暗網(wǎng)取證研究*

蘇再添，張瑩瑩，黃志煒

（廈門市美亞柏科信息股份有限公司，福建 廈門 361008）

0 引 言

隨著社會信息化的快速發(fā)展，網(wǎng)絡(luò)違法犯罪案件日益增多，暗網(wǎng)也逐步走進大眾的視野。

以冰山舉例，普通民眾通過谷歌、百度等搜索引擎能檢索到的浮于冰山水面之上的網(wǎng)絡(luò)信息，稱之為“表層網(wǎng)絡(luò)”（Surface Web）[1]，也稱“明網(wǎng)”。而在冰山水面之下，有大量未被索引的“深層網(wǎng)絡(luò)”（Deep Web）信息，比如郵箱郵件、朋友圈照片等。暗網(wǎng)（Dark Web）則是深層網(wǎng)絡(luò)的子集，具有匿名性及不可追溯性，只能通過特定軟件，授權(quán)或?qū)﹄娔X做特別設(shè)置才能登錄訪問。

犯罪分子為了逃避打擊，在暗網(wǎng)里進行毒品交易、淫穢色情、人口販賣等非法活動[2]，對社會和公眾安全造成了嚴(yán)重威脅，因此執(zhí)法部門對暗網(wǎng)的取證需求也愈發(fā)迫切。

1 暗網(wǎng)概述

暗網(wǎng)是在匿名網(wǎng)絡(luò)的基礎(chǔ)之上創(chuàng)建，洋蔥路由（The Onion Router，TOR）、隱形互聯(lián)網(wǎng)計劃（Invisible Internet Project，I2P）和自由網(wǎng)（Freenet）是匿名網(wǎng)絡(luò)的典型代表，其中TOR網(wǎng)絡(luò)的規(guī)模最大[3]。

TOR 誕生于美國海軍研究實驗室，起初為了避免敵國監(jiān)控，確保情報通訊安全而研究，后因經(jīng)費等原因逐步從軍方走向民間，為暗網(wǎng)的建立奠定了重要的基礎(chǔ)[4]。TOR 是一個三重代理，也就是說TOR 每發(fā)出一個請求會先經(jīng)過TOR 網(wǎng)絡(luò)的3 個節(jié)點，它通過一系列的匿名代理節(jié)點對網(wǎng)絡(luò)流量進行加密傳輸，執(zhí)法人員無法通過普通網(wǎng)絡(luò)流量追蹤到原始用戶。

在暗網(wǎng)上通常采用比特幣等虛擬數(shù)字貨幣進行交易，比特幣不依賴于國家政府發(fā)行，不受銀行金融體系監(jiān)管，無法追蹤資金流向，成為助長暗網(wǎng)犯罪的重要工具。

2 暗網(wǎng)犯罪案件

由于暗網(wǎng)與生俱來的隱匿特性，常被用來進行個人行為的網(wǎng)絡(luò)黑客服務(wù)、數(shù)字貨幣交易和售賣非法禁售物品（毒品、武器）等。尤其是近幾年暗網(wǎng)犯罪事件頻繁發(fā)生，國外摧毀了一些較大的暗網(wǎng)交易平臺，國內(nèi)也頻頻發(fā)生暗網(wǎng)相關(guān)的違法犯罪案件。雖然這些網(wǎng)站觸犯法律，但由于暗網(wǎng)匿名技術(shù)的特點，查封關(guān)停非常困難。

在2013 年曝出的暗網(wǎng)黑市“絲綢之路”的創(chuàng)始人被抓事件，該黑市僅在兩年左右的時間就擁有了90 萬名的注冊用戶并且完成了價值總和1.2 億美元的地下交易。如圖1 所示是暗網(wǎng)上毒品交易相關(guān)的內(nèi)容。

圖1 “絲綢之路”暗網(wǎng)交易平臺

在2019 年10 月，公安局網(wǎng)安部門偵破了一起通過暗網(wǎng)售賣銀行開戶、手機注冊信息高達500 萬余條的案件。該犯罪嫌疑人通過即時通訊軟件結(jié)識某安全工程師，以40 萬元的價格向該安全工程師購買銀行開戶、手機卡注冊等各類的公民個人信息350 萬余條，并使用暗網(wǎng)售賣給其他人，非法牟利70 余萬元。

3 暗網(wǎng)取證的思路

根據(jù)洛卡德交換原理，凡走過必留下痕跡，暗網(wǎng)也不例外。在國內(nèi)，訪問暗網(wǎng)需要借助VPN 等翻墻軟件，并通過復(fù)雜的匿名軟件才能登錄瀏覽（如TOR 洋蔥瀏覽器），同時由于暗網(wǎng)網(wǎng)站的特征規(guī)律，通常也會在內(nèi)存中留下訪問痕跡，而資金交易則需要通過比特幣等虛擬貨幣來完成[5]。

因此可以通過VPN 取證、內(nèi)存取證、TOR瀏覽器取證、數(shù)字貨幣取證、網(wǎng)絡(luò)流量取證、鏡像網(wǎng)站取證等多種方法途徑，嘗試構(gòu)建關(guān)于暗網(wǎng)違法犯罪活動的完整證據(jù)鏈條。

4 暗網(wǎng)取證的實踐

4.1 VPN 取證

VPN 主要具有隱藏真實網(wǎng)絡(luò)IP 地址，繞過網(wǎng)絡(luò)審查，避開國內(nèi)防火墻訪問境外網(wǎng)站，模擬地理位置，繞開網(wǎng)站訪問的地理限制等特性。因此，在國內(nèi)通常需要借助VPN作為代理訪問暗網(wǎng)。

VPN 取證主要涉及到服務(wù)端取證和客戶端取證兩部分。

4.1.1 服務(wù)端取證

（1）信息搜集

VPN 服務(wù)器大多在外地或者境外，因此一般都會采用遠程取證的形式。在遠程取證前要先向相關(guān)人員取得VPN 服務(wù)器的管理員口令，并且保證證據(jù)有效的前提下登錄服務(wù)器、查看在線用戶并立即修改管理員口令，防止其他人員惡意破壞證據(jù)。緊接著就需要提取系統(tǒng)時間、內(nèi)存、網(wǎng)絡(luò)狀態(tài)、系統(tǒng)進程、端口、開機啟動項、通信數(shù)據(jù)等容易丟失的數(shù)據(jù)制作成鏡像文件進行內(nèi)存取證。

（2）關(guān)鍵數(shù)據(jù)提取

提取易失數(shù)據(jù)后，還需要提取VPS 服務(wù)器中部署的VPN 相關(guān)數(shù)據(jù)。VPN 程序部署成功后會產(chǎn)生配置文件、日志文件等。從這些文件中可以提取到保護VPN 的地址、證書配置信息、共享密鑰認證信息、客戶端連接后的IP 地址段、認證用戶名、密碼以及當(dāng)前連接服務(wù)器使用VPN 的用戶等。

4.1.2 客戶端取證

VPN 客戶端的重要信息都保存在配置文件中，以常見的shadowsocks 為例，shadowsocks 配置信息保存在gui-config.json 文件中，可以直接解析到VPN 類型、服務(wù)器地址、上行數(shù)據(jù)、用戶名以及密碼等重要信息。

取證結(jié)果如圖2 所示。

圖2 VPN 取證結(jié)果展示

4.2 內(nèi)存取證

內(nèi)存取證作為計算機取證科學(xué)的重要組成部分,是指從計算機物理內(nèi)存和頁面交換文件中查找、提取、分析易失性證據(jù),是對傳統(tǒng)的基于文件系統(tǒng)取證的重要補充,是對抗網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)犯罪的有力武器。當(dāng)系統(tǒng)處于活動狀態(tài)時,物理內(nèi)存中保存著關(guān)于系統(tǒng)運行時狀態(tài)的重要信息,比如解密密鑰、口令、打開文件、進程信息、網(wǎng)絡(luò)連接、系統(tǒng)狀態(tài)信息等。

針對暗網(wǎng)的內(nèi)存取證主要包括兩個方面：內(nèi)存鏡像提取和內(nèi)存關(guān)鍵數(shù)據(jù)檢索。

4.2.1 內(nèi)存鏡像提取

FTK Imager 是一款專門用于創(chuàng)建電子證據(jù)文件、計算哈希值等功能的簡易工具，再加上其支持各種操作系統(tǒng)和文件系統(tǒng)，并采取全文檢索式的信息搜索技術(shù)，讓取證人員可以快速地找到所需的電子證據(jù)。下面簡要介紹提取內(nèi)存鏡像的過程：

（1）啟動FTK Imager 應(yīng)用程序；

（2）點擊文件選擇捕捉內(nèi)存，彈出內(nèi)存捕獲窗口，支持自定義保存路徑和文件名；

（3）點擊捕獲內(nèi)存即可獲取文件名為memdump.mem 的當(dāng)前系統(tǒng)內(nèi)存文件。

具體操作方法如圖3 所示。

圖3 FTK 取證內(nèi)存鏡像操作

4.2.2 內(nèi)存關(guān)鍵數(shù)據(jù)檢索

檢索memdump.mem 內(nèi)存文件中的關(guān)鍵數(shù)據(jù)，可以選擇HxD 或者Winhex 等十六進制查看工具，然后使用暗網(wǎng)域名關(guān)鍵字“onion”進行搜索，就能查找到瀏覽暗網(wǎng)的相關(guān)痕跡信息。檢索結(jié)果如圖4 所示。

圖4 關(guān)鍵字檢索

4.2.3 內(nèi)存轉(zhuǎn)儲文件分析

程序在計算機上運行之前，首先需要被加載到內(nèi)存中，內(nèi)存取證就變得非常重要，這意味著所有被創(chuàng)建、檢查或刪除的程序或數(shù)據(jù)都將被保存到內(nèi)存中。這其中包括圖像、所有網(wǎng)頁瀏覽活動、加密密鑰、網(wǎng)絡(luò)連接或進程的代碼片段。在許多情況下，這些證據(jù)只能在內(nèi)存中找到。

檢索內(nèi)存轉(zhuǎn)儲數(shù)據(jù)，可以使用Volatility 進行內(nèi)存取證，它提供了許多內(nèi)存信息提取的命令。例如，可以使用volatility -f *.vmem plist 查找跟VPN、TOR 瀏覽器、比特幣錢包等可疑進程。如果當(dāng)前進程中沒有找到，可以使用volatility -f*.vmem connscan 命令查找之前終止的和當(dāng)前活動的連接，該命令可以列出主機正在進行的通信，同時可以使用volatility -f *.vmem sockscan確認這些通信的入站連接是否安全。

4.3 TOR 瀏覽器取證

TOR 瀏覽器的功能非常強大，它可以幫助用戶突破幾乎所有的網(wǎng)絡(luò)限制，所以經(jīng)常被犯罪分子用來瀏覽非法信息、進行非法交易。

TOR 瀏覽器取證主要涉及以下兩個方面：本地數(shù)據(jù)取證和線上監(jiān)控平臺取證。本地內(nèi)存信息可以用來提取內(nèi)存中注冊表信息和瀏覽器信息。本地注冊表信息中可以提取到應(yīng)用的安裝時間和執(zhí)行時間。本地緩存中可以提取到歷史記錄、下載記錄、收藏夾和表單信息，這些信息可以用來做事件還原。線上監(jiān)控平臺則可以監(jiān)控到暗網(wǎng)上違法交易信息發(fā)布等，可以第一時間通知受影響的企業(yè)或個人，并結(jié)合本地數(shù)據(jù)取證確定犯罪嫌疑人等。

4.3.1 歷史記錄

歷史記錄是用戶瀏覽時的痕跡，通過分析歷史記錄，可以間接了解用戶在上網(wǎng)時的瀏覽行為，歷史記錄保存在places.sqlite 文件中，使用數(shù)據(jù)庫工具打開places.sqlite 文件。瀏覽網(wǎng)頁時地址欄url 鏈接保存在moz_places 表中，具體信息如圖5 所示。

圖5 TOR 歷史記錄

4.3.2 下載記錄

TOR 瀏覽器下載記錄里會保存用戶下載文件的源網(wǎng)站地址、文件保存路徑、文件大小等信息，主要保存在places.sqlite 文件中的moz_annos 表中，具體信息如圖6 所示。

圖6 TOR 下載記錄

4.3.3 收藏夾

收藏夾通常是用戶感興趣或經(jīng)常訪問的地址集合，獲取和分析收藏夾信息是很有價值的信息。這部分重要的信息主要有信息類型、頁面標(biāo)題、鏈接等。收藏夾數(shù)據(jù)保存在places.sqlite 文件，使用數(shù)據(jù)庫工具打開文件，表moz_bookmarks 和moz_places 保存有關(guān)收藏夾的信息，具體信息如圖7 所示。

圖7 TOR 收藏夾

4.3.4 表單信息

表單信息通常是用戶在瀏覽網(wǎng)頁時輸入的信息。分析表單信息可以獲取到有價值的數(shù)據(jù)，例如賬號、郵箱、手機號等。該部分數(shù)據(jù)保存在formhistory.sqlite 文件中，使用數(shù)據(jù)庫工具打開后，查看moz_formhistory 表，重要的字段包括表單名稱、表單值等信息，如圖8 所示。

圖8 TOR 表單信息

取證結(jié)果如圖9 所示。

圖9 TOR 取證結(jié)果

4.3.5 線上監(jiān)控平臺取證

針對暗網(wǎng)的線上監(jiān)控平臺，在github 上已經(jīng)有比較多的開源工具。比較好用的一款監(jiān)控工具是DarkNetChinese, 線上監(jiān)控暗網(wǎng)主要采用爬蟲技術(shù)，實時監(jiān)控違法的交易信息。暗網(wǎng)的監(jiān)控原理是使用TOR 軟件開放一個暗網(wǎng)代理，使用該代理即可像訪問明文網(wǎng)站一樣編寫網(wǎng)頁爬蟲，具體效果如圖10 所示。

圖10 DarkNetChinese 暗網(wǎng)監(jiān)控工具

4.4 數(shù)字貨幣取證

數(shù)字貨幣具有數(shù)據(jù)公開透明、身份隱私保密、記錄不可篡改、交易無法抵賴、去中心化網(wǎng)絡(luò)和分布式共識等特性。

比特幣作為區(qū)塊鏈加密貨幣的先行者，深受游走在法律邊緣的人士歡迎，并且區(qū)塊鏈具有較好的匿名性，常常被用于掩蓋犯罪行為，非法獲利。數(shù)字貨幣取證主要以比特幣（BTC）核心錢包為例，比特幣核心錢包是比特幣以及其它加密貨幣參考的開源客戶端，是一款可以查詢余額和交易比特幣的軟件。

主要證據(jù)包括日志信息、錢包信息、本地同步區(qū)塊記錄等。

4.4.1 日志信息

比特幣核心錢包安裝路徑下可以直接找到該文件（Debug.log），從文件中可以獲取到每次加載個人錢包的時間，錢包中的地址數(shù)據(jù)條數(shù)等，具體數(shù)據(jù)如圖11 所示。

圖11 BTC 核心錢包日志信息

4.4.2 錢包信息

新建錢包后會在比特幣核心錢包的目錄下創(chuàng)建一個跟錢包名同名的文件夾，在文件夾里會保存一個存儲錢包交易數(shù)據(jù)的文件wallet.dat。重要信息如圖12 所示：

tx：交易數(shù)據(jù)；

destdata：比特幣地址數(shù)據(jù)（直接明文存儲）；

purpose：比特幣地址數(shù)據(jù)（包括創(chuàng)建后刪除的比特幣地址，直接明文存儲）。

圖12 BTC 核心錢包信息

4.4.3 本地同步區(qū)塊記錄

比特幣錢包客戶端在首次登錄時需要同步最近一段時間的區(qū)塊記錄，可以解析到本地同步區(qū)塊中所有交易記錄，能夠在離線的環(huán)境下為取證提供有力的支撐。

比特幣交易過程，產(chǎn)生的交易數(shù)據(jù)文件保存在：../bitcoin/blocks(相對路徑)，重要信息如圖13 所示：

圖13 BTC 核心錢包交易信息

Bitcoin 區(qū)塊記錄的目錄結(jié)構(gòu)如表1 所示。

表1 Bitcoin 區(qū)塊記錄

BTC 取證結(jié)果如圖14 所示。

圖14 BTC 取證展示

4.5 網(wǎng)絡(luò)流量取證

暗網(wǎng)流量在傳輸過程中會進行數(shù)據(jù)加密、混淆等操作，造成識別難度增大。針對典型暗網(wǎng)系統(tǒng)，分別從協(xié)議設(shè)計和實現(xiàn)機制分析，研究匿名通信系統(tǒng)中通信數(shù)據(jù)流的緩存、封裝和調(diào)度機制，并對數(shù)據(jù)包的分布、流量、統(tǒng)計、屬性等不同層面特性進行綜合分析，篩選出匿名通信流量的可區(qū)分特性。在此基礎(chǔ)上，可以采用合適的機器識別算法，實現(xiàn)對匿名通信流量的快速、精準(zhǔn)在線識別。

暗網(wǎng)網(wǎng)絡(luò)流量取證，是從大量的歷史留存的暗網(wǎng)流量中分割和提取網(wǎng)絡(luò)流量行為，依據(jù)流量行為對數(shù)據(jù)流進行特定的分類，可以分為暗網(wǎng)服務(wù)端流量和暗網(wǎng)客戶端流量。

4.5.1 暗網(wǎng)服務(wù)端流量取證

暗網(wǎng)服務(wù)端流量分析，主要分析典型匿名通信系統(tǒng)TOR 節(jié)點的選擇算法，使用節(jié)點注入方式枚舉在線橋節(jié)點，并根據(jù)協(xié)議特征來區(qū)分客戶端、正常匿名入口節(jié)點和橋節(jié)點。通過數(shù)據(jù)分析推算枚舉所有節(jié)點的時間，并根據(jù)數(shù)據(jù)分析結(jié)果部署，以達到最優(yōu)的資源配置和最快的橋節(jié)點捕獲速率。此外，在獲取部分橋節(jié)點的基礎(chǔ)上，通過對受控網(wǎng)絡(luò)的監(jiān)控，分析出入流量中存在的橋節(jié)點網(wǎng)絡(luò)連接特征，從而關(guān)聯(lián)更多的橋節(jié)點。

針對服務(wù)端流量取證，更多地是分析出目標(biāo)網(wǎng)絡(luò)流量的關(guān)鍵特征，過濾出需要的網(wǎng)絡(luò)流量，采用可視化或者其他技術(shù)手段更方便快速地完成取證。

4.5.2 暗網(wǎng)客戶端流量取證

暗網(wǎng)客戶端的流量分析，主要通過研究暗網(wǎng)采用的安全傳輸和匿名協(xié)議，深入分析上層應(yīng)用的暗網(wǎng)通信包長、時間間隔以及并發(fā)匿名鏈路數(shù)量等提取流量特征。同時，重點針對HTTP等典型暗網(wǎng)通信流量，通過被動和主動方式采集并預(yù)處理流量數(shù)據(jù)，提取特征生成指紋，建立所關(guān)注目標(biāo)站點的指紋庫，使用高效分類模型將未知暗網(wǎng)流量與指紋庫中的數(shù)據(jù)進行匹配，分析出可能的暗網(wǎng)通信目的端。

4.6 鏡像網(wǎng)站取證

暗網(wǎng)登錄需要額外工具,并且網(wǎng)站域名比較復(fù)雜,導(dǎo)致暗網(wǎng)訪問者相對表層網(wǎng)要少得多。由于暗網(wǎng)中復(fù)雜安全機制的設(shè)計,暗網(wǎng)訪問速度明顯要比表層網(wǎng)慢,一定程度上削弱了用戶訪問暗網(wǎng)的興趣。因此,暗網(wǎng)并不適合作為大量犯罪團伙之間消息傳播的主力軍,而更像是“后備軍和應(yīng)急部隊”。犯罪團伙將需要的資源備份到鏡像網(wǎng)站上,通過匿名論壇、聊天室或者郵箱發(fā)布鏡像網(wǎng)站鏈接地址。

鏡像網(wǎng)站取證，主要就是鏡像網(wǎng)站的仿真。

4.6.1 鏡像網(wǎng)站仿真取證

（1）仿真服務(wù)器鏡像

仿真服務(wù)器鏡像包括系統(tǒng)重建、仿真網(wǎng)絡(luò)驗證、虛擬網(wǎng)卡設(shè)置等。

（2）分析服務(wù)器

分析服務(wù)器要查看網(wǎng)站信息、網(wǎng)站框架實現(xiàn)方法、對應(yīng)站點啟動方法、站點部署方法等來實現(xiàn)正常啟動站點訪問網(wǎng)站。

（3）還原網(wǎng)站及數(shù)據(jù)庫

還原網(wǎng)站需要找到站點配置數(shù)據(jù)，包括網(wǎng)站路徑、網(wǎng)站結(jié)構(gòu)和網(wǎng)站配置文件等。還原數(shù)據(jù)庫需要找到數(shù)據(jù)庫配置、賬號密碼等信息。

（4）導(dǎo)出后臺管理中的涉案數(shù)據(jù)

網(wǎng)站還原后，可以根據(jù)需要將離線網(wǎng)頁數(shù)據(jù)進行證據(jù)固定，以備后續(xù)使用。

5 結(jié) 語

由于暗網(wǎng)的匿名性及不可追溯性特點，互聯(lián)網(wǎng)黑灰產(chǎn)等違法犯罪活動對匿名訪問網(wǎng)絡(luò)的需求增大，暗網(wǎng)已經(jīng)成為此類人群上網(wǎng)的首選。當(dāng)前從技術(shù)來說對暗網(wǎng)的屏蔽和封殺存在很多困難，但對于使用暗網(wǎng)進行違法犯罪行為的證據(jù)鏈相對固定，我們可以從各個角度進行研究進而有效追蹤犯罪嫌疑人的身份。

互聯(lián)網(wǎng)不是法外之地，暗網(wǎng)也是如此。通過簡要闡述暗網(wǎng)的概念和特點，以及現(xiàn)有暗網(wǎng)犯罪證據(jù)鏈的分析，提出了暗網(wǎng)取證的方法和思路，并從VPN 取證、內(nèi)存取證、TOR 瀏覽器取證、數(shù)字貨幣取證、網(wǎng)絡(luò)流量取證、鏡像網(wǎng)站取證等幾個方面進行取證實踐驗證，可以快速還原案發(fā)現(xiàn)場、追溯犯罪嫌疑人的有效身份。暗網(wǎng)取證技術(shù)的不斷完善，對執(zhí)法機關(guān)打擊暗網(wǎng)犯罪具有重要的現(xiàn)實意義。