◆韋昊 陳宇琪 王一凡 呂世宇 姚上青 柯婕

（江蘇警官學(xué)院計(jì)算機(jī)信息與網(wǎng)絡(luò)安全系 江蘇 210031）

在互聯(lián)網(wǎng)技術(shù)快速發(fā)展背景下，網(wǎng)盤(pán)的使用量也在持續(xù)增加，云儲(chǔ)存為人們提供了極大的便利，用戶(hù)可以借助網(wǎng)盤(pán)客戶(hù)端將文檔、照片、視頻、壓縮包等包含信息的文件上傳到網(wǎng)盤(pán)，以便于用戶(hù)在不同地點(diǎn)以及設(shè)備上隨時(shí)下載網(wǎng)盤(pán)文件。但同時(shí)也帶來(lái)了一系列安全隱患，對(duì)數(shù)據(jù)信息安全產(chǎn)生巨大的威脅。很多網(wǎng)盤(pán)逐漸成為不法分子藏匿違法信息、傳播非法文件的空間。2018年4月20-21日，習(xí)近平總書(shū)記在全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議上指出：“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，就沒(méi)有經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行，廣大人民群眾利益也難以得到保障”。所以在立法、偵查、取證等方面進(jìn)行及時(shí)調(diào)整以應(yīng)對(duì)網(wǎng)盤(pán)使用的亂象迫在眉睫，但現(xiàn)有的取證工具大多是面向單機(jī)數(shù)據(jù)而非是網(wǎng)絡(luò)數(shù)據(jù)，針對(duì)網(wǎng)盤(pán)數(shù)據(jù)的取證難度相對(duì)較大，還需要進(jìn)行相應(yīng)的研究。本文以百度網(wǎng)盤(pán)客戶(hù)端為例，對(duì)網(wǎng)盤(pán)數(shù)據(jù)取證方法進(jìn)行分析。

1 百度網(wǎng)盤(pán)客戶(hù)端取證的意義

網(wǎng)盤(pán)作為一種個(gè)性化的云存儲(chǔ)空間，具有隱私性、便利性等特征，因此很多網(wǎng)盤(pán)用戶(hù)都會(huì)將自身日常生活和工作當(dāng)中的部分?jǐn)?shù)據(jù)信息存入網(wǎng)盤(pán)。但是將個(gè)人數(shù)據(jù)存儲(chǔ)入網(wǎng)盤(pán)也是一種“雙刃劍”的行為。一方面，網(wǎng)盤(pán)文件存儲(chǔ)類(lèi)別極多，基本上可以覆蓋如今市場(chǎng)上所有常見(jiàn)的文件形式和文件內(nèi)容，為用戶(hù)存儲(chǔ)多類(lèi)型的個(gè)人數(shù)據(jù)提供了更多便利性；但是另一方面，紛亂復(fù)雜的數(shù)據(jù)信息使得網(wǎng)盤(pán)監(jiān)管難度增大，很多不法分子便會(huì)利用此特點(diǎn)來(lái)將諸多違法信息、非法文件藏匿在網(wǎng)盤(pán)中，為相關(guān)案件的證據(jù)收集帶來(lái)了極大的不便。因此，當(dāng)前的網(wǎng)盤(pán)安全監(jiān)管市場(chǎng)亟須尋找一種網(wǎng)盤(pán)取證方法來(lái)提高網(wǎng)盤(pán)犯罪信息的獲取效果[1]。

此外，結(jié)合當(dāng)今實(shí)際情況來(lái)看，百度網(wǎng)盤(pán)在我國(guó)網(wǎng)盤(pán)市場(chǎng)中呈現(xiàn)出“一家獨(dú)大”的特征，其他網(wǎng)盤(pán)雖然也占據(jù)一定的市場(chǎng)份額，但百度網(wǎng)盤(pán)卻占據(jù)了國(guó)內(nèi)網(wǎng)盤(pán)服務(wù)行業(yè)的主體地位。因此，很多不法分子也會(huì)利用百度網(wǎng)盤(pán)數(shù)據(jù)量大、用戶(hù)復(fù)雜等特點(diǎn)，將違法信息、非法文件藏匿在百度網(wǎng)盤(pán)中，進(jìn)而增加犯罪信息取證難度。針對(duì)此種情況，以百度網(wǎng)盤(pán)客戶(hù)端為例，尋找一種可以有效獲取百度網(wǎng)盤(pán)客戶(hù)端中犯罪信息的方法，對(duì)于犯罪信息取證來(lái)說(shuō)具有極為重要的意義。

2 百度網(wǎng)盤(pán)取證原理分析

目前，百度網(wǎng)盤(pán)在國(guó)內(nèi)擁有非常龐大的使用群體，在信息數(shù)據(jù)存儲(chǔ)上發(fā)揮著重要的作用，在研究中可通過(guò)一些技術(shù)手段查找痕跡，實(shí)現(xiàn)對(duì)數(shù)據(jù)的科學(xué)研判分析。

2.1 技術(shù)維度分析

（1）證據(jù)獲取

通過(guò)與用戶(hù)建立密切聯(lián)系實(shí)現(xiàn)對(duì)各項(xiàng)數(shù)據(jù)的讀取，這其中，IaaS模型主要應(yīng)用于云計(jì)算方面，借助這類(lèi)模型可以給予用戶(hù)更多的權(quán)益，實(shí)現(xiàn)對(duì)數(shù)據(jù)的科學(xué)分析，靈活調(diào)整使用策略，最大程度地滿(mǎn)足自身需求；另外，PaaS和SaaS模型則具有很強(qiáng)的約束性，單一的數(shù)據(jù)獲取渠道使得用戶(hù)獲取信息的穩(wěn)定性較差，需要云服務(wù)商的介入才可以實(shí)現(xiàn)對(duì)各項(xiàng)數(shù)據(jù)的獲取，因此建立與服務(wù)商密切的聯(lián)系是保證各項(xiàng)數(shù)據(jù)獲取渠道穩(wěn)定的基礎(chǔ)，借助物理地址可以提供很好的保障，協(xié)助完成各項(xiàng)任務(wù)[2]。證據(jù)獲取時(shí)還需要結(jié)合客戶(hù)的需求以及各項(xiàng)任務(wù)目標(biāo)研究，僅憑單一的物理機(jī)存儲(chǔ)大量的數(shù)據(jù)信息是非常不安全的。所以，需要建立完善的數(shù)據(jù)保障機(jī)制，實(shí)現(xiàn)對(duì)審計(jì)日志的嚴(yán)格審查。

（2）證據(jù)分析

證據(jù)不穩(wěn)定很容易造成證據(jù)缺失，這是必須解決的問(wèn)題。云計(jì)算資源在分配的過(guò)程中不斷變化，一旦用戶(hù)沒(méi)有資源需求，注銷(xiāo)虛擬機(jī)，就會(huì)重新將已有的資源再次分配，分配后的數(shù)據(jù)將會(huì)覆蓋原始數(shù)據(jù)。目前，資源分配過(guò)程中的方向、位置都是不確定的，并且很容易造成丟失，因此只有及時(shí)備份才可以避免數(shù)據(jù)丟失，保證各項(xiàng)數(shù)據(jù)的完整性和科學(xué)性。云取證的方式有很多，但是容易被篡改，數(shù)據(jù)的完整性和科學(xué)性得不到保證；數(shù)據(jù)的增加會(huì)使格式調(diào)整速度減緩，篡改的數(shù)據(jù)無(wú)法在第一時(shí)間被及時(shí)修正；時(shí)間分布的不完整以及形勢(shì)的單一性，都會(huì)使得責(zé)任的劃分存在較大難度[3]。因此需要協(xié)調(diào)好各方的關(guān)系，共同攜手對(duì)系統(tǒng)進(jìn)行管理，保證海量數(shù)據(jù)的科學(xué)分析，而這也是本文研究的重點(diǎn)和難點(diǎn)。

2.2 痕跡分析

用戶(hù)在云存儲(chǔ)器上保存數(shù)據(jù)時(shí)，雖然數(shù)據(jù)得到很好的保存，便于后續(xù)的操作，但是在實(shí)際的使用過(guò)程中還是會(huì)留下痕跡，這些痕跡會(huì)攜帶眾多用戶(hù)信息，可以作為后續(xù)研究的重要參考，例如用戶(hù)名、用戶(hù)ID、用戶(hù)的操作記錄等都可以在痕跡中被找到。借助用戶(hù)端進(jìn)行數(shù)據(jù)分析時(shí)，需要關(guān)注Web瀏覽器和客戶(hù)端應(yīng)用中殘留下來(lái)的使用痕跡。Web的服務(wù)就是云存儲(chǔ)的重要基礎(chǔ)，這里需要及時(shí)對(duì)Internet歷史有關(guān)的數(shù)據(jù)和信息進(jìn)行調(diào)整分析，借助分析Web瀏覽器的日志文件的機(jī)會(huì)，及時(shí)對(duì)客戶(hù)的各項(xiàng)信息進(jìn)行完善，保證數(shù)據(jù)的完整性和真實(shí)性；同時(shí)，很多云服務(wù)器具備的功能都可以實(shí)現(xiàn)對(duì)數(shù)據(jù)的分析和保存，同樣也會(huì)在使用的過(guò)程中殘留下痕跡。利用對(duì)這些痕跡的分析就可以掌握客戶(hù)各項(xiàng)操作的時(shí)間線(xiàn)。因此首先對(duì)云存儲(chǔ)器上的殘留痕跡展開(kāi)分析，是實(shí)現(xiàn)對(duì)云存儲(chǔ)器研究的重要基礎(chǔ)，掌握用戶(hù)重點(diǎn)關(guān)注的地方，提取有用的價(jià)值信息。

借助對(duì)云存儲(chǔ)器痕跡分析的研究，這里使用如圖1所示的方法實(shí)現(xiàn)對(duì)云存儲(chǔ)器痕跡的追蹤和研判。

圖1 痕跡分析方法

（1）首先需要對(duì)云存儲(chǔ)器進(jìn)行客觀的分析，查找對(duì)應(yīng)的數(shù)據(jù)，掌握相關(guān)操作、了解方式方法。通常，用戶(hù)的重要信息都會(huì)被存儲(chǔ)在瀏覽器上，并且云存儲(chǔ)器還可以作為重要的數(shù)據(jù)保存單元，確保數(shù)據(jù)的完整性和科學(xué)性，所以用戶(hù)可以借助客戶(hù)端實(shí)現(xiàn)對(duì)數(shù)據(jù)的科學(xué)分析。對(duì)于文件的操作方式多樣，能夠生成、保存、修改以及刪除文件。

（2）云操作的方式都與每一種數(shù)據(jù)存儲(chǔ)方式配對(duì)，也就是借助一種云存儲(chǔ)方式就可以建立對(duì)應(yīng)的案例測(cè)試，形成測(cè)試1至測(cè)試N。

（3）實(shí)現(xiàn)虛擬機(jī)環(huán)境的純凈，提高設(shè)備的分析效率。純凈虛擬機(jī)環(huán)境下的數(shù)據(jù)分析，具有高效、可靠、系統(tǒng)的性能。

（4）從測(cè)試1開(kāi)始，建立在虛擬機(jī)砂鍋的數(shù)據(jù)測(cè)試，結(jié)合實(shí)際的案例需求完成對(duì)測(cè)試結(jié)果的分析，這里在借助云操作的過(guò)程中，虛擬機(jī)的測(cè)試次數(shù)都為1。

然而，近年來(lái)國(guó)產(chǎn)陶瓷在國(guó)際市場(chǎng)上一直保持著數(shù)量上（我國(guó)日用陶瓷總產(chǎn)量約占世界總產(chǎn)量的65%～70%）的大國(guó)地位，但從總體水平上看是大而不強(qiáng)（出口日用陶瓷平均單件換匯僅為0.21 美元，遠(yuǎn)遠(yuǎn)低于世界平均單件出口價(jià)格1 美元以上的水平，為英國(guó)、日本的 1/7，法國(guó)的 1/3），與國(guó)際先進(jìn)水平相比還有較大的差距。隨著我國(guó)物質(zhì)生活和文化生活的不斷發(fā)展提高，人們對(duì)高檔有品質(zhì)的日用陶瓷產(chǎn)品的需求也大大地提高了，這無(wú)疑給我過(guò)日用陶瓷產(chǎn)品發(fā)展帶來(lái)了新的發(fā)展空間和契機(jī)，同時(shí)也對(duì)我國(guó)日用陶瓷產(chǎn)品設(shè)計(jì)提出了新的挑戰(zhàn)和更新更高的要求。

（5）檢查（4）中在測(cè)試過(guò)程中全部被讀寫(xiě)的數(shù)據(jù)信息（可以使用Process Monitor等工具完成對(duì)數(shù)據(jù)的檢測(cè)和分析）。對(duì)數(shù)據(jù)的具體內(nèi)容展開(kāi)科學(xué)的研判，分析其內(nèi)容的重要性，找出數(shù)據(jù)在存儲(chǔ)階段的誤差以及需要完善的地方，假設(shè)文中沒(méi)有出現(xiàn)相關(guān)的重要信息，就需要對(duì)內(nèi)容進(jìn)行完善的記錄，依據(jù)其格式實(shí)現(xiàn)對(duì)內(nèi)容的歸類(lèi)整理，掌握數(shù)據(jù)的價(jià)值。

（6）轉(zhuǎn)至（3）按照上述步驟操作，指導(dǎo)所有的測(cè)試方案完成。

（7）在所有的測(cè)試方案完成之后，就需要對(duì)各項(xiàng)數(shù)據(jù)進(jìn)行整合歸納，分析研判其特征屬性。

百度網(wǎng)盤(pán)在我國(guó)的用戶(hù)非常多，目前主要以?xún)煞N方式來(lái)使用百度網(wǎng)盤(pán)，同時(shí)也是重要的信息存儲(chǔ)方式，對(duì)于我國(guó)信息的存儲(chǔ)發(fā)揮著重要的作用，一是使用瀏覽器對(duì)網(wǎng)盤(pán)中存儲(chǔ)的內(nèi)容進(jìn)行訪問(wèn)，二是利用網(wǎng)盤(pán)的客戶(hù)端實(shí)現(xiàn)對(duì)信息的查詢(xún)檢索。使用痕跡分析的方式完成Windows 7系統(tǒng)下數(shù)據(jù)的分析，依次使用Chrome瀏覽器對(duì)用戶(hù)訪問(wèn)過(guò)程中留下的痕跡展開(kāi)詳細(xì)的檢索和分析，并對(duì)結(jié)果作出科學(xué)的預(yù)判，完成數(shù)據(jù)分析，生成痕跡報(bào)告。這里研究過(guò)程中使用的主要是Chrome瀏覽器其版本為57.0.2978.110，百度網(wǎng)盤(pán)客戶(hù)端的主體部分為v5.3.4.5。這里雖然在研究中對(duì)于百度信息的檢索存在眾多影響因素，但是其主要的痕跡分析可以實(shí)現(xiàn)，這里對(duì)于數(shù)據(jù)信息的檢索就是在痕跡分析的基礎(chǔ)上完成。

用戶(hù)使用Chrome瀏覽器方式和客戶(hù)端程序方式完成對(duì)百度云盤(pán)內(nèi)部各項(xiàng)信息的完善和分析。能夠得出，在Chrome瀏覽器歷史記錄文件中可以查找到各類(lèi)歷史瀏覽信息以及存儲(chǔ)的文件數(shù)據(jù)內(nèi)容，對(duì)于客戶(hù)端的使用和研究發(fā)揮著重要的作用。除此之外，其他各類(lèi)文件痕跡和信息都可以在這里被查找到，但是其主要的信息還是保存在網(wǎng)盤(pán)中，如cookie和賬號(hào)密碼等都是具有重要價(jià)值的信息。下面將對(duì)文件展開(kāi)詳細(xì)的分析研究。

百度網(wǎng)盤(pán)的客戶(hù)端也被叫做百度云管家，客戶(hù)端程序能夠提升客戶(hù)檢索信息的效率，對(duì)于數(shù)據(jù)的整合和獲取起到重要的作用，并且客戶(hù)端也是下載大文件的重要依據(jù)和載體。用戶(hù)利用密碼和賬號(hào)就可以實(shí)現(xiàn)對(duì)系統(tǒng)的登錄，在操作上具有極大的便利性。研究得出，用戶(hù)在安裝百度云管家時(shí)，會(huì)留下相關(guān)的痕跡，這一點(diǎn)在百度網(wǎng)盤(pán)上可以被有效地檢索，并在相應(yīng)的文件上展開(kāi)研究分析。百度云管家賬號(hào)內(nèi)部保存著重要的信息文件，這也是值得重點(diǎn)關(guān)注的地方。

百度云管家云心階段就會(huì)對(duì)登錄的信息和賬號(hào)進(jìn)行保存，并且用戶(hù)可以依據(jù)自己的需求選擇是否對(duì)信息進(jìn)行保留，以便下次可以自動(dòng)登錄，百度云管家還會(huì)對(duì)信息數(shù)據(jù)進(jìn)行備份保存在本地文件中。一般數(shù)據(jù)信息保存的地址為”＼BaiduYunGuanjia＼users＼temp.data”文件，使用UltraEdit打開(kāi)temp.data文件，temp.data文件中存放的內(nèi)容都是加密的，用戶(hù)必須經(jīng)過(guò)百度云管家的授權(quán)才可以提取temp.data文件中存儲(chǔ)的重要信息。

3 百度網(wǎng)盤(pán)客戶(hù)端取證方法

（1）根據(jù)GB/T 29362-2012和GA/T 756-2008中的要求，通過(guò)計(jì)算機(jī)殺毒軟件對(duì)電子物證檢驗(yàn)工作站系統(tǒng)進(jìn)行病毒查殺，保證工作站系統(tǒng)不會(huì)存在病毒，避免對(duì)后續(xù)操作造成干擾[2]。其次，通過(guò)滿(mǎn)足上述文件要求的電子數(shù)據(jù)存儲(chǔ)介質(zhì)復(fù)制工具來(lái)對(duì)待檢測(cè)計(jì)算機(jī)數(shù)據(jù)存儲(chǔ)介質(zhì)中的數(shù)據(jù)信息進(jìn)行全面復(fù)制。再次，將研究所使用的實(shí)驗(yàn)機(jī)硬盤(pán)制作成為鏡像文件，并記錄制作完成后鏡像文件的哈希值。最后，將具備寫(xiě)入保護(hù)功能的待檢測(cè)計(jì)算機(jī)按照上述標(biāo)準(zhǔn)中的要求通過(guò)只讀的方式與電子物證檢驗(yàn)工作站相連。

（2）在Windows 7/10操作系統(tǒng)環(huán)境下，先對(duì)百度網(wǎng)盤(pán)的默認(rèn)保存路徑如今進(jìn)行查詢(xún)，若是無(wú)法查詢(xún)到百度網(wǎng)盤(pán)的默認(rèn)保存路徑，則代表著相關(guān)使用者使用了自定義保存路徑，此種情況便需要工作人員在電子物證檢驗(yàn)工作站中使用FTK、Encase等快速搜索工具，以“BaiduNetdisk”或者“BaiduYunGuanjia”為關(guān)鍵詞對(duì)百度網(wǎng)盤(pán)客戶(hù)端的保存路徑進(jìn)行查詢(xún)搜索。在找到保存路徑位置后，打開(kāi)路徑中的“User”文件夾，此文件夾中所保存的由數(shù)字與字母混合命名的文件夾就是待檢測(cè)計(jì)算機(jī)中百度網(wǎng)盤(pán)登錄后所形成的賬戶(hù)名，只不過(guò)這些百度網(wǎng)盤(pán)為確保用戶(hù)的隱私安全，相關(guān)賬戶(hù)名已經(jīng)被加密[3]。右鍵點(diǎn)擊其中某一個(gè)文件夾，點(diǎn)擊屬性，將可以看到此文件夾的創(chuàng)建時(shí)間，該時(shí)間便是此用戶(hù)名的首次登錄時(shí)間。

（3）在百度網(wǎng)盤(pán)客戶(hù)端用戶(hù)名保存路徑（BaiduNetdisk文件夾下）中雙擊某一文件夾后，可以發(fā)現(xiàn)文件夾下存在一個(gè)非系統(tǒng)自動(dòng)命名的文件夾，此文件夾就是百度網(wǎng)盤(pán)的賬號(hào)文件夾，文件夾的命名便是百度網(wǎng)盤(pán)客戶(hù)端用戶(hù)的賬戶(hù)名。此文件夾是用戶(hù)在通過(guò)百度網(wǎng)盤(pán)客戶(hù)端登錄網(wǎng)盤(pán)后，客戶(hù)端自行生成的。

（4）百度網(wǎng)盤(pán)客戶(hù)端用戶(hù)名保存路徑中還存在命名為“BaiduYunCacheFileV0”和“BaiduYunGuanjia”的文件，工作人員需要通過(guò)電子物證檢驗(yàn)工作站中的Navicat Premium工具對(duì)兩種文件進(jìn)行快速檢驗(yàn)分析。由于百度網(wǎng)盤(pán)所提供的用戶(hù)群體極為龐大，并且不同用戶(hù)所采用的操作系統(tǒng)也將會(huì)存在一定區(qū)別，所以百度網(wǎng)盤(pán)通常需要進(jìn)行跨操作系統(tǒng)提供服務(wù)，因此，其所采用的存儲(chǔ)機(jī)制為通用性更強(qiáng)的SQLlite存儲(chǔ)機(jī)制。SQLliet作為一種輕型數(shù)據(jù)庫(kù)，其具有占用資源少，能夠支持Windows、Linux、Unix等主流操作系統(tǒng)，可以與多種程序語(yǔ)言相結(jié)合等優(yōu)點(diǎn)，促使其不僅在百度網(wǎng)盤(pán)中得到廣泛應(yīng)用，而且還促使百度網(wǎng)盤(pán)的運(yùn)行速度得到有效提升。

通過(guò)電子物證檢驗(yàn)工作站中的工具打開(kāi)“BaiduYunCacheFileV0”文件，并進(jìn)行分析，之后可以發(fā)現(xiàn)文件中蘊(yùn)含“cache_file”和“version”兩種表，其中“cache_file”表中存有此賬戶(hù)百度網(wǎng)盤(pán)客戶(hù)端的文件夾信息列表，相關(guān)文件在百度網(wǎng)盤(pán)中的存儲(chǔ)路徑、文件唯一標(biāo)識(shí)、文件訪問(wèn)時(shí)間、文件在百度網(wǎng)盤(pán)服務(wù)器中的文件名，文件的md5值均可以通過(guò)工具進(jìn)行獲取和導(dǎo)出。其中，md5的值主要用于檢驗(yàn)計(jì)算機(jī)中文件名與百度網(wǎng)盤(pán)服務(wù)器中文件名的一致性；而文件訪問(wèn)時(shí)間則可以通過(guò)查看文件夾的最后訪問(wèn)時(shí)間獲取。

通過(guò)工具打開(kāi)“BaiduYunGuanjia”文件，可以發(fā)現(xiàn)文件夾內(nèi)存在著5個(gè)表，不同的表在百度網(wǎng)盤(pán)客戶(hù)端中多發(fā)揮出的功能也不盡相同，其中“download_history_file”表可以顯示此賬號(hào)在百度網(wǎng)盤(pán)客戶(hù)端中下載過(guò)的文件列表、文件大小、下載起止時(shí)間等信息?！皍pload_history_file”表則可以顯示此賬號(hào)在百度網(wǎng)盤(pán)客戶(hù)端上傳過(guò)的文件列表、文件大小、下載起止時(shí)間等信息[4]。

（5）通過(guò)Navicat Premium工具將上述文件信息進(jìn)行全部導(dǎo)出，并復(fù)制到Excel表格中，保存表格文件，計(jì)算表格文件的哈希值。

用戶(hù)操作的過(guò)程中，客戶(hù)端和服務(wù)器會(huì)相互傳輸數(shù)據(jù)，確保信息完整有效符合客觀使用環(huán)境（如圖2）。

圖2 客戶(hù)端和服務(wù)器交互圖

通過(guò)以上百度網(wǎng)盤(pán)客戶(hù)端取證方法，將可以直接獲取犯罪嫌疑人通過(guò)百度網(wǎng)盤(pán)客戶(hù)端上傳、下載過(guò)程的文件信息，進(jìn)而以此為基礎(chǔ)，在百度網(wǎng)盤(pán)相關(guān)單位的配合下，快速獲取相關(guān)文件內(nèi)容，以此來(lái)實(shí)現(xiàn)百度網(wǎng)盤(pán)客戶(hù)端取證效果。

4 結(jié)論

綜上所述，隨著信息技術(shù)的不斷發(fā)展和普及，網(wǎng)盤(pán)作為一種云端存儲(chǔ)工具，其已經(jīng)被越來(lái)越多的用戶(hù)所接受，并為用戶(hù)提供了更多的便利。然而，如今很多不法分子利用網(wǎng)盤(pán)的特點(diǎn)，在網(wǎng)盤(pán)中存儲(chǔ)各種不法信息，為相關(guān)案件的取證帶來(lái)了極大的難度。針對(duì)此種情況，本文以百度網(wǎng)盤(pán)客戶(hù)端為例，提出了一種百度網(wǎng)盤(pán)客戶(hù)端取證方法，并通過(guò)實(shí)踐表明，此種方法可以有效獲取百度網(wǎng)盤(pán)客戶(hù)端用戶(hù)的上傳、下載文件信息，進(jìn)而為網(wǎng)盤(pán)信息取證提供重要參考，值得進(jìn)行普及和應(yīng)用。同時(shí)建立完善的監(jiān)管機(jī)制，此外健全安全機(jī)制也是極為重要。