一起網(wǎng)絡(luò)詐騙案中的電子物證檢驗(yàn)

周 翔

(新疆生產(chǎn)建設(shè)兵團(tuán)公安局，烏魯木齊 830000)

一起網(wǎng)絡(luò)詐騙案中的電子物證檢驗(yàn)

周 翔

(新疆生產(chǎn)建設(shè)兵團(tuán)公安局，烏魯木齊 830000)

近年來，國內(nèi)電信、網(wǎng)絡(luò)詐騙案件頻發(fā)，詐騙手法多變；其中犯罪分子冒充國家公、檢、法機(jī)關(guān)工作人員利用電話騙取受害人的信任，指使受害人登錄指定網(wǎng)站、安裝遠(yuǎn)程控制程序或木馬，遠(yuǎn)程操作受害人的計(jì)算機(jī)，登錄受害人的網(wǎng)銀賬戶，盜取受害人資金的案件發(fā)案率較高。對此類案件的電子物證取證分析存在一定的難度，鑒定過程中易將此類案件歸為計(jì)算機(jī)植入木馬類案件進(jìn)行分析，分析過程中會(huì)涉及到程序的反編譯、程序代碼的跟蹤執(zhí)行等多個(gè)檢驗(yàn)環(huán)節(jié)，使案件分析變得復(fù)雜。本文報(bào)道一案例，在分析過程中首先采用動(dòng)態(tài)仿真模擬出受害人的計(jì)算機(jī)，然后利用時(shí)間線技術(shù)分析案發(fā)時(shí)的計(jì)算機(jī)操作行為，通過電子物證取證分析，還原了案發(fā)時(shí)計(jì)算機(jī)的操作行為，為案件的偵查提供了有力支撐。最后本文就此類案件的電子物證取證分析方法進(jìn)行探討。

電子物證；網(wǎng)絡(luò)詐騙；動(dòng)態(tài)仿真；時(shí)間線；遠(yuǎn)程控制軟件

1 案例

2015年8月新疆生產(chǎn)建設(shè)兵團(tuán)轄區(qū)發(fā)生一起特大詐騙案，犯罪嫌疑人冒充最高人民檢察院工作人員，利用電話稱受害人王某的銀行賬戶涉嫌洗錢，最高人民檢察院已受理了案件，為幫助王某洗脫罪名，需要王某提供個(gè)人或單位的網(wǎng)銀、U盾、銀行卡賬戶及密碼，王某在不明真相的情況下，按照犯罪嫌疑人的指令卸載了計(jì)算機(jī)上的殺毒軟件，然后登錄到指定網(wǎng)站，完成信息確認(rèn)，致使公司損失600余萬元人民幣，給公司利益造成重大損失。辦案人員希望通過檢驗(yàn)分析受害人的計(jì)算機(jī)，從中獲取相關(guān)電子物證線索或證據(jù)。

2 檢驗(yàn)

以案件發(fā)生時(shí)間為主線，建立時(shí)間分析模型[1]，利用Safeanalyzer取證分析軟件和動(dòng)態(tài)仿真技術(shù)[2]，綜合檢驗(yàn)犯罪嫌疑人使用的計(jì)算機(jī)硬盤，重點(diǎn)還原發(fā)案時(shí)計(jì)算機(jī)上的操作行為。

2.1 利用動(dòng)態(tài)仿真還原作案過程

為還原作案過程，將涉案計(jì)算機(jī)的硬盤接入到盤石計(jì)算機(jī)仿真取證系統(tǒng)（SafeVM Pro）模擬出涉案計(jì)算機(jī)。在虛擬機(jī)環(huán)境下進(jìn)行啟動(dòng)，以系統(tǒng)用戶的角度直觀的檢查和操作目標(biāo)系統(tǒng)，收集相關(guān)證據(jù)。SafeVM Pro可對原始鏡像文件或者對象計(jì)算機(jī)系統(tǒng)的物理硬盤進(jìn)行保護(hù)，虛擬機(jī)內(nèi)進(jìn)行的任何操作不會(huì)改動(dòng)原始設(shè)備或者鏡像文件；支持的Windows操作系統(tǒng)有Windows 7、Windows Vista、Windows 2003, Windows XP, Windows 2000, Windows NT, Windows Me, Windows 98。通過仿真環(huán)境模擬出受害人王某的計(jì)算機(jī)并訪問10079.cf網(wǎng)站。訪問該網(wǎng)站時(shí)提示要安裝安全插件“CHINA.exe”程序，該程序運(yùn)行后，計(jì)算機(jī)中會(huì)彈出標(biāo)題為最高人民檢察院的彈出窗口（見圖1）。

圖1 “CHINA”插件Fig.1 The outcome with the implementation of the "CHINA" plug-in

在虛擬機(jī)上通過對“CHINA.exe”運(yùn)行后的活動(dòng)端口分析，該程序是遠(yuǎn)程控制程序teamviewer（見圖2）的定制版。該程序分為服務(wù)端和客戶端，安裝在受害人機(jī)器上的為服務(wù)端，犯罪嫌疑人使用客戶端遠(yuǎn)程連接服務(wù)端。犯罪嫌疑人通過電話向受害人王某索取了ID和密碼，從而遠(yuǎn)程控制了受害人的計(jì)算機(jī)。通過對Teamviewer的分析發(fā)現(xiàn)，該程序的遠(yuǎn)控是P2P的形式，查看log日志只能看到與其連接的ID，無法追溯到對方的IP地址。

圖2 “teamviewer”軟件截圖Fig.2 The screenshot on "TeamViewer" software running

2.2 利用時(shí)間線分析技術(shù)獲取證據(jù)

結(jié)合案情利用綜合取證分析軟件safeAnalyzer (v4.4)。該軟件是國內(nèi)盤石軟件（上海）有限公司研發(fā)的針對硬盤、移動(dòng)硬盤、U盤等存儲介質(zhì)及DD、AFF、Encase、Iso格式、L01格式鏡像文件進(jìn)行取證分析的軟件，支持的文件系統(tǒng)有NTFS、Fat、Ext2/ Ext3、HFS/HFS+、CDFS、UDF；具有數(shù)據(jù)恢復(fù)、過濾、分析、查找等功能，該軟件是ENCASE/FTK/Winhex等分析軟件的全中文替代品。其中在分析功能上可利用時(shí)間線分析功能建立時(shí)間區(qū)域內(nèi)修改、訪問、創(chuàng)建的文件時(shí)間線，方便定位案件相關(guān)文件。

2.2.1 卸載殺毒軟件行為的記錄

利用safeAnalyzer(v4.4)軟件過濾出涉案計(jì)算機(jī)硬盤內(nèi)的網(wǎng)頁文件，以案發(fā)時(shí)間為主線通過時(shí)間線分析功能，獲取該計(jì)算機(jī)2015年8月21日20點(diǎn)24分生成了safe.html網(wǎng)頁文件，通過查看該網(wǎng)頁分析出該行為是卸載殺毒軟件（見圖3），目的是為了能夠正常訪問犯罪嫌疑人指定的網(wǎng)站，或者從網(wǎng)站下載插件的時(shí)候不被殺毒軟件攔截。

圖3 卸載殺毒軟件行為的記錄Fig.3 The record of uninstalling the anti-virus software

2.2.2 訪問假冒最高人民檢察院網(wǎng)站的記錄

受害人王某的計(jì)算機(jī)于8月21日20點(diǎn)30分首次訪問偽裝成最高人民檢察院的網(wǎng)站10079.cf（見圖4），王某通過網(wǎng)站查詢相信最高檢已向其下發(fā)逮捕令。

圖4 訪問假冒最高檢察院網(wǎng)站的記錄Fig.4 The record of access to the fake website of Supreme Procuratorate

2.2.3 登錄中國農(nóng)業(yè)銀行進(jìn)行驗(yàn)證的記錄

8月21日21點(diǎn)04分受害人王某的計(jì)算機(jī)訪問中國農(nóng)業(yè)銀行網(wǎng)頁進(jìn)行“驗(yàn)證”（見圖5）。

圖5 登錄中國農(nóng)業(yè)銀行進(jìn)行驗(yàn)證的記錄Fig.5 Logging onto the Agricultural Bank of China for verifcation

2.2.4 網(wǎng)銀轉(zhuǎn)賬的記錄

通過safeAnalyzer過濾出所有網(wǎng)頁文件，并構(gòu)建銀行賬號關(guān)鍵詞搜索過濾出的網(wǎng)頁文件，獲取到網(wǎng)銀轉(zhuǎn)賬網(wǎng)頁，得到轉(zhuǎn)賬記錄（見圖6）。

圖6 網(wǎng)銀轉(zhuǎn)賬的記錄Fig.6 The record of online-bank transfer

3 討 論

此類案件在分析時(shí)，鑒定人員往往會(huì)認(rèn)為涉案計(jì)算機(jī)可能被植入木馬，會(huì)花費(fèi)大量時(shí)間去查找木馬，但本案是一起典型的利用程序遠(yuǎn)程操作受害人計(jì)算機(jī)，同時(shí)利用電話騙取受害人的信任，實(shí)施詐騙的案件。時(shí)間線在電子物證取證分析中起著至關(guān)重要的作用，通過對時(shí)間線的分析，往往能分析出在案件發(fā)生時(shí)犯罪嫌疑人或受害人對計(jì)算機(jī)所進(jìn)行的操作，同時(shí)利用動(dòng)態(tài)仿真系統(tǒng)模擬涉案計(jì)算機(jī)的操作行為，能夠進(jìn)一步查明案件發(fā)生時(shí)計(jì)算機(jī)所觸發(fā)的行為及相關(guān)程序的功能，從而使作案過程得以再現(xiàn)。

［1］ 劉曉宇，翟曉飛，許榕生. 一種用于事件重構(gòu)的時(shí)間分析框架［J］. 信息網(wǎng)絡(luò)安全，2009(3):77-80.

［2］ 趙振洲，喬明秋. 基于ATT-3000的動(dòng)態(tài)仿真取證技術(shù)研究［J］. 北京政法職業(yè)學(xué)院學(xué)報(bào)，2010(4):124-126.

Forensic Analysis on Collecting the Electronic Evidence from an Internet Fraud Case

ZHOU Xiang
(Public Security Bureau of Xinjiang Production and Construction Corps, Urumqi 830000, China)

The telecommunication-and-internet fraud cases have occurred frequently in recent years. Offenders played volatile and tricky swindles to reach their goals. Some of the criminals pretended to be the offcial persons of public security, procuratorate and court to get trusted from the victims who were then instigated to log onto a specifc website where a longrange control program or Trojan was to be introduced into the victims’ computers. Thus, the victims’ computers were able to be remotely operated and the accounts of these victims’ E-bank be broken into, resulting in their money in the bank to be stolen. It is really of certain diffculty to conduct the forensic electronic analysis about such cases because they are prone to be categorized into those implanted Trojan ones during the process of authentication which will be involved into a program decompiling, code tracking among the multiple tested links, thereby making the case analysis even more complex. In the case reported here, the dynamic simulation was recruited to imitate the victim’s computer, and then the time sequence was analyzed of the EEG (electroencephalography) operant behavior in the course of crime. With obtainment of the sequence of the event by the above implementation, the key evidence and clue of the case were dug up so that the case was truly restored and solved.

electronic evidence; network fraud; dynamic simulation; time sequence; remote-control software

DF793.2

A

1008-3650(2016)06-0491-03

2015-12-17

格式：周翔. 一起網(wǎng)絡(luò)詐騙案中的電子物證檢驗(yàn) [J]. 刑事技術(shù)，2016,41(6):491-493.

10.16467/j.1008-3650.2016.06.014

周翔（1974—），男，重慶人，學(xué)士，工程師，研究方向?yàn)殡娮游镒C。E-mail: 370248403@qq.com