脚本犯罪研究：编写贩卖游戏脚本违法吗？制作销售脚本怎么判刑？|外挂|应用程序|按键精灵|犯罪研究|贩卖游戏|软件安装包

一、制作、销售脚本程序是否违法。

二、制售脚本构成犯罪的定罪量刑标准。

三、脚本案件如何争取无罪和罪轻的处罚。

张洪强律师脚本外挂犯罪案件总结，禁止转载复制

做脚本的人多如牛毛，有的人一直安然无恙，有的人却被误抓甚至误判，除了运气之外，主要还是因为了解风险，从而避免了风险。

编写一款脚本程序，对懂技术的人来说，不是难事，但是必须知道这里面的犯罪风险，才能行稳致远。

第一部分：制作、销售脚本程序是否违法。

关于脚本合法性常见的问题：

不修改游戏数据，纯模拟键盘和鼠标的按键精灵类辅助是否违法？游戏自动化脚本是否违法？模拟人工点击脚本是否违法？图色识别类脚本是否违法?

自动刷关、自动夺宝、自动交易、自动寻路、自动刷金、自动拾取、自动杀怪、自动挂机等脚本外挂合法吗怎么判刑等问题。

答案：一般的辅助性脚本是合法的，脚本一般不修改游戏内容不涉及修改数据，通过代替人的操作向服务器发送指令。

在考虑一款游戏脚本是否违法时，除了要考虑其是否修改游戏数据外，还要考虑脚本是否非法读取了游戏内存数据，是否具有侵入、控制功能。

脚本在法律上的概念比较模糊，很多法律人都搞不清楚脚本的概念，说不清楚脚本是否违法的问题，张洪强律师根据办案经验总结，为了便于理解，将脚本分为三类：①模拟人工操作脚本；②图色识别-自动执行类脚本，③读取内存-自动执行类脚本。

其中，前两类脚本，不涉及修改游戏数据，不涉及非法获取游戏内存数据，不应该当做犯罪处理。第三类脚本（读取内存-自动执行类脚本），因为涉及非法读取游戏内存数据的问题，如果运气不好、或者使用规模过大，是有可能因涉嫌非法获取数据被刑事打击的。

第二部分、制售脚本构成犯罪的定罪量刑标准。

制售脚本案件，一般不会当做刑事犯罪案件处理，但凡事不绝对，经常出现脚本制售者被误伤的情形。

此类案件存在取证难、定罪难、定性争议大，关于这三类脚本如何争取无罪和最轻的处罚，张洪强律师在第三部分会详细讲解。

常见的罪名有以下三个：

制售脚本构成提供侵入、控制计算机信息系统程序、工具罪：情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

制售脚本构成非法获取计算机数据罪、非法控制计算机罪的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

制售脚本构成破坏计算机信息系统罪的，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

第三部分：脚本案件如何争取无罪和罪轻的处罚。

一、从制作技术、运行机理上争取不构成犯罪。

我们判断一款脚本程序是否构成犯罪的时候，首先，要分析这款脚本的制作技术和运行机理。

A、模拟人工操作类脚本，不应被当作犯罪处理。

直接录制一段固定按键序列，并对这个按键序列进行循环模拟，当游戏程序运行时，脚本会自动运行，并执行其中指定的操作，例如鼠标连点脚本、键盘连点脚本。

脚本程序的作用原理是编写脚本去构造点击逻辑，让脚本分析器去解析参数传递给相应功能接口，从而实现点击过程。常见的按键精灵、触动精灵等都是通过这种操作实现的，该类技术本身并不存在极大的危害性，只模拟了人工操作点击屏幕, 别的没有进行过任何修改游戏本地信息,以及服务器传输数据的信息，也没有绕过游戏公司的任何安全保护机制，甚至一定程度可以优化网络游戏玩家体验，减少枯燥反复的操作。

B、图色识别自动执行类脚本，不应被当做犯罪处理。

通过识别游戏画面图像触发特定按键，例如通过识别游戏界面图像，自动寻路、自动拾取、自动打怪等。

主要是通过对游戏画面进行图像检索识别，获取如“金钱”“血量”“路径”等信息，该类技术不会读取游戏的内存数据，一般也不会绕过游戏的保护机制。

例如，使用Python技术实现自动打怪的脚本，其运行机理是编写函数来截取屏幕截图，使用图像识别技术，通过PyAutoGUI和Pillow库来查找游戏中的角色和怪物，根据角色和怪物的位置和状态，判断是否需要进行攻击或移动，使用模拟键盘鼠标操作库（如pyautogui、pynput）模拟键盘和鼠标操作，实现角色的移动和攻击。

根据脚本的运行机理，并不会读取游戏数据，也不会修改游戏数据。

对于通过自动屏幕截图、自动屏幕比色、自动屏幕点击等技术手段实现的自动执行任务的脚本程序，不能认定为非法侵入、控制程序。

C、读取内存自动执行类脚本。

当自动脚本功能实现是基于非法数据时，如果运气不好、或者使用规模过大，此类脚本是有可能被刑事打击的。

内存查找类技术通过对加密的内存数据进行破解，得到正常玩家无法获得的数据，正常玩家在游玩过程中只能获得从画面上显示出来的信息，比如在射击游戏中通过非法获取到的敌人位置信息、玩家的坐标信息、属性等，就是所谓的透视功能、隔墙看人等功能。

当脚本类技术结合内存读取类技术，则可以开发出各种功能强大的外挂，如“自动瞄准”“自动躲避” “自动练级”等等，会在不同程度上去破坏游戏平衡性。

二、从功能上争取不构成犯罪。

脚本程序功能的认定，是定罪定性最重要最关键的部分，只有通过鉴定，认定脚本程序具有侵入、非法控制、破坏功能，制售脚本的行为才构成相关计算机犯罪。

例如，我遇到的一起案件，因无法做鉴定，最终嫌疑人的行为难以被认定为犯罪。

1、脚本是否具有侵入、控制、破坏功能。

A、不具有侵入功能。

脚本外挂的侵入功能，表现为：是否破解了客户端的加密算法和通信协议、绕开安全防护机制、绕过外挂检测防护机制，即通过各种技术手段突破游戏计算机信息系统的防护措施。

模拟人工操作类脚本、图色识别自动执行类脚本，不具有侵入功能。

内存读取自动执行类脚本，因为有非法读取内存数据的行为，有可能被认定为有侵入功能。

B、不具有非法控制功能。

模拟人工操作类脚本、图色识别自动执行类脚本，不具有侵入功能，一般也不具有非法控制功能。

读取内存自动执行类脚本，因为有侵入功能，如果通过调用游戏内部函数，使游戏执行了某项操作或新增了功能，有被认定为具有非法控制功能的可能。

我们需要注意，脚本使游戏进行自动任务，自动控制游戏进行自动躲避、自动杀怪、自动刷关等操作，不代表对游戏系统进行了控制。

例如，梦幻西游的一款脚本，利用python图像识别技术，编写函数，让玩家可以自动执行挖宝、接图任务，这并不是对游戏系统的控制，而是通过图像识别，编写函数，在游戏系统外，再造一套执行程序，而不是通过对侵入、控制游戏系统实现的。

C、不具有破坏功能。

游戏脚本外挂破坏功能的判断标准是：对网络游戏内部数据和应用程序实施了删除、修改、增加的操作，且后果严重。

模拟人工操作类脚本、图色识别自动执行类脚本，不具有侵入功能，不会对游戏的数据和应用程序实施了删除、修改、增加的操作，不具有破坏功能。

读取内存自动执行类脚本，虽然读取了游戏内部的数据，但不会对游戏的数据和应用程序实施了删除、修改、增加的操作，不具有破坏功能。

我们在办理案件时要特别注意，脚本程序增加了游戏本身不具有的功能，如透视、自动瞄准，自动挖宝、刷关等，不一定是通过对游戏的数据和应用程序实施了删除、修改、增加的操作实现的，有可能是通过图色识别实现，例如《英雄联盟》某款脚本外挂，可以使游戏玩家在游戏中获得自动攻击、自动躲避敌方技能，是通过图色识别实现，并不是通过对游戏的数据和应用程序实施了删除、修改、增加的操作实现的。

此外，从脚本作者主观目的来看，开发脚本是为了使用或者销售，其正常运行也需要依赖于安全的计算机信息系统和网络系统，其不能也不想造成原游戏服务器不能正常运行，因而不具备破坏计算机信息系统安全的目的，不属于破坏计算机信息系统安全的犯罪意义上的“破坏性程序”。

从脚本的危害后果来看，所影响的是游戏玩家的体验感，对网络游戏系统的应用程序和运行安全并不致以造成危害，与造成网络黑屏、待机、卡机等因为应用程序受到破坏而使网络游戏系统无法安全运行、游戏功能无法正常发挥的情形具有显著的区别。

所以，经常有不专业的人说，只要增加了游戏没有的新功能，就是通过增改删实现，就破坏了计算机系统是错误的。

2、关于脚本功能的鉴定与认定的问题。

脚本案件中，公安机关需要委托专门的鉴定机构对脚本程序的功能进行司法鉴定，鉴定机构的鉴定意见，是定罪的最关键的证据。

关于鉴定机构出具的鉴定意见，经常存在以下几个方面问题。

第一方面：有些鉴定机构出具的鉴定意见比较模糊，不能够对脚本程序具体运行机理做详细说明，导致无法对脚本的功能做出准确的认定。

在徐州有一起游戏外挂案件，鉴定意见仅论证念苏苏外挂程序对游戏的正常操作流程和正常运行方式造成了干扰，进而将其界定为‘破坏性程序’，但未论证外挂程序对应用程序进行了修改、增加，亦未证明是否造成计算机系统无法正常运行，最终，法院认为，不能根据该鉴定意见将涉案外挂程序认定为“破坏性程序”。

我们在办理案件时要注意：

①只是写明网络游戏外挂具有破坏性等概括性描述，并没有论证外挂程序对应用程序进行了修改、增加，亦未证明是否造成计算机系统无法正常运行。

②只是写明“改变软件的运行过程、结果”或“对游戏的正常操作流程和正常运行方式造成了破坏”的模糊描述，并没有论证运行机理。

③只是写明“自动控制游戏进行挖宝、、、、、、、等自动任务”，并没有论证控制自动执行任务是基于游戏画面图像识别还是基于非法获取的内部数据。

因为鉴定意见中，没有将外挂程序的运行机理讲通、讲透，经常会出现难以正确适用法律的情况。

第二方面：鉴定结论如何转化成法律术语的情况。

技术人与法律人对专用名词、专门问题的理解不同，鉴定人员因为缺乏对法律法规的理解，无法使用准确的法律用语来描述软件的法律属性。

如某鉴定机构的鉴定报告中认为“送检程序具有避开专门为游戏采取的安全保护措施、未经授权获取游戏内存数据，以达到自瞄、透视等特定功能，是一种破坏性程序”。

此处的破坏性程序该如何理解，能不能按照破坏性程序，来认定该外挂具有破坏性，给定破坏计算机信息系统罪，显然不能。实际上，单纯的获取数据，属于非法获取行为，不属于刑法第286条所规制的“破坏”行为。

这种表述、理解上的不对称性，对司法实践中准确认定脚本外挂的性质、是否应当适用刑法加以打击、适用何条款进行打击产生了相当大的影响。

要准确对外挂进行定性、适用法律规定加以规制，就必须对可能涉及到的数个罪名有准确理解。

第三方面：检材、样本来源不明的问题，提取程序不合法的问题。

公安机关在委托司法鉴定机构对涉案的脚本程序进行鉴定时，需要向鉴定机构移送他们提取的脚本程序，这个被移动的用于鉴定的脚本程序，就是用于鉴定的检材。如果检材来源不明，或者检材提取程序不合法，则无法保证鉴定的针对性、客观性，总结我遇到的脚本外挂类案件，在鉴定检材方面经常存在以下问题。

A、检材来源不明的问题。

①没有检材外挂程序的提取笔录。按照取证规定，对电子程序进行提取要制作笔录，符合技术条件，并且要有见证人在场。

②检材提取的时间与送检的时间。

因游戏外挂一般有多个版本在售，要注意通过检材提取时间来确认同一性。

在一起外挂案件中，检测报告中“星火4.07B版本vmp.exe”是在2018年4月7日在网上发布，而被告人在2018年3月22日其已被羁押，显然无法证明外挂的一致性。

③提取检材、送检检材、被鉴定检材的名称、哈希值是否一致的问题。

王某编写的QQ飞车游戏外挂案件，王某编写的外挂名字为 “称霸休闲”，而福建中证司法鉴定中心电子数据检验报告中载明的检验对象名为“9月1日盼盼最新飞车外挂”，不能证明检材的一致性，鉴定意见没有被采纳。

B、检材来源于证人而非嫌疑人那里。

有一起脚本外挂案件，警方从嫌疑人那里没有提取到外挂程序，而是从外挂使用者那里提取了一款外挂程序用于鉴定，而外挂使用者有多个渠道购买外挂，且市面上有多款类似的外挂，通过外挂使用者的购买记录，无法确认被鉴定的外挂程序就是嫌疑人制作、售卖的。

C、检材来源于新制作的外挂，无法确认同一性。

我在山东处理过一起案件，被告人被抓以前，已经将自己制作的外挂全部删除了，警方为了办案，让嫌疑人又重新制作了一款外挂用于鉴定，显然不能证明外挂的同一性。

第四方面：鉴定程序是否违反《软件功能鉴定技术规范》《破坏性程序检验操作规范》等规定；鉴定过程是否符合技术标准和规范要求。

司法鉴定机构鉴定人员在鉴定时是否按照司法鉴定检验的一系列国家标准和行业标准，是我们要重点审查的。

①《电子数据司法鉴定通用实施规范》

②《电子物证软件功能检验技术规范》

③《声像资料鉴定通用规范》（SF/Z JD0300001-2010）

三、从证据上争取不构成犯罪。

游戏脚本程序犯罪案件取证难，很多案件都无法查清脚本程序的作者和代理身份、无法查清脚本的功能、无法查清脚本的销售人次。在很多案件中，犯罪嫌疑人留下的痕迹都是虚假的，要从虚假的网络痕迹中找到确凿的定罪的证据是很难的。

例如某案件，犯罪嫌疑人被抓以后，不承认他是脚本外挂软件的制作者，因为只有下线销售代理的举报而没有其他证据而释放。

很多外挂从业者被抓之后，拒不承认外挂是他制作和销售的，但最终也有一些人被定了罪判了刑，为什么？就是因为不能推翻侦察机关取得的证据链条。要争取不批捕、不公诉、罪名不成立需要从证据入手，看能否切断证据链。

1、脚本程序是否提取到。如果提取不到，将无法确定脚本的功能，无法定罪。我在山东处理的一起案件，脚本外挂制作者被抓后，涉案的程序已经被销毁，无法提取到。

2、脚本的运行原理是否查清。如果查不清运行原理，案件将无法定罪。

3、脚本黑色产业链的组织架构、运作模式是否查清。

很多脚本、外挂的制作者在境外，或者人在境内，但是在境外论坛交流、招揽代理，上下线之间一般都互不认识，只是通过微信、qq、以及telegrame、WhatsApp等境外聊天工具联系的网友，互相之间连真实名字都不知道，不收取资金转账、只收取比特币、usdt等，通过网络进行非实名制的私下交易，因为网上证据与网下证据衔接难，很难形成完整的证据链，即使有线索将犯罪嫌疑人抓获，也有可能因事实不清、证据不足而不批捕、不公诉、撤案。