◆韋昊 陳宇琪 王一凡 呂世宇 姚上青 柯婕

（江蘇警官學院計算機信息與網絡安全系 江蘇 210031）

在互聯(lián)網技術快速發(fā)展背景下，網盤的使用量也在持續(xù)增加，云儲存為人們提供了極大的便利，用戶可以借助網盤客戶端將文檔、照片、視頻、壓縮包等包含信息的文件上傳到網盤，以便于用戶在不同地點以及設備上隨時下載網盤文件。但同時也帶來了一系列安全隱患，對數(shù)據(jù)信息安全產生巨大的威脅。很多網盤逐漸成為不法分子藏匿違法信息、傳播非法文件的空間。2018年4月20-21日，習近平總書記在全國網絡安全和信息化工作會議上指出：“沒有網絡安全就沒有國家安全，就沒有經濟社會穩(wěn)定運行，廣大人民群眾利益也難以得到保障”。所以在立法、偵查、取證等方面進行及時調整以應對網盤使用的亂象迫在眉睫，但現(xiàn)有的取證工具大多是面向單機數(shù)據(jù)而非是網絡數(shù)據(jù)，針對網盤數(shù)據(jù)的取證難度相對較大，還需要進行相應的研究。本文以百度網盤客戶端為例，對網盤數(shù)據(jù)取證方法進行分析。

1 百度網盤客戶端取證的意義

網盤作為一種個性化的云存儲空間，具有隱私性、便利性等特征，因此很多網盤用戶都會將自身日常生活和工作當中的部分數(shù)據(jù)信息存入網盤。但是將個人數(shù)據(jù)存儲入網盤也是一種“雙刃劍”的行為。一方面，網盤文件存儲類別極多，基本上可以覆蓋如今市場上所有常見的文件形式和文件內容，為用戶存儲多類型的個人數(shù)據(jù)提供了更多便利性；但是另一方面，紛亂復雜的數(shù)據(jù)信息使得網盤監(jiān)管難度增大，很多不法分子便會利用此特點來將諸多違法信息、非法文件藏匿在網盤中，為相關案件的證據(jù)收集帶來了極大的不便。因此，當前的網盤安全監(jiān)管市場亟須尋找一種網盤取證方法來提高網盤犯罪信息的獲取效果[1]。

此外，結合當今實際情況來看，百度網盤在我國網盤市場中呈現(xiàn)出“一家獨大”的特征，其他網盤雖然也占據(jù)一定的市場份額，但百度網盤卻占據(jù)了國內網盤服務行業(yè)的主體地位。因此，很多不法分子也會利用百度網盤數(shù)據(jù)量大、用戶復雜等特點，將違法信息、非法文件藏匿在百度網盤中，進而增加犯罪信息取證難度。針對此種情況，以百度網盤客戶端為例，尋找一種可以有效獲取百度網盤客戶端中犯罪信息的方法，對于犯罪信息取證來說具有極為重要的意義。

2 百度網盤取證原理分析

目前，百度網盤在國內擁有非常龐大的使用群體，在信息數(shù)據(jù)存儲上發(fā)揮著重要的作用，在研究中可通過一些技術手段查找痕跡，實現(xiàn)對數(shù)據(jù)的科學研判分析。

2.1 技術維度分析

（1）證據(jù)獲取

通過與用戶建立密切聯(lián)系實現(xiàn)對各項數(shù)據(jù)的讀取，這其中，IaaS模型主要應用于云計算方面，借助這類模型可以給予用戶更多的權益，實現(xiàn)對數(shù)據(jù)的科學分析，靈活調整使用策略，最大程度地滿足自身需求；另外，PaaS和SaaS模型則具有很強的約束性，單一的數(shù)據(jù)獲取渠道使得用戶獲取信息的穩(wěn)定性較差，需要云服務商的介入才可以實現(xiàn)對各項數(shù)據(jù)的獲取，因此建立與服務商密切的聯(lián)系是保證各項數(shù)據(jù)獲取渠道穩(wěn)定的基礎，借助物理地址可以提供很好的保障，協(xié)助完成各項任務[2]。證據(jù)獲取時還需要結合客戶的需求以及各項任務目標研究，僅憑單一的物理機存儲大量的數(shù)據(jù)信息是非常不安全的。所以，需要建立完善的數(shù)據(jù)保障機制，實現(xiàn)對審計日志的嚴格審查。

（2）證據(jù)分析

證據(jù)不穩(wěn)定很容易造成證據(jù)缺失，這是必須解決的問題。云計算資源在分配的過程中不斷變化，一旦用戶沒有資源需求，注銷虛擬機，就會重新將已有的資源再次分配，分配后的數(shù)據(jù)將會覆蓋原始數(shù)據(jù)。目前，資源分配過程中的方向、位置都是不確定的，并且很容易造成丟失，因此只有及時備份才可以避免數(shù)據(jù)丟失，保證各項數(shù)據(jù)的完整性和科學性。云取證的方式有很多，但是容易被篡改，數(shù)據(jù)的完整性和科學性得不到保證；數(shù)據(jù)的增加會使格式調整速度減緩，篡改的數(shù)據(jù)無法在第一時間被及時修正；時間分布的不完整以及形勢的單一性，都會使得責任的劃分存在較大難度[3]。因此需要協(xié)調好各方的關系，共同攜手對系統(tǒng)進行管理，保證海量數(shù)據(jù)的科學分析，而這也是本文研究的重點和難點。

2.2 痕跡分析

用戶在云存儲器上保存數(shù)據(jù)時，雖然數(shù)據(jù)得到很好的保存，便于后續(xù)的操作，但是在實際的使用過程中還是會留下痕跡，這些痕跡會攜帶眾多用戶信息，可以作為后續(xù)研究的重要參考，例如用戶名、用戶ID、用戶的操作記錄等都可以在痕跡中被找到。借助用戶端進行數(shù)據(jù)分析時，需要關注Web瀏覽器和客戶端應用中殘留下來的使用痕跡。Web的服務就是云存儲的重要基礎，這里需要及時對Internet歷史有關的數(shù)據(jù)和信息進行調整分析，借助分析Web瀏覽器的日志文件的機會，及時對客戶的各項信息進行完善，保證數(shù)據(jù)的完整性和真實性；同時，很多云服務器具備的功能都可以實現(xiàn)對數(shù)據(jù)的分析和保存，同樣也會在使用的過程中殘留下痕跡。利用對這些痕跡的分析就可以掌握客戶各項操作的時間線。因此首先對云存儲器上的殘留痕跡展開分析，是實現(xiàn)對云存儲器研究的重要基礎，掌握用戶重點關注的地方，提取有用的價值信息。

借助對云存儲器痕跡分析的研究，這里使用如圖1所示的方法實現(xiàn)對云存儲器痕跡的追蹤和研判。

圖1 痕跡分析方法

（1）首先需要對云存儲器進行客觀的分析，查找對應的數(shù)據(jù)，掌握相關操作、了解方式方法。通常，用戶的重要信息都會被存儲在瀏覽器上，并且云存儲器還可以作為重要的數(shù)據(jù)保存單元，確保數(shù)據(jù)的完整性和科學性，所以用戶可以借助客戶端實現(xiàn)對數(shù)據(jù)的科學分析。對于文件的操作方式多樣，能夠生成、保存、修改以及刪除文件。

（2）云操作的方式都與每一種數(shù)據(jù)存儲方式配對，也就是借助一種云存儲方式就可以建立對應的案例測試，形成測試1至測試N。

（3）實現(xiàn)虛擬機環(huán)境的純凈，提高設備的分析效率。純凈虛擬機環(huán)境下的數(shù)據(jù)分析，具有高效、可靠、系統(tǒng)的性能。

（4）從測試1開始，建立在虛擬機砂鍋的數(shù)據(jù)測試，結合實際的案例需求完成對測試結果的分析，這里在借助云操作的過程中，虛擬機的測試次數(shù)都為1。

然而，近年來國產陶瓷在國際市場上一直保持著數(shù)量上（我國日用陶瓷總產量約占世界總產量的65%～70%）的大國地位，但從總體水平上看是大而不強（出口日用陶瓷平均單件換匯僅為0.21 美元，遠遠低于世界平均單件出口價格1 美元以上的水平，為英國、日本的 1/7，法國的 1/3），與國際先進水平相比還有較大的差距。隨著我國物質生活和文化生活的不斷發(fā)展提高，人們對高檔有品質的日用陶瓷產品的需求也大大地提高了，這無疑給我過日用陶瓷產品發(fā)展帶來了新的發(fā)展空間和契機，同時也對我國日用陶瓷產品設計提出了新的挑戰(zhàn)和更新更高的要求。

（5）檢查（4）中在測試過程中全部被讀寫的數(shù)據(jù)信息（可以使用Process Monitor等工具完成對數(shù)據(jù)的檢測和分析）。對數(shù)據(jù)的具體內容展開科學的研判，分析其內容的重要性，找出數(shù)據(jù)在存儲階段的誤差以及需要完善的地方，假設文中沒有出現(xiàn)相關的重要信息，就需要對內容進行完善的記錄，依據(jù)其格式實現(xiàn)對內容的歸類整理，掌握數(shù)據(jù)的價值。

（6）轉至（3）按照上述步驟操作，指導所有的測試方案完成。

（7）在所有的測試方案完成之后，就需要對各項數(shù)據(jù)進行整合歸納，分析研判其特征屬性。

百度網盤在我國的用戶非常多，目前主要以兩種方式來使用百度網盤，同時也是重要的信息存儲方式，對于我國信息的存儲發(fā)揮著重要的作用，一是使用瀏覽器對網盤中存儲的內容進行訪問，二是利用網盤的客戶端實現(xiàn)對信息的查詢檢索。使用痕跡分析的方式完成Windows 7系統(tǒng)下數(shù)據(jù)的分析，依次使用Chrome瀏覽器對用戶訪問過程中留下的痕跡展開詳細的檢索和分析，并對結果作出科學的預判，完成數(shù)據(jù)分析，生成痕跡報告。這里研究過程中使用的主要是Chrome瀏覽器其版本為57.0.2978.110，百度網盤客戶端的主體部分為v5.3.4.5。這里雖然在研究中對于百度信息的檢索存在眾多影響因素，但是其主要的痕跡分析可以實現(xiàn)，這里對于數(shù)據(jù)信息的檢索就是在痕跡分析的基礎上完成。

用戶使用Chrome瀏覽器方式和客戶端程序方式完成對百度云盤內部各項信息的完善和分析。能夠得出，在Chrome瀏覽器歷史記錄文件中可以查找到各類歷史瀏覽信息以及存儲的文件數(shù)據(jù)內容，對于客戶端的使用和研究發(fā)揮著重要的作用。除此之外，其他各類文件痕跡和信息都可以在這里被查找到，但是其主要的信息還是保存在網盤中，如cookie和賬號密碼等都是具有重要價值的信息。下面將對文件展開詳細的分析研究。

百度網盤的客戶端也被叫做百度云管家，客戶端程序能夠提升客戶檢索信息的效率，對于數(shù)據(jù)的整合和獲取起到重要的作用，并且客戶端也是下載大文件的重要依據(jù)和載體。用戶利用密碼和賬號就可以實現(xiàn)對系統(tǒng)的登錄，在操作上具有極大的便利性。研究得出，用戶在安裝百度云管家時，會留下相關的痕跡，這一點在百度網盤上可以被有效地檢索，并在相應的文件上展開研究分析。百度云管家賬號內部保存著重要的信息文件，這也是值得重點關注的地方。

百度云管家云心階段就會對登錄的信息和賬號進行保存，并且用戶可以依據(jù)自己的需求選擇是否對信息進行保留，以便下次可以自動登錄，百度云管家還會對信息數(shù)據(jù)進行備份保存在本地文件中。一般數(shù)據(jù)信息保存的地址為”＼BaiduYunGuanjia＼users＼temp.data”文件，使用UltraEdit打開temp.data文件，temp.data文件中存放的內容都是加密的，用戶必須經過百度云管家的授權才可以提取temp.data文件中存儲的重要信息。

3 百度網盤客戶端取證方法

（1）根據(jù)GB/T 29362-2012和GA/T 756-2008中的要求，通過計算機殺毒軟件對電子物證檢驗工作站系統(tǒng)進行病毒查殺，保證工作站系統(tǒng)不會存在病毒，避免對后續(xù)操作造成干擾[2]。其次，通過滿足上述文件要求的電子數(shù)據(jù)存儲介質復制工具來對待檢測計算機數(shù)據(jù)存儲介質中的數(shù)據(jù)信息進行全面復制。再次，將研究所使用的實驗機硬盤制作成為鏡像文件，并記錄制作完成后鏡像文件的哈希值。最后，將具備寫入保護功能的待檢測計算機按照上述標準中的要求通過只讀的方式與電子物證檢驗工作站相連。

（2）在Windows 7/10操作系統(tǒng)環(huán)境下，先對百度網盤的默認保存路徑如今進行查詢，若是無法查詢到百度網盤的默認保存路徑，則代表著相關使用者使用了自定義保存路徑，此種情況便需要工作人員在電子物證檢驗工作站中使用FTK、Encase等快速搜索工具，以“BaiduNetdisk”或者“BaiduYunGuanjia”為關鍵詞對百度網盤客戶端的保存路徑進行查詢搜索。在找到保存路徑位置后，打開路徑中的“User”文件夾，此文件夾中所保存的由數(shù)字與字母混合命名的文件夾就是待檢測計算機中百度網盤登錄后所形成的賬戶名，只不過這些百度網盤為確保用戶的隱私安全，相關賬戶名已經被加密[3]。右鍵點擊其中某一個文件夾，點擊屬性，將可以看到此文件夾的創(chuàng)建時間，該時間便是此用戶名的首次登錄時間。

（3）在百度網盤客戶端用戶名保存路徑（BaiduNetdisk文件夾下）中雙擊某一文件夾后，可以發(fā)現(xiàn)文件夾下存在一個非系統(tǒng)自動命名的文件夾，此文件夾就是百度網盤的賬號文件夾，文件夾的命名便是百度網盤客戶端用戶的賬戶名。此文件夾是用戶在通過百度網盤客戶端登錄網盤后，客戶端自行生成的。

（4）百度網盤客戶端用戶名保存路徑中還存在命名為“BaiduYunCacheFileV0”和“BaiduYunGuanjia”的文件，工作人員需要通過電子物證檢驗工作站中的Navicat Premium工具對兩種文件進行快速檢驗分析。由于百度網盤所提供的用戶群體極為龐大，并且不同用戶所采用的操作系統(tǒng)也將會存在一定區(qū)別，所以百度網盤通常需要進行跨操作系統(tǒng)提供服務，因此，其所采用的存儲機制為通用性更強的SQLlite存儲機制。SQLliet作為一種輕型數(shù)據(jù)庫，其具有占用資源少，能夠支持Windows、Linux、Unix等主流操作系統(tǒng)，可以與多種程序語言相結合等優(yōu)點，促使其不僅在百度網盤中得到廣泛應用，而且還促使百度網盤的運行速度得到有效提升。

通過電子物證檢驗工作站中的工具打開“BaiduYunCacheFileV0”文件，并進行分析，之后可以發(fā)現(xiàn)文件中蘊含“cache_file”和“version”兩種表，其中“cache_file”表中存有此賬戶百度網盤客戶端的文件夾信息列表，相關文件在百度網盤中的存儲路徑、文件唯一標識、文件訪問時間、文件在百度網盤服務器中的文件名，文件的md5值均可以通過工具進行獲取和導出。其中，md5的值主要用于檢驗計算機中文件名與百度網盤服務器中文件名的一致性；而文件訪問時間則可以通過查看文件夾的最后訪問時間獲取。

通過工具打開“BaiduYunGuanjia”文件，可以發(fā)現(xiàn)文件夾內存在著5個表，不同的表在百度網盤客戶端中多發(fā)揮出的功能也不盡相同，其中“download_history_file”表可以顯示此賬號在百度網盤客戶端中下載過的文件列表、文件大小、下載起止時間等信息?！皍pload_history_file”表則可以顯示此賬號在百度網盤客戶端上傳過的文件列表、文件大小、下載起止時間等信息[4]。

（5）通過Navicat Premium工具將上述文件信息進行全部導出，并復制到Excel表格中，保存表格文件，計算表格文件的哈希值。

用戶操作的過程中，客戶端和服務器會相互傳輸數(shù)據(jù)，確保信息完整有效符合客觀使用環(huán)境（如圖2）。

圖2 客戶端和服務器交互圖

通過以上百度網盤客戶端取證方法，將可以直接獲取犯罪嫌疑人通過百度網盤客戶端上傳、下載過程的文件信息，進而以此為基礎，在百度網盤相關單位的配合下，快速獲取相關文件內容，以此來實現(xiàn)百度網盤客戶端取證效果。

4 結論

綜上所述，隨著信息技術的不斷發(fā)展和普及，網盤作為一種云端存儲工具，其已經被越來越多的用戶所接受，并為用戶提供了更多的便利。然而，如今很多不法分子利用網盤的特點，在網盤中存儲各種不法信息，為相關案件的取證帶來了極大的難度。針對此種情況，本文以百度網盤客戶端為例，提出了一種百度網盤客戶端取證方法，并通過實踐表明，此種方法可以有效獲取百度網盤客戶端用戶的上傳、下載文件信息，進而為網盤信息取證提供重要參考，值得進行普及和應用。同時建立完善的監(jiān)管機制，此外健全安全機制也是極為重要。