鄭榮哲 滕興華 匡敬洪

1. 重慶警察學院 2. 重慶市公安局九龍坡區(qū)分局

引言

暗網是須通過TOR、I2P、Freenet等特殊軟件進行訪問的網絡，能夠隱匿網絡使用主體身份及服務器真實IP位置。隨著暗網2.0時代來臨，暗網所帶來的網絡安全危機、犯罪問題和社會風險已經給國家?guī)砹艘幌盗械奶魬?zhàn)。由于暗網對目的地地址和通信雙方身份進行了隱藏，對消息通訊進行了加密，因此暗網犯罪與傳統(tǒng)互聯(lián)網犯罪在證據構成和證據載體上有很大不同，比傳統(tǒng)互聯(lián)網犯罪電子取證更為復雜，也更為隱密，獲取和固定暗網犯罪證據難度大，打擊暗網犯罪實戰(zhàn)需求與暗網取證能力滯后之間的矛盾凸顯，提升暗網取證能力應對暗網犯罪新形勢刻不容緩。

一、暗網犯罪取證困境

暗網犯罪作為網絡犯罪的一種，在取證方面與網絡犯罪有一定的相關性。然而因暗網犯罪具有安全性、身份驗證、匿名性、虛擬貨幣和隱藏交換等五個方面的獨特屬性，又決定了暗網在取證載體、證據元素、證據存儲形式等方面與互聯(lián)網犯罪電子取證存在較大差異。暗網取證對象的獨特性及如何建立暗網電子證據邏輯關聯(lián)，給暗網犯罪取證帶來了困境。

（一）取證對象的獨特性

TOR、I2P是登錄暗網使用最多的暗網瀏覽器，二者是復雜的匿名軟件，是暗網犯罪取證主要取證對象。TOR瀏覽器是洋蔥瀏覽器（The Onion Router）的簡稱，功能非常強大，采用洋蔥路由實現(xiàn)多層匿名跳轉，所以經常被犯罪分子用來瀏覽非法信息、進行非法交易，需要通過嫌疑人電腦中的電子證據還原嫌疑人在暗網的訪問軌跡，間接了解用戶網絡行為和日志信息等證據。I2P是基于對等網絡的一種網絡，通過多重協(xié)議和加密標準構建專門通信通道，相比TOR瀏覽器，具有更強的隱匿性和專業(yè)性，為有強大匿名需求的計算機專業(yè)人士和黑客所青睞。無論是TOR瀏覽器還是I2P，均通過偽裝造成客戶端可以通過互聯(lián)網正常訪問的假象，以多次中繼節(jié)點代理的形式保護IP報文信息，隱匿暗網交易信息、暗網通信參與者信息及通信模式，從而達到規(guī)避互聯(lián)網流量監(jiān)控的目的，因此暗網載體即取證對象的獨特性給暗網電子取證帶來了困境。

（二）暗網電子證據難以建立邏輯關聯(lián)

因暗網站點缺少固定的格式規(guī)則以及加密數(shù)據傳輸過程中存儲介質不穩(wěn)定，在偵查取證過程中一旦被暗網后臺發(fā)現(xiàn)并將原始記錄刪除后，很容易造成關鍵電子證據的毀損和缺失。關鍵電子證據是暗網證據證明力的重要保證，毀損和缺失引發(fā)的證據證明力減弱，會嚴重破壞證據鏈的邏輯關聯(lián)。同時，去中心化、身份隱私保密的虛擬貨幣的匿名性，也給追蹤真實的擁有者和交易者帶來挑戰(zhàn)，現(xiàn)有取證規(guī)則和取證技術難以破解虛擬貨幣的加密算法，提取到的日志信息、錢包信息、地址記錄、配置文件等無法準確判斷交易參與人員的真實身份，獲取的虛擬貨幣證據也就難以證明與暗網交易的關聯(lián)，導致無法形成完整的犯罪證據鏈。

二、暗網取證思路設計及步驟設計

（一）暗網取證思路設計

根據暗網犯罪行為方式和主要證據構成，暗網取證思路設計主要圍繞暗網現(xiàn)場勘驗取證、遠程取證、實驗室取證三種途徑實現(xiàn)，在警務實戰(zhàn)應用中，三種取證途徑并不是獨立開展采證，而是通過綜合運用、相互印證形成證據鏈條共同體。

1. 暗網犯罪現(xiàn)場電子勘驗取證

（1）嫌疑人作案信息提取

暗網案件是網絡案件衍生而來，取證規(guī)則與方式依然可以使用傳統(tǒng)互聯(lián)網案件取證方式，特別是現(xiàn)場取證過程中，第一時間按照現(xiàn)場取證規(guī)則提取，對現(xiàn)場環(huán)境、設備、網絡情況進行固證，對正在運行的頁面與程序可以采用傳統(tǒng)的截圖方式初步固定，初步檢查嫌疑人使用的計算機，收集嫌疑人相關賬號密碼、聊天記錄、訪問記錄等基本證據信息，并對內存及硬盤進行鏡像保存。

（2）內存數(shù)據提取

內存是重要的數(shù)據設備，是與外部存儲設備進行數(shù)據交換的中轉器。針對內存取證，可以先使用WinHex、FTK等工具對內存保存為鏡像文件，然后可以選擇HxD、Winhex、取證大師等工具，將內存中存儲的文件數(shù)據、密碼數(shù)據、系統(tǒng)數(shù)據、網絡數(shù)據等關鍵證據進行固定提取。在暗網案件實務中，還可使用Volatility命令進行內存取證，如使用volatility -f ＊.vmem plist查找與VPN、TOR瀏覽器、虛擬貨幣等相關的可疑進程，或使用volatility -f ＊.vmem connscan命令查找之前終止的和當前活動的連接，該命令可以列出主機正在進行的通信，同時可以使用volatility -f＊.vmem sockscan確認這些通信的入站連接是否安全。

（3）代理與VPN取證

訪問暗網首先需要設置代理，并使用VPN軟件，代理取證可以在瀏覽器代理設置菜單里查看到設置的代理信息，包括服務器IP地址與端口號。對于VPN取證，一般都安裝有VPN 客戶端，可以使用常規(guī)計算機勘驗取證，固定VPN客戶端上的使用記錄、服務器地址及用戶名密碼等信息，通常VPN客戶端的重要信息都保存在配置文件中，以常見的VPN軟件“shadowsocks”為例，“shadowsocks”的配置信息一般存儲于gui-config.jso中，可以通過實驗室技術，對gui-config.json進行解析，得到VPN的服務器、上行下行數(shù)據、用戶名以及密碼等重要信息。

2. 遠程取證

在現(xiàn)場發(fā)現(xiàn)具有暗網后臺、嫌疑人搭建的服務器網站、數(shù)據庫、或其他云數(shù)據信息需要提取的情況，應當在現(xiàn)場盡量提取，如果現(xiàn)場時間、環(huán)境及人力不足情況下，或數(shù)據量太大，現(xiàn)場無法提取的情況，可先固定相關的網址、賬號等信息，可同步安排專人在實驗室進行遠程在線取證，確保數(shù)據提取完整。在警務實戰(zhàn)中通過采用暗網爬蟲進行遠程取證。通常在明確嫌疑人暗網網址后，在無法得到服務器搭建源碼及賬號密碼的情況下，需要使用暗網爬蟲開展取證。互聯(lián)網訪問網站使用傳統(tǒng)搜索引擎即可發(fā)現(xiàn)數(shù)據頁面，但暗網將網站內容通過數(shù)據庫的方式存在，很難通過傳統(tǒng)搜索引擎得到，這就需要通過爬蟲進行數(shù)據索引，即使用python語言的selenium框架對暗網數(shù)據進行抓取，還原用戶暗網使用過程，具體抓取過程見圖1。

爬蟲實現(xiàn)主要代碼如下：

3. 實驗室分析取證

實驗室分析取證環(huán)節(jié)，是針對暗網案件現(xiàn)場取證時，因時間、環(huán)境、設備、技術等因素暫時無法在現(xiàn)場提取固證的情況下，防止證據漏取，進一步確保證據鏈完整。根據案件需要，對扣押的電子設備或現(xiàn)場取證固定的內存、硬盤鏡像文件、網站、系統(tǒng)日志、數(shù)據庫文件等進行進一步分析、提取、恢復、還原等一系列取證固證工作，在實驗室分析取證，有充足的時間、先進的設備與合適的環(huán)境，還可整合人員技術甚至聘請技術專家支持方式開展取證工作，可以最大限度保證證據完整提取，針對暗網案件的取證，在實驗室取證環(huán)節(jié)中，可以進行以下幾類取證工作：

（1）數(shù)字貨幣取證

由于虛擬貨幣能有效規(guī)避金融體系監(jiān)管隱匿蹤跡，從而保證了犯罪交易的安全性。比特幣是暗網交易中最常見的支付貨幣和主流貨幣，比特幣不是一種由金融集中管理的虛擬貨幣，而是通過比特幣系統(tǒng)集體批準的一種貨幣。除比特幣外，萊特幣、門羅幣等虛擬貨幣在暗網交易市場也開始廣泛應用。

以比特幣（BTC）取證為例，這種虛擬貨幣取證過程中主要收集的證據包括日志信息、錢包信息、本地同步區(qū)塊記錄等，通常在取證過程中，發(fā)現(xiàn)安裝有比特幣核心錢包客戶端的計算機與其他終端設備，可以從以下幾方面進行提取相關證據：第一，比特幣日志信息。通過比特幣錢包的安裝路徑，搜索“Debug.log”日志信息，在日志信息里提取到用戶錢包的訪問記錄、地址信息等。第二，比特幣錢包內容。用戶第一次使用錢包后，均會得到一個錢包名用于存儲錢包的交易數(shù)據，這個文件名為“wallet.dat”，虛擬貨幣的地址、交易密碼等相關信息就會保存在這個文件中，包括名為“tx”的文件，用于存儲交易數(shù)據、名為“purpose”“destdata”的文件，用于存儲比特幣地址數(shù)據，比特幣的所有交易均會保存到相對路徑下：“../bitcoin/blocks”文件夾中。

（2）部署流量探針與元搜索取證

流量探針是部署在互聯(lián)網交換點、自治域軟硬件設備、或將內部節(jié)點植入暗網，當有流量經過內部節(jié)點時，會自動抓取經過的流量，從中分析到需要的數(shù)據，流量控針的代表方法是女巫探針；元搜索，選取特殊關鍵詞作為查詢入口，利用商業(yè)搜索引擎進行搜索，提取搜索結果頁面中的隱藏服務地址，進行迭代搜索。

（3）鏡像網站仿真取證

在取證過程中，對現(xiàn)場勘驗發(fā)現(xiàn)提取的暗網服務網站文件，或通過爬蟲技術爬取了整個網站內容后，結合后期完善案件證據鏈條需求，對網站進行還原仿真，重現(xiàn)暗網中搭建的服務網站內容，更好地展現(xiàn)犯罪行為。結合常規(guī)服務器取證相關規(guī)范與技術，還原暗網網站結構，組建證據數(shù)據模型（包括數(shù)據庫、網站記錄、賬號密碼等），找出后臺鏈接，登錄后臺管理頁面，將涉案數(shù)據從網站導出進行證據固定，寫入取證報告。

（二）暗網取證步驟設計

在對暗網案件進行取證時，可以借助普通互聯(lián)網犯罪案件的取證方法與思路，結合暗網案件的具體特點，根據案件性質制定取證方案，針對不同案情采取不同的取證方式，全方位占有暗網犯罪證據，做到應取盡取。

1. 熟悉基本案情

在取證前，要先熟悉案件的基本情況、案件類型，通過案件前期研判結果，摸清嫌疑人背景、案件關鍵證據，明確取證任務具體需求、目的與任務；還要對嫌疑人數(shù)量、作案環(huán)境、可能使用的網絡設備、網絡結構、網絡線路、系統(tǒng)數(shù)據做到心中有數(shù)，同時，理清涉案人員上下層關系、嫌疑對象在案件中所處的角色等。

2. 確定取證方案

在充分熟悉案件基本信息的基礎上，根據偵查需要，對取證的工作量進行預判，因案制宜制定和評估取證方案和取證計劃。

3. 現(xiàn)場收集證據

根據取證方案，在現(xiàn)場第一時間提取關鍵、易失證據，特別是正在作案的計算機要第一時間進行固定收集，包括嫌疑人正在打開的暗網頁面，運行的程序等關鍵證據，及時使用成品工具與設備，快速完整提取收集證據，做好提取內存鏡像，爭取取證時間，必要時可以做全盤鏡像。

4. 數(shù)據深入分析

在前期現(xiàn)場收集證據后，還要進一步對證據進行深入分析與深入提取，防止證據漏取，影響案件辦理，一是在現(xiàn)場發(fā)現(xiàn)的云數(shù)據、網站后臺、數(shù)據庫及相關網站、網址，在現(xiàn)場無條件提取的，需要同時或后期進一步固證，及時在后臺實驗室安排專人，進行遠程在線提取，二是對現(xiàn)場扣押的電子設備及電子證據需要更進一步進行數(shù)據關聯(lián)、分析、恢復等，梳理證據鏈條，防止現(xiàn)場勘驗時丟失證據。

5. 出具報告或者筆錄

對現(xiàn)場證據收集、后臺遠程在線提取及電子數(shù)據進一步恢復、關聯(lián)、分析證據后，把取證過程和結果形成勘驗筆錄、電子證據檢查筆錄或者檢驗報告的方式呈現(xiàn)，確保取證過程科學、嚴謹和完整，為案件偵辦提供有力的文書證據支撐。

三、暗網犯罪案件取證警務實戰(zhàn)案例應用

2019年2月至2019年9月期間，工作發(fā)現(xiàn)某犯罪嫌疑人使用黑客技術在互聯(lián)網上非法獲取多個網站的公民個人信息，并將所獲取的公民個人信息在暗網上販賣獲利。在取證固證過程中，按照暗網取證思路設計及步驟設計，擬定案件取證思路和方案，對該案進行現(xiàn)場取證、遠程爬取、實驗室后臺提取。

（一）現(xiàn)場取證：獲取第一手作案電子證據

進入現(xiàn)場第一時間控制嫌疑人，對非法獲取、販賣公民個人信息的嫌疑人的電腦進行現(xiàn)場勘驗，檢查正在運行的程序、打開的文檔、正在訪問的網頁、Telegram即時聊天軟件、信息采集器、漏洞掃描工具、VPN軟件、TOR瀏覽器頁面。檢查發(fā)現(xiàn)，嫌疑人通過挖掘正規(guī)網站漏洞后，采用相關黑客技術或采集工具采集公民信息，對正在運行的漏洞掃描軟件、信息采集器和暗網交易信息等關鍵證據進行提取，見圖2～圖4。

通過搜索涉案相關的文件，特別是桌面、我的文檔等特殊位置的文件，對文本文件、Office文檔、電子表格、圖片及郵件等敏感文件進行檢索，發(fā)現(xiàn)在嫌疑人電腦“我的文檔”文件夾下，有大量電子表格格式的成品公民信息，并在Telegram聊天軟件中發(fā)現(xiàn)售賣交易談判情況。對聊天記錄進行固定提取，為下一步明確嫌疑人上下線關系、確定網上犯罪行為、深挖犯罪行為及犯罪同伙打下基礎，見圖5。

（二）遠程爬?。汗潭ò稻W網站易丟失證據

明確嫌疑人在暗網論壇中銷售販賣公民個人信息行為后，經突擊審訊，獲取到嫌疑人論壇帳號，安排實驗人員采用爬蟲程序對該論壇帳號開展遠程取證，針對暗網站點制定爬取收集規(guī)則，爬取該帳號發(fā)布的所有銷售記錄，獲取虛擬貨幣證據，進行屏幕錄像，固定證據。

（三）實驗室提?。和晟品缸镒C據鏈

在現(xiàn)場取證過程中發(fā)現(xiàn)該嫌疑人獲取的公民信息不僅保存于計算機存儲介質中，還自行開發(fā)了一款類似爬蟲的自動采集保存軟件，對有漏洞的網站進行信息爬取，自動保存至云數(shù)據庫中，共包含十余個云數(shù)據服務器。在對爬蟲軟件及數(shù)據庫服務器帳號等基本信息固證后，由實驗室后臺專人取證，采用Navicat等數(shù)據庫軟件連接數(shù)據庫，導出公民信息記錄，進行提取固證，見圖6。

四、結語

重建暗網取證模式對暗網犯罪定性起著決定性的作用，必須通過制定合理的取證思路與方法，結合常規(guī)取證方法，從內存取證、暗網訪問、VPN記錄、暗網瀏覽器、流量及虛擬錢包軟件等方面著手，研究并設計暗網犯罪案件取證規(guī)程、完善暗網犯罪證據鏈條，為成功揭開暗網犯罪面紗、有力打擊暗網犯罪案件提供證據支撐。