• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    暗網(wǎng)犯罪案件取證警務實戰(zhàn)應用研究*

    2022-02-28 06:54:00鄭榮哲滕興華匡敬洪
    警察技術(shù) 2022年1期
    關(guān)鍵詞:暗網(wǎng)比特嫌疑人

    鄭榮哲 滕興華 匡敬洪

    1. 重慶警察學院 2. 重慶市公安局九龍坡區(qū)分局

    引言

    暗網(wǎng)是須通過TOR、I2P、Freenet等特殊軟件進行訪問的網(wǎng)絡,能夠隱匿網(wǎng)絡使用主體身份及服務器真實IP位置。隨著暗網(wǎng)2.0時代來臨,暗網(wǎng)所帶來的網(wǎng)絡安全危機、犯罪問題和社會風險已經(jīng)給國家?guī)砹艘幌盗械奶魬?zhàn)。由于暗網(wǎng)對目的地地址和通信雙方身份進行了隱藏,對消息通訊進行了加密,因此暗網(wǎng)犯罪與傳統(tǒng)互聯(lián)網(wǎng)犯罪在證據(jù)構(gòu)成和證據(jù)載體上有很大不同,比傳統(tǒng)互聯(lián)網(wǎng)犯罪電子取證更為復雜,也更為隱密,獲取和固定暗網(wǎng)犯罪證據(jù)難度大,打擊暗網(wǎng)犯罪實戰(zhàn)需求與暗網(wǎng)取證能力滯后之間的矛盾凸顯,提升暗網(wǎng)取證能力應對暗網(wǎng)犯罪新形勢刻不容緩。

    一、暗網(wǎng)犯罪取證困境

    暗網(wǎng)犯罪作為網(wǎng)絡犯罪的一種,在取證方面與網(wǎng)絡犯罪有一定的相關(guān)性。然而因暗網(wǎng)犯罪具有安全性、身份驗證、匿名性、虛擬貨幣和隱藏交換等五個方面的獨特屬性,又決定了暗網(wǎng)在取證載體、證據(jù)元素、證據(jù)存儲形式等方面與互聯(lián)網(wǎng)犯罪電子取證存在較大差異。暗網(wǎng)取證對象的獨特性及如何建立暗網(wǎng)電子證據(jù)邏輯關(guān)聯(lián),給暗網(wǎng)犯罪取證帶來了困境。

    (一)取證對象的獨特性

    TOR、I2P是登錄暗網(wǎng)使用最多的暗網(wǎng)瀏覽器,二者是復雜的匿名軟件,是暗網(wǎng)犯罪取證主要取證對象。TOR瀏覽器是洋蔥瀏覽器(The Onion Router)的簡稱,功能非常強大,采用洋蔥路由實現(xiàn)多層匿名跳轉(zhuǎn),所以經(jīng)常被犯罪分子用來瀏覽非法信息、進行非法交易,需要通過嫌疑人電腦中的電子證據(jù)還原嫌疑人在暗網(wǎng)的訪問軌跡,間接了解用戶網(wǎng)絡行為和日志信息等證據(jù)。I2P是基于對等網(wǎng)絡的一種網(wǎng)絡,通過多重協(xié)議和加密標準構(gòu)建專門通信通道,相比TOR瀏覽器,具有更強的隱匿性和專業(yè)性,為有強大匿名需求的計算機專業(yè)人士和黑客所青睞。無論是TOR瀏覽器還是I2P,均通過偽裝造成客戶端可以通過互聯(lián)網(wǎng)正常訪問的假象,以多次中繼節(jié)點代理的形式保護IP報文信息,隱匿暗網(wǎng)交易信息、暗網(wǎng)通信參與者信息及通信模式,從而達到規(guī)避互聯(lián)網(wǎng)流量監(jiān)控的目的,因此暗網(wǎng)載體即取證對象的獨特性給暗網(wǎng)電子取證帶來了困境。

    (二)暗網(wǎng)電子證據(jù)難以建立邏輯關(guān)聯(lián)

    因暗網(wǎng)站點缺少固定的格式規(guī)則以及加密數(shù)據(jù)傳輸過程中存儲介質(zhì)不穩(wěn)定,在偵查取證過程中一旦被暗網(wǎng)后臺發(fā)現(xiàn)并將原始記錄刪除后,很容易造成關(guān)鍵電子證據(jù)的毀損和缺失。關(guān)鍵電子證據(jù)是暗網(wǎng)證據(jù)證明力的重要保證,毀損和缺失引發(fā)的證據(jù)證明力減弱,會嚴重破壞證據(jù)鏈的邏輯關(guān)聯(lián)。同時,去中心化、身份隱私保密的虛擬貨幣的匿名性,也給追蹤真實的擁有者和交易者帶來挑戰(zhàn),現(xiàn)有取證規(guī)則和取證技術(shù)難以破解虛擬貨幣的加密算法,提取到的日志信息、錢包信息、地址記錄、配置文件等無法準確判斷交易參與人員的真實身份,獲取的虛擬貨幣證據(jù)也就難以證明與暗網(wǎng)交易的關(guān)聯(lián),導致無法形成完整的犯罪證據(jù)鏈。

    二、暗網(wǎng)取證思路設計及步驟設計

    (一)暗網(wǎng)取證思路設計

    根據(jù)暗網(wǎng)犯罪行為方式和主要證據(jù)構(gòu)成,暗網(wǎng)取證思路設計主要圍繞暗網(wǎng)現(xiàn)場勘驗取證、遠程取證、實驗室取證三種途徑實現(xiàn),在警務實戰(zhàn)應用中,三種取證途徑并不是獨立開展采證,而是通過綜合運用、相互印證形成證據(jù)鏈條共同體。

    1. 暗網(wǎng)犯罪現(xiàn)場電子勘驗取證

    (1)嫌疑人作案信息提取

    暗網(wǎng)案件是網(wǎng)絡案件衍生而來,取證規(guī)則與方式依然可以使用傳統(tǒng)互聯(lián)網(wǎng)案件取證方式,特別是現(xiàn)場取證過程中,第一時間按照現(xiàn)場取證規(guī)則提取,對現(xiàn)場環(huán)境、設備、網(wǎng)絡情況進行固證,對正在運行的頁面與程序可以采用傳統(tǒng)的截圖方式初步固定,初步檢查嫌疑人使用的計算機,收集嫌疑人相關(guān)賬號密碼、聊天記錄、訪問記錄等基本證據(jù)信息,并對內(nèi)存及硬盤進行鏡像保存。

    (2)內(nèi)存數(shù)據(jù)提取

    內(nèi)存是重要的數(shù)據(jù)設備,是與外部存儲設備進行數(shù)據(jù)交換的中轉(zhuǎn)器。針對內(nèi)存取證,可以先使用WinHex、FTK等工具對內(nèi)存保存為鏡像文件,然后可以選擇HxD、Winhex、取證大師等工具,將內(nèi)存中存儲的文件數(shù)據(jù)、密碼數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、網(wǎng)絡數(shù)據(jù)等關(guān)鍵證據(jù)進行固定提取。在暗網(wǎng)案件實務中,還可使用Volatility命令進行內(nèi)存取證,如使用volatility -f *.vmem plist查找與VPN、TOR瀏覽器、虛擬貨幣等相關(guān)的可疑進程,或使用volatility -f *.vmem connscan命令查找之前終止的和當前活動的連接,該命令可以列出主機正在進行的通信,同時可以使用volatility -f*.vmem sockscan確認這些通信的入站連接是否安全。

    (3)代理與VPN取證

    訪問暗網(wǎng)首先需要設置代理,并使用VPN軟件,代理取證可以在瀏覽器代理設置菜單里查看到設置的代理信息,包括服務器IP地址與端口號。對于VPN取證,一般都安裝有VPN 客戶端,可以使用常規(guī)計算機勘驗取證,固定VPN客戶端上的使用記錄、服務器地址及用戶名密碼等信息,通常VPN客戶端的重要信息都保存在配置文件中,以常見的VPN軟件“shadowsocks”為例,“shadowsocks”的配置信息一般存儲于gui-config.jso中,可以通過實驗室技術(shù),對gui-config.json進行解析,得到VPN的服務器、上行下行數(shù)據(jù)、用戶名以及密碼等重要信息。

    2. 遠程取證

    在現(xiàn)場發(fā)現(xiàn)具有暗網(wǎng)后臺、嫌疑人搭建的服務器網(wǎng)站、數(shù)據(jù)庫、或其他云數(shù)據(jù)信息需要提取的情況,應當在現(xiàn)場盡量提取,如果現(xiàn)場時間、環(huán)境及人力不足情況下,或數(shù)據(jù)量太大,現(xiàn)場無法提取的情況,可先固定相關(guān)的網(wǎng)址、賬號等信息,可同步安排專人在實驗室進行遠程在線取證,確保數(shù)據(jù)提取完整。在警務實戰(zhàn)中通過采用暗網(wǎng)爬蟲進行遠程取證。通常在明確嫌疑人暗網(wǎng)網(wǎng)址后,在無法得到服務器搭建源碼及賬號密碼的情況下,需要使用暗網(wǎng)爬蟲開展取證?;ヂ?lián)網(wǎng)訪問網(wǎng)站使用傳統(tǒng)搜索引擎即可發(fā)現(xiàn)數(shù)據(jù)頁面,但暗網(wǎng)將網(wǎng)站內(nèi)容通過數(shù)據(jù)庫的方式存在,很難通過傳統(tǒng)搜索引擎得到,這就需要通過爬蟲進行數(shù)據(jù)索引,即使用python語言的selenium框架對暗網(wǎng)數(shù)據(jù)進行抓取,還原用戶暗網(wǎng)使用過程,具體抓取過程見圖1。

    爬蟲實現(xiàn)主要代碼如下:

    3. 實驗室分析取證

    實驗室分析取證環(huán)節(jié),是針對暗網(wǎng)案件現(xiàn)場取證時,因時間、環(huán)境、設備、技術(shù)等因素暫時無法在現(xiàn)場提取固證的情況下,防止證據(jù)漏取,進一步確保證據(jù)鏈完整。根據(jù)案件需要,對扣押的電子設備或現(xiàn)場取證固定的內(nèi)存、硬盤鏡像文件、網(wǎng)站、系統(tǒng)日志、數(shù)據(jù)庫文件等進行進一步分析、提取、恢復、還原等一系列取證固證工作,在實驗室分析取證,有充足的時間、先進的設備與合適的環(huán)境,還可整合人員技術(shù)甚至聘請技術(shù)專家支持方式開展取證工作,可以最大限度保證證據(jù)完整提取,針對暗網(wǎng)案件的取證,在實驗室取證環(huán)節(jié)中,可以進行以下幾類取證工作:

    (1)數(shù)字貨幣取證

    由于虛擬貨幣能有效規(guī)避金融體系監(jiān)管隱匿蹤跡,從而保證了犯罪交易的安全性。比特幣是暗網(wǎng)交易中最常見的支付貨幣和主流貨幣,比特幣不是一種由金融集中管理的虛擬貨幣,而是通過比特幣系統(tǒng)集體批準的一種貨幣。除比特幣外,萊特幣、門羅幣等虛擬貨幣在暗網(wǎng)交易市場也開始廣泛應用。

    以比特幣(BTC)取證為例,這種虛擬貨幣取證過程中主要收集的證據(jù)包括日志信息、錢包信息、本地同步區(qū)塊記錄等,通常在取證過程中,發(fā)現(xiàn)安裝有比特幣核心錢包客戶端的計算機與其他終端設備,可以從以下幾方面進行提取相關(guān)證據(jù):第一,比特幣日志信息。通過比特幣錢包的安裝路徑,搜索“Debug.log”日志信息,在日志信息里提取到用戶錢包的訪問記錄、地址信息等。第二,比特幣錢包內(nèi)容。用戶第一次使用錢包后,均會得到一個錢包名用于存儲錢包的交易數(shù)據(jù),這個文件名為“wallet.dat”,虛擬貨幣的地址、交易密碼等相關(guān)信息就會保存在這個文件中,包括名為“tx”的文件,用于存儲交易數(shù)據(jù)、名為“purpose”“destdata”的文件,用于存儲比特幣地址數(shù)據(jù),比特幣的所有交易均會保存到相對路徑下:“../bitcoin/blocks”文件夾中。

    (2)部署流量探針與元搜索取證

    流量探針是部署在互聯(lián)網(wǎng)交換點、自治域軟硬件設備、或?qū)?nèi)部節(jié)點植入暗網(wǎng),當有流量經(jīng)過內(nèi)部節(jié)點時,會自動抓取經(jīng)過的流量,從中分析到需要的數(shù)據(jù),流量控針的代表方法是女巫探針;元搜索,選取特殊關(guān)鍵詞作為查詢?nèi)肟?,利用商業(yè)搜索引擎進行搜索,提取搜索結(jié)果頁面中的隱藏服務地址,進行迭代搜索。

    (3)鏡像網(wǎng)站仿真取證

    在取證過程中,對現(xiàn)場勘驗發(fā)現(xiàn)提取的暗網(wǎng)服務網(wǎng)站文件,或通過爬蟲技術(shù)爬取了整個網(wǎng)站內(nèi)容后,結(jié)合后期完善案件證據(jù)鏈條需求,對網(wǎng)站進行還原仿真,重現(xiàn)暗網(wǎng)中搭建的服務網(wǎng)站內(nèi)容,更好地展現(xiàn)犯罪行為。結(jié)合常規(guī)服務器取證相關(guān)規(guī)范與技術(shù),還原暗網(wǎng)網(wǎng)站結(jié)構(gòu),組建證據(jù)數(shù)據(jù)模型(包括數(shù)據(jù)庫、網(wǎng)站記錄、賬號密碼等),找出后臺鏈接,登錄后臺管理頁面,將涉案數(shù)據(jù)從網(wǎng)站導出進行證據(jù)固定,寫入取證報告。

    (二)暗網(wǎng)取證步驟設計

    在對暗網(wǎng)案件進行取證時,可以借助普通互聯(lián)網(wǎng)犯罪案件的取證方法與思路,結(jié)合暗網(wǎng)案件的具體特點,根據(jù)案件性質(zhì)制定取證方案,針對不同案情采取不同的取證方式,全方位占有暗網(wǎng)犯罪證據(jù),做到應取盡取。

    1. 熟悉基本案情

    在取證前,要先熟悉案件的基本情況、案件類型,通過案件前期研判結(jié)果,摸清嫌疑人背景、案件關(guān)鍵證據(jù),明確取證任務具體需求、目的與任務;還要對嫌疑人數(shù)量、作案環(huán)境、可能使用的網(wǎng)絡設備、網(wǎng)絡結(jié)構(gòu)、網(wǎng)絡線路、系統(tǒng)數(shù)據(jù)做到心中有數(shù),同時,理清涉案人員上下層關(guān)系、嫌疑對象在案件中所處的角色等。

    2. 確定取證方案

    在充分熟悉案件基本信息的基礎上,根據(jù)偵查需要,對取證的工作量進行預判,因案制宜制定和評估取證方案和取證計劃。

    3. 現(xiàn)場收集證據(jù)

    根據(jù)取證方案,在現(xiàn)場第一時間提取關(guān)鍵、易失證據(jù),特別是正在作案的計算機要第一時間進行固定收集,包括嫌疑人正在打開的暗網(wǎng)頁面,運行的程序等關(guān)鍵證據(jù),及時使用成品工具與設備,快速完整提取收集證據(jù),做好提取內(nèi)存鏡像,爭取取證時間,必要時可以做全盤鏡像。

    4. 數(shù)據(jù)深入分析

    在前期現(xiàn)場收集證據(jù)后,還要進一步對證據(jù)進行深入分析與深入提取,防止證據(jù)漏取,影響案件辦理,一是在現(xiàn)場發(fā)現(xiàn)的云數(shù)據(jù)、網(wǎng)站后臺、數(shù)據(jù)庫及相關(guān)網(wǎng)站、網(wǎng)址,在現(xiàn)場無條件提取的,需要同時或后期進一步固證,及時在后臺實驗室安排專人,進行遠程在線提取,二是對現(xiàn)場扣押的電子設備及電子證據(jù)需要更進一步進行數(shù)據(jù)關(guān)聯(lián)、分析、恢復等,梳理證據(jù)鏈條,防止現(xiàn)場勘驗時丟失證據(jù)。

    5. 出具報告或者筆錄

    對現(xiàn)場證據(jù)收集、后臺遠程在線提取及電子數(shù)據(jù)進一步恢復、關(guān)聯(lián)、分析證據(jù)后,把取證過程和結(jié)果形成勘驗筆錄、電子證據(jù)檢查筆錄或者檢驗報告的方式呈現(xiàn),確保取證過程科學、嚴謹和完整,為案件偵辦提供有力的文書證據(jù)支撐。

    三、暗網(wǎng)犯罪案件取證警務實戰(zhàn)案例應用

    2019年2月至2019年9月期間,工作發(fā)現(xiàn)某犯罪嫌疑人使用黑客技術(shù)在互聯(lián)網(wǎng)上非法獲取多個網(wǎng)站的公民個人信息,并將所獲取的公民個人信息在暗網(wǎng)上販賣獲利。在取證固證過程中,按照暗網(wǎng)取證思路設計及步驟設計,擬定案件取證思路和方案,對該案進行現(xiàn)場取證、遠程爬取、實驗室后臺提取。

    (一)現(xiàn)場取證:獲取第一手作案電子證據(jù)

    進入現(xiàn)場第一時間控制嫌疑人,對非法獲取、販賣公民個人信息的嫌疑人的電腦進行現(xiàn)場勘驗,檢查正在運行的程序、打開的文檔、正在訪問的網(wǎng)頁、Telegram即時聊天軟件、信息采集器、漏洞掃描工具、VPN軟件、TOR瀏覽器頁面。檢查發(fā)現(xiàn),嫌疑人通過挖掘正規(guī)網(wǎng)站漏洞后,采用相關(guān)黑客技術(shù)或采集工具采集公民信息,對正在運行的漏洞掃描軟件、信息采集器和暗網(wǎng)交易信息等關(guān)鍵證據(jù)進行提取,見圖2~圖4。

    通過搜索涉案相關(guān)的文件,特別是桌面、我的文檔等特殊位置的文件,對文本文件、Office文檔、電子表格、圖片及郵件等敏感文件進行檢索,發(fā)現(xiàn)在嫌疑人電腦“我的文檔”文件夾下,有大量電子表格格式的成品公民信息,并在Telegram聊天軟件中發(fā)現(xiàn)售賣交易談判情況。對聊天記錄進行固定提取,為下一步明確嫌疑人上下線關(guān)系、確定網(wǎng)上犯罪行為、深挖犯罪行為及犯罪同伙打下基礎,見圖5。

    (二)遠程爬取:固定暗網(wǎng)網(wǎng)站易丟失證據(jù)

    明確嫌疑人在暗網(wǎng)論壇中銷售販賣公民個人信息行為后,經(jīng)突擊審訊,獲取到嫌疑人論壇帳號,安排實驗人員采用爬蟲程序?qū)υ撜搲瘞ぬ栭_展遠程取證,針對暗網(wǎng)站點制定爬取收集規(guī)則,爬取該帳號發(fā)布的所有銷售記錄,獲取虛擬貨幣證據(jù),進行屏幕錄像,固定證據(jù)。

    (三)實驗室提取:完善犯罪證據(jù)鏈

    在現(xiàn)場取證過程中發(fā)現(xiàn)該嫌疑人獲取的公民信息不僅保存于計算機存儲介質(zhì)中,還自行開發(fā)了一款類似爬蟲的自動采集保存軟件,對有漏洞的網(wǎng)站進行信息爬取,自動保存至云數(shù)據(jù)庫中,共包含十余個云數(shù)據(jù)服務器。在對爬蟲軟件及數(shù)據(jù)庫服務器帳號等基本信息固證后,由實驗室后臺專人取證,采用Navicat等數(shù)據(jù)庫軟件連接數(shù)據(jù)庫,導出公民信息記錄,進行提取固證,見圖6。

    四、結(jié)語

    重建暗網(wǎng)取證模式對暗網(wǎng)犯罪定性起著決定性的作用,必須通過制定合理的取證思路與方法,結(jié)合常規(guī)取證方法,從內(nèi)存取證、暗網(wǎng)訪問、VPN記錄、暗網(wǎng)瀏覽器、流量及虛擬錢包軟件等方面著手,研究并設計暗網(wǎng)犯罪案件取證規(guī)程、完善暗網(wǎng)犯罪證據(jù)鏈條,為成功揭開暗網(wǎng)犯罪面紗、有力打擊暗網(wǎng)犯罪案件提供證據(jù)支撐。

    猜你喜歡
    暗網(wǎng)比特嫌疑人
    暗網(wǎng)犯罪的現(xiàn)狀及趨勢研究
    法制博覽(2021年1期)2021-11-25 19:18:02
    嗅出“暗網(wǎng)”中隱匿的犯罪信息
    檢察風云(2020年20期)2020-12-03 13:49:22
    暗網(wǎng)
    方圓(2020年16期)2020-09-22 07:03:44
    被“暗網(wǎng)”盯上的年輕人
    比特幣還能投資嗎
    海峽姐妹(2017年10期)2017-12-19 12:26:20
    光從哪里來
    比特幣分裂
    定位嫌疑人
    比特幣一年漲135%重回5530元
    銀行家(2017年1期)2017-02-15 20:27:20
    20年了,我還是嫌疑人嗎?
    公民與法治(2016年2期)2016-05-17 04:08:28
    清水河县| 进贤县| 龙泉市| 永寿县| 泽州县| 寿宁县| 当阳市| 德格县| 米脂县| 保亭| 康马县| 泽普县| 张北县| 忻州市| 都安| 元谋县| 曲水县| 阆中市| 株洲县| 建瓯市| 襄汾县| 务川| 开江县| 从江县| 丹江口市| 文成县| 宣武区| 屯留县| 永仁县| 乐清市| 和田市| 桐柏县| 图们市| 丽江市| 丰顺县| 林西县| 都江堰市| 商河县| 英吉沙县| 揭阳市| 德清县|