基于360殺毒軟件的用戶行為取證分析

楊仕海

（重慶市公安局江北區(qū)分局 重慶 400021）

基于360殺毒軟件的用戶行為取證分析

楊仕海

（重慶市公安局江北區(qū)分局 重慶 400021）

提取360殺毒軟件的進(jìn)程歷史日志進(jìn)行取證分析，對(duì)公安機(jī)關(guān)刻畫犯罪嫌疑人的行為特征有重要意義。闡述了如何借助360殺毒軟件的進(jìn)程歷史日志準(zhǔn)確地對(duì)用戶行為進(jìn)行分析取證的方法。 通過(guò)360殺毒軟件的歷史進(jìn)程日志可以還原Office文件編輯過(guò)程的時(shí)間節(jié)點(diǎn)、計(jì)算機(jī)系統(tǒng)開關(guān)機(jī)記錄以及用戶進(jìn)程的運(yùn)行狀態(tài)，從而提取到與犯罪嫌疑人行為特征相關(guān)的線索。

殺毒軟件 用戶行為 取證

1 概述

殺毒軟件每天掃描各種應(yīng)用程序、進(jìn)程、文件來(lái)阻止和預(yù)防個(gè)人計(jì)算機(jī)遭受惡意代碼的侵?jǐn)_。殺毒軟件是保護(hù)電腦系統(tǒng)安全關(guān)鍵的一道屏障，殺毒軟件的好壞直接決定系統(tǒng)的防御能力的強(qiáng)或弱[1]，同時(shí)殺毒軟件也在終端上存放了大量的日志文件，清晰記錄系統(tǒng)文件的加載時(shí)間、應(yīng)用程序啟動(dòng)時(shí)間、系統(tǒng)發(fā)出關(guān)機(jī)指令的時(shí)間、U盤插拔記錄等重要信息，相對(duì)操作系統(tǒng)自帶的注冊(cè)表信息、系統(tǒng)日志更加容易理解；殺毒軟件的可執(zhí)行程序信任列表、異常文件恢復(fù)區(qū)、系統(tǒng)白名單、文件白名單等為惡意代碼的快速分析查找節(jié)約了時(shí)間。本文以360殺毒軟件、Windows系列操作系統(tǒng)為例，結(jié)合實(shí)際案例進(jìn)行深度剖析；360殺毒軟件的安裝目錄/360/360SD/Log/ProcessHistoryLog/存放了每日進(jìn)程的加載、運(yùn)行情況的log文件，log文件記錄了計(jì)算機(jī)操作系統(tǒng)接收。開機(jī)指令到發(fā)出關(guān)機(jī)指令后系統(tǒng)完全關(guān)機(jī)之間，即一次完整的開關(guān)機(jī)期間應(yīng)用程序運(yùn)行情況，通過(guò)log文件能快速、精準(zhǔn)地對(duì)用戶行為進(jìn)行分析取證。

2 Office文件編輯過(guò)程的取證分析

Microsoft公司開發(fā)的Office系列軟件是目前最流行的辦公軟件，占據(jù)了辦公軟件類 74.4% 的市場(chǎng)份額[2]。在實(shí)際的取證分析中，通過(guò)文件屬性查看器，能夠查看Office文件的最后訪問(wèn)時(shí)間、最后修改時(shí)間、創(chuàng)建時(shí)間，在很多時(shí)候由于系統(tǒng)時(shí)間更改或其他原因，3個(gè)時(shí)間參考價(jià)值往往不大。如果能知道系統(tǒng)每一次開關(guān)機(jī)期間，具體的哪個(gè)Office文件被訪問(wèn)的次數(shù)、被修改的時(shí)間點(diǎn)等信息，在相關(guān)案件取證的時(shí)候，無(wú)疑給偵查人員提供非常有價(jià)值的線索。Windows系統(tǒng)中，Office文件最常見的編輯軟件是Microsoft Office和WPS Office，360殺毒軟件針對(duì)這兩款編輯軟件對(duì)應(yīng)生成的日志信息是不同的，以筆者本機(jī)的Log文件“2015-08-13-14-47-00. log”為例。

Office文件被訪問(wèn)過(guò)，Log文件記錄的日志為：

WPS Office：[0]ID=804;PID=3652;N=wps. exe;T=2015-08-13 14:26:15;P=C:PROGRA~1 KingsoftWPSOFF~1Office6wps.exe;C="C:Program FilesKingsoftWPS Office ProfessionalOffice6wps.exe" "C:Documents and SettingsAdministrator桌面關(guān)于做好抗戰(zhàn)勝利70周年紀(jì)念活動(dòng)期間電子數(shù)據(jù)取證工作的通知.doc";

M i c r o s o f t O f f i c e： [0] I D=6 5 8 8;P I D=3 6 5 2;N=W I N W O R D. EXE;T=2015-08-13 14:44:45;P=C:Program Files Microsoft OfficeOffice12WINWORD.EXE;C="C: Program FilesMicrosoft OfficeOffice12WINWORD. EXE" /n /dde;

同一個(gè)文件用WPS打開后，會(huì)記錄精確的打開時(shí)間，打開的文件名稱，而使用Microsoft Office軟件打開則不會(huì)記錄文件名。由于WPS軟件為免費(fèi)軟件，在Office文件編輯方面做了本地化處理，在人群中安裝使用率較高。如果用戶的終端同時(shí)安裝了WPS Office，360殺毒軟件則可以從Log文件中找出文件被訪問(wèn)過(guò)、被修改過(guò)的時(shí)間節(jié)點(diǎn)。

Office文件被修改過(guò)，Log文件記錄的日志為：

[0]ID=4272;PID=3652;N=wps.exe;T=2015-08-13 11:41:27;P=C:PROGRA~1KingsoftWPSOFF~1 Office6wps.exe;C="C:Program FilesKingsoftWPS Office ProfessionalOffice6wps.exe" "C:Documents and SettingsAdministrator桌面計(jì)算機(jī)犯罪現(xiàn)場(chǎng)勘驗(yàn).doc";

[1]I D=4 2 7 2;T=2 0 1 5-0 8-1 3 11:41:27;S=0;R=0;C=2;

[1]I D=5 6 6 0;T=2 0 1 5-0 8-1 3 11:41:39;S=0;R=0;C=0;

[0]ID=6700;PID=7784;N=wpsupdate. exe;T=2015-08-13 11:41:57;P=C:Program Files KingsoftWPS Office Professionalwtoolexwpsupdate. exe;C="C:Program FilesKingsoftWPS Office Professionalwtoolexwpsupdate.exe" /from:ksoend;

[0]ID=4632;PID=7784;N=updateself. exe;T=2015-08-13 11:41:57;P=C:Program Files KingsoftWPS Office Professionalwtoolexupdateself. exe;C="C:Program FilesKingsoftWPS Office Professionalwtoolexupdateself.exe" r;

以上日志記錄了文件“計(jì)算機(jī)犯罪現(xiàn)場(chǎng)勘驗(yàn).doc”在2015-08-13 11:41:27被打開，2015-08-13 11:41:57保存了該文件的更改信息。

3 計(jì)算機(jī)開關(guān)機(jī)時(shí)間取證分析

Log文件記錄的系統(tǒng)開機(jī)時(shí)間并不是十分準(zhǔn)確，它所記錄的開機(jī)后的第一個(gè)進(jìn)程System Idle Process啟動(dòng)時(shí)間對(duì)應(yīng)的秒位默認(rèn)為是00，有精確秒位啟動(dòng)時(shí)間的第一個(gè)進(jìn)程為smss.exe，對(duì)應(yīng)的log文件的名稱是以System Idle Process的啟動(dòng)時(shí)間命名的，例如筆者本機(jī)的Log文件“2015-07-15-11-11-00.log”的前3行如下：

[0]I D=0;P I D=0;N=S y s t e m I d l e Process;T=2015-07-15 11:11:00;P=[System Process];C=;

[0]ID=4;PID=0;N=System;T=2015-07-15 11:11:00;P=System;C=;

[0]ID=984;PID=4;N=smss.exe;T=2015-07-15 11:12:05;P=SystemRootSystem32smss.exe;C= SystemRootSystem32smss.exe;

經(jīng)過(guò)多次實(shí)驗(yàn)發(fā)現(xiàn)，按下個(gè)人終端的電源開關(guān)的時(shí)間與Log文件記錄的進(jìn)程System Idle Process的啟動(dòng)時(shí)間相差在1分鐘以內(nèi)。

Log文件記錄的關(guān)機(jī)時(shí)間也并非是系統(tǒng)徹底的關(guān)機(jī)時(shí)間，例如log文件2015-07-15-11-11-00.log記錄的向系統(tǒng)發(fā)出關(guān)機(jī)指令的時(shí)間：

[0]I D=3 8 2 0;P I D=1 4 8 8;N=l o g o n u i. exe;T=2015-07-15 17:52:04;P=C:WINDOWS system32logonui.exe;C=logonui.exe /status /shutdown;

在系統(tǒng)發(fā)出關(guān)機(jī)指令后，系統(tǒng)會(huì)關(guān)閉正常運(yùn)營(yíng)的用戶進(jìn)程，等用戶進(jìn)程完成相關(guān)數(shù)據(jù)保存之后在徹底關(guān)機(jī)。

4 用戶進(jìn)程運(yùn)行記錄取證分析

Log文件記錄的用戶進(jìn)程的運(yùn)行日志能夠有效幫助偵查人員分析嫌疑人的計(jì)算機(jī)行為，從而刻畫與嫌疑人有關(guān)的身份屬性，以筆者參與的一個(gè)實(shí)際案例來(lái)進(jìn)行深度剖析。簡(jiǎn)要案情：2013年3月5日22時(shí)30分許，某區(qū)派出所接群眾史某報(bào)警稱其母親劉某（1933年生）死于家中，屋內(nèi)有大量被翻動(dòng)痕跡，但貴重物品并未丟失。2013年3月8日，尸解報(bào)告顯示死者劉某的舌骨處于骨折狀態(tài)，是由于機(jī)械性窒息導(dǎo)致的死亡，死亡時(shí)間2013年3月5日16時(shí)許；家中有1個(gè)臺(tái)式電腦，主機(jī)機(jī)箱內(nèi)裝有一塊硬盤，筆者對(duì)該硬盤的分析如下：

⑴ 從該機(jī)硬盤中提取到360殺毒軟件在2013年03月05日生成的4個(gè)Log文件，分別名為：“2013-03-05-06-29-00.log”、“2013-03-05-16-02-00. log”、“2013-03-05-16-20-00.log”、“2013-03-05-18-06-00.log”（ 見圖1）。

圖1 案發(fā)當(dāng)天的360殺毒軟件生成的log文件

⑵對(duì)上述4個(gè)Log文件檢查分析發(fā)現(xiàn)該機(jī)的操作系統(tǒng)在2013年 3月 5日有4次開關(guān)機(jī)記錄，整理出最后3次開關(guān)機(jī)期間部分進(jìn)程的運(yùn)行情況，見表。

表 案發(fā)當(dāng)天最后3次開關(guān)機(jī)期間部分進(jìn)程運(yùn)行情況

⑶ 在3次開關(guān)機(jī)期間該機(jī)多次運(yùn)行了銀河證券、遠(yuǎn)為軟件兩款炒股軟件。該機(jī)案發(fā)當(dāng)天的使用人是資深股民或股票從業(yè)人員的可能性較大，同時(shí)該人登錄了QQ軟件，又卸載了QQ。

⑷該機(jī)硬盤中Sqlite數(shù)據(jù)庫(kù)文件Msg2.0.db（記錄QQ帳號(hào)聊天記錄的數(shù)據(jù)庫(kù)文件，見圖2）修改日期為2013年3月5日的QQ號(hào)有：A和B。使用美亞柏科取證大師軟件對(duì)硬盤鏡像中的QQ軟件進(jìn)行取證分析后發(fā)現(xiàn)：QQ號(hào)A在該機(jī)上保存了登錄密碼，聊天記錄很少，最早的聊天記錄是2012年的QQ系統(tǒng)消息，經(jīng)核實(shí)QQ號(hào)A為死者劉某生前使用；QQ號(hào)B沒(méi)有保存登錄密碼，其對(duì)應(yīng)的Msg2.0.db的創(chuàng)建日期為2013年3月5日 ，結(jié)合死者的年齡（虛歲：80歲）且符合保存QQ密碼這一習(xí)慣，反之推測(cè)，QQ號(hào)B非死者本人所有的可能性較大。

圖2 Msg2.0.db文件修改時(shí)間對(duì)比

⑸ Log文件“2013-03-05-16-20-00.log”(見圖3)顯示距QQ號(hào)B對(duì)應(yīng)的Msg2.0文件最后修改時(shí)間相差不到10分鐘，QQ軟件就被卸載，結(jié)合死者的尸檢死亡時(shí)間，說(shuō)明該行為是故意消除QQ登錄痕跡的可能較大，這點(diǎn)極其符合嫌疑人在案發(fā)后消除犯罪證據(jù)的特點(diǎn)，QQ號(hào)B使用者的嫌疑進(jìn)一步上升。

圖3 QQ軟件卸載記錄

⑹ 通過(guò)對(duì)QQ號(hào)B對(duì)應(yīng)QQ空間中的照片、日志、說(shuō)說(shuō)綜合分析，明確了QQ號(hào)B的實(shí)際使用人為唐某，男，畢業(yè)于某職業(yè)技術(shù)學(xué)院計(jì)算機(jī)專業(yè)，曾在某證券公司工作，因工作違規(guī)被辭退。唐某到案后，對(duì)2013年3月5日殺害劉某一案供認(rèn)不諱。

5 總結(jié)

運(yùn)行在個(gè)人終端的殺毒軟件，可以視為一個(gè)被操作系統(tǒng)所認(rèn)可的木馬，它時(shí)刻的掃描、監(jiān)控用戶進(jìn)程或可疑程序，有針對(duì)性地對(duì)用戶操作進(jìn)行日志化歸檔，如果能掌握殺毒軟件的這些特征，能給偵查取證提供更多有價(jià)值的線索。

[1]聶凌.淺談電腦病毒與殺毒軟件[J].信息與電腦,2010(3):2-3.

[2]劉浩陽(yáng).計(jì)算機(jī)取證中Office文件的調(diào)查[J].信息網(wǎng)絡(luò)安全,2012(8):242-243.

（責(zé)任編輯：于 萍）

TP309

A

2095-7939(2017)01-0126-03

10.14060/j.issn.2095-7939.2017.01.022

2016-11-28

楊仕海（1985-），男，四川廣元人，重慶市公安局江北區(qū)分局工程師，主要從事網(wǎng)絡(luò)安全與電子數(shù)據(jù)取證研究。