外挂犯罪研究：卖游戏外挂怎么定罪判刑？制作编写外挂程序判几年

外挂案件如何争取无罪和最轻的处罚

外挂犯罪专题研究

并不是全部的外挂行为都构成犯罪。

目前对于外挂的违法性没有统一的定论。

外挂案件如何防止被误抓误判。

张洪强律师总结了外挂案件争取无罪和罪轻处罚的三个有效路径方法，这里就简单介绍一下，希望能维护好此类案件被告人的合法权益，促进此类案件的额正确处理，防止外挂的作者、销售者被误抓误判。

第一部分：制作、销售 外挂的定罪量刑标准

第二部分：外挂案件如何争取无罪和罪轻的处罚。

张洪强律师外挂犯罪案件总结，禁止转载复制

第一部分：制作、销售 外挂的定罪量刑标准

外挂犯罪案件取证难、定罪难。

①有些外挂程序，属于良性脚本辅助，不应当做犯罪处理。

②外挂行业已经形成完整的黑色产业链，查清难、取证难。

外挂开发者、销售平台、销售代理以及使用外挂的工作室逐渐形成一条网络黑色产业链条。各个环节隐匿在游戏和网络中，从最上游的外挂制作者到最下游的推广商，每个位置都有着明确分工，通过网络进行非实名制的私下交易，因为网上证据与网下证据衔接难，很难形成完整的证据链，即使有线索将犯罪嫌疑人抓获，也有可能因事实不清、证据不足而不批捕、不公诉、撤案。例如一起外挂案件，犯罪嫌疑人被抓以后，不承认他是外挂软件的制作者，因为只有下线销售代理的举报而没有其他证据而释放。

③外挂犯罪立法缺失，存在司法缺陷。

目前对于外挂的违法性没有统一的定论，导致在外挂罪名认定上处于混乱的状态，同样是外挂行为在不同的法院、不同的办案人员那里经常会有不同的判决、不同的处罚结果。

下面，先说一下制作编写外挂、销售外挂案件的具体定罪量刑标准。

制作销售外挂犯罪案件可能涉嫌以下罪名：

①编写销售外挂涉嫌：提供侵入、非法控制计算机信息系统的程序、工具罪。

量刑标准：①销售对象达20人次或者违法所得达到5000元，处三年以下有期徒刑或者拘役；②如果销售人次达到100人，或者收入达到25000元，即属情节特别严重，处三年以上七年以下有期徒刑。

②制售游戏外挂构成非法获取计算机数据罪、非法控制计算机罪的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

③制售外挂程序构成破坏计算机信息系统罪的，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

外挂种类繁多，不同外挂的制作、运行原理不同，涉嫌的罪名也不同。只有详细分析每一款外挂的制作、运行原理，认清外挂的制作具体需要破解的内容，才能具体分析出某一种外挂行为涉嫌何种罪名。

第二部分：外挂案件如何争取无罪、最轻的处罚。

不是所有的外挂程序都是违法犯罪。

当前公检法机关对外挂的分类及运行原理不明确，定罪混乱，、办案经验不足，导致定性不准、甚至定性错误，有时出现轻罪重判的现象，这对外挂的从业者是不公平的。

这里，我就讲一下，此类案件如何争取无罪和罪轻处罚的三个路径和方法，防止外挂的作者、销售者被误抓误判，以争取当事人利益的最大化。

一、化解外挂犯罪风险的第一个路径：

从外挂程序的技术、运行机理角度，争取不构成刑事犯罪。

我们判断一款外挂程序是否构成犯罪的时候，首先，要分析这款外挂的制作技术和运行机理。不同的外挂制作、运行原理不同，我们在辩护时要从外挂的具体内容、制作的方式、包括的程序内容、运行原理、实现的功能等技术角度争取指控的罪名不成立，争取最轻的认定。

通用总结的外挂的开发技术过于复杂，很多人看不懂，也不能理解。张洪强律师根据自己办案经验的总结，认为外挂案件的主流开发技术可分为四种，用通俗易懂的语言表述为：

①自动脚本类技术。

②数据获取类技术。

③客户端修改类技术。

④数据包（通信协议数据）修改类技术。

根据开发技术的原理，有一些外挂程序行为，是不应该被当做刑事犯罪处理的。具体如下：

1、数据获取类技术。

数据获取类技术，可以被称为外挂之母，任何外挂要想发挥作用，都要先获取网络游戏中的数据。

该类技术，并不对游戏程序本身进行修改，通常不会独立地产生作用，此类技术的主要应用途径有两类：

①图像查找类。如“屏幕找色”，通过对电脑显示屏输出的画面进行检索，获取如“金钱”“血量”“路径”等信息，该类技术不会读取游戏的内存数据，一般也不会绕过游戏的保护机制。

对于通过自动屏幕截图、自动屏幕比色、自动屏幕点击等技术手段实现的自动执行任务的脚本程序，不能认定为非法侵入、控制程序。

②内存查找类。内存查找类技术则是通过对加密的内存数据进行破解，得到正常玩家无法获得的数据，正常玩家在游玩过程中只能获得从画面上显示出来的信息，比如在射击游戏中通过非法获取到的敌人位置信息、玩家的坐标信息、属性等，就是所谓的透视功能、隔墙看人等功能。

内存查找类数据获取技术，属于非法获取游戏中的数据，广大游戏厂商对于这类技术几乎束手无策，只能通过不停地更新游戏版本来改变关键数据的位置或加密协议。

2、自动脚本类技术。

游戏脚本不涉及修改游戏数据或者新增功能，这种脚本只是代替人工完成机械性操作，它存在的意义就是解放双手。

这种脚本所达到的效果，对游戏的影响微乎其微，没有达到刑法所规定的社会危害性。

特点：它并不修改关于游戏程序本身的任何数据。该类技术本身并不存在极大的危害性，甚至一定程度可以优化网络游戏玩家体验，减少枯燥反复的操作。

A、模拟人工操作类脚本，不应被当作犯罪处理。

直接录制一段固定按键序列，并对这个按键序列进行循环模拟，当游戏程序运行时，脚本会自动运行，并执行其中指定的操作，例如鼠标连点脚本、键盘连点脚本。

脚本程序的作用原理是编写脚本去构造点击逻辑，让脚本分析器去解析参数传递给相应功能接口，从而实现点击过程。常见的按键精灵、触动精灵等都是通过这种操作实现的，该类技术本身并不存在极大的危害性，只模拟了人工操作点击屏幕, 别的没有进行过任何修改游戏本地信息,以及服务器传输数据的信息， 也没有绕过游戏公司的任何安全保护机制，甚至一定程度可以优化网络游戏玩家体验，减少枯燥反复的操作。

B、图色识别自动执行类脚本，不应被当做犯罪处理。

通过识别游戏画面图像触发特定按键，例如通过识别游戏界面图像，自动寻路、自动拾取、自动打怪等。

主要是通过对游戏画面进行图像检索识别，获取如“金钱”“血量”“路径”等信息，该类技术不会读取游戏的内存数据，一般也不会绕过游戏的保护机制。

例如，使用Python技术实现自动打怪的脚本，其运行机理是编写函数来截取屏幕截图，使用图像识别技术，通过PyAutoGUI和Pillow库来查找游戏中的角色和怪物，根据角色和怪物的位置和状态，判断是否需要进行攻击或移动，使用模拟键盘鼠标操作库（如pyautogui、pynput）模拟键盘和鼠标操作，实现角色的移动和攻击。

根据脚本的运行机理，并不会读取游戏数据，也不会修改游戏数据。

对于通过自动屏幕截图、自动屏幕比色、自动屏幕点击等技术手段实现的自动执行任务的脚本程序，不能认定为非法侵入、控制程序。

C、读取内存自动执行类脚本。

当自动脚本功能实现是基于非法数据时，如果运气不好、或者使用规模过大，此类脚本是有可能被刑事打击的。

内存查找类技术通过对加密的内存数据进行破解，得到正常玩家无法获得的数据，正常玩家在游玩过程中只能获得从画面上显示出来的信息，比如在射击游戏中通过非法获取到的敌人位置信息、玩家的坐标信息、属性等，就是所谓的透视功能、隔墙看人等功能。

当脚本类技术结合内存读取类技术，则可以开发出各种功能强大的外挂，如 “自动瞄准”“自动躲避” “自动练级”等等，会在不同程度上去破坏游戏平衡性。

以自动执行为核心的脚本是否具有危害性，应当以其是否有非法获取数据的行为来区分。当自动脚本使用的是合法信息，通过“屏幕找色”“操作录制”等功能来做到自动执行的效果时，对此不应考虑入罪，因为既不存在破坏类行为，也不存在非法获取行为，可以理解是玩家通过对电脑的充分利用来破坏游戏平衡，在危害性和构成要件上都不足以被计算机类罪名所规制，且由于我国对游戏代练、脚本软件等方面并没有进行政策上的规制，该类程序的出售或服务提供都不构成犯罪，只是单纯对于网络游戏用户协议的违反，可以按照民事纠纷或不正当竞争行为处理。

而当自动脚本功能实现是基于非法数据时，可以根据其是否存在非法获取数据，针对“处理或传输的数据进行增加、修改”等行为，判断何种罪名更能够精确的描述具体犯罪行为。

　 3、客户端修改类技术。

客户端指的是用户在个人电脑上的程序，用于与运营厂商的服务器端协同工作。

目前游戏行业一般将计算量较大且运行延迟要求较高的部分放在客户端处理，比如射击类、格斗类游戏大多以本地数据计算为主，以求为玩家提供更好的游戏操作体验。

客户端修改类外挂开发涉及技术有以下类型：

①直接内存修改。

外挂通过检测游戏运行时系统内存数据变化，进而确定内存中涉及游戏货币、道具数量、角色属性等核心数据的区域，通过锁定或修改相关数值来实现游戏作弊。

如图所示：

例如，通过外挂程序检测内存中玩家信息（角色、职业、级别、道具、财富），然后在锁定内存修改所需要的游戏信息进行游戏作弊。

由于其本身的局限性并不会对网络游戏产生多大的破坏，但是对于一些数据加密方式落后的游戏，直接内存修改也可以对其产生较为明显的影响。

我在浙江处理的一起外挂案件，就属于对客户端进行修改。

②源程序修改。

这种技术也需要更高的专业水平，要求对计算机编程高级语言和汇编语言有一定的掌握，通常为专业外挂开发者所使用。

这种类型的外挂实际上就是在原始程序的基础上创建了新的游戏内容，但与原始游戏共用一个服务器数据库。

开发这类外挂，需要通过反汇编等手段对游戏的客户端程序进行解析，了解游戏内部的运行方式，从根源上进行修改。

③动态链接库注入修改。

动态链接库（ＤＬＬ）是微软公司在微软Ｗｉｎｄｏｗｓ操作系统中，实现共享函数库概念的一种方式。常见的有ＤＬＬ注入类外挂或者ＤＬＬ劫持类外挂，二者作用原理大致相同，都是对网络游戏运行所需要使用的函数库进行修改，并在运行时使其成为程序进程的一部分。

4、数据包修改类技术--修改通信协议数据。

当前主流的网络游戏采用客户端/服务器端模式，彼此两端通过网络通信协议完成游戏数据交互。

外挂通过破解网络游戏客户端程序和通信协议，截获客户端与服务器端通信协议数据包，修改并注入内容达到游戏作弊目的。数据包的修改是实现外挂功能的主要部分，比如服务器给客户端的指示是让玩家的游戏人物死亡，那么破解并修改通信协议数据包中的特定部分，就可以将指示改为存活或者复活。

简单概括为：破解-抓包-修改-再发包。

①破解网络游戏客户端登录窗口和通信协议-破解

②通过截获通信协议数据包-抓包。

③对操作指令进行伪装-修改。

④再发送给服务器修改后的指令-再发包

服务器端无法识别伪装后的操作指令，就做出了外挂使用者想要得到的反应进而完成游戏作弊。

这种修改技术目前也很常见，常用于客户端加密较强、无法直接修改的网络游戏。开发者需要对游戏反编译，理解游戏程序逻辑、通讯协议的结构、规则以及加密算法、函数功能、参数以及地址等，调用或修改游戏客户端的某些程序功能，是较为先进的技术。

网络上多用ＷＰＥ网络编程控件来实现数据包的抓取、修改和发送，该类软件存在众多开源项目或者源代码。

二、化解外挂犯罪风险的第二个路径：从外挂程序功能和鉴定上争取无罪。

外挂程序功能的认定，是给外挂定罪定性最重要最关键的部分，只有通过鉴定，认定外挂程序属于破坏性程序、非法侵入、控制程序，制作外挂的行为才构成相关计算机犯罪。

例如，我遇到的一起案件，因无法做鉴定，最终嫌疑人的行为难以被认定为犯罪。

外挂脚本程序，是否具有非法侵入功能、非法控制功能、破坏功能是制作者、售卖者是否构成犯罪的关键点。

首先，争取认定为：不具有非法侵入功能、不具有非法控制和破坏功能。

在准确理解什么是非法获取数据行为、什么是计算机信息系统的前提之下，对外挂程序非法获取数据、控制系统、破坏系统的相关罪行为，才能做出相对客观的判断。

1、“数据封包”和“游戏客户端”不应被认定为“计算机信息系统”。

构成计算机犯罪的前提是侵入、控制、破坏计算机信息系统，而“数据封包”和“游戏客户端”不应被认定为“计算机信息系统”。

依据：《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第十一条第一款规定，本解释所称“计算机信息系统”和“计算机系统”，是指具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等。

根据以上司法解释的规定，计算机信息系统应是具备自动处理数据功能的设备。

A、数据封包并非具有自动处理数据功能的设备，不属于计算机信息系统；

B、客户端安装在用户自己的电脑上，不可能认为用户自己侵入自己的计算机信息系统。

因此，计算机犯罪中的“计算机信息系统”应指服务器，而不是客户端和数据封包，不应将“计算机信息系统”不合理地扩大解释为包括“客户端-数据封包-服务器”的整个游戏进程，而实践中的网络游戏外挂绝大部分都是作用于客户端和数据封包的，因而不满足该罪的“计算机信息系统”要件。

对于游戏运营商的服务器计算机系统而言，外挂程序虽然修改

了客户端与之传送的数据封包，造成服务器一定负担，但并未入侵游戏服务器，也没有修改服务器中的数据，因此不能认定为侵入服务器的计算机系统。

2、争取认定为不具有“侵入功能”。

外挂程序的侵入功能，表现为：是否破解了客户端的加密算法和通信协议、绕开安全防护机制、绕过外挂检测防护机制，即通过各种技术手段突破游戏计算机信息系统的防护措施。

模拟人工操作类脚本、图色识别自动执行类脚本，不具有侵入功能。

内存读取自动执行类脚本，因为有非法读取内存数据的行为，有可能被认定为有侵入功能。

客户端修改类脚本、数据包（通信协议数据）修改类脚本，有被错误认定为“侵入”功能的可能。

3、争取认定为“不具有非法控制功能”。

外挂虽经不法手段获取游戏数据修改权限，但远达不到控制计算机系统的程度，“非法控制”要求对计算机信息系统产生排他性支配，而网络游戏外挂只是通过对客户端或数据封包的数据进行修改，实现游戏本不具有的功能，并不影响其他玩家参与网络游戏，未对游戏程序产生排他性支配，因而也不宜将其认定为“非法控制计算机信息系统的程序、工具”。

我们需要注意，外挂程序使游戏进行自动任务，自动控制游戏进行自动躲避、自动杀怪、自动刷关等操作，不代表对游戏系统进行了控制。

例如，梦幻西游的一款脚本，利用python图像识别技术，编写函数，让玩家可以自动执行挖宝、接图任务，这并不是对游戏系统的控制，而是通过图像识别，编写函数，在游戏系统外，再造一套执行程序，而不是通过对侵入、控制游戏系统实现的。

模拟人工操作类脚本、图色识别自动执行类脚本，不具有侵入功能，一般也不具有非法控制功能。

读取内存自动执行类脚本，因为有侵入功能，如果通过调用游戏内部函数，使游戏执行了某项操作或新增了功能，有被认定为具有非法控制功能的可能。

4、争取认定为不具有“破坏性功能。

外挂程序破坏性功能的判断标准是：对网络游戏内部数据和应用程序实施了删除、修改、增加的操作，且后果严重。

经常有不专业的人说，只要增加了游戏没有的新功能，就是通过增改删实现，就破坏了计算机系统是错误的。

我们在办理案件时要特别注意，外挂程序增加了游戏本身不具有的功能，如透视、自动瞄准，自动挖宝、刷关等，不一定是通过对游戏的数据和应用程序实施了删除、修改、增加的操作实现的，有可能是通过图色识别实现，例如《英雄联盟》某款脚本外挂，可以使游戏玩家在游戏中获得自动攻击、自动躲避敌方技能，是通过图色识别实现，并不是通过对游戏的数据和应用程序实施了删除、修改、增加的操作实现的。

①模拟人工操作类脚本外挂、图色识别自动执行类脚本外挂，不具有侵入功能，不会对游戏的数据和应用程序实施了删除、修改、增加的操作，不具有破坏功能。

读取内存自动执行类外挂，虽然读取了游戏内部的数据，但不会对游戏的数据和应用程序实施了删除、修改、增加的操作，不具有破坏功能。

②数据修改类外挂存在侵入客户端，复制修改客户端程序数据的行为，不可否认其具有侵入性的特点，但是，根据运行原理，数据修改类外挂不存在对计算机信息系统功能进行删除、修改、增加、干扰，其劫持的是数据封包，对计算机信息系统功能不具备影响力。

③从行为人的主观目的来看，外挂开发者和销售者是为获取高额利润而制作或销售，其正常运行也需要依赖于安全的计算机信息系统和网络系统，其不能也不想造成原游戏服务器不能正常运行。因而数据修改类外挂不具备破坏计算机信息系统安全的目的，不属于破坏计算机信息系统安全的犯罪意义上的“破坏性程序”。

④所造成的后果不能达到“后果严重”的程度。

从外挂的危害后果来看，所影响的是游戏玩家的体验感，对网络游戏系统的应用程序和运行安全并不致以造成危害，与造成网络黑屏、待机、卡机等因为应用程序受到破坏而使网络游戏系统无法安全运行、游戏功能无法正常发挥的情形具有显著的区别。

一般而言，外挂通过破坏原程序的技术保护措施，未经授权或超越授权对计算机信息系统进行访问、使用，其干扰了主程序的正常运行，但尚未达到破坏计算机信息系统的程度，不宜以破坏计算机信息系统罪论处。

其次，从外挂程序功能的鉴定上入手，争取不构成犯罪。

游戏外挂案件中，公安机关需要委托专门的鉴定机构对外挂程序的功能进行司法鉴定，鉴定机构的鉴定意见，是定罪的最关键的证据。

关于鉴定机构出具的鉴定意见，经常存在以下几个方面问题。

第一方面：有些鉴定机构出具的鉴定意见比较模糊，不能够对外挂程序具体运行机理做详细说明，导致无法对外挂的功能做出准确的认定。

在徐州有一起游戏外挂案件，鉴定意见仅论证念苏苏外挂程序对游戏的正常操作流程和正常运行方式造成了干扰，进而将其界定为‘破坏性程序’，但未论证外挂程序对应用程序进行了修改、增加，亦未证明是否造成计算机系统无法正常运行，最终，法院认为，不能根据该鉴定意见将涉案外挂程序认定为“破坏性程序”。

我们在办理案件时要注意：

①只是写明网络游戏外挂具有破坏性等概括性描述，并没有论证外挂程序对应用程序进行了修改、增加，亦未证明是否造成计算机系统无法正常运行。

②只是写明“改变软件的运行过程、结果”或“对游戏的正常操作流程和正常运行方式造成了破坏”的模糊描述，并没有论证运行机理。

③只是写明“自动控制游戏进行挖宝、、、、、、、等自动任务”，并没有论证控制自动执行任务是基于游戏画面图像识别还是基于非法获取的内部数据。

因为鉴定意见中 ，没有将外挂程序的运行机理讲通、讲透，经常会出现难以正确适用法律的情况。

第二方面：鉴定结论如何转化成法律术语的情况。

技术人与法律人对专用名词、专门问题的理解不同，鉴定人员因为缺乏对法律法规的理解，无法使用准确的法律用语来描述软件的法律属性。

如某鉴定机构的鉴定报告中认为“送检程序具有避开专门为游戏采取的安全保护措施、未经授权获取游戏内存数据，以达到自瞄、透视等特定功能，是一种破坏性程序”。

此处的破坏性程序该如何理解，能不能按照破坏性程序，来认定该外挂具有破坏性，给定破坏计算机信息系统罪，显然不能。实际上，单纯的获取数据，属于非法获取行为，不属于刑法第286条所规制的“破坏”行为。

这种表述、理解上的不对称性，对司法实践中准确认定脚本外挂的性质、是否应当适用刑法加以打击、适用何条款进行打击产生了相当大的影响。

要准确对外挂进行定性、适用法律规定加以规制，就必须对可能涉及到的数个罪名有准确理解。

第三方面：检材、样本来源不明的问题，提取程序不合法的问题。

公安机关在委托司法鉴定机构对涉案的脚本程序进行鉴定时，需要向鉴定机构移送他们提取的脚本程序，这个被移动的用于鉴定的脚本程序，就是用于鉴定的检材，如果检材来源不明，或者检材提取程序不合法，则无法保证鉴定的针对性、客观性，总结我遇到的外挂类案件，在鉴定检材方面经常存在以下问题。

A、检材来源不明的问题。

①没有检材外挂程序的提取笔录。按照取证规定，对电子程序进行提取要制作笔录，符合技术条件，并且要有见证人在场。

②检材提取的时间与送检的时间。

因游戏外挂一般有多个版本在售，要注意通过检材提取时间来确认同一性。

在一起外挂案件中，检测报告中“星火4.07B版本vmp.exe”是在2018年4月7日在网上发布，而被告人在2018年3月22日其已被羁押，显然无法证明外挂的一致性。

③提取检材、送检检材、被鉴定检材的名称、哈希值是否一致的问题。

王某编写的QQ飞车游戏外挂案件，王某编写的外挂名字为 “称霸休闲”，而福建中证司法鉴定中心电子数据检验报告中载明的检验对象名为“9月1日盼盼最新飞车外挂”，不能证明检材的一致性，鉴定意见没有被采纳。

B、检材来源于证人而非嫌疑人那里。

有一起外挂案件，警方从嫌疑人那里没有提取到外挂程序，而是从外挂使用者那里提取了一款外挂程序用于鉴定，而外挂使用者有多个渠道购买外挂，且市面上有多款类似的外挂，通过外挂使用者的购买记录，无法确认被鉴定的外挂程序就是嫌疑人制作、售卖的。

C、检材来源于新制作的外挂，无法确认同一性。

我在山东处理过一起案件，被告人被抓以前，已经将自己制作的外挂全部删除了，警方为了办案，让嫌疑人又重新制作了一款外挂用于鉴定，显然不能证明外挂的同一性。

第四方面：鉴定程序是否违反《软件功能鉴定技术规范》《破坏性程序检验操作规范》等规定；鉴定过程是否符合技术标准和规范要求。

司法鉴定机构鉴定人员在鉴定时是否按照司法鉴定检验的一系列国家标准和行业标准，是我们要重点审查的。

①《电子数据司法鉴定通用实施规范》。

②《电子物证软件功能检验技术规范》。

③《声像资料鉴定通用规范》（SF/ZJD0300001-2010）。

三、化解外挂犯罪风险的第三个路劲：从证据上争取不构成犯罪。

在外挂犯罪案件中，证据一般都是围绕人员架构、资金流和网络痕迹，我们律师要重点审查人员链、资金流和网络痕迹的相关证据，看能否找到证据存在的问题，切断证据链。

很多外挂从业者被抓之后，拒不承认外挂是他制作和销售的，但最终也有一些人被定了罪判了刑，为什么？就是因为不能推翻侦察机关取得的证据链条。要争取不批捕、不公诉、罪名不成立需要从证据入手，看能否切断证据链。

例如某案件，犯罪嫌疑人被抓以后，不承认他是脚本外挂软件的制作者，因为只有下线销售代理的举报而没有其他证据而释放。

1、如何证明被告人是外挂程序的制作者、销售者。

网络犯罪与传统犯罪不同，即使有线索指向犯罪嫌疑人并将其抓获，也很难确定犯罪嫌疑人就是外挂的制作者、销售者。

首先，审查网络痕迹证据指向。

我们在办理案件时可以按照以下几步来审查相关证据，看能否切断证据链。

第一步: 审查外挂的代码信息与嫌疑人的关联性。

审查涉案脚本程序中是否留有代表作者身份信息的字符串信息，该字符串信息能否指向犯罪嫌疑人。例如在一起案件中，在涉案程序源码中发现有一个字符串“mischa07”， 犯罪嫌疑人陈某供述自己曾用“mischa07”作为在一些网站、论坛以及邮箱、账号的登录名。该字符串就对犯罪嫌疑人形成了一定的指向性。

第二步：审查被告人电脑、手机中是否检测出脚本的相关文件、程序，是否与公安机关提取的涉案外挂程序一致，主要包括文件名、目录名、md5值的质证。是否发现“外挂”生成程序、“外挂”源代码、辅助硬件等作案工具。

例如，我遇到的某起案件中，从嫌疑人电脑中提取到外挂卡密信息。

第三步：相关的ip地址、mac地址、域名、服务器中的痕迹信息等与嫌疑人的关联性。

审查虚拟主机、ip地址、域名、解析记录、上网日志的关联性，审查销售平台、发卡机器人的注册信息，相关销售平台、下载网址等ip地址等网络痕迹是否与被告人的电脑、qq、邮箱、微信、微博等个人账户的登录ip地址一致。

其次、切断嫌疑人与外挂黑色产业链的“人员链”证据。

在很多案件中，公安机关只抓获外挂黑色产业链一个环节上的犯罪嫌疑人，从这些被抓获的嫌疑人这里找证据指向其他环节的人，我们遇到很多外挂从业者被抓都是因为下线销售者、代理被抓而举报，所以我们要重视人员链的相关证据。

切断人员链证据,即‘同案犯指认→被告人’的证据指向。

外挂犯罪呈现出黑色产业链的特征，这些人一般都互不认识，只是通过微信、qq、以及境外聊天工具联系的网友，互相之间连真实名字都不知道。

审查同案犯举报是否有其他证据来证明，单纯举报而没有其他证据印证的，难以定罪，就像我遇到的一起案件，嫌疑人被举报被抓，但警方已经找不到他销售的外挂，无法提取做功能性鉴定，最终，因证据不足，不能查清犯罪事实，检察院无法逮捕。

我们律师在处理案件时要审查证据中的聊天记录、转款记录、通话记录、联机记录等，看是否有充分证据证明他们之间有预谋、有联系，争取切断“由人到人”的证据链。

尤其要要审查qq、微信、whatsapp、纸飞机等境外网络聊天记录证据是否合法、能否相互印证。能否证明聊天账号是嫌疑人在使用，能否证明聊天记录的内容与涉案的外挂程序有关，聊天记录的取证程序是否合法合规。

在很多外挂类案件中，警方会对聊天记录进行截图，要注意看侦查人员在取证时有没有取证笔录，有没有见证人在场，如果没有取证笔录和见证人在场，不符合电子证据的取证规则，我们还要审查原始载体的问题。

再次、审查资金链的证据指向。

购买外挂的资金→外挂销售者→外挂代理→外挂作者。

资金链证据包括：

①销售平台的域名、ip地址、管理页面截图（证实充值金额）销售网站的会员消费记录、银行账户交易清单。

②相关微信、支付宝交易流水、转账记录等。

③虚拟币的流转记录。

现在很多外挂的作者都只收取虚拟币，不接受银行卡、支付宝等流水交易。关于比特币、USDT等虚拟币的追踪问题，我已经说过多次，有需要的可以搜索张洪强律师网站查看，这里在简单一说：虚拟币流向路径关联到被告人的证据是否形成证据链的问题。

要审查虚拟货币账户、钱包地址、IP地址等网络痕迹与被告人的关联性证据。如果不能形成证据链，就有可能从证据上切断涉案资金、虚拟货币的交易网络、交易行为以及资金流向与被告人的对应或关联关系。

例如在陕西毛某一案，第三级收款账户的钱如何转出，以及尾号为TH5Y提币地址如何变现都未查清，警方在补充侦查报告中，称查清难度大，无法查清，便草草结案。

还有某起虚拟币网络盗窃案，警方在被入侵服务器上提取到犯罪嫌疑人对该服务器有xss攻击记录，便将犯罪嫌疑人抓获，但因最终没有发现虚拟币的流转证据以及变现证据，将犯罪嫌疑人释放撤案。

我们律师在办理案件时需要注意，由于数字货币具有具有强匿名特点，持有者信息则为公钥与私钥字符串，系统生成的不同账户、地址不存在关联性。在这种特性之下，用户的真实身份很难去追踪和验证。尽管用户在区块链网络中的行为都是公开透明的，凭借这些交易行为确实可以利用大数据分析技术来对交易双方的真实身份进行推断，但这种方式的推断具有很大的主观性,容易找到辩护的空间。

我们还需要注意一种情况就是在一些案件中，犯罪嫌疑人可能会使用混币器、联合币（共享发送）、暗钱包、隐形地址等方式混币，分离交易中的输入和输出地址，即割裂输入地址和输出地址之间的关系，目的是提高加密货币的隐私性和匿名性，使其更难追踪加密货币的用途以及它属于谁。

我们在辩护时，在对证据进行审查与质证时，要有专业的思维，来审查数字货币账户与犯罪嫌疑人之间的关联性证据。

我们律师要注意一些反侦查手段的实施，例如使用黑卡、地下钱庄、跑分平台、虚拟货币OTC场外交易、暗网、混币等手段，导致的证据链中断无法追溯的情况，随着反侦查能力的提高，查清资金流转路径、流转金额难度越来越大。

例如，我在2018年办理的李某网络案件，涉及到比特币的流转证据问题，公安机关起诉意见书认定涉案赃款是2000多万，但我们根据资金流水的证据，最终让检察院在起诉时，将金额降低为700多万。

4、外挂程序是否提取到。如果提取不到，将无法确定外挂的功能，无法定罪。我在山东处理的一起案件，脚本外挂制作者被抓后，涉案的程序已经被销毁，无法提取到。

5、外挂的运行原理是否查清。如果查不清运行原理，案件将无法定罪。

6、脚本黑色产业链的组织架构、运作模式是否查清。

7、外挂的销售渠道、销售人次是否查清。

办理外挂犯罪案件不仅面临法律问题,也时刻面临错综复杂的技术问题，外挂犯罪案件专业性极强，正深刻颠覆着传统的办案模式,挑战着办案人员传统的知识储备，在这些小小程序中使用了许多计算机技术，我们律师要想在此类案件中，真正能维护好涉案人员的合法权益，就要加强专业知识的学习和经验的积累，不能临时抱佛脚，从网络上查一下肤浅的知识就上战场。

作者：张洪强律师，禁止转转载复制剽窃，张洪强律师外挂、脚本、私服类网络犯罪案件经验总结，有需要交流的可以搜索张洪强律师网站、电话、私信。

游戏外挂类犯罪研究-张洪强律师

游戏脚本类犯罪研究-张洪强律师

游戏私服类犯罪研究-张洪强律师

脚本外挂犯罪(一) 从外挂程序开发技术上争取无罪。

脚本外挂犯罪(二)：从外挂程序功能鉴定上争取无罪。

脚本外挂犯罪(三):外挂犯罪案件从证据上争取无罪。