羅倩 王生玉 石奧迪

摘要：當(dāng)前互聯(lián)網(wǎng)已成為政治、經(jīng)濟(jì)和社會(huì)活動(dòng)的重要場(chǎng)所。犯罪分子利用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)進(jìn)行各種犯罪活動(dòng)，傳統(tǒng)的犯罪也在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)輔助下變得更加隱蔽。不同于傳統(tǒng)計(jì)算機(jī)取證可通過(guò)扣押、無(wú)損鏡像等方式對(duì)數(shù)據(jù)進(jìn)行提取，直接獲取服務(wù)器較為困難。因此，針對(duì)遠(yuǎn)程勘驗(yàn)取證技術(shù)的研究勢(shì)在必行。該研究介紹了利用遠(yuǎn)程勘驗(yàn)對(duì)服務(wù)器進(jìn)行取證分析的方法與步驟，為取證人員提供技術(shù)參考。

關(guān)鍵詞：遠(yuǎn)程勘驗(yàn);取證分析;服務(wù)器;數(shù)據(jù)重構(gòu)

中圖分類號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）36-0182-03

Abstract： At present， the Internet has become an important place for political， economic and social activities. Criminals use computer network technology to carry out a variety of criminal activities， the traditional crime has become more hidden with the assistance of computer network technology. Unlike traditional computer forensics， which can extract data by means of seizure and lossless image， it is difficult to obtain the server directly. Therefore， it is imperative to study the technology of remote inspection and evidence collection.

Key words： remote forensic analysis; forensic analysis; the server; data refactoring

1 引言

近幾年，全球數(shù)據(jù)量迎來(lái)爆發(fā)，推動(dòng)這一增長(zhǎng)的重要因素之一是云計(jì)算的快速發(fā)展，越來(lái)越多的企業(yè)、政府等機(jī)構(gòu)將解決方案遷移至云。與此同時(shí)，云服務(wù)也給機(jī)構(gòu)和用戶帶來(lái)了許多潛在的安全問(wèn)題。

目前，涉及云服務(wù)器案件的取證鑒定主要包括違法網(wǎng)站取證、云服務(wù)器入侵取證和利用云服務(wù)器傳遞違法犯罪信息的取證。部署在云上的違法網(wǎng)站主要包括詐騙網(wǎng)站、涉穢色情網(wǎng)站、網(wǎng)絡(luò)侵權(quán)網(wǎng)站、網(wǎng)絡(luò)賭博網(wǎng)站等類型。此類違法網(wǎng)站主要通過(guò)虛假或非法信息謀取利益，對(duì)社會(huì)造成負(fù)面影響。針對(duì)此類案件，除了要對(duì)網(wǎng)站信息進(jìn)行提取和內(nèi)容分析以外，還要對(duì)網(wǎng)絡(luò)IP地址、網(wǎng)絡(luò)資金流向、數(shù)據(jù)庫(kù)層級(jí)關(guān)系等信息進(jìn)行提取。云服務(wù)器非法入侵主要通過(guò)獲取用戶信息或?qū)τ脩暨M(jìn)行勒索，從而謀取非法利益，包括服務(wù)器入侵、網(wǎng)站數(shù)據(jù)惡意篡改、網(wǎng)站數(shù)據(jù)被盜取以及服務(wù)器木馬。此類案件的取證工作主要通過(guò)對(duì)入侵痕跡進(jìn)行分析，獲取犯罪證據(jù)。利用云服務(wù)器傳遞違法犯罪信息類案件主要為利用云應(yīng)用傳遞淫穢色情信息等，這類案件因?yàn)閿?shù)據(jù)存放在云端，而云上的數(shù)據(jù)無(wú)論是調(diào)證還是取證，相對(duì)傳統(tǒng)的取證而言，時(shí)間長(zhǎng)，難度高，對(duì)于執(zhí)法人員辦案效率具有較大的影響。因此，對(duì)云服務(wù)器上的數(shù)據(jù)進(jìn)行取證分析研究對(duì)社會(huì)公共安全具有重大意義。

一方面由于云服務(wù)器物理存放位置較為隱蔽，資源回收速度快，為傳播惡意程序與代碼等違法犯罪行為提供了有利條件，另一方面云上用戶私人數(shù)據(jù)更易泄露、數(shù)據(jù)更易被篡改，使得云服務(wù)器非法入侵類案件逐年增多。犯罪分子利用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)進(jìn)行各種犯罪活動(dòng)，傳統(tǒng)的犯罪也在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)輔助下變得更加隱蔽[1]。針對(duì)這些計(jì)算機(jī)相關(guān)犯罪活動(dòng)，需要利用取證技術(shù)對(duì)相關(guān)證據(jù)進(jìn)行固定。傳統(tǒng)計(jì)算機(jī)取證依賴于對(duì)原始數(shù)據(jù)存儲(chǔ)介質(zhì)的獲取與固定，通過(guò)扣押、無(wú)損鏡像等方式可獲取電子數(shù)據(jù)信息[2]。但是對(duì)網(wǎng)站、網(wǎng)絡(luò)應(yīng)用來(lái)說(shuō)，其數(shù)據(jù)存儲(chǔ)在遠(yuǎn)程服務(wù)器上無(wú)法確認(rèn)服務(wù)器物理地點(diǎn)，同時(shí)服務(wù)器數(shù)據(jù)量極大，依靠扣押設(shè)備直接獲取服務(wù)器存儲(chǔ)介質(zhì)的難度極大[3-4]。當(dāng)前遠(yuǎn)程網(wǎng)絡(luò)取證主要以瀏覽器緩存日志分析取證、截屏拍照等為主。

2 遠(yuǎn)程勘驗(yàn)技術(shù)

網(wǎng)絡(luò)遠(yuǎn)程勘驗(yàn)是指通過(guò)網(wǎng)絡(luò)對(duì)遠(yuǎn)程目標(biāo)系統(tǒng)進(jìn)行勘驗(yàn)檢查，以提取、固定遠(yuǎn)程目標(biāo)系統(tǒng)的狀態(tài)和留存的電子數(shù)據(jù)，為案件情況和案件發(fā)生過(guò)程的分析判斷提供依據(jù)，確定案件偵破方向和調(diào)查范圍，為破案和刑事訴訟提供重要支撐[5]。目前遠(yuǎn)程服務(wù)器取證主要通過(guò)固定保全的方式進(jìn)行。

登陸取證內(nèi)容包括當(dāng)前操作系統(tǒng)動(dòng)態(tài)信息、操作系統(tǒng)配置信息、存儲(chǔ)介質(zhì)、網(wǎng)絡(luò)相關(guān)的信息。操作系統(tǒng)動(dòng)態(tài)數(shù)據(jù)包括系統(tǒng)開(kāi)機(jī)時(shí)間、操作系統(tǒng)版本、當(dāng)前連續(xù)用戶、當(dāng)前運(yùn)行進(jìn)程、當(dāng)前打開(kāi)的句柄、網(wǎng)絡(luò)偵聽(tīng)端口、當(dāng)前網(wǎng)絡(luò)連接等各種關(guān)機(jī)后可能滅失的信息。操作系統(tǒng)配置信息包括用戶列表、系統(tǒng)自啟動(dòng)項(xiàng)、系統(tǒng)服務(wù)、操作系統(tǒng)配置、操作系統(tǒng)日志等各種操作系統(tǒng)相關(guān)的數(shù)據(jù)信息。存儲(chǔ)介質(zhì)基本信息包括存儲(chǔ)介質(zhì)的類型、介質(zhì)大小、分區(qū)信息、每個(gè)分區(qū)的大小、每個(gè)分區(qū)的文件系統(tǒng)類型，以及文件系統(tǒng)的加載點(diǎn)配置等。用戶可以方便地瀏覽及固定這些數(shù)據(jù)。網(wǎng)絡(luò)數(shù)據(jù)包括網(wǎng)絡(luò)接口配置、網(wǎng)絡(luò)偵聽(tīng)端口、當(dāng)前網(wǎng)絡(luò)連接等網(wǎng)絡(luò)類型，可以發(fā)起對(duì)遠(yuǎn)程網(wǎng)絡(luò)端口的數(shù)據(jù)偵聽(tīng)和數(shù)據(jù)解析，發(fā)現(xiàn)問(wèn)題網(wǎng)絡(luò)數(shù)據(jù)流和通信目標(biāo)。

遠(yuǎn)程賬號(hào)密碼登錄取證主要利用賬號(hào)密碼登錄服務(wù)器，登錄后可對(duì)服務(wù)器進(jìn)行數(shù)據(jù)固定。一般取證過(guò)程可對(duì)網(wǎng)站運(yùn)行狀態(tài)、頁(yè)面內(nèi)容進(jìn)行固定。其中網(wǎng)站運(yùn)行狀態(tài)包括 IP 地址、 運(yùn)行狀態(tài)、服務(wù)端軟件和版本等各種信息。頁(yè)面內(nèi)容主要包括網(wǎng)頁(yè)內(nèi)容、網(wǎng)站數(shù)據(jù)庫(kù)等數(shù)據(jù)信息。目前，固定的數(shù)據(jù)類型主要包括原始網(wǎng)頁(yè)、內(nèi)容信息、網(wǎng)頁(yè)截圖、視頻錄像等。在對(duì)遠(yuǎn)程網(wǎng)站的固定過(guò)程中，在可能的情況下可以保存為與原始網(wǎng)頁(yè)對(duì)應(yīng)的 HTML文件格式，同時(shí)保存 HTML 格式相關(guān)的圖片、CSS 樣式表等文件，形成網(wǎng)站本地鏡像。

網(wǎng)頁(yè)數(shù)據(jù)固定截圖是對(duì)頁(yè)面的可視部分生成圖形化的快照，快照可以保存為PNG、JPG等單一文檔格式，有利于生成證據(jù)清單和頁(yè)面內(nèi)容的后續(xù)完整性校驗(yàn)。對(duì)于視頻、Flash 等動(dòng)態(tài)交互內(nèi)容，提供一個(gè)瀏覽器形式的交互界面，用戶通過(guò)交互界面觀看視頻、與網(wǎng)頁(yè)進(jìn)行交互，同時(shí)將視頻播放、交互情況進(jìn)行記錄，生成一段視頻，通過(guò)屏幕錄像等方式對(duì)一段時(shí)間內(nèi)的動(dòng)態(tài)信息進(jìn)行記錄。

最后，可通過(guò)完整性校驗(yàn)的方式對(duì)獲取的證據(jù)信息進(jìn)行真實(shí)性和完整性進(jìn)行記錄?？赏ㄟ^(guò)固定過(guò)程全程錄像，固定結(jié)果、錄像結(jié)果加入時(shí)間和 URL 標(biāo)簽，計(jì)算Hash值等。

3 數(shù)據(jù)重構(gòu)

在對(duì)遠(yuǎn)程網(wǎng)站的固定過(guò)程中，可以同時(shí)按照設(shè)定的要求下載網(wǎng)站的頁(yè)面文件及其附屬文件，形成網(wǎng)站內(nèi)容的本地鏡像，通過(guò)修改源文件的鏈接地址信息，實(shí)現(xiàn)網(wǎng)站的本地離線瀏覽，使辦案人員可以正常瀏覽網(wǎng)站。

云服務(wù)器上的網(wǎng)站一般為Apache、Nginx、IIS等，需要使用取證工具對(duì)此類流行建站工具進(jìn)行自動(dòng)識(shí)別和應(yīng)用解析，并完成后續(xù)的證據(jù)固定。以Apache網(wǎng)站服務(wù)器為例，通過(guò)取證工具能解析服務(wù)器配置文件，得到虛擬主機(jī)配置、虛擬目錄配置以及各個(gè)網(wǎng)站應(yīng)用文件和網(wǎng)站日志的存放位置。同時(shí)，通過(guò)取證工具自動(dòng)識(shí)別MySQL、MsSQL、PostgreSQL等常見(jiàn)數(shù)據(jù)庫(kù)類型，并通過(guò)備份、導(dǎo)出等方法對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)進(jìn)行提取和固定。

在當(dāng)前網(wǎng)站開(kāi)發(fā)技術(shù)中，網(wǎng)頁(yè)展示主要分為兩類，一類是靜態(tài)頁(yè)面，這類數(shù)據(jù)是指已經(jīng)在網(wǎng)站服務(wù)器上生成的，以固定格式文件保留在服務(wù)器中，常見(jiàn)的有htm和html等，一般多用于不需要經(jīng)常變更的數(shù)據(jù)內(nèi)容展示。相應(yīng)的另一類是動(dòng)態(tài)頁(yè)面，是指頁(yè)面內(nèi)容需要服務(wù)器網(wǎng)站應(yīng)用程序進(jìn)行處理動(dòng)態(tài)生成的，往往會(huì)隨著訪問(wèn)者身份、訪問(wèn)行為、訪問(wèn)時(shí)間變化等等一系列參數(shù)變化而變化。網(wǎng)頁(yè)數(shù)據(jù)傳輸協(xié)議主要以HTTP和HTTPS為主，被包含于URL（Uniform Resource Locator， 統(tǒng)一資源定位符）中，也就是俗稱的網(wǎng)址。網(wǎng)頁(yè)取證除了指定URL，還需要對(duì)訪問(wèn)時(shí)間，請(qǐng)求參數(shù)等數(shù)據(jù)進(jìn)行記錄，請(qǐng)求參數(shù)主要包括請(qǐng)求方法（request method）、請(qǐng)求頭（request headers），請(qǐng)求載荷（request payload）。不同的組合往往可以獲得不同的請(qǐng)求結(jié)果，常見(jiàn)的基本請(qǐng)求參數(shù)組合為使用GET請(qǐng)求方法和設(shè)置請(qǐng)求頭屬性User-Agent為常用的網(wǎng)絡(luò)瀏覽器身份標(biāo)識(shí)，讓服務(wù)器認(rèn)為是相應(yīng)的網(wǎng)頁(yè)瀏覽器請(qǐng)求以呈現(xiàn)對(duì)應(yīng)的頁(yè)面結(jié)果。網(wǎng)頁(yè)取證的技術(shù)思路，就是模擬正常用戶的網(wǎng)站訪問(wèn)行為，即設(shè)置好請(qǐng)求參數(shù)通過(guò)能夠發(fā)起HTTP或HTTPS請(qǐng)求的程序訪問(wèn)目標(biāo)網(wǎng)址，獲得返回結(jié)果。

其主要步驟為：首先通過(guò)分析前臺(tái)網(wǎng)站服務(wù)器配置文件，找到網(wǎng)站服務(wù)文件所在的目錄和全部代碼，再通過(guò)分析網(wǎng)站服務(wù)器文件的配置，找出網(wǎng)絡(luò)數(shù)據(jù)庫(kù)類型、IP地址以及數(shù)據(jù)庫(kù)的訪問(wèn)用戶名、密碼等，導(dǎo)出數(shù)據(jù)庫(kù)中的所有數(shù)據(jù);然后利用仿真的方式或者使用提取的網(wǎng)站代碼和數(shù)據(jù)庫(kù)構(gòu)建模擬網(wǎng)站服務(wù)器;最后使用同樣的方式導(dǎo)出后臺(tái)管理服務(wù)器的代碼和數(shù)據(jù)庫(kù)中的所有數(shù)據(jù)，并搭建后臺(tái)仿真或模擬網(wǎng)站。網(wǎng)站重建之后可以通過(guò)登錄前臺(tái)界面，模擬用戶操作行為，確定與之相關(guān)聯(lián)的網(wǎng)站程序和模塊。

對(duì)通過(guò)各種方式固定的完整服務(wù)器系統(tǒng)的鏡像，可采用服務(wù)器仿真的方式，完成對(duì)數(shù)據(jù)庫(kù)服務(wù)器的仿真和重構(gòu)。對(duì)于遠(yuǎn)程固定的數(shù)據(jù)庫(kù)數(shù)據(jù)，在本地仿真啟動(dòng)數(shù)據(jù)庫(kù)服務(wù)器，通過(guò)數(shù)據(jù)庫(kù)服務(wù)器導(dǎo)入之前固定的數(shù)據(jù)庫(kù)數(shù)據(jù)，還原原始數(shù)據(jù)庫(kù)的服務(wù)，可以正常瀏覽數(shù)據(jù)庫(kù)中的數(shù)據(jù)，并能為其他應(yīng)用提供數(shù)據(jù)服務(wù)。

對(duì)于原機(jī)、硬盤(pán)鏡像，通過(guò)平臺(tái)仿真原有服務(wù)器系統(tǒng)的基礎(chǔ)硬件和操作系統(tǒng)環(huán)境，形成仿真運(yùn)行取證系統(tǒng)，支持的操作系統(tǒng)包括常見(jiàn)的 Windows 服務(wù)器系統(tǒng)、各種 Linux 發(fā)行版服務(wù)器等。在啟動(dòng)服務(wù)器鏡像之后，可以仿真原網(wǎng)絡(luò)環(huán)境和用戶環(huán)境，設(shè)置 IP 地址/域名等信息。配置相應(yīng)的數(shù)據(jù)庫(kù)服務(wù)等，使得仿真取證系統(tǒng)的網(wǎng)站應(yīng)用程序能夠在仿真網(wǎng)絡(luò)環(huán)境使用。此時(shí)，可按照原始網(wǎng)絡(luò)的運(yùn)行狀態(tài)獲取與用戶環(huán)境相關(guān)的應(yīng)用程序及服務(wù)的相關(guān)數(shù)據(jù)，重現(xiàn)用戶運(yùn)行環(huán)境狀態(tài)。

根據(jù)以上方法，可對(duì)網(wǎng)站數(shù)據(jù)庫(kù)進(jìn)行分析，同時(shí)可根據(jù)數(shù)據(jù)庫(kù)信息及操作記錄還原后臺(tái)資金交易信息與人員分層結(jié)構(gòu)，為違法網(wǎng)站取證分析奠定基礎(chǔ)。

4 遠(yuǎn)程勘驗(yàn)取證發(fā)展方向

近年來(lái)，隨著網(wǎng)絡(luò)違法犯罪活動(dòng)實(shí)施方式不斷升級(jí)、反取證技術(shù)不斷增強(qiáng)、云環(huán)境復(fù)雜度不斷提高以及應(yīng)用程序通訊協(xié)議不斷更新，給現(xiàn)有云數(shù)據(jù)取證技術(shù)帶來(lái)了嚴(yán)峻挑戰(zhàn)。在云服務(wù)器取證方面，目前云服務(wù)器的在線仿真技術(shù)，僅限于國(guó)內(nèi)的阿里云平臺(tái)[7]。針對(duì)其他公有云例如：騰訊云、金山云等仍然需要通過(guò)離線仿真進(jìn)行取證，對(duì)于大規(guī)模云環(huán)境的仿真取證有所欠缺，仍然面臨環(huán)境配置復(fù)雜、提取速度慢、數(shù)據(jù)分析難的問(wèn)題 [8]。針對(duì)海外的市場(chǎng)占有率很高的AWS、Azure、Google等。除此以外，網(wǎng)站技術(shù)架構(gòu)推陳出新、定制化嚴(yán)重，加大了手工重建網(wǎng)站的難度，網(wǎng)站智能重建技術(shù)仍有所欠缺;違法犯罪分子反取證能力的增強(qiáng)，使得數(shù)據(jù)恢復(fù)的場(chǎng)景更加復(fù)雜，數(shù)據(jù)庫(kù)碎片重組和分析缺乏智能的分析手段[9]。在應(yīng)用程序的提取方面，由于通訊協(xié)議多樣、數(shù)據(jù)加密方式不同、風(fēng)險(xiǎn)控制力度加大，導(dǎo)致App賬號(hào)密鑰提取難、App脫殼逆向難、App網(wǎng)絡(luò)協(xié)議逆向難、脫離手機(jī)進(jìn)行云取證難等多個(gè)技術(shù)難題有待進(jìn)一步的解決。針對(duì)云服務(wù)器的取證技術(shù)是未來(lái)發(fā)展的主要方向之一[6]。

5 總結(jié)

本文主要介紹現(xiàn)有遠(yuǎn)程勘驗(yàn)技術(shù)的幾種方式，同時(shí)介紹數(shù)據(jù)重構(gòu)的方法與步驟。通過(guò)對(duì)以上方法的介紹，實(shí)現(xiàn)遠(yuǎn)程服務(wù)器的取證分析，以期為取證人員提供技術(shù)參考。

參考文獻(xiàn)：

[1] 石奧迪，吳松洋，劉善軍，等.一種遠(yuǎn)程服務(wù)器取證的系統(tǒng)和方法[P].2019.

[2] 何震，代江龍.論服務(wù)器軟件侵權(quán)遠(yuǎn)程取證的司法認(rèn)定[J].電子知識(shí)產(chǎn)權(quán)，2016（1）：97-102.

[3] 王嘯虎.淺談網(wǎng)絡(luò)遠(yuǎn)程勘驗(yàn)流程及其在案件偵辦中的重要性[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（11）：113，98.

[4] 朱峰，劉捷，李軍.遠(yuǎn)程勘驗(yàn)取證分析軟件開(kāi)發(fā)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2011（11）：73-74.

[5] 朱桐輝，王玉晴.電子數(shù)據(jù)取證的正當(dāng)程序規(guī)制——《公安電子數(shù)據(jù)取證規(guī)則》評(píng)析[J].蘇州大學(xué)學(xué)報(bào)（法學(xué)版），2020，7（1）：121-132.

[6] 黃逵.刑事檢察中電子數(shù)據(jù)的收集困境與破解方法[D].長(zhǎng)沙：湖南師范大學(xué)，2019.

[7] 張麗霞.基于HTML語(yǔ)言的網(wǎng)頁(yè)制作方法[J].電子測(cè)試，2018（Z1）：86-87.

[8] 金明哲，鄭建立，裴旭明，等.應(yīng)用于物聯(lián)網(wǎng)的Linux云端服務(wù)器設(shè)計(jì)[J].信息技術(shù)，2015，39（9）：179-183.

[9] 薛琳. 基于iOS平臺(tái)的云服務(wù)器管理系統(tǒng)研究與實(shí)現(xiàn)[D].上海：東華大學(xué)，2015.

【通聯(lián)編輯：代影】