【喜讯】《电子数据取证与网络犯罪调查》专刊

2018年8月,致力于探索新技术及技术以外更深层次话题,搭建的开放、平等、独立、原创的网络安全知识共享平台Sec-UN安全村,为助力电子数据取证行业的深度探讨,在《安全村文集》的基础上特出品《电子数据取证与网络犯罪调查》专刊一书,一经推出,迅速引起业内关注。盘石软件(上海)有限公司培训中心主任皮浩的“用户痕迹在电子数据取证实战中的应用”一文,也被收录在该书中。值国家网络宣传安全周之际,特将原文分享如下,欢迎各位留言探讨。



用户痕迹在电子数据取证实战中的应用

 

痕迹是案件调查取证过程中不可或缺的关键因素,用户痕迹则是电子数据取证中不容忽视的重要内容。笔者于2015年末为《信息犯罪与计算机取证》一书编写过相关章节内容,本文将基于该原稿并结合近几年参与过的真实案件来谈谈用户痕迹在电子数据取证实战中的应用。
 

用户痕迹概述
 

提到痕迹,首先想到的是实际的事物经过后,可觉察的形影或印迹。其实电子数据也是一样,用户通过日常使用计算机、手机、平板电脑等设备,进行新建、修改、访问、传输等操作产生的电子数据记录也就是用户留下的痕迹,即用户痕迹。

  

1

用户痕迹的作用

 

用户痕迹是用户在使用计算机、手机、平板电脑等设备时产生的电子数据记录,因此它与用户活动息息相关。

 

我们已经知道,电子数据证据有生成证据、存储证据和混合证据之分,这是根据电子数据的身世来由确定的,电子数据可以是人为生成、自动生成或者两者结合下生成的,用户痕迹数据也是这样。

 

人为生成的电子数据是以用户的主观意志创造、复制或者衍生出的新数据,是用户主动创造的痕迹,记录着用户当时的使用情景和状态。通常这些电子数据痕迹的产生是用户习惯性经常使用产生的,而且有查阅历史信息的需要,一般不会特意清除,比如使用邮件客户端收发的邮件、通过下载工具下载的文档资料、选择自动保存的登录密码信息等。

 

自动生成的电子数据是操作系统或者应用系统自动生成的记录一定信息的数据,不被用户的主观意志左右。但随着用户的计算机知识和反取证意识的提升,这些数据很可能会被清除或篡改。通常这些数据是从系统启动开始,在用户不经意间不断产生的,而且会在用户的使用过程中随时变化,比如操作系统的开关机时间、USB设备的插拔记录、通过浏览器上网产生的缓存记录等。

 

两者结合生成的电子数据是结合了上述的两种情形下产生的,也是用户痕迹数据产生的主要方式之一。很多嫌疑人自认为聪明地去修改或者清除一些痕迹数据,确不知其实系统还会有其他的信息记录着他们的这一系列行为,比如人为篡改系统时间留下的事件日志记录、word文档打开时自动保存的临时文件等。

 

人为、自动和两者结合的方式产生的用户痕迹数据贯穿了使用计算机等设备的整个过程,也使得第三方调查者能够通过调查这些痕迹数据对嫌疑人进行用户行为串联和分析,从而给还原案件的真相提供了可能。

2

用户痕迹的特点

 

用户痕迹电子数据具备着电子数据的普遍特点:无形性、多样性、客观性、易破坏性、隐蔽性等。

 

由于痕迹产生于用户使用计算机等设备的过程中,因此还具备着记录用户操作历史、行为轨迹、通信记录、密码信息等隐私数据的特点。

常见用户痕迹及其实战应用

用户使用计算机、手机、平板电脑等设备都会产生用户痕迹。

 

用户在常规的文档类工作中会产生很多的痕迹数据,包括lnk文件、Metadata(元数据)、Thumbnail(缩略图)、回收站、网络信息等。

  

1

Lnk文件

 

Lnk文件是指扩展名为.lnk的文件,一般叫做链接文件或快捷方式文件。“.lnk”是Windows系统默认的快捷方式的扩展名,如果“文件夹选项”下设置为“隐藏已知文件类型的扩展名”,正常情况下“.lnk”是不显示的。

 

Lnk文件自动由Windows创建,通常包含以下内容:卷信息Volume infomation(名字、类型);原始位置;系统名称。

 

 Lnk文件具备以下特点:

·    用于指向其他文件的lnk文件,通常称为快捷方式文件,以方便使用者快速调用原始文件。

·     Lnk文件不一定是用户主动建立的,特别是作为快捷方式以外的链接文件出现时。

·     当用户打开和使用文件时,Windows自动创建链接文件并显示在“最近使用的项目”中(即user\用户名\AppData\Roaming\Microsoft\Windows\Recent\)。

·     如果用户从USB设备中打开并编辑一个文件,但从未复制到系统中,那么该文件的lnk文件将被创建在用户账户目录下的“Recent”文件夹中(即指向“最近使用的项目”目录)。

·     Lnk文件会包含原始文件的MAC时间[1]、存储路径以及所在磁盘的卷信息或网络共享信息。

 

 

案例一:涉恐案

在某起涉恐案件中,从嫌疑人处查获U盘一个,其中含有大量涉恐文件。嫌疑人拒不承认与之有关,并表示从未打开过该U盘中的文件。在取证过程中,我们通过对嫌疑人电脑硬盘镜像进行分析,发现对应的最近文件项中有相关涉恐文件的lnk文件指向G盘。再通过对注册表中的USB设备记录进行获取,发现G盘对应的设备名称及序列号正好与该涉案U盘吻合,且相关时间属性也完全对应。至此,嫌疑人的谎言不攻自破,再结合其他电子数据形成的证据链,其涉嫌犯罪的事实已无从抵赖。

 

图1 取证软件SafeAnalyzer获取到的lnk文件信息

 

图2 取证软件SafeAnalyzer获取到的USB设备信息      

                                                     

2

Metadata

元数据(Metadata),又称中介数据、诠释数据,也称之为数据的数据。

 

有关metadata名词起源于1969年,由Jack E. Myers所提出。Metadata的基本定义出自OCLC与NCSA所主办的“Metadata Workshop”研讨会,它将Metadata定义为“描述数据的数据”(Data about data),此后各种有关Metadata的定义纷纷的出现。现存很多metadata的定义,主要因使用情境而不同。如有关数据的数据(data about data),有关信息对象之结构的信息(structured information about an information object),描述资源属性的数据 (Data describes attributes of resources)等。

 

一个数据存储在共享卷里时,我们可以直接看到它是一个文档、图片、视频或数据库文件,这些都是数据本身。然而在存储该数据时,文件系统还会产生很多无法直接看到的,与该数据有关的数据,如文件系统中文件检索表、路径信息、地址信息等,这些数据就称之为文档、图片、视频等在共享卷中的元数据。

 

我们可以在很多地方看到元数据的存储,网上下载下来的电影本身一个视频文件数据,而点击右键查到看的视频文件属性,如存储路径、码率、文件大小、导演、演员、制作单位等就是视频文件的元数据。在地理空间信息中用于描述地理数据集的内容、质量、表示方式、空间参考、管理方式以及数据集的其他特征,也都是元数据。

 

在案件的调查取证过程中,一些数据诸如储存在电脑里的电子邮件、附件等所包含的元数据往往作为一些案例的破案依据。Microsoft Office元数据常常也是讨论的关键,office元数据嵌入到文件自身并包含了相当有用的信息,在多起诉讼案件的根源分析中发挥了作用。信息的类型在案件中也许会是关键点,比如:被盗来的office文档,能够通过检查元数据显示内部信息来证明该文档的原始来源是另一个公司。

 

通常office文档包含的元数据如下:

•       Document标题

•       MS Word版本

•       Last author作者;

•       文档创建时间;

•       最近保存时间;

•       最近打印时间。

 

 

图3 Word文档中的元数据

 

 

图片是一种特殊的文件形式,包含着大量的元数据信息,图片中的元数据通常叫做EXIF。EXIF是 Exchangeable image file(可交换图形文件)的缩写,这个格式是专门为数码相机照片设定的。这个格式可以记录数字照片属性信息。

 

EXIF是一种图象文件格式,它的数据存储与JPEG格式是完全相同的。实际上EXIF格式就是在JPEG格式头部插入了数码照片的信息,包括拍摄时的光圈、快门、白平衡、ISO、焦距、日期时间等各种和拍摄条件以及相机品牌、型号、色彩编码、拍摄时录制的声音以及全球定位系统(GPS)、缩略图等。可以简单地说,EXIF=JPEG+拍摄参数。因此,你可以利用任何可以查看JPEG文件的看图软件浏览EXIF格式的照片,但并不是所有的图形程序都能处理EXIF信息。

 

通过分析EXIF中包含的GPS信息,更是成为诸多案件侦破的重要线索和摧毁不在场证明的利器。

 

图4 图片EXIF中的GPS信息

 

 

元数据的存在,在法律界已经引起了非常大的争议,焦点在于:在案件诉讼期间是否应该提供元数据。在许多情况下,并不要求公诉方提供带有元数据的文件;如果此时,辩方要求附加提供元数据。在当前情况下,法官应要求公诉方补充证据,否则不能要求诉讼开始。

 

案例二:2015年能力验证

图片的EXIF信息可以说是最典型的一类Metadata,EXIF中的GPS信息在案件的调查取证中又显得最为重要。虽然说在真实案件中实际运用不多,但在2015年公安部三所和司法部司鉴院(原司鉴所)所出的电子数据鉴定能力验证题中都出现了图片GPS位置信息的获取。

 

这里以其中一例来看,该案件线索涉及制假工厂的具体位置,通过筛查可以发现检材手机镜像中有不少照片疑似厂房外景,通过读取相关照片的EXIF不难获得图5中显示的GPS信息(经纬度),从而可以为确定厂房具体位置及嫌疑人何时去过何地提供电子数据依据。

 

图5 手机中照片及其对应的位置信息

 

 

3

 Thumbnail

 

Thumbs.db是一个用于Microsoft Windows缓存Windows Explorer的缩略图的文件(Linux、macOS、Android、iOS中也有)。Thumbs.db保存在每一个包含图片或照片的目录中,可缓存图像文件的格式包括:jpeg,bmp,gif,tif,pdf以及htm。Thumbs.db文件是一个数据库文件,里面保存了这个目录下所有图像文件的缩略图(格式为jpeg)。当以缩略图查看时(展示一幅图片或电影胶片),将会生成一个thumbs.db文件,而且其体积随着文件夹中图片数量增加而增大。Thumbs.db是Windows 8/XP/2003为了提高文件夹在缩略图查看方式下的响应速度而对当前文件夹下的图像文件建立的缓存,这个文件本身并无大碍,因为本身是“系统文件+隐藏文件”,缺省隐藏。Windows XP Media Center Edition版本,也生成了一个ehthumbs.db保存了视频文件预览。 Windows Vista/7/10中,微软取消了thumbs.db文件,而是使用缩略图数据库" thumbcache_xxxx.db ",文件集中保存于\Users\[user name]\AppData\Local\Microsoft\Windows\Explorer。

 

 

图3 缩略图的显示

 

 

Windows为了能更快地显示图片,会自动将文件夹中的图片缩略图保存为索引文件“Thumbs.db”。我们将没用的图片删除后,由于“Thumbs.db”不能立即自动更新,当出现新文件与原文件名称相同时,便直接将原缩略图取了出来,其实图片本身并没变,改变的只是图片的缩略图。这样当嫌疑人将涉案的图片删除后,因为有工具可以查看 Thumbs.db 的内容,甚至导出其中的图像,这样一来,调查人员可以通过 Thumbs.db 得到此文件夹中的所有文件名及缩略内容,然后可以使用Thumbs.db 浏览器下载此目录下的所有图像文件并浏览。

 

案例三:泄密案

XX年X月,某市某局公务员X某在参加某次涉密会议期间,私自藏匿并携带一部手机进入会场,会上利用该手机偷拍了一份重要红头文件,于会后通过微信传播。该嫌疑人被抓捕后,警方发现原手机中的照片文件已经被删除,市面上常规的手机取证工具均无法恢复相关图片。涉案手机为iPhone 4,于是我们通过UFED对该手机进行镜像,由于A4芯片设备还没有全盘加密,镜像获取后可以解析出文件系统。通过对文件系统解析和过滤,我们针对性的查找了带有thumb字眼的文件,并成功获取了两个带有红头文件信息的缩略图文件。虽然该文件对应图像分辨率较低无法看清具体正文,但红头部分已经很明显(笔者在协助该案件取证工作时尚处于涉密阶段,出于保密考虑没有留存相关图片资料),再通过微信文字消息及时间等其他属性信息的印证,形成了一条完整的证据链。

 
4

 回收站

 

回收站是Windows文件系统中重要的区域,能够帮助调查员在取证过程中调查删除的文件信息。回收站recycle.bin 是一个隐藏的目录。

 

在Window NT/2000/XP/2003系统中,当用户删除一个文件,它唯一的SID(安全标示符,security identifier)将被用于在目录“RECYCLER”中创建一个子目录,另外,这个路径的内部还有另一个隐藏的二进制文件 “INFO2”,它用于映射回收站中的文件名与其实际的原始名称和路径。

 

图4 RECYCLER目录结构

 

 

相比较早的Windows,Windows Vista/ 7以后的回收站对应的$Recycle.Bin的特点如下:

•       以$I开头的文件:包含原始路径、名称、删除日期和时间。

•       以$R开头的文件:包含原始文件内容。

•       .FileSlack文件:包含原始文件的Slack区域。

 

图5 Windows7以后的$Recycle.Bin目录

 

案例四:名校学生坠楼案

2013年7月,某知名高校发生学生坠楼事件,警方在对现场进行勘验后没有发现足够的证据证明存在他杀的可能。后在对其寝室进行搜查时发现留有一份遗书,遗书为A4纸打印稿,内容描述了其内心活动和自杀原因。因此,警方初步推断为自杀。

死者家属得知相关信息后认为遗书真实性存在疑点,很可能不是当事人所写,而是杀人凶手的障眼法。在接到委托后,得知警方在对死者电脑进行常规的查找恢复后并没有找到相应的电子文档,于是我们根据遗书内容设置了关键词,并进行搜索。通过关键词搜索,我们得到了2个$R开头的文件,时间和内容与案情基本吻合。至此,可以证明遗书电子文档曾经在该电脑上存在过,经回收站后删除的。

 

图6 恢复出的回收站文件

 

5

   网络信息

 

随着互联网技术的发展,通过网络传输的信息种类越来越多,大致可以分为:浏览器记录、邮件记录、即时通讯记录、文件传输记录等等。

 

浏览器类型随着发展也是五花八门,其中最具代表性的IE记录中含有cookies、收藏夹、缓存、搜索历史、历史记录等。

 

Cookies指的是储存在用户本地终端上的数据,服务器可以利用cookies包含信息的任意性来筛选并经常性维护这些信息,以判断在HTTP传输中的状态。Cookies的一个重要应用就是“购物车”之类的处理。用户可能会在一段时间内在同一家网站的不同页面中选择不同的商品,这些信息都会写入cookies,以便在最后付款时提取信息。

 

历史记录中包含:历史记录名称、URL、最后访问时间、访问者、映射文件。

 

邮件具有一个相对简单的文件结构,主要由三部分组成:消息头、消息主体以及附件。消息头包含主题、发件人、收件人、发送时间、接收时间等信息;消息主体是被发送者键入的文本内容;附件是可选项,可以包含任意文件。

   

案例五:复旦投毒案

2013年4月,复旦大学医学院在读研究生黄某饮用寝室桶装水后中毒,经抢救无效后身亡,嫌疑人为被害人室友林某。当然,该案的关键,也是最后在二审中掀起波澜的争议点,还是在传统法医及毒物鉴定上,这里不做详述。

 

这里主要讨论案件中涉及的电子数据取证环节。我司司法鉴定所受公安机关委托对嫌疑人使用过的私人电脑进行取证,通过上网日志分析和恢复,得到了嫌疑人在案发前后通过浏览器访问百度网站并搜索过涉案毒物相关信息的记录,这些痕迹主要来源于浏览器的历史记录文件,包含了“二甲基亚硝胺+味道”、“二甲基亚硝胺中毒怎么办”等重要信息,这些信息是在医院、警方等未证明毒物种类之前产生的,与之后法医毒物鉴定公布的毒物结论相一致。从细节不难发现案发时间的前一天(2013年3月31日傍晚),嫌疑人频繁搜索毒物及其味道等相关信息,非常符合在投毒后担心被识破的忐忑的心理状态;案发后(2014年4月1日傍晚)嫌疑人搜索的内容发生转变,有试图挽救的心理发展。这些都间接证明了嫌疑人的作案可能。

图7 涉案的上网痕迹记录(截选自取证结果报告)

案例六:离奇的涉黄案

2012年夏,某市抓获了一个传播淫秽物品并牟利的犯罪团伙,虽然涉案金额不大,但社会危害性和影响力巨大,还曾经上过新闻报道,笔者有幸参与了该案件的调查取证工作。   

 

该团伙成员分布广,遍布中国大地,主犯来自西北,小学未毕业,常年瘫痪在床。成员的日常身份也五花八门,有公务员、军人、学生等等。主犯通过租用境外服务器的方式架设了色情论坛,各板块管理员通过QQ群进行活动,QQ是该团伙主要的联络工具。警方侦查人员通过前期的工作顺藤摸瓜陆续抓获并扣押了相关成员的涉案电脑和手机,结合上述检材的分析结果,通过关联碰撞初步得出主犯的QQ号,并借助技术手段找到了该QQ号的登录位置信息,从而抓获了该嫌疑人。

 

通过对嫌疑人电脑的初步分析,发现该嫌疑人申请了数十个QQ账号和邮箱,并通过一个txt文件记录着所有的账号密码及验证问题答案等信息,数据量庞大且看上去杂乱无章。通过常规的QQ记录解析并没有发现相关QQ的登录痕迹,且此时嫌疑人拒不交代使用过该QQ,使得取证工作一度陷入僵局。摸索了一段时间后,我们尝试用该涉案QQ号及其密码分别作为关键词进行全盘搜索,在磁盘的碎片文件中找到了一条疑似登录web版QQ的痕迹,于是我们通过对硬盘镜像进行仿真,在联网环境下尝试浏览器登录web版QQ,通过已知的账号密码登录成功,并获取到了缓存在服务器端的近三天的聊天记录,与其他涉案成员的相关记录完全吻合。这一重大发现传到审讯现场的时候,嫌疑人瞬间崩溃,交代了犯罪事实。

 

 

结束语

其实用户痕迹的范围还是很广的,本文涉及的只是冰山一角,受时间限制,所述内容可能还不够全面和详尽,但愿没有误人子弟。文中挑选了一些相对接地气的案例和知识点与大家分享,希望对取证从业人员有所帮助。

 


 

[1]文件的MAC时间是指Windows中文件的三个时间属性信息,即创建时间(Creat Time,缩写C)、最后访问时间(Access Time,缩写A)和修改时间(Modified Time,缩写M)。

Copyright © 2002-2017 - 盘石软件(上海)有限公司 版权所有 沪ICP备11022836
返回顶部