暗網(wǎng)犯罪案件取證警務實戰(zhàn)應用研究＊

鄭榮哲 滕興華 匡敬洪

1. 重慶警察學院 2. 重慶市公安局九龍坡區(qū)分局

引言

暗網(wǎng)是須通過TOR、I2P、Freenet等特殊軟件進行訪問的網(wǎng)絡，能夠隱匿網(wǎng)絡使用主體身份及服務器真實IP位置。隨著暗網(wǎng)2.0時代來臨，暗網(wǎng)所帶來的網(wǎng)絡安全危機、犯罪問題和社會風險已經(jīng)給國家?guī)砹艘幌盗械奶魬?zhàn)。由于暗網(wǎng)對目的地地址和通信雙方身份進行了隱藏，對消息通訊進行了加密，因此暗網(wǎng)犯罪與傳統(tǒng)互聯(lián)網(wǎng)犯罪在證據(jù)構(gòu)成和證據(jù)載體上有很大不同，比傳統(tǒng)互聯(lián)網(wǎng)犯罪電子取證更為復雜，也更為隱密，獲取和固定暗網(wǎng)犯罪證據(jù)難度大，打擊暗網(wǎng)犯罪實戰(zhàn)需求與暗網(wǎng)取證能力滯后之間的矛盾凸顯，提升暗網(wǎng)取證能力應對暗網(wǎng)犯罪新形勢刻不容緩。

一、暗網(wǎng)犯罪取證困境

暗網(wǎng)犯罪作為網(wǎng)絡犯罪的一種，在取證方面與網(wǎng)絡犯罪有一定的相關(guān)性。然而因暗網(wǎng)犯罪具有安全性、身份驗證、匿名性、虛擬貨幣和隱藏交換等五個方面的獨特屬性，又決定了暗網(wǎng)在取證載體、證據(jù)元素、證據(jù)存儲形式等方面與互聯(lián)網(wǎng)犯罪電子取證存在較大差異。暗網(wǎng)取證對象的獨特性及如何建立暗網(wǎng)電子證據(jù)邏輯關(guān)聯(lián)，給暗網(wǎng)犯罪取證帶來了困境。

（一）取證對象的獨特性

TOR、I2P是登錄暗網(wǎng)使用最多的暗網(wǎng)瀏覽器，二者是復雜的匿名軟件，是暗網(wǎng)犯罪取證主要取證對象。TOR瀏覽器是洋蔥瀏覽器（The Onion Router）的簡稱，功能非常強大，采用洋蔥路由實現(xiàn)多層匿名跳轉(zhuǎn)，所以經(jīng)常被犯罪分子用來瀏覽非法信息、進行非法交易，需要通過嫌疑人電腦中的電子證據(jù)還原嫌疑人在暗網(wǎng)的訪問軌跡，間接了解用戶網(wǎng)絡行為和日志信息等證據(jù)。I2P是基于對等網(wǎng)絡的一種網(wǎng)絡，通過多重協(xié)議和加密標準構(gòu)建專門通信通道，相比TOR瀏覽器，具有更強的隱匿性和專業(yè)性，為有強大匿名需求的計算機專業(yè)人士和黑客所青睞。無論是TOR瀏覽器還是I2P，均通過偽裝造成客戶端可以通過互聯(lián)網(wǎng)正常訪問的假象，以多次中繼節(jié)點代理的形式保護IP報文信息，隱匿暗網(wǎng)交易信息、暗網(wǎng)通信參與者信息及通信模式，從而達到規(guī)避互聯(lián)網(wǎng)流量監(jiān)控的目的，因此暗網(wǎng)載體即取證對象的獨特性給暗網(wǎng)電子取證帶來了困境。

（二）暗網(wǎng)電子證據(jù)難以建立邏輯關(guān)聯(lián)

因暗網(wǎng)站點缺少固定的格式規(guī)則以及加密數(shù)據(jù)傳輸過程中存儲介質(zhì)不穩(wěn)定，在偵查取證過程中一旦被暗網(wǎng)后臺發(fā)現(xiàn)并將原始記錄刪除后，很容易造成關(guān)鍵電子證據(jù)的毀損和缺失。關(guān)鍵電子證據(jù)是暗網(wǎng)證據(jù)證明力的重要保證，毀損和缺失引發(fā)的證據(jù)證明力減弱，會嚴重破壞證據(jù)鏈的邏輯關(guān)聯(lián)。同時，去中心化、身份隱私保密的虛擬貨幣的匿名性，也給追蹤真實的擁有者和交易者帶來挑戰(zhàn)，現(xiàn)有取證規(guī)則和取證技術(shù)難以破解虛擬貨幣的加密算法，提取到的日志信息、錢包信息、地址記錄、配置文件等無法準確判斷交易參與人員的真實身份，獲取的虛擬貨幣證據(jù)也就難以證明與暗網(wǎng)交易的關(guān)聯(lián)，導致無法形成完整的犯罪證據(jù)鏈。

二、暗網(wǎng)取證思路設計及步驟設計

（一）暗網(wǎng)取證思路設計

根據(jù)暗網(wǎng)犯罪行為方式和主要證據(jù)構(gòu)成，暗網(wǎng)取證思路設計主要圍繞暗網(wǎng)現(xiàn)場勘驗取證、遠程取證、實驗室取證三種途徑實現(xiàn)，在警務實戰(zhàn)應用中，三種取證途徑并不是獨立開展采證，而是通過綜合運用、相互印證形成證據(jù)鏈條共同體。

1. 暗網(wǎng)犯罪現(xiàn)場電子勘驗取證

（1）嫌疑人作案信息提取

暗網(wǎng)案件是網(wǎng)絡案件衍生而來，取證規(guī)則與方式依然可以使用傳統(tǒng)互聯(lián)網(wǎng)案件取證方式，特別是現(xiàn)場取證過程中，第一時間按照現(xiàn)場取證規(guī)則提取，對現(xiàn)場環(huán)境、設備、網(wǎng)絡情況進行固證，對正在運行的頁面與程序可以采用傳統(tǒng)的截圖方式初步固定，初步檢查嫌疑人使用的計算機，收集嫌疑人相關(guān)賬號密碼、聊天記錄、訪問記錄等基本證據(jù)信息，并對內(nèi)存及硬盤進行鏡像保存。

（2）內(nèi)存數(shù)據(jù)提取

內(nèi)存是重要的數(shù)據(jù)設備，是與外部存儲設備進行數(shù)據(jù)交換的中轉(zhuǎn)器。針對內(nèi)存取證，可以先使用WinHex、FTK等工具對內(nèi)存保存為鏡像文件，然后可以選擇HxD、Winhex、取證大師等工具，將內(nèi)存中存儲的文件數(shù)據(jù)、密碼數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、網(wǎng)絡數(shù)據(jù)等關(guān)鍵證據(jù)進行固定提取。在暗網(wǎng)案件實務中，還可使用Volatility命令進行內(nèi)存取證，如使用volatility -f ＊.vmem plist查找與VPN、TOR瀏覽器、虛擬貨幣等相關(guān)的可疑進程，或使用volatility -f ＊.vmem connscan命令查找之前終止的和當前活動的連接，該命令可以列出主機正在進行的通信，同時可以使用volatility -f＊.vmem sockscan確認這些通信的入站連接是否安全。

（3）代理與VPN取證

訪問暗網(wǎng)首先需要設置代理，并使用VPN軟件，代理取證可以在瀏覽器代理設置菜單里查看到設置的代理信息，包括服務器IP地址與端口號。對于VPN取證，一般都安裝有VPN 客戶端，可以使用常規(guī)計算機勘驗取證，固定VPN客戶端上的使用記錄、服務器地址及用戶名密碼等信息，通常VPN客戶端的重要信息都保存在配置文件中，以常見的VPN軟件“shadowsocks”為例，“shadowsocks”的配置信息一般存儲于gui-config.jso中，可以通過實驗室技術(shù)，對gui-config.json進行解析，得到VPN的服務器、上行下行數(shù)據(jù)、用戶名以及密碼等重要信息。

2. 遠程取證

在現(xiàn)場發(fā)現(xiàn)具有暗網(wǎng)后臺、嫌疑人搭建的服務器網(wǎng)站、數(shù)據(jù)庫、或其他云數(shù)據(jù)信息需要提取的情況，應當在現(xiàn)場盡量提取，如果現(xiàn)場時間、環(huán)境及人力不足情況下，或數(shù)據(jù)量太大，現(xiàn)場無法提取的情況，可先固定相關(guān)的網(wǎng)址、賬號等信息，可同步安排專人在實驗室進行遠程在線取證，確保數(shù)據(jù)提取完整。在警務實戰(zhàn)中通過采用暗網(wǎng)爬蟲進行遠程取證。通常在明確嫌疑人暗網(wǎng)網(wǎng)址后，在無法得到服務器搭建源碼及賬號密碼的情況下，需要使用暗網(wǎng)爬蟲開展取證?；ヂ?lián)網(wǎng)訪問網(wǎng)站使用傳統(tǒng)搜索引擎即可發(fā)現(xiàn)數(shù)據(jù)頁面，但暗網(wǎng)將網(wǎng)站內(nèi)容通過數(shù)據(jù)庫的方式存在，很難通過傳統(tǒng)搜索引擎得到，這就需要通過爬蟲進行數(shù)據(jù)索引，即使用python語言的selenium框架對暗網(wǎng)數(shù)據(jù)進行抓取，還原用戶暗網(wǎng)使用過程，具體抓取過程見圖1。

爬蟲實現(xiàn)主要代碼如下：

3. 實驗室分析取證

實驗室分析取證環(huán)節(jié)，是針對暗網(wǎng)案件現(xiàn)場取證時，因時間、環(huán)境、設備、技術(shù)等因素暫時無法在現(xiàn)場提取固證的情況下，防止證據(jù)漏取，進一步確保證據(jù)鏈完整。根據(jù)案件需要，對扣押的電子設備或現(xiàn)場取證固定的內(nèi)存、硬盤鏡像文件、網(wǎng)站、系統(tǒng)日志、數(shù)據(jù)庫文件等進行進一步分析、提取、恢復、還原等一系列取證固證工作，在實驗室分析取證，有充足的時間、先進的設備與合適的環(huán)境，還可整合人員技術(shù)甚至聘請技術(shù)專家支持方式開展取證工作，可以最大限度保證證據(jù)完整提取，針對暗網(wǎng)案件的取證，在實驗室取證環(huán)節(jié)中，可以進行以下幾類取證工作：

（1）數(shù)字貨幣取證

由于虛擬貨幣能有效規(guī)避金融體系監(jiān)管隱匿蹤跡，從而保證了犯罪交易的安全性。比特幣是暗網(wǎng)交易中最常見的支付貨幣和主流貨幣，比特幣不是一種由金融集中管理的虛擬貨幣，而是通過比特幣系統(tǒng)集體批準的一種貨幣。除比特幣外，萊特幣、門羅幣等虛擬貨幣在暗網(wǎng)交易市場也開始廣泛應用。

以比特幣（BTC）取證為例，這種虛擬貨幣取證過程中主要收集的證據(jù)包括日志信息、錢包信息、本地同步區(qū)塊記錄等，通常在取證過程中，發(fā)現(xiàn)安裝有比特幣核心錢包客戶端的計算機與其他終端設備，可以從以下幾方面進行提取相關(guān)證據(jù)：第一，比特幣日志信息。通過比特幣錢包的安裝路徑，搜索“Debug.log”日志信息，在日志信息里提取到用戶錢包的訪問記錄、地址信息等。第二，比特幣錢包內(nèi)容。用戶第一次使用錢包后，均會得到一個錢包名用于存儲錢包的交易數(shù)據(jù)，這個文件名為“wallet.dat”，虛擬貨幣的地址、交易密碼等相關(guān)信息就會保存在這個文件中，包括名為“tx”的文件，用于存儲交易數(shù)據(jù)、名為“purpose”“destdata”的文件，用于存儲比特幣地址數(shù)據(jù)，比特幣的所有交易均會保存到相對路徑下：“../bitcoin/blocks”文件夾中。

（2）部署流量探針與元搜索取證

流量探針是部署在互聯(lián)網(wǎng)交換點、自治域軟硬件設備、或?qū)?nèi)部節(jié)點植入暗網(wǎng)，當有流量經(jīng)過內(nèi)部節(jié)點時，會自動抓取經(jīng)過的流量，從中分析到需要的數(shù)據(jù)，流量控針的代表方法是女巫探針；元搜索，選取特殊關(guān)鍵詞作為查詢?nèi)肟?，利用商業(yè)搜索引擎進行搜索，提取搜索結(jié)果頁面中的隱藏服務地址，進行迭代搜索。

（3）鏡像網(wǎng)站仿真取證

在取證過程中，對現(xiàn)場勘驗發(fā)現(xiàn)提取的暗網(wǎng)服務網(wǎng)站文件，或通過爬蟲技術(shù)爬取了整個網(wǎng)站內(nèi)容后，結(jié)合后期完善案件證據(jù)鏈條需求，對網(wǎng)站進行還原仿真，重現(xiàn)暗網(wǎng)中搭建的服務網(wǎng)站內(nèi)容，更好地展現(xiàn)犯罪行為。結(jié)合常規(guī)服務器取證相關(guān)規(guī)范與技術(shù)，還原暗網(wǎng)網(wǎng)站結(jié)構(gòu)，組建證據(jù)數(shù)據(jù)模型（包括數(shù)據(jù)庫、網(wǎng)站記錄、賬號密碼等），找出后臺鏈接，登錄后臺管理頁面，將涉案數(shù)據(jù)從網(wǎng)站導出進行證據(jù)固定，寫入取證報告。

（二）暗網(wǎng)取證步驟設計

在對暗網(wǎng)案件進行取證時，可以借助普通互聯(lián)網(wǎng)犯罪案件的取證方法與思路，結(jié)合暗網(wǎng)案件的具體特點，根據(jù)案件性質(zhì)制定取證方案，針對不同案情采取不同的取證方式，全方位占有暗網(wǎng)犯罪證據(jù)，做到應取盡取。

1. 熟悉基本案情

在取證前，要先熟悉案件的基本情況、案件類型，通過案件前期研判結(jié)果，摸清嫌疑人背景、案件關(guān)鍵證據(jù)，明確取證任務具體需求、目的與任務；還要對嫌疑人數(shù)量、作案環(huán)境、可能使用的網(wǎng)絡設備、網(wǎng)絡結(jié)構(gòu)、網(wǎng)絡線路、系統(tǒng)數(shù)據(jù)做到心中有數(shù)，同時，理清涉案人員上下層關(guān)系、嫌疑對象在案件中所處的角色等。

2. 確定取證方案

在充分熟悉案件基本信息的基礎上，根據(jù)偵查需要，對取證的工作量進行預判，因案制宜制定和評估取證方案和取證計劃。

3. 現(xiàn)場收集證據(jù)

根據(jù)取證方案，在現(xiàn)場第一時間提取關(guān)鍵、易失證據(jù)，特別是正在作案的計算機要第一時間進行固定收集，包括嫌疑人正在打開的暗網(wǎng)頁面，運行的程序等關(guān)鍵證據(jù)，及時使用成品工具與設備，快速完整提取收集證據(jù)，做好提取內(nèi)存鏡像，爭取取證時間，必要時可以做全盤鏡像。

4. 數(shù)據(jù)深入分析

在前期現(xiàn)場收集證據(jù)后，還要進一步對證據(jù)進行深入分析與深入提取，防止證據(jù)漏取，影響案件辦理，一是在現(xiàn)場發(fā)現(xiàn)的云數(shù)據(jù)、網(wǎng)站后臺、數(shù)據(jù)庫及相關(guān)網(wǎng)站、網(wǎng)址，在現(xiàn)場無條件提取的，需要同時或后期進一步固證，及時在后臺實驗室安排專人，進行遠程在線提取，二是對現(xiàn)場扣押的電子設備及電子證據(jù)需要更進一步進行數(shù)據(jù)關(guān)聯(lián)、分析、恢復等，梳理證據(jù)鏈條，防止現(xiàn)場勘驗時丟失證據(jù)。

5. 出具報告或者筆錄

對現(xiàn)場證據(jù)收集、后臺遠程在線提取及電子數(shù)據(jù)進一步恢復、關(guān)聯(lián)、分析證據(jù)后，把取證過程和結(jié)果形成勘驗筆錄、電子證據(jù)檢查筆錄或者檢驗報告的方式呈現(xiàn)，確保取證過程科學、嚴謹和完整，為案件偵辦提供有力的文書證據(jù)支撐。

三、暗網(wǎng)犯罪案件取證警務實戰(zhàn)案例應用

2019年2月至2019年9月期間，工作發(fā)現(xiàn)某犯罪嫌疑人使用黑客技術(shù)在互聯(lián)網(wǎng)上非法獲取多個網(wǎng)站的公民個人信息，并將所獲取的公民個人信息在暗網(wǎng)上販賣獲利。在取證固證過程中，按照暗網(wǎng)取證思路設計及步驟設計，擬定案件取證思路和方案，對該案進行現(xiàn)場取證、遠程爬取、實驗室后臺提取。

（一）現(xiàn)場取證：獲取第一手作案電子證據(jù)

進入現(xiàn)場第一時間控制嫌疑人，對非法獲取、販賣公民個人信息的嫌疑人的電腦進行現(xiàn)場勘驗，檢查正在運行的程序、打開的文檔、正在訪問的網(wǎng)頁、Telegram即時聊天軟件、信息采集器、漏洞掃描工具、VPN軟件、TOR瀏覽器頁面。檢查發(fā)現(xiàn)，嫌疑人通過挖掘正規(guī)網(wǎng)站漏洞后，采用相關(guān)黑客技術(shù)或采集工具采集公民信息，對正在運行的漏洞掃描軟件、信息采集器和暗網(wǎng)交易信息等關(guān)鍵證據(jù)進行提取，見圖2～圖4。

通過搜索涉案相關(guān)的文件，特別是桌面、我的文檔等特殊位置的文件，對文本文件、Office文檔、電子表格、圖片及郵件等敏感文件進行檢索，發(fā)現(xiàn)在嫌疑人電腦“我的文檔”文件夾下，有大量電子表格格式的成品公民信息，并在Telegram聊天軟件中發(fā)現(xiàn)售賣交易談判情況。對聊天記錄進行固定提取，為下一步明確嫌疑人上下線關(guān)系、確定網(wǎng)上犯罪行為、深挖犯罪行為及犯罪同伙打下基礎，見圖5。

（二）遠程爬取：固定暗網(wǎng)網(wǎng)站易丟失證據(jù)

明確嫌疑人在暗網(wǎng)論壇中銷售販賣公民個人信息行為后，經(jīng)突擊審訊，獲取到嫌疑人論壇帳號，安排實驗人員采用爬蟲程序?qū)υ撜搲瘞ぬ栭_展遠程取證，針對暗網(wǎng)站點制定爬取收集規(guī)則，爬取該帳號發(fā)布的所有銷售記錄，獲取虛擬貨幣證據(jù)，進行屏幕錄像，固定證據(jù)。

（三）實驗室提取：完善犯罪證據(jù)鏈

在現(xiàn)場取證過程中發(fā)現(xiàn)該嫌疑人獲取的公民信息不僅保存于計算機存儲介質(zhì)中，還自行開發(fā)了一款類似爬蟲的自動采集保存軟件，對有漏洞的網(wǎng)站進行信息爬取，自動保存至云數(shù)據(jù)庫中，共包含十余個云數(shù)據(jù)服務器。在對爬蟲軟件及數(shù)據(jù)庫服務器帳號等基本信息固證后，由實驗室后臺專人取證，采用Navicat等數(shù)據(jù)庫軟件連接數(shù)據(jù)庫，導出公民信息記錄，進行提取固證，見圖6。

四、結(jié)語

重建暗網(wǎng)取證模式對暗網(wǎng)犯罪定性起著決定性的作用，必須通過制定合理的取證思路與方法，結(jié)合常規(guī)取證方法，從內(nèi)存取證、暗網(wǎng)訪問、VPN記錄、暗網(wǎng)瀏覽器、流量及虛擬錢包軟件等方面著手，研究并設計暗網(wǎng)犯罪案件取證規(guī)程、完善暗網(wǎng)犯罪證據(jù)鏈條，為成功揭開暗網(wǎng)犯罪面紗、有力打擊暗網(wǎng)犯罪案件提供證據(jù)支撐。