本功能實現(xiàn)是基于非法數(shù)據(jù)時，如果運氣不好、或者使用規(guī)模過大，此類腳本是有可能被刑事打擊的。

內(nèi)存查找類技術通過對加密的內(nèi)存數(shù)據(jù)進行破解，得到正常玩家無法獲得的數(shù)據(jù)，正常玩家在游玩過程中只能獲得從畫面上顯示出來的信息，比如在射擊游戲中通過非法獲取到的敵人位置信息、玩家的坐標信息、屬性等，就是所謂的透視功能、隔墻看人等功能。

當腳本類技術結合內(nèi)存讀取類技術，則可以開發(fā)出各種功能強大的外掛，如 “自動瞄準”“自動躲避” “自動練級”等等，會在不同程度上去破壞游戲平衡性。

以自動執(zhí)行為核心的腳本是否具有危害性，應當以其是否有非法獲取數(shù)據(jù)的行為來區(qū)分。當自動腳本使用的是合法信息，通過“屏幕找色”“操作錄制”等功能來做到自動執(zhí)行的效果時，對此不應考慮入罪，因為既不存在破壞類行為，也不存在非法獲取行為，可以理解是玩家通過對電腦的充分利用來破壞游戲平衡，在危害性和構成要件上都不足以被計算機類罪名所規(guī)制，且由于我國對游戲代練、腳本軟件等方面并沒有進行政策上的規(guī)制，該類程序的出售或服務提供都不構成犯罪，只是單純對于網(wǎng)絡游戲用戶協(xié)議的違反，可以按照民事糾紛或不正當競爭行為處理。

而當自動腳本功能實現(xiàn)是基于非法數(shù)據(jù)時，可以根據(jù)其是否存在非法獲取數(shù)據(jù)，針對“處理或傳輸?shù)臄?shù)據(jù)進行增加、修改”等行為，判斷何種罪名更能夠精確的描述具體犯罪行為。

　 3、客戶端修改類技術。

客戶端指的是用戶在個人電腦上的程序，用于與運營廠商的服務器端協(xié)同工作。

目前游戲行業(yè)一般將計算量較大且運行延遲要求較高的部分放在客戶端處理，比如射擊類、格斗類游戲大多以本地數(shù)據(jù)計算為主，以求為玩家提供更好的游戲操作體驗。

客戶端修改類外掛開發(fā)涉及技術有以下類型：

①直接內(nèi)存修改。

外掛通過檢測游戲運行時系統(tǒng)內(nèi)存數(shù)據(jù)變化，進而確定內(nèi)存中涉及游戲貨幣、道具數(shù)量、角色屬性等核心數(shù)據(jù)的區(qū)域，通過鎖定或修改相關數(shù)值來實現(xiàn)游戲作弊。

如圖所示：

例如，通過外掛程序檢測內(nèi)存中玩家信息（角色、職業(yè)、級別、道具、財富），然后在鎖定內(nèi)存修改所需要的游戲信息進行游戲作弊。

由于其本身的局限性并不會對網(wǎng)絡游戲產(chǎn)生多大的破壞，但是對于一些數(shù)據(jù)加密方式落后的游戲，直接內(nèi)存修改也可以對其產(chǎn)生較為明顯的影響。

我在浙江處理的一起外掛案件，就屬于對客戶端進行修改。

②源程序修改。

這種技術也需要更高的專業(yè)水平，要求對計算機編程高級語言和匯編語言有一定的掌握，通常為專業(yè)外掛開發(fā)者所使用。

這種類型的外掛實際上就是在原始程序的基礎上創(chuàng)建了新的游戲內(nèi)容，但與原始游戲共用一個服務器數(shù)據(jù)庫。

開發(fā)這類外掛，需要通過反匯編等手段對游戲的客戶端程序進行解析，了解游戲內(nèi)部的運行方式，從根源上進行修改。

③動態(tài)鏈接庫注入修改。

動態(tài)鏈接庫（ＤＬＬ）是微軟公司在微軟Ｗｉｎｄｏｗｓ操作系統(tǒng)中，實現(xiàn)共享函數(shù)庫概念的一種方式。常見的有ＤＬＬ注入類外掛或者ＤＬＬ劫持類外掛，二者作用原理大致相同，都是對網(wǎng)絡游戲運行所需要使用的函數(shù)庫進行修改，并在運行時使其成為程序進程的一部分。

4、數(shù)據(jù)包修改類技術--修改通信協(xié)議數(shù)據(jù)。

當前主流的網(wǎng)絡游戲采用客戶端/服務器端模式，彼此兩端通過網(wǎng)絡通信協(xié)議完成游戲數(shù)據(jù)交互。

外掛通過破解網(wǎng)絡游戲客戶端程序和通信協(xié)議，截獲客戶端與服務器端通信協(xié)議數(shù)據(jù)包，修改并注入內(nèi)容達到游戲作弊目的。數(shù)據(jù)包的修改是實現(xiàn)外掛功能的主要部分，比如服務器給客戶端的指示是讓玩家的游戲人物死亡，那么破解并修改通信協(xié)議數(shù)據(jù)包中的特定部分，就可以將指示改為存活或者復活。

簡單概括為：破解-抓包-修改-再發(fā)包。

①破解網(wǎng)絡游戲客戶端登錄窗口和通信協(xié)議-破解

②通過截獲通信協(xié)議數(shù)據(jù)包-抓包。

③對操作指令進行偽裝-修改。

④再發(fā)送給服務器修改后的指令-再發(fā)包

服務器端無法識別偽裝后的操作指令，就做出了外掛使用者想要得到的反應進而完成游戲作弊。

這種修改技術目前也很常見，常用于客戶端加密較強、無法直接修改的網(wǎng)絡游戲。開發(fā)者需要對游戲反編譯，理解游戲程序邏輯、通訊協(xié)議的結構、規(guī)則以及加密算法、函數(shù)功能、參數(shù)以及地址等，調(diào)用或修改游戲客戶端的某些程序功能，是較為先進的技術。

網(wǎng)絡上多用ＷＰＥ網(wǎng)絡編程控件來實現(xiàn)數(shù)據(jù)包的抓取、修改和發(fā)送，該類軟件存在眾多開源項目或者源代碼。

二、化解外掛犯罪風險的第二個路徑：從外掛程序功能和鑒定上爭取無罪。

外掛程序功能的認定，是給外掛定罪定性最重要最關鍵的部分，只有通過鑒定，認定外掛程序?qū)儆谄茐男猿绦颉⒎欠ㄇ秩搿⒖刂瞥绦?，制作外掛的行為才構成相關計算機犯罪。

例如，我遇到的一起案件，因無法做鑒定，最終嫌疑人的行為難以被認定為犯罪。

外掛腳本程序，是否具有非法侵入功能、非法控制功能、破壞功能是制作者、售賣者是否構成犯罪的關鍵點。

首先，爭取認定為：不具有非法侵入功能、不具有非法控制和破壞功能。

在準確理解什么是非法獲取數(shù)據(jù)行為、什么是計算機信息系統(tǒng)的前提之下，對外掛程序非法獲取數(shù)據(jù)、控制系統(tǒng)、破壞系統(tǒng)的相關罪行為，才能做出相對客觀的判斷。

1、“數(shù)據(jù)封包”和“游戲客戶端”不應被認定為“計算機信息系統(tǒng)”。

構成計算機犯罪的前提是侵入、控制、破壞計算機信息系統(tǒng)，而“數(shù)據(jù)封包”和“游戲客戶端”不應被認定為“計算機信息系統(tǒng)”。

依據(jù)：《關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》第十一條第一款規(guī)定，本解釋所稱“計算機信息系統(tǒng)”和“計算機系統(tǒng)”，是指具備自動處理數(shù)據(jù)功能的系統(tǒng)，包括計算機、網(wǎng)絡設備、通信設備、自動化控制設備等。

根據(jù)以上司法解釋的規(guī)定，計算機信息系統(tǒng)應是具備自動處理數(shù)據(jù)功能的設備。

A、數(shù)據(jù)封包并非具有自動處理數(shù)據(jù)功能的設備，不屬于計算機信息系統(tǒng)；

B、客戶端安裝在用戶自己的電腦上，不可能認為用戶自己侵入自己的計算機信息系統(tǒng)。

因此，計算機犯罪中的“計算機信息系統(tǒng)”應指服務器，而不是客戶端和數(shù)據(jù)封包，不應將“計算機信息系統(tǒng)”不合理地擴大解釋為包括“客戶端-數(shù)據(jù)封包-服務器”的整個游戲進程，而實踐中的網(wǎng)絡游戲外掛絕大部分都是作用于客戶端和數(shù)據(jù)封包的，因而不滿足該罪的“計算機信息系統(tǒng)”要件。

對于游戲運營商的服務器計算機系統(tǒng)而言，外掛程序雖然修改

了客戶端與之傳送的數(shù)據(jù)封包，造成服務器一定負擔，但并未入侵游戲服務器，也沒有修改服務器中的數(shù)據(jù)，因此不能認定為侵入服務器的計算機系統(tǒng)。

2、爭取認定為不具有“侵入功能”。

外掛程序的侵入功能，表現(xiàn)為：是否破解了客戶端的加密算法和通信協(xié)議、繞開安全防護機制、繞過外掛檢測防護機制，即通過各種技術手段突破游戲計算機信息系統(tǒng)的防護措施。

模擬人工操作類腳本、圖色識別自動執(zhí)行類腳本，不具有侵入功能。

內(nèi)存讀取自動執(zhí)行類腳本，因為有非法讀取內(nèi)存數(shù)據(jù)的行為，有可能被認定為有侵入功能。

客戶端修改類腳本、數(shù)據(jù)包（通信協(xié)議數(shù)據(jù)）修改類腳本，有被錯誤認定為“侵入”功能的可能。

3、爭取認定為“不具有非法控制功能”。

外掛雖經(jīng)不法手段獲取游戲數(shù)據(jù)修改權限，但遠達不到控制計算機系統(tǒng)的程度，“非法控制”要求對計算機信息系統(tǒng)產(chǎn)生排他性支配，而網(wǎng)絡游戲外掛只是通過對客戶端或數(shù)據(jù)封包的數(shù)據(jù)進行修改，實現(xiàn)游戲本不具有的功能，并不影響其他玩家參與網(wǎng)絡游戲，未對游戲程序產(chǎn)生排他性支配，因而也不宜將其認定為“非法控制計算機信息系統(tǒng)的程序、工具”。

我們需要注意，外掛程序使游戲進行自動任務，自動控制游戲進行自動躲避、自動殺怪、自動刷關等操作，不代表對游戲系統(tǒng)進行了控制。

例如，夢幻西游的一款腳本，利用python圖像識別技術，編寫函數(shù)，讓玩家可以自動執(zhí)行挖寶、接圖任務，這并不是對游戲系統(tǒng)的控制，而是通過圖像識別，編寫函數(shù)，在游戲系統(tǒng)外，再造一套執(zhí)行程序，而不是通過對侵入、控制游戲系統(tǒng)實現(xiàn)的。

模擬人工操作類腳本、圖色識別自動執(zhí)行類腳本，不具有侵入功能，一般也不具有非法控制功能。

讀取內(nèi)存自動執(zhí)行類腳本，因為有侵入功能，如果通過調(diào)用游戲內(nèi)部函數(shù)，使游戲執(zhí)行了某項操作或新增了功能，有被認定為具有非法控制功能的可能。

4、爭取認定為不具有“破壞性功能。

外掛程序破壞性功能的判斷標準是：對網(wǎng)絡游戲內(nèi)部數(shù)據(jù)和應用程序?qū)嵤┝藙h除、修改、增加的操作，且后果嚴重。

經(jīng)常有不專業(yè)的人說，只要增加了游戲沒有的新功能，就是通過增改刪實現(xiàn)，就破壞了計算機系統(tǒng)是錯誤的。

我們在辦理案件時要特別注意，外掛程序增加了游戲本身不具有的功能，如透視、自動瞄準，自動挖寶、刷關等，不一定是通過對游戲的數(shù)據(jù)和應用程序?qū)嵤┝藙h除、修改、增加的操作實現(xiàn)的，有可能是通過圖色識別實現(xiàn)，例如《英雄聯(lián)盟》某款腳本外掛，可以使游戲玩家在游戲中獲得自動攻擊、自動躲避敵方技能，是通過圖色識別實現(xiàn)，并不是通過對游戲的數(shù)據(jù)和應用程序?qū)嵤┝藙h除、修改、增加的操作實現(xiàn)的。

①模擬人工操作類腳本外掛、圖色識別自動執(zhí)行類腳本外掛，不具有侵入功能，不會對游戲的數(shù)據(jù)和應用程序?qū)嵤┝藙h除、修改、增加的操作，不具有破壞功能。

讀取內(nèi)存自動執(zhí)行類外掛，雖然讀取了游戲內(nèi)部的數(shù)據(jù)，但不會對游戲的數(shù)據(jù)和應用程序?qū)嵤┝藙h除、修改、增加的操作，不具有破壞功能。

②數(shù)據(jù)修改類外掛存在侵入客戶端，復制修改客戶端程序數(shù)據(jù)的行為，不可否認其具有侵入性的特點，但是，根據(jù)運行原理，數(shù)據(jù)修改類外掛不存在對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，其劫持的是數(shù)據(jù)封包，對計算機信息系統(tǒng)功能不具備影響力。

③從行為人的主觀目的來看，外掛開發(fā)者和銷售者是為獲取高額利潤而制作或銷售，其正常運行也需要依賴于安全的計算機信息系統(tǒng)和網(wǎng)絡系統(tǒng)，其不能也不想造成原游戲服務器不能正常運行。因而數(shù)據(jù)修改類外掛不具備破壞計算機信息系統(tǒng)安全的目的，不屬于破壞計算機信息系統(tǒng)安全的犯罪意義上的“破壞性程序”。

④所造成的后果不能達到“后果嚴重”的程度。

從外掛的危害后果來看，所影響的是游戲玩家的體驗感，對網(wǎng)絡游戲系統(tǒng)的應用程序和運行安全并不致以造成危害，與造成網(wǎng)絡黑屏、待機、卡機等因為應用程序受到破壞而使網(wǎng)絡游戲系統(tǒng)無法安全運行、游戲功能無法正常發(fā)揮的情形具有顯著的區(qū)別。

一般而言，外掛通過破壞原程序的技術保護措施，未經(jīng)授權或超越授權對計算機信息系統(tǒng)進行訪問、使用，其干擾了主程序的正常運行，但尚未達到破壞計算機信息系統(tǒng)的程度，不宜以破壞計算機信息系統(tǒng)罪論處。

其次，從外掛程序功能的鑒定上入手，爭取不構成犯罪。

游戲外掛案件中，公安機關需要委托專門的鑒定機構對外掛程序的功能進行司法鑒定，鑒定機構的鑒定意見，是定罪的最關鍵的證據(jù)。

關于鑒定機構出具的鑒定意見，經(jīng)常存在以下幾個方面問題。

第一方面：有些鑒定機構出具的鑒定意見比較模糊，不能夠?qū)ν鈷斐绦蚓唧w運行機理做詳細說明，導致無法對外掛的功能做出準確的認定。

在徐州有一起游戲外掛案件，鑒定意見僅論證念蘇蘇外掛程序?qū)τ螒虻恼２僮髁鞒毯驼＿\行方式造成了干擾，進而將其界定為‘破壞性程序’，但未論證外掛程序?qū)贸绦蜻M行了修改、增加，亦未證明是否造成計算機系統(tǒng)無法正常運行，最終，法院認為，不能根據(jù)該鑒定意見將涉案外掛程序認定為“破壞性程序”。

我們在辦理案件時要注意：

①只是寫明網(wǎng)絡游戲外掛具有破壞性等概括性描述，并沒有論證外掛程序?qū)贸绦蜻M行了修改、增加，亦未證明是否造成計算機系統(tǒng)無法正常運行。

②只是寫明“改變軟件的運行過程、結果”或“對游戲的正常操作流程和正常運行方式造成了破壞”的模糊描述，并沒有論證運行機理。

③只是寫明“自動控制游戲進行挖寶、、、、、、、等自動任務”，并沒有論證控制自動執(zhí)行任務是基于游戲畫面圖像識別還是基于非法獲取的內(nèi)部數(shù)據(jù)。

因為鑒定意見中 ，沒有將外掛程序的運行機理講通、講透，經(jīng)常會出現(xiàn)難以正確適用法律的情況。

第二方面：鑒定結論如何轉化成法律術語的情況。

技術人與法律人對專用名詞、專門問題的理解不同，鑒定人員因為缺乏對法律法規(guī)的理解，無法使用準確的法律用語來描述軟件的法律屬性。

如某鑒定機構的鑒定報告中認為“送檢程序具有避開專門為游戲采取的安全保護措施、未經(jīng)授權獲取游戲內(nèi)存數(shù)據(jù)，以達到自瞄、透視等特定功能，是一種破壞性程序”。

此處的破壞性程序該如何理解，能不能按照破壞性程序，來認定該外掛具有破壞性，給定破壞計算機信息系統(tǒng)罪，顯然不能。實際上，單純的獲取數(shù)據(jù)，屬于非法獲取行為，不屬于刑法第286條所規(guī)制的“破壞”行為。

這種表述、理解上的不對稱性，對司法實踐中準確認定腳本外掛的性質(zhì)、是否應當適用刑法加以打擊、適用何條款進行打擊產(chǎn)生了相當大的影響。

要準確對外掛進行定性、適用法律規(guī)定加以規(guī)制，就必須對可能涉及到的數(shù)個罪名有準確理解。

第三方面：檢材、樣本來源不明的問題，提取程序不合法的問題。

公安機關在委托司法鑒定機構對涉案的腳本程序進行鑒定時，需要向鑒定機構移送他們提取的腳本程序，這個被移動的用于鑒定的腳本程序，就是用于鑒定的檢材，如果檢材來源不明，或者檢材提取程序不合法，則無法保證鑒定的針對性、客觀性，總結我遇到的外掛類案件，在鑒定檢材方面經(jīng)常存在以下問題。

A、檢材來源不明的問題。

①沒有檢材外掛程序的提取筆錄。按照取證規(guī)定，對電子程序進行提取要制作筆錄，符合技術條件，并且要有見證人在場。

②檢材提取的時間與送檢的時間。

因游戲外掛一般有多個版本在售，要注意通過檢材提取時間來確認同一性。

在一起外掛案件中，檢測報告中“星火4.07B版本vmp.exe”是在2018年4月7日在網(wǎng)上發(fā)布，而被告人在2018年3月22日其已被羈押，顯然無法證明外掛的一致性。

③提取檢材、送檢檢材、被鑒定檢材的名稱、哈希值是否一致的問題。

王某編寫的QQ飛車游戲外掛案件，王某編寫的外掛名字為 “稱霸休閑”，而福建中證司法鑒定中心電子數(shù)據(jù)檢驗報告中載明的檢驗對象名為“9月1日盼盼最新飛車外掛”，不能證明檢材的一致性，鑒定意見沒有被采納。

B、檢材來源于證人而非嫌疑人那里。

有一起外掛案件，警方從嫌疑人那里沒有提取到外掛程序，而是從外掛使用者那里提取了一款外掛程序用于鑒定，而外掛使用者有多個渠道購買外掛，且市面上有多款類似的外掛，通過外掛使用者的購買記錄，無法確認被鑒定的外掛程序就是嫌疑人制作、售賣的。

C、檢材來源于新制作的外掛，無法確認同一性。

我在山東處理過一起案件，被告人被抓以前，已經(jīng)將自己制作的外掛全部刪除了，警方為了辦案，讓嫌疑人又重新制作了一款外掛用于鑒定，顯然不能證明外掛的同一性。

第四方面：鑒定程序是否違反《軟件功能鑒定技術規(guī)范》《破壞性程序檢驗操作規(guī)范》等規(guī)定；鑒定過程是否符合技術標準和規(guī)范要求。

司法鑒定機構鑒定人員在鑒定時是否按照司法鑒定檢驗的一系列國家標準和行業(yè)標準，是我們要重點審查的。

①《電子數(shù)據(jù)司法鑒定通用實施規(guī)范》。

②《電子物證軟件功能檢驗技術規(guī)范》。

③《聲像資料鑒定通用規(guī)范》（SF/ZJD0300001-2010）。

三、化解外掛犯罪風險的第三個路勁：從證據(jù)上爭取不構成犯罪。

在外掛犯罪案件中，證據(jù)一般都是圍繞人員架構、資金流和網(wǎng)絡痕跡，我們律師要重點審查人員鏈、資金流和網(wǎng)絡痕跡的相關證據(jù)，看能否找到證據(jù)存在的問題，切斷證據(jù)鏈。

很多外掛從業(yè)者被抓之后，拒不承認外掛是他制作和銷售的，但最終也有一些人被定了罪判了刑，為什么？就是因為不能推翻偵察機關取得的證據(jù)鏈條。要爭取不批捕、不公訴、罪名不成立需要從證據(jù)入手，看能否切斷證據(jù)鏈。

例如某案件，犯罪嫌疑人被抓以后，不承認他是腳本外掛軟件的制作者，因為只有下線銷售代理的舉報而沒有其他證據(jù)而釋放。

1、如何證明被告人是外掛程序的制作者、銷售者。

網(wǎng)絡犯罪與傳統(tǒng)犯罪不同，即使有線索指向犯罪嫌疑人并將其抓獲，也很難確定犯罪嫌疑人就是外掛的制作者、銷售者。

首先，審查網(wǎng)絡痕跡證據(jù)指向。

我們在辦理案件時可以按照以下幾步來審查相關證據(jù)，看能否切斷證據(jù)鏈。

第一步: 審查外掛的代碼信息與嫌疑人的關聯(lián)性。

審查涉案腳本程序中是否留有代表作者身份信息的字符串信息，該字符串信息能否指向犯罪嫌疑人。例如在一起案件中，在涉案程序源碼中發(fā)現(xiàn)有一個字符串“mischa07”， 犯罪嫌疑人陳某供述自己曾用“mischa07”作為在一些網(wǎng)站、論壇以及郵箱、賬號的登錄名。該字符串就對犯罪嫌疑人形成了一定的指向性。

第二步：審查被告人電腦、手機中是否檢測出腳本的相關文件、程序，是否與公安機關提取的涉案外掛程序一致，主要包括文件名、目錄名、md5值的質(zhì)證。是否發(fā)現(xiàn)“外掛”生成程序、“外掛”源代碼、輔助硬件等作案工具。

例如，我遇到的某起案件中，從嫌疑人電腦中提取到外掛卡密信息。

第三步：相關的ip地址、mac地址、域名、服務器中的痕跡信息等與嫌疑人的關聯(lián)性。

審查虛擬主機、ip地址、域名、解析記錄、上網(wǎng)日志的關聯(lián)性，審查銷售平臺、發(fā)卡機器人的注冊信息，相關銷售平臺、下載網(wǎng)址等ip地址等網(wǎng)絡痕跡是否與被告人的電腦、qq、郵箱、微信、微博等個人賬戶的登錄ip地址一致。

其次、切斷嫌疑人與外掛黑色產(chǎn)業(yè)鏈的“人員鏈”證據(jù)。

在很多案件中，公安機關只抓獲外掛黑色產(chǎn)業(yè)鏈一個環(huán)節(jié)上的犯罪嫌疑人，從這些被抓獲的嫌疑人這里找證據(jù)指向其他環(huán)節(jié)的人，我們遇到很多外掛從業(yè)者被抓都是因為下線銷售者、代理被抓而舉報，所以我們要重視人員鏈的相關證據(jù)。

切斷人員鏈證據(jù),即‘同案犯指認→被告人’的證據(jù)指向。

外掛犯罪呈現(xiàn)出黑色產(chǎn)業(yè)鏈的特征，這些人一般都互不認識，只是通過微信、qq、以及境外聊天工具聯(lián)系的網(wǎng)友，互相之間連真實名字都不知道。

審查同案犯舉報是否有其他證據(jù)來證明，單純舉報而沒有其他證據(jù)印證的，難以定罪，就像我遇到的一起案件，嫌疑人被舉報被抓，但警方已經(jīng)找不到他銷售的外掛，無法提取做功能性鑒定，最終，因證據(jù)不足，不能查清犯罪事實，檢察院無法逮捕。

我們律師在處理案件時要審查證據(jù)中的聊天記錄、轉款記錄、通話記錄、聯(lián)機記錄等，看是否有充分證據(jù)證明他們之間有預謀、有聯(lián)系，爭取切斷“由人到人”的證據(jù)鏈。

尤其要要審查qq、微信、whatsapp、紙飛機等境外網(wǎng)絡聊天記錄證據(jù)是否合法、能否相互印證。能否證明聊天賬號是嫌疑人在使用，能否證明聊天記錄的內(nèi)容與涉案的外掛程序有關，聊天記錄的取證程序是否合法合規(guī)。

在很多外掛類案件中，警方會對聊天記錄進行截圖，要注意看偵查人員在取證時有沒有取證筆錄，有沒有見證人在場，如果沒有取證筆錄和見證人在場，不符合電子證據(jù)的取證規(guī)則，我們還要審查原始載體的問題。

再次、審查資金鏈的證據(jù)指向。

購買外掛的資金→外掛銷售者→外掛代理→外掛作者。

資金鏈證據(jù)包括：

①銷售平臺的域名、ip地址、管理頁面截圖（證實充值金額）銷售網(wǎng)站的會員消費記錄、銀行賬戶交易清單。

②相關微信、支付寶交易流水、轉賬記錄等。

③虛擬幣的流轉記錄。

現(xiàn)在很多外掛的作者都只收取虛擬幣，不接受銀行卡、支付寶等流水交易。關于比特幣、USDT等虛擬幣的追蹤問題，我已經(jīng)說過多次，有需要的可以搜索張洪強律師網(wǎng)站查看，這里在簡單一說：虛擬幣流向路徑關聯(lián)到被告人的證據(jù)是否形成證據(jù)鏈的問題。

要審查虛擬貨幣賬戶、錢包地址、IP地址等網(wǎng)絡痕跡與被告人的關聯(lián)性證據(jù)。如果不能形成證據(jù)鏈，就有可能從證據(jù)上切斷涉案資金、虛擬貨幣的交易網(wǎng)絡、交易行為以及資金流向與被告人的對應或關聯(lián)關系。

例如在陜西毛某一案，第三級收款賬戶的錢如何轉出，以及尾號為TH5Y提幣地址如何變現(xiàn)都未查清，警方在補充偵查報告中，稱查清難度大，無法查清，便草草結案。

還有某起虛擬幣網(wǎng)絡盜竊案，警方在被入侵服務器上提取到犯罪嫌疑人對該服務器有xss攻擊記錄，便將犯罪嫌疑人抓獲，但因最終沒有發(fā)現(xiàn)虛擬幣的流轉證據(jù)以及變現(xiàn)證據(jù)，將犯罪嫌疑人釋放撤案。

我們律師在辦理案件時需要注意，由于數(shù)字貨幣具有具有強匿名特點，持有者信息則為公鑰與私鑰字符串，系統(tǒng)生成的不同賬戶、地址不存在關聯(lián)性。在這種特性之下，用戶的真實身份很難去追蹤和驗證。盡管用戶在區(qū)塊鏈網(wǎng)絡中的行為都是公開透明的，憑借這些交易行為確實可以利用大數(shù)據(jù)分析技術來對交易雙方的真實身份進行推斷，但這種方式的推斷具有很大的主觀性,容易找到辯護的空間。

我們還需要注意一種情況就是在一些案件中，犯罪嫌疑人可能會使用混幣器、聯(lián)合幣（共享發(fā)送）、暗錢包、隱形地址等方式混幣，分離交易中的輸入和輸出地址，即割裂輸入地址和輸出地址之間的關系，目的是提高加密貨幣的隱私性和匿名性，使其更難追蹤加密貨幣的用途以及它屬于誰。

我們在辯護時，在對證據(jù)進行審查與質(zhì)證時，要有專業(yè)的思維，來審查數(shù)字貨幣賬戶與犯罪嫌疑人之間的關聯(lián)性證據(jù)。

我們律師要注意一些反偵查手段的實施，例如使用黑卡、地下錢莊、跑分平臺、虛擬貨幣OTC場外交易、暗網(wǎng)、混幣等手段，導致的證據(jù)鏈中斷無法追溯的情況，隨著反偵查能力的提高，查清資金流轉路徑、流轉金額難度越來越大。

例如，我在2018年辦理的李某網(wǎng)絡案件，涉及到比特幣的流轉證據(jù)問題，公安機關起訴意見書認定涉案贓款是2000多萬，但我們根據(jù)資金流水的證據(jù)，最終讓檢察院在起訴時，將金額降低為700多萬。

4、外掛程序是否提取到。如果提取不到，將無法確定外掛的功能，無法定罪。我在山東處理的一起案件，腳本外掛制作者被抓后，涉案的程序已經(jīng)被銷毀，無法提取到。

5、外掛的運行原理是否查清。如果查不清運行原理，案件將無法定罪。

6、腳本黑色產(chǎn)業(yè)鏈的組織架構、運作模式是否查清。

7、外掛的銷售渠道、銷售人次是否查清。

辦理外掛犯罪案件不僅面臨法律問題,也時刻面臨錯綜復雜的技術問題，外掛犯罪案件專業(yè)性極強，正深刻顛覆著傳統(tǒng)的辦案模式,挑戰(zhàn)著辦案人員傳統(tǒng)的知識儲備，在這些小小程序中使用了許多計算機技術，我們律師要想在此類案件中，真正能維護好涉案人員的合法權益，就要加強專業(yè)知識的學習和經(jīng)驗的積累，不能臨時抱佛腳，從網(wǎng)絡上查一下膚淺的知識就上戰(zhàn)場。

作者：張洪強律師，禁止轉轉載復制剽竊，張洪強律師外掛、腳本、私服類網(wǎng)絡犯罪案件經(jīng)驗總結，有需要交流的可以搜索張洪強律師網(wǎng)站、電話、私信。

游戲外掛類犯罪研究-張洪強律師

游戲腳本類犯罪研究-張洪強律師

游戲私服類犯罪研究-張洪強律師

腳本外掛犯罪(一) 從外掛程序開發(fā)技術上爭取無罪。

腳本外掛犯罪(二)：從外掛程序功能鑒定上爭取無罪。

腳本外掛犯罪(三):外掛犯罪案件從證據(jù)上爭取無罪。