羅文華　龍立名

（中國刑事警察學(xué)院　遼寧　沈陽　110035）

從“快播涉黃案”看電子數(shù)據(jù)取證關(guān)鍵技術(shù)

羅文華龍立名

（中國刑事警察學(xué)院遼寧沈陽110035）

梳理“快播涉黃案”庭審記錄中體現(xiàn)出的電子數(shù)據(jù)取證技術(shù)，關(guān)注控辯雙方爭議焦點，深刻剖析技術(shù)原理與方法，指明技術(shù)難點解決途徑，闡述技術(shù)熱點及發(fā)展趨勢，提煉規(guī)則規(guī)范和注意事項，為電子數(shù)據(jù)取證實踐提供頗具操作性的有益借鑒。

快播庭審電子數(shù)據(jù)取證用戶行為緩存機(jī)制Hash校驗

1　引言

2016年1月7日至8日，“快播涉黃案”在北京市海淀區(qū)人民法院開庭審理。公訴人以“傳播淫穢物品牟利罪”起訴深圳市快播科技有限公司及該公司的王欣、吳銘、張克東、牛文舉等人，辯護(hù)人則為被告進(jìn)行無罪辯護(hù)，雙方爭辯異常激烈。

作為2016年“互聯(lián)網(wǎng)開年第一案”，快播案的庭審直播，引發(fā)了輿論極大的關(guān)注，呈現(xiàn)出技術(shù)、司法與輿情民意交織的多元局面。僅從電子數(shù)據(jù)取證角度而言，庭審現(xiàn)場辯方律師所表現(xiàn)出的專業(yè)水平就極大地震撼了像筆者這樣的一線取證人員。傳統(tǒng)印象中，律師一般只會針對程序問題進(jìn)行質(zhì)疑。而在“快播”庭審中，據(jù)筆者的不完全統(tǒng)計，爭論的專業(yè)技術(shù)問題就包括用戶行為重現(xiàn)、介質(zhì)特征標(biāo)識、緩存機(jī)制、Hash校驗等一系列取證工作中的難點及熱點。電子數(shù)據(jù)取證在該案中起了至關(guān)重要的作用，直接影響著犯罪嫌疑人的定罪量刑。

2016年9月13日，北京市海淀區(qū)法院對“快播涉黃案”進(jìn)行公開宣判，王欣被判有期徒刑3年6個月，快播公司被罰款1000萬元。在“快播涉黃案”塵埃落定之際，筆者以“快播涉黃案”為抓手，嘗試就電子數(shù)據(jù)取證關(guān)鍵技術(shù)點的內(nèi)涵及外延予以深入剖析，以求為推動電子數(shù)據(jù)取證行業(yè)的健康穩(wěn)定發(fā)展盡自己的綿薄之力。

2　從“快播涉黃案”看電子數(shù)據(jù)取證關(guān)鍵技術(shù)

2.1用戶行為重現(xiàn)

［公訴人］：出示鑒定意見書兩份。第一份北京信諾司法鑒定所鑒定意見書一。證明：北京信諾司法鑒定所在治安管理總隊淫穢物品審驗室對扣押在案的4臺服務(wù)器進(jìn)行了鑒定，其中1臺服務(wù)器已經(jīng)損壞無法開啟，其他3臺服務(wù)器2013年11月18日至2015年12月2日期間沒有任何QDATA格式的視頻文件拷入服務(wù)器。

［審判長］：被告人有什么意見？

［王某］：這個鑒定沒有技術(shù)依據(jù)，通過修改系統(tǒng)時間就很容易實現(xiàn)［1］。

基于系統(tǒng)文件或用戶文件屬性及內(nèi)容的分析，重現(xiàn)用戶行為是電子數(shù)據(jù)取證中的常規(guī)操作環(huán)節(jié)之一。通過庭審記錄分析得出，北京信諾司法鑒定所依據(jù)文件創(chuàng)建時間判定特定時間段內(nèi)是否有文件生成，由于未在服務(wù)器中發(fā)現(xiàn)創(chuàng)建時間位于2013年11月18日至2015年12月2日區(qū)間內(nèi)的文件，于是便得出了該時間段內(nèi)“沒有任何QDATA格式的視頻文件拷入服務(wù)器”的結(jié)論。王某則對這個鑒定結(jié)論并不認(rèn)同，認(rèn)為“沒有技術(shù)依據(jù)”，只需將系統(tǒng)時間設(shè)置到2013年11月18日之前，之后創(chuàng)建的文件（包括被拷入文件），其創(chuàng)建時間就會均早于該特定時間點，然后再“神不知，鬼不覺”地重新調(diào)整系統(tǒng)時間回到正常狀態(tài)。

然而這種做法真能做到“神不知，鬼不覺”嗎？若想真實地再現(xiàn)用戶行為，單一行為點往往缺乏足夠的證明力，需要多行為點的交叉協(xié)作證明。偽造文件創(chuàng)建時間的關(guān)鍵在于系統(tǒng)時間的更改。因此，如果能夠進(jìn)一步挖掘出是否存在設(shè)置系統(tǒng)時間行為，就會極大地提升鑒定結(jié)論的可信程度。系統(tǒng)時間設(shè)置歸根結(jié)底是通過運(yùn)行控制面板中的“日期和時間”工具實現(xiàn)的，因此，可以考慮從可執(zhí)行文件運(yùn)行痕跡角度進(jìn)行挖掘。

傳統(tǒng)可執(zhí)行文件運(yùn)行痕跡主要依賴Prefetch文件夾獲得，然而“日期和時間”工具的特殊之處在于其運(yùn)行的是WindowsSystem32 imedate.cpl文件，而不是常規(guī)的exe文件。擴(kuò)展名為cpl的文件，其本質(zhì)是Windows可執(zhí)行性文件，但不屬于可以直接獨立運(yùn)行的文件，通常由shell32.dll打開。Prefetch文件夾并不記錄此類文件的運(yùn)行痕跡，因此，只能另辟蹊徑。

方法之一就是檢視timedate.cpl文件的訪問時間（如圖1所示）。每次設(shè)置系統(tǒng)時間，都會使該文件的訪問時間發(fā)生改變（創(chuàng)建時間與修改時間訪問保持不變），更新成設(shè)置操作執(zhí)行的時刻（而非設(shè)置后的時間）。遺憾的是，Windows 7之后的操作系統(tǒng)在NTFS文件系統(tǒng)環(huán)境下并不自動更新訪問時間［2］，依據(jù)訪問時間判斷文件的執(zhí)行不再有效。要將注冊表項HKLMSYSTEMCurrentControlSetControlFileSystem下的NtfsDisableLastAccessUpdata表鍵被設(shè)置為0后，系統(tǒng)才會自動更新訪問時間［3］。

圖1　系統(tǒng)時間設(shè)置操作帶來的timedate.cpl訪問時間變化

注冊表項HKCUSoftwareMicrosoftWindowsCurre ntVersionExplorerUserAssit也包含有可執(zhí)行文件的運(yùn)行痕跡。與Prefetch文件夾不同的是，該表項不僅描述exe文件，還包括了lnk、cpl等類型的文件。圖2顯示的是UserAssit｛75048700-EF1F-11D0-9888-0060 97DEACF9｝Count表項中的信息，由于該表項使用了Rot-13算法進(jìn)行加密，因此，無法直接讀取。

圖2　UserAssit表項下的可執(zhí)行文件痕跡

使用UserAssitView等工具可對UserAssit表項信息進(jìn)行解密還原，如圖3所示。其中，Item Name中的“UEME_RUNCPL：timedate.cpl”表示運(yùn)行的是“控制面板”中的“時間和日期”工具，Modified Time說明最后一次設(shè)置時間是“2016-2-1 10：48：05”，ClassID說明來源類型為活動桌面。

圖3　解密后的“時間和日期”工具運(yùn)行信息

但在Windows 7之后的視窗系統(tǒng)中UserAssit表項卻不再存儲系統(tǒng)工具的運(yùn)行痕跡，轉(zhuǎn)而利用事件日志中的“系統(tǒng)日志”進(jìn)行描述（Windows XP之前的版本事件日志默認(rèn)不記錄系統(tǒng)時間更改）。圖4描述的是系統(tǒng)日期由“2016-02-01”更改為“2016-02-02”這一事件，對應(yīng)事件ID為“1”，操作用戶為“Adminis trator”，計算機(jī)名稱為“R-20141004XJOVG”。

圖4　系統(tǒng)日志中的系統(tǒng)時間更改記錄

2.2介質(zhì)特征標(biāo)識

［公訴人］：第二份北京信諾司法鑒定所鑒定意見書二。證明：北京信諾司法鑒定所在治安管理總隊淫穢物品審驗室對扣押在案的4臺服務(wù)器進(jìn)行了鑒定，其中1臺服務(wù)器已經(jīng)損壞無法開啟，經(jīng)鑒定IP地址×××.×××.×××.×××服務(wù)器內(nèi)視頻文件共計12094個，2013年11月18日至2015年12月2日期間創(chuàng)建文件10個，創(chuàng)建qdata文件0個、×××.×××.×××.×××服務(wù)器內(nèi)視頻文件共計18353個，2013年11月18日至2015年12月2日期間創(chuàng)建文件12個，創(chuàng)建qdata文件0個、×××.×××.×××.×××服務(wù)器內(nèi)視頻文件共計18446個，2013年11月18日至2015年12月2日期間創(chuàng)建文件0個，創(chuàng)建qdata文件0個。

［張某辯護(hù)人］：這個鑒定應(yīng)該做，但是應(yīng)該在公安機(jī)關(guān)調(diào)取服務(wù)器的時候就應(yīng)該做這個鑒定，鑒定4臺服務(wù)器的物理特征，以及視頻文件的特征，然后予以固定封存。

［王某辯護(hù)人］：電腦的IP地址是可以改的。硬盤是不可能改的。

［張某辯護(hù)人］：電腦的IP地址改起來是非常方便的［1］。

鑒定意見書中用IP地址指代服務(wù)器中的磁盤介質(zhì)可以說犯了嚴(yán)重而低級的錯誤。眾所周知，IP地址是Internet Protocol（互聯(lián)網(wǎng)協(xié)議）的縮寫，是分配給Internet上計算機(jī)主機(jī)的編號。隨著網(wǎng)絡(luò)位置的改變，同一主機(jī)可以擁有不同的IP地址；同一IP地址也可以分配給不同的接入主機(jī)。因此，IP地址并不是介質(zhì)特征刻畫必需的要素，辯護(hù)律師對此進(jìn)行質(zhì)疑是有道理的。

現(xiàn)行的主流做法是以硬盤序列號作為特征標(biāo)識。圖5所示為貼于某硬盤背后的信息內(nèi)容。其中，S/N是英文Serial Number（序列號）的縮寫，代表出廠編號，為消費者售后使用，一般要寫進(jìn)鑒定書或檢驗報告以唯一確定磁盤介質(zhì)；P/N則為英文 Part Number（部件號） 的縮寫，代表出廠批次，主要為工廠內(nèi)部自己使用。

圖5　硬盤介質(zhì)貼有的序列號信息

鑒于硬盤背后的膠貼有被撕掉更換的可能，可獲取內(nèi)置于介質(zhì)的序列號信息進(jìn)行進(jìn)一步確認(rèn)。使用DiskGenius（圖6）等磁盤管理類工具除可獲取到磁盤接口類型、序列號、磁盤型號外，柱面數(shù)、磁頭數(shù)、每道扇區(qū)數(shù)、總扇區(qū)數(shù)、總字節(jié)數(shù)、扇區(qū)大小、物理扇區(qū)大小、總?cè)萘康刃畔⒁惨徊⒊尸F(xiàn)，十分有助于后續(xù)取證工作的開展。

圖6　使用磁盤管理類工具獲取內(nèi)置的磁盤序列號

有資料稱系統(tǒng)命令diskpart同樣具備獲取硬盤序列號的功能。在命令行窗口，通過執(zhí)行diskpart命令進(jìn)入控制臺，之后選擇磁盤所對應(yīng)的序號，再利用detail disk顯示出磁盤ID，如圖7。但實驗發(fā)現(xiàn)，磁盤ID并不與S/N對應(yīng)，而多為P/N或R/N值，因此，在使用該命令描述介質(zhì)特征時務(wù)必特殊注意。

圖7　使用系統(tǒng)命令獲得硬盤介質(zhì)序列號

2.3緩存機(jī)制剖析

［公訴人］：公安機(jī)關(guān)起獲的服務(wù)器中有大量的淫穢視頻，你怎么解釋？

［王某］：這個服務(wù)器是緩存服務(wù)器，是網(wǎng)民點播網(wǎng)絡(luò)視頻的時候自動緩存的數(shù)據(jù)。這個在行業(yè)里是通用的做法，是為了提高服務(wù)質(zhì)量，比如讓用戶觀看時不卡頓。

……

［王某辯護(hù)人］：這4臺服務(wù)器的工作原理？

［王某］：是緩存服務(wù)器，在網(wǎng)絡(luò)中是提高服務(wù)質(zhì)量的作用。文件被發(fā)布后，用戶就可以在他的電腦上點播了，如果出現(xiàn)卡頓的情況，這個文件就會存到緩存服務(wù)器中。比如說這個文件有10個人點播，出現(xiàn)卡頓，我們會認(rèn)為該視頻有人點播，就會緩存到服務(wù)器。被緩存的文件也許會被他人點播，也許不會被點播。緩存服務(wù)器不是快播的必要系統(tǒng)［1］。

服務(wù)器中緩存視頻的生成機(jī)制對于案件定性具有至關(guān)重要的意義，因此，控辯雙方多次圍繞這一話題進(jìn)行交鋒?？觳ッ嫦蛴脩糇钪饕漠a(chǎn)品是QVOD視頻播放器，該播放器的核心技術(shù)為P2P（Peer to Peer），此模式中不設(shè)中心主機(jī)服務(wù)器，每片數(shù)據(jù)都可能來自不同的用戶，這種共享下載模式打破了下載服務(wù)提供者與用戶的邊界，每一個用戶既是下載者，又是下載服務(wù)提供者。在用戶量足夠大的情況下，用戶之間互相共享的數(shù)據(jù)非常豐富，緩沖速度會非常快，甚至可以邊下邊播。因此，原本快播并不需要存放緩存視頻的中心服務(wù)器，但快播為了進(jìn)一步節(jié)省緩沖時間，縮短用戶等待過程，還是增設(shè)了緩存服務(wù)器。而恰恰就是在這4臺服務(wù)器中發(fā)現(xiàn)了大量的淫穢視頻，由此引發(fā)了諸多爭議。

緩存是信息系統(tǒng)常見的提高自身性能的方法之一。比如，我們最熟悉的用于存放IE瀏覽器緩存內(nèi)容的Temporary Internet Files文件夾。利用此文件夾可以還原用戶曾經(jīng)的網(wǎng)頁瀏覽內(nèi)容。此外，Windows XP會在每個文件夾中自動生成thumbs.db（俗稱拇指文件）用于存放文件（夾）縮略圖信息，以縮短縮略圖抽取及展示時間。圖8所示為使用Thumbnail Database Analysis工具解析出的縮略圖，在原文件被徹底刪除或破壞的情況下可以幫助了解原始內(nèi)容信息。

圖8　基于thumbs.db解析文件縮略圖信息

需要指出的是，Windows 7之后不再于每個文件夾中設(shè)置 thumbs.db，而是把縮略圖數(shù)據(jù)庫“thumbcache_xxxx.db”文件集中保存于 Users［user name］AppDataLocalMicrosoftWindowsExplorer中（如圖9），可以使用ThumbCacheViewer等工具進(jìn)行解碼。

圖9　Windows 7之后版本的縮略圖數(shù)據(jù)庫存放路徑

IconCache.db文件則是Windows出于節(jié)省文件圖標(biāo)抽取時間而設(shè)置的緩存文件［4］。操作系統(tǒng)將其存放在用戶文件夾下（圖10），用它保存所有系統(tǒng)圖標(biāo)及用戶瀏覽或操作過的文件圖標(biāo)。因此，基于該文件也能夠發(fā)現(xiàn)可執(zhí)行文件的操作痕跡（exe文件一般會擁有區(qū)別于其他程序的圖標(biāo)）。

圖10　用于緩存文件圖標(biāo)的IconCache.db文件

除了可以緩存內(nèi)容外，還可以緩存配置信息，以進(jìn)一步提升系統(tǒng)性能。比較典型的就是Prefetch文件夾，該文件夾使用擴(kuò)展名為pf的文件存放exe文件運(yùn)行時的內(nèi)存參數(shù)等信息，以提升對應(yīng)程序的運(yùn)行速度（圖11）?；趐f文件可解析出程序運(yùn)行的首次時間、末次時間、運(yùn)行次數(shù)等信息。

圖11　緩存配置信息的Prefetch文件夾

通過上述分析可知，如果某文件（夾）負(fù)責(zé)緩存特定類型的信息，那么該文件（夾）一定會隨著特定信息的變化而更新。而公訴人提供的鑒定報告中提到視頻緩存服務(wù)器“從2013年11月18號到2015年12月2日期間創(chuàng)建文件0個，創(chuàng)建qdata文件0個”，時間跨度如此之長卻未有任何新的緩存視頻產(chǎn)生，難怪辯方律師會認(rèn)為“這個結(jié)論恰恰說明了服務(wù)器有人做過手腳”。

2.4Hash校驗

［公訴人］：下面向法庭出示證明鑒定情況的證據(jù)一組。5.下面向法庭出示北京市公安局淫穢物品審查鑒定書。一并出示：淫穢視頻清單（Hash碼）。工作說明兩份。證明：公安機(jī)關(guān)對第3次審驗結(jié)果進(jìn)行了文件重復(fù)查找工作，經(jīng)查驗，本次審驗的29841個視頻文件無重復(fù)［1］。

公訴人出示的證據(jù)中含有淫穢視頻的清單，并附視頻文件的Hash碼，這樣操作既提供了驗證視頻文件完整性的途徑，也可以通過Hash碼不同判斷視頻文件不重復(fù)（至少視頻內(nèi)容不完全相同）。

CRC32、MD5、SHA1曾經(jīng)是應(yīng)用比較廣泛的3種Hash算法。CRC32由于產(chǎn)生碰撞（散列值相同，但原始輸入不同）的幾率過大，需要綜合其他算法才能實現(xiàn)校驗?zāi)康?；MD5散列長度通常是128位，是文件校驗應(yīng)用最廣泛的Hash算法。但目前MD5已變得越來越不安全。圖12所示的1和2兩個文件大小一致，但內(nèi)容共有6處不同。正常情況下，這兩個文件的MD5應(yīng)該不會相同。但由于這6處不同經(jīng)過了精心的設(shè)計，這兩個文件的MD5校驗結(jié)果卻相同。

圖12　內(nèi)容不同但MD5散列值相同的兩個文件

使用Hash計算工具對1和2兩個文件分別依據(jù)MD5、SHA1、CRC32算法計算散列值，從圖13的計算結(jié)果可以看出，雖然這兩個文件的MD5校驗結(jié)果一致，但CRC32和SHA1散列值卻并不相同。

圖13　使用Hash計算工具依據(jù)MD5、SHA1、CRC32計算散列

目前，已經(jīng)可以在網(wǎng)絡(luò)上免費下載或購買到智能生成MD5碰撞樣本的工具。圖14所示為采用“前綴構(gòu)造法”生成碰撞樣本的fastcoll工具［5］，該工具能夠以同一個給定的前綴文件“1”為基礎(chǔ)，在尾部添加不同的附加數(shù)據(jù)，得到兩個具有相同MD5的樣本“test1”和“test2”。而在2014年出現(xiàn)了可以由不同的前綴構(gòu)造相同MD5樣本的新技術(shù)，MD5已經(jīng)徹底不安全了。因此，建議在取證實踐中使用更安全的Hash算法（如MD5和SHA1雙校驗）實現(xiàn)文件完整性校驗。另外，鑒于光盤存儲數(shù)據(jù)原理及光驅(qū)設(shè)備的特殊性，未被修改的光盤也會產(chǎn)生MD5散列值不一致的情況，因此，對光盤中文件做Hash校驗。

圖14　MD5碰撞樣本智能生成工具

3　結(jié)束語

可以預(yù)見，“快播涉黃案”的影響一定是積極而深遠(yuǎn)的。具體到電子數(shù)據(jù)取證領(lǐng)域，對取證人員的業(yè)務(wù)水平也提出了更高的要求。信息技術(shù)的變革深刻影響著電子數(shù)據(jù)取證的發(fā)展，鑒定工作已經(jīng)無法單純依靠傳統(tǒng)的數(shù)據(jù)搜索及數(shù)據(jù)恢復(fù)完成。像“快播”案件中出現(xiàn)的用戶操作行為、播放器功能、緩存服務(wù)器，都是近幾年新出現(xiàn)的取證分析對象。與此同時，一些曾經(jīng)非常重要的技術(shù)也隨著時間的推移正逐步淡出歷史舞臺（如MD5校驗）。

以“快播涉黃案”為代表的新型網(wǎng)絡(luò)犯罪案例提醒我們“不進(jìn)則退，慢進(jìn)也退”。只有緊緊把握技術(shù)發(fā)展的脈搏，刻苦鉆研技術(shù)原理與方法，才能擔(dān)得起“電子數(shù)據(jù)取證”這副越來越重的擔(dān)子。

［1］騰訊科技.快播涉黃案庭審全程文字實錄［EB/OL］.（2016-01-08）［2016-01-09］.http：//tech.qq.co m/a/20160108/062986.htm.

［2］羅文華.從電子數(shù)據(jù)取證角度看Windows7操作系統(tǒng)新變化［J］.中國刑警學(xué)院學(xué)報，2015（4）：34-37.

［3］孫道寧.NTFS文件系統(tǒng)下基于多重時間信息解析文件操作行為［J］.中國刑警學(xué)院學(xué)報，2016（1）：47-49.

［4］段嚴(yán)兵.Windows操作系統(tǒng)環(huán)境下調(diào)查USB設(shè)備使用痕跡方法研究［J］.刑事技術(shù)，2015（2）：138-141.

［5］360白名單分析組.MD5碰撞的演化之路［EB/ OL］.（2016-01-20）［2016-01-09）］.http：//bobao.#/ learning/detail/2577.html.2016.

（責(zé)任編輯：于萍）

TP399

A

2095-7939（2016）03-0045-05

10.3969/j.issn.2095-7939.2016.03.009

2016-09-20

公安部技術(shù)研究計劃項目（編號：2015JSYJC04）。

羅文華（1977-），男，遼寧沈陽人，中國刑事警察學(xué)院網(wǎng)絡(luò)犯罪偵查系教授，主要從事電子數(shù)據(jù)取證研究。