羅倩 王生玉 石奧迪

摘要：當(dāng)前互聯(lián)網(wǎng)已成為政治、經(jīng)濟(jì)和社會活動的重要場所。犯罪分子利用計算機(jī)網(wǎng)絡(luò)技術(shù)進(jìn)行各種犯罪活動，傳統(tǒng)的犯罪也在計算機(jī)網(wǎng)絡(luò)技術(shù)輔助下變得更加隱蔽。不同于傳統(tǒng)計算機(jī)取證可通過扣押、無損鏡像等方式對數(shù)據(jù)進(jìn)行提取，直接獲取服務(wù)器較為困難。因此，針對遠(yuǎn)程勘驗取證技術(shù)的研究勢在必行。該研究介紹了利用遠(yuǎn)程勘驗對服務(wù)器進(jìn)行取證分析的方法與步驟，為取證人員提供技術(shù)參考。

關(guān)鍵詞：遠(yuǎn)程勘驗;取證分析;服務(wù)器;數(shù)據(jù)重構(gòu)

中圖分類號：TP393? ? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2020）36-0182-03

Abstract： At present， the Internet has become an important place for political， economic and social activities. Criminals use computer network technology to carry out a variety of criminal activities， the traditional crime has become more hidden with the assistance of computer network technology. Unlike traditional computer forensics， which can extract data by means of seizure and lossless image， it is difficult to obtain the server directly. Therefore， it is imperative to study the technology of remote inspection and evidence collection.

Key words： remote forensic analysis; forensic analysis; the server; data refactoring

1 引言

近幾年，全球數(shù)據(jù)量迎來爆發(fā)，推動這一增長的重要因素之一是云計算的快速發(fā)展，越來越多的企業(yè)、政府等機(jī)構(gòu)將解決方案遷移至云。與此同時，云服務(wù)也給機(jī)構(gòu)和用戶帶來了許多潛在的安全問題。

目前，涉及云服務(wù)器案件的取證鑒定主要包括違法網(wǎng)站取證、云服務(wù)器入侵取證和利用云服務(wù)器傳遞違法犯罪信息的取證。部署在云上的違法網(wǎng)站主要包括詐騙網(wǎng)站、涉穢色情網(wǎng)站、網(wǎng)絡(luò)侵權(quán)網(wǎng)站、網(wǎng)絡(luò)賭博網(wǎng)站等類型。此類違法網(wǎng)站主要通過虛假或非法信息謀取利益，對社會造成負(fù)面影響。針對此類案件，除了要對網(wǎng)站信息進(jìn)行提取和內(nèi)容分析以外，還要對網(wǎng)絡(luò)IP地址、網(wǎng)絡(luò)資金流向、數(shù)據(jù)庫層級關(guān)系等信息進(jìn)行提取。云服務(wù)器非法入侵主要通過獲取用戶信息或?qū)τ脩暨M(jìn)行勒索，從而謀取非法利益，包括服務(wù)器入侵、網(wǎng)站數(shù)據(jù)惡意篡改、網(wǎng)站數(shù)據(jù)被盜取以及服務(wù)器木馬。此類案件的取證工作主要通過對入侵痕跡進(jìn)行分析，獲取犯罪證據(jù)。利用云服務(wù)器傳遞違法犯罪信息類案件主要為利用云應(yīng)用傳遞淫穢色情信息等，這類案件因為數(shù)據(jù)存放在云端，而云上的數(shù)據(jù)無論是調(diào)證還是取證，相對傳統(tǒng)的取證而言，時間長，難度高，對于執(zhí)法人員辦案效率具有較大的影響。因此，對云服務(wù)器上的數(shù)據(jù)進(jìn)行取證分析研究對社會公共安全具有重大意義。

一方面由于云服務(wù)器物理存放位置較為隱蔽，資源回收速度快，為傳播惡意程序與代碼等違法犯罪行為提供了有利條件，另一方面云上用戶私人數(shù)據(jù)更易泄露、數(shù)據(jù)更易被篡改，使得云服務(wù)器非法入侵類案件逐年增多。犯罪分子利用計算機(jī)網(wǎng)絡(luò)技術(shù)進(jìn)行各種犯罪活動，傳統(tǒng)的犯罪也在計算機(jī)網(wǎng)絡(luò)技術(shù)輔助下變得更加隱蔽[1]。針對這些計算機(jī)相關(guān)犯罪活動，需要利用取證技術(shù)對相關(guān)證據(jù)進(jìn)行固定。傳統(tǒng)計算機(jī)取證依賴于對原始數(shù)據(jù)存儲介質(zhì)的獲取與固定，通過扣押、無損鏡像等方式可獲取電子數(shù)據(jù)信息[2]。但是對網(wǎng)站、網(wǎng)絡(luò)應(yīng)用來說，其數(shù)據(jù)存儲在遠(yuǎn)程服務(wù)器上無法確認(rèn)服務(wù)器物理地點(diǎn)，同時服務(wù)器數(shù)據(jù)量極大，依靠扣押設(shè)備直接獲取服務(wù)器存儲介質(zhì)的難度極大[3-4]。當(dāng)前遠(yuǎn)程網(wǎng)絡(luò)取證主要以瀏覽器緩存日志分析取證、截屏拍照等為主。

2 遠(yuǎn)程勘驗技術(shù)

網(wǎng)絡(luò)遠(yuǎn)程勘驗是指通過網(wǎng)絡(luò)對遠(yuǎn)程目標(biāo)系統(tǒng)進(jìn)行勘驗檢查，以提取、固定遠(yuǎn)程目標(biāo)系統(tǒng)的狀態(tài)和留存的電子數(shù)據(jù)，為案件情況和案件發(fā)生過程的分析判斷提供依據(jù)，確定案件偵破方向和調(diào)查范圍，為破案和刑事訴訟提供重要支撐[5]。目前遠(yuǎn)程服務(wù)器取證主要通過固定保全的方式進(jìn)行。

登陸取證內(nèi)容包括當(dāng)前操作系統(tǒng)動態(tài)信息、操作系統(tǒng)配置信息、存儲介質(zhì)、網(wǎng)絡(luò)相關(guān)的信息。操作系統(tǒng)動態(tài)數(shù)據(jù)包括系統(tǒng)開機(jī)時間、操作系統(tǒng)版本、當(dāng)前連續(xù)用戶、當(dāng)前運(yùn)行進(jìn)程、當(dāng)前打開的句柄、網(wǎng)絡(luò)偵聽端口、當(dāng)前網(wǎng)絡(luò)連接等各種關(guān)機(jī)后可能滅失的信息。操作系統(tǒng)配置信息包括用戶列表、系統(tǒng)自啟動項、系統(tǒng)服務(wù)、操作系統(tǒng)配置、操作系統(tǒng)日志等各種操作系統(tǒng)相關(guān)的數(shù)據(jù)信息。存儲介質(zhì)基本信息包括存儲介質(zhì)的類型、介質(zhì)大小、分區(qū)信息、每個分區(qū)的大小、每個分區(qū)的文件系統(tǒng)類型，以及文件系統(tǒng)的加載點(diǎn)配置等。用戶可以方便地瀏覽及固定這些數(shù)據(jù)。網(wǎng)絡(luò)數(shù)據(jù)包括網(wǎng)絡(luò)接口配置、網(wǎng)絡(luò)偵聽端口、當(dāng)前網(wǎng)絡(luò)連接等網(wǎng)絡(luò)類型，可以發(fā)起對遠(yuǎn)程網(wǎng)絡(luò)端口的數(shù)據(jù)偵聽和數(shù)據(jù)解析，發(fā)現(xiàn)問題網(wǎng)絡(luò)數(shù)據(jù)流和通信目標(biāo)。

遠(yuǎn)程賬號密碼登錄取證主要利用賬號密碼登錄服務(wù)器，登錄后可對服務(wù)器進(jìn)行數(shù)據(jù)固定。一般取證過程可對網(wǎng)站運(yùn)行狀態(tài)、頁面內(nèi)容進(jìn)行固定。其中網(wǎng)站運(yùn)行狀態(tài)包括 IP 地址、 運(yùn)行狀態(tài)、服務(wù)端軟件和版本等各種信息。頁面內(nèi)容主要包括網(wǎng)頁內(nèi)容、網(wǎng)站數(shù)據(jù)庫等數(shù)據(jù)信息。目前，固定的數(shù)據(jù)類型主要包括原始網(wǎng)頁、內(nèi)容信息、網(wǎng)頁截圖、視頻錄像等。在對遠(yuǎn)程網(wǎng)站的固定過程中，在可能的情況下可以保存為與原始網(wǎng)頁對應(yīng)的 HTML文件格式，同時保存 HTML 格式相關(guān)的圖片、CSS 樣式表等文件，形成網(wǎng)站本地鏡像。

網(wǎng)頁數(shù)據(jù)固定截圖是對頁面的可視部分生成圖形化的快照，快照可以保存為PNG、JPG等單一文檔格式，有利于生成證據(jù)清單和頁面內(nèi)容的后續(xù)完整性校驗。對于視頻、Flash 等動態(tài)交互內(nèi)容，提供一個瀏覽器形式的交互界面，用戶通過交互界面觀看視頻、與網(wǎng)頁進(jìn)行交互，同時將視頻播放、交互情況進(jìn)行記錄，生成一段視頻，通過屏幕錄像等方式對一段時間內(nèi)的動態(tài)信息進(jìn)行記錄。

最后，可通過完整性校驗的方式對獲取的證據(jù)信息進(jìn)行真實(shí)性和完整性進(jìn)行記錄?？赏ㄟ^固定過程全程錄像，固定結(jié)果、錄像結(jié)果加入時間和 URL 標(biāo)簽，計算Hash值等。

3 數(shù)據(jù)重構(gòu)

在對遠(yuǎn)程網(wǎng)站的固定過程中，可以同時按照設(shè)定的要求下載網(wǎng)站的頁面文件及其附屬文件，形成網(wǎng)站內(nèi)容的本地鏡像，通過修改源文件的鏈接地址信息，實(shí)現(xiàn)網(wǎng)站的本地離線瀏覽，使辦案人員可以正常瀏覽網(wǎng)站。

云服務(wù)器上的網(wǎng)站一般為Apache、Nginx、IIS等，需要使用取證工具對此類流行建站工具進(jìn)行自動識別和應(yīng)用解析，并完成后續(xù)的證據(jù)固定。以Apache網(wǎng)站服務(wù)器為例，通過取證工具能解析服務(wù)器配置文件，得到虛擬主機(jī)配置、虛擬目錄配置以及各個網(wǎng)站應(yīng)用文件和網(wǎng)站日志的存放位置。同時，通過取證工具自動識別MySQL、MsSQL、PostgreSQL等常見數(shù)據(jù)庫類型，并通過備份、導(dǎo)出等方法對數(shù)據(jù)庫數(shù)據(jù)進(jìn)行提取和固定。

在當(dāng)前網(wǎng)站開發(fā)技術(shù)中，網(wǎng)頁展示主要分為兩類，一類是靜態(tài)頁面，這類數(shù)據(jù)是指已經(jīng)在網(wǎng)站服務(wù)器上生成的，以固定格式文件保留在服務(wù)器中，常見的有htm和html等，一般多用于不需要經(jīng)常變更的數(shù)據(jù)內(nèi)容展示。相應(yīng)的另一類是動態(tài)頁面，是指頁面內(nèi)容需要服務(wù)器網(wǎng)站應(yīng)用程序進(jìn)行處理動態(tài)生成的，往往會隨著訪問者身份、訪問行為、訪問時間變化等等一系列參數(shù)變化而變化。網(wǎng)頁數(shù)據(jù)傳輸協(xié)議主要以HTTP和HTTPS為主，被包含于URL（Uniform Resource Locator， 統(tǒng)一資源定位符）中，也就是俗稱的網(wǎng)址。網(wǎng)頁取證除了指定URL，還需要對訪問時間，請求參數(shù)等數(shù)據(jù)進(jìn)行記錄，請求參數(shù)主要包括請求方法（request method）、請求頭（request headers），請求載荷（request payload）。不同的組合往往可以獲得不同的請求結(jié)果，常見的基本請求參數(shù)組合為使用GET請求方法和設(shè)置請求頭屬性User-Agent為常用的網(wǎng)絡(luò)瀏覽器身份標(biāo)識，讓服務(wù)器認(rèn)為是相應(yīng)的網(wǎng)頁瀏覽器請求以呈現(xiàn)對應(yīng)的頁面結(jié)果。網(wǎng)頁取證的技術(shù)思路，就是模擬正常用戶的網(wǎng)站訪問行為，即設(shè)置好請求參數(shù)通過能夠發(fā)起HTTP或HTTPS請求的程序訪問目標(biāo)網(wǎng)址，獲得返回結(jié)果。

其主要步驟為：首先通過分析前臺網(wǎng)站服務(wù)器配置文件，找到網(wǎng)站服務(wù)文件所在的目錄和全部代碼，再通過分析網(wǎng)站服務(wù)器文件的配置，找出網(wǎng)絡(luò)數(shù)據(jù)庫類型、IP地址以及數(shù)據(jù)庫的訪問用戶名、密碼等，導(dǎo)出數(shù)據(jù)庫中的所有數(shù)據(jù);然后利用仿真的方式或者使用提取的網(wǎng)站代碼和數(shù)據(jù)庫構(gòu)建模擬網(wǎng)站服務(wù)器;最后使用同樣的方式導(dǎo)出后臺管理服務(wù)器的代碼和數(shù)據(jù)庫中的所有數(shù)據(jù)，并搭建后臺仿真或模擬網(wǎng)站。網(wǎng)站重建之后可以通過登錄前臺界面，模擬用戶操作行為，確定與之相關(guān)聯(lián)的網(wǎng)站程序和模塊。

對通過各種方式固定的完整服務(wù)器系統(tǒng)的鏡像，可采用服務(wù)器仿真的方式，完成對數(shù)據(jù)庫服務(wù)器的仿真和重構(gòu)。對于遠(yuǎn)程固定的數(shù)據(jù)庫數(shù)據(jù)，在本地仿真啟動數(shù)據(jù)庫服務(wù)器，通過數(shù)據(jù)庫服務(wù)器導(dǎo)入之前固定的數(shù)據(jù)庫數(shù)據(jù)，還原原始數(shù)據(jù)庫的服務(wù)，可以正常瀏覽數(shù)據(jù)庫中的數(shù)據(jù)，并能為其他應(yīng)用提供數(shù)據(jù)服務(wù)。

對于原機(jī)、硬盤鏡像，通過平臺仿真原有服務(wù)器系統(tǒng)的基礎(chǔ)硬件和操作系統(tǒng)環(huán)境，形成仿真運(yùn)行取證系統(tǒng)，支持的操作系統(tǒng)包括常見的 Windows 服務(wù)器系統(tǒng)、各種 Linux 發(fā)行版服務(wù)器等。在啟動服務(wù)器鏡像之后，可以仿真原網(wǎng)絡(luò)環(huán)境和用戶環(huán)境，設(shè)置 IP 地址/域名等信息。配置相應(yīng)的數(shù)據(jù)庫服務(wù)等，使得仿真取證系統(tǒng)的網(wǎng)站應(yīng)用程序能夠在仿真網(wǎng)絡(luò)環(huán)境使用。此時，可按照原始網(wǎng)絡(luò)的運(yùn)行狀態(tài)獲取與用戶環(huán)境相關(guān)的應(yīng)用程序及服務(wù)的相關(guān)數(shù)據(jù)，重現(xiàn)用戶運(yùn)行環(huán)境狀態(tài)。

根據(jù)以上方法，可對網(wǎng)站數(shù)據(jù)庫進(jìn)行分析，同時可根據(jù)數(shù)據(jù)庫信息及操作記錄還原后臺資金交易信息與人員分層結(jié)構(gòu)，為違法網(wǎng)站取證分析奠定基礎(chǔ)。

4 遠(yuǎn)程勘驗取證發(fā)展方向

近年來，隨著網(wǎng)絡(luò)違法犯罪活動實(shí)施方式不斷升級、反取證技術(shù)不斷增強(qiáng)、云環(huán)境復(fù)雜度不斷提高以及應(yīng)用程序通訊協(xié)議不斷更新，給現(xiàn)有云數(shù)據(jù)取證技術(shù)帶來了嚴(yán)峻挑戰(zhàn)。在云服務(wù)器取證方面，目前云服務(wù)器的在線仿真技術(shù)，僅限于國內(nèi)的阿里云平臺[7]。針對其他公有云例如：騰訊云、金山云等仍然需要通過離線仿真進(jìn)行取證，對于大規(guī)模云環(huán)境的仿真取證有所欠缺，仍然面臨環(huán)境配置復(fù)雜、提取速度慢、數(shù)據(jù)分析難的問題 [8]。針對海外的市場占有率很高的AWS、Azure、Google等。除此以外，網(wǎng)站技術(shù)架構(gòu)推陳出新、定制化嚴(yán)重，加大了手工重建網(wǎng)站的難度，網(wǎng)站智能重建技術(shù)仍有所欠缺;違法犯罪分子反取證能力的增強(qiáng)，使得數(shù)據(jù)恢復(fù)的場景更加復(fù)雜，數(shù)據(jù)庫碎片重組和分析缺乏智能的分析手段[9]。在應(yīng)用程序的提取方面，由于通訊協(xié)議多樣、數(shù)據(jù)加密方式不同、風(fēng)險控制力度加大，導(dǎo)致App賬號密鑰提取難、App脫殼逆向難、App網(wǎng)絡(luò)協(xié)議逆向難、脫離手機(jī)進(jìn)行云取證難等多個技術(shù)難題有待進(jìn)一步的解決。針對云服務(wù)器的取證技術(shù)是未來發(fā)展的主要方向之一[6]。

5 總結(jié)

本文主要介紹現(xiàn)有遠(yuǎn)程勘驗技術(shù)的幾種方式，同時介紹數(shù)據(jù)重構(gòu)的方法與步驟。通過對以上方法的介紹，實(shí)現(xiàn)遠(yuǎn)程服務(wù)器的取證分析，以期為取證人員提供技術(shù)參考。

參考文獻(xiàn)：

[1] 石奧迪，吳松洋，劉善軍，等.一種遠(yuǎn)程服務(wù)器取證的系統(tǒng)和方法[P].2019.

[2] 何震，代江龍.論服務(wù)器軟件侵權(quán)遠(yuǎn)程取證的司法認(rèn)定[J].電子知識產(chǎn)權(quán)，2016（1）：97-102.

[3] 王嘯虎.淺談網(wǎng)絡(luò)遠(yuǎn)程勘驗流程及其在案件偵辦中的重要性[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（11）：113，98.

[4] 朱峰，劉捷，李軍.遠(yuǎn)程勘驗取證分析軟件開發(fā)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2011（11）：73-74.

[5] 朱桐輝，王玉晴.電子數(shù)據(jù)取證的正當(dāng)程序規(guī)制——《公安電子數(shù)據(jù)取證規(guī)則》評析[J].蘇州大學(xué)學(xué)報（法學(xué)版），2020，7（1）：121-132.

[6] 黃逵.刑事檢察中電子數(shù)據(jù)的收集困境與破解方法[D].長沙：湖南師范大學(xué)，2019.

[7] 張麗霞.基于HTML語言的網(wǎng)頁制作方法[J].電子測試，2018（Z1）：86-87.

[8] 金明哲，鄭建立，裴旭明，等.應(yīng)用于物聯(lián)網(wǎng)的Linux云端服務(wù)器設(shè)計[J].信息技術(shù)，2015，39（9）：179-183.

[9] 薛琳. 基于iOS平臺的云服務(wù)器管理系統(tǒng)研究與實(shí)現(xiàn)[D].上海：東華大學(xué)，2015.

【通聯(lián)編輯：代影】