GoIP網(wǎng)關(guān)設(shè)備的電子數(shù)據(jù)取證探索*

范 鑫，陳春梅，孫 奕，王 勇

（1.福建美亞柏科司法鑒定中心，福建 廈門 361008；2.廈門市美亞柏科信息股份有限公司，福建 廈門 361008）

0 引 言

在信息社會(huì)里，隨著科學(xué)技術(shù)不斷創(chuàng)新和發(fā)展，各種類型的新技術(shù)工具的開發(fā)和利用，促進(jìn)了社會(huì)經(jīng)濟(jì)的快速發(fā)展，提高了人們的生活水平，給人們的衣、食、住、行、學(xué)習(xí)、工作等方面帶來(lái)了巨大的便利。然而，隨著科學(xué)技術(shù)的普及和應(yīng)用，科技給人們帶來(lái)便利的同時(shí)，也帶來(lái)一些危害與弊端，其中，就有各種新型犯罪案件涌現(xiàn)，違法犯罪人員能夠便利地借助移動(dòng)設(shè)備、網(wǎng)絡(luò)等通信工具和現(xiàn)代技術(shù)實(shí)施非接觸式的犯罪活動(dòng)，例如，從事電信網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)傳銷，利用網(wǎng)絡(luò)技術(shù)非法獲取公民個(gè)人信息等。據(jù)公安部統(tǒng)計(jì)，2020年全年共破獲電信網(wǎng)絡(luò)詐騙案件32.2萬(wàn)起，抓獲犯罪嫌疑人36.1萬(wàn)名，止付凍結(jié)涉案資金2 720余億元，勸阻870萬(wàn)名群眾免于被騙，累計(jì)挽回經(jīng)濟(jì)損失1 870余億元[1]。本文將針對(duì)近年來(lái)電信網(wǎng)絡(luò)詐騙中常用的GoIP網(wǎng)關(guān)設(shè)備的工作原理及對(duì)其進(jìn)行取證的技術(shù)方法進(jìn)行分析、闡述。

1 背景和現(xiàn)狀

1.1 電信網(wǎng)絡(luò)詐騙工具的發(fā)展歷程

電信網(wǎng)絡(luò)詐騙的主要手段是打電話或者群發(fā)短信。電信網(wǎng)絡(luò)詐騙者通過“廣撒網(wǎng)”的方式撥打大量用戶的電話，或者發(fā)送大量詐騙短信，這種方式單靠一部手機(jī)遠(yuǎn)遠(yuǎn)無(wú)法滿足詐騙者的使用需求。前些年，偽基站由于能夠干擾和屏蔽一定范圍內(nèi)的運(yùn)營(yíng)商信號(hào)并將短信發(fā)送到從基站附近搜索出的用戶的手機(jī)號(hào)碼上，這種設(shè)備使用方便，并且價(jià)格“實(shí)惠”，深受廣大詐騙者喜愛，在經(jīng)過一段時(shí)間的專項(xiàng)治理后，采用該設(shè)備詐騙的手段已基本銷聲匿跡。隨著VoIP技術(shù)的不斷成熟，市面上出現(xiàn)了很多基于VoIP技術(shù)的設(shè)備或者軟件，詐騙團(tuán)伙可以通過VoIP設(shè)備或者軟件將主叫號(hào)碼歸屬地修改為受害人所在地，從而降低被呼叫者的心理防御，或者將主叫號(hào)碼修改成公眾常見的服務(wù)電話，用來(lái)欺騙被呼叫者，進(jìn)行違法犯罪活動(dòng)[2]。針對(duì)VoIP出現(xiàn)的問題，相關(guān)部門禁止了VoIP的改號(hào)功能，而且搭建VoIP網(wǎng)絡(luò)成本較高，難度較大，需要的軟硬件也較多。近年來(lái)，新的GoIP技術(shù)逐漸被人們所使用，使用GoIP網(wǎng)關(guān)設(shè)備實(shí)施的犯罪活動(dòng)也越來(lái)越多。

1.2 涉及GoIP網(wǎng)關(guān)設(shè)備案件情況

在裁判文書網(wǎng)，我們使用GoIP作為關(guān)鍵字進(jìn)行搜索，截至2021年11月，出現(xiàn)228個(gè)判決結(jié)果（如果同一個(gè)案件有二審判決的，以二審判決作為統(tǒng)計(jì)對(duì)象），其中，有174個(gè)案例以幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪來(lái)定罪量刑，有42個(gè)案例以詐騙罪來(lái)定罪量刑，總體來(lái)說(shuō)，該類案件的立案類型還是以這兩種方式居多。

從本鑒定中心近兩年受理的有關(guān)GoIP網(wǎng)關(guān)設(shè)備的鑒定業(yè)務(wù)統(tǒng)計(jì)來(lái)看，本中心共受理97個(gè)辦案單位的鑒定委托，涉及18個(gè)省份75家委托單位，共計(jì)157個(gè)GoIP設(shè)備。在送檢的GoIP中，品牌數(shù)量排名前3的分別為三匯、鼎信通達(dá)和一正。委托數(shù)量統(tǒng)計(jì)排名情況符合前面介紹的GoIP設(shè)備的排名情況，具體的GoIP品牌情況如圖1所示。

圖1 GoIP網(wǎng)關(guān)設(shè)備類型統(tǒng)計(jì)

在本鑒定中心受理的97個(gè)鑒定案例中，根據(jù)公安機(jī)關(guān)立案情況的統(tǒng)計(jì)，以幫助信息網(wǎng)絡(luò)犯罪活動(dòng)案立案的有60個(gè)；以詐騙案立案的有35個(gè)；此外，有2個(gè)是以侵犯公民個(gè)人信息案進(jìn)行立案?？梢钥闯?，目前該類案件大部分是以幫助信息網(wǎng)絡(luò)犯罪活動(dòng)案立案。根據(jù)《中華人民共和國(guó)刑法修正案（九）》中增設(shè)的幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪，其中，第二百八十七條之二“明知他人利用信息網(wǎng)絡(luò)實(shí)施犯罪，為其犯罪提供互聯(lián)網(wǎng)接入、服務(wù)器托管、網(wǎng)絡(luò)存儲(chǔ)、通信傳輸?shù)燃夹g(shù)支持，或者提供廣告推廣、支付結(jié)算等幫助，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。單位犯前款罪的，對(duì)單位判處罰金，并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照第一款的規(guī)定處罰。有前兩款行為，同時(shí)構(gòu)成其他犯罪的，依照處罰較重的規(guī)定定罪處罰?！弊罡叻òl(fā)布的《最高人民法院、最高人民檢察院關(guān)于辦理非法利用信息網(wǎng)絡(luò)、幫助信息網(wǎng)絡(luò)犯罪活動(dòng)等刑事案件適用法律若干問題的解釋》中明確了“幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪”的入罪標(biāo)準(zhǔn)，為辦理該類案件提供了強(qiáng)有力的法律依據(jù)。

2 GoIP網(wǎng)關(guān)設(shè)備主要廠家、搭建模式介紹

2.1 GoIP簡(jiǎn)介

GoIP，即基于IP的信號(hào)傳輸，其本質(zhì)就是把手機(jī)卡的信號(hào)數(shù)字化[3]，它是VoIP技術(shù)的一種升級(jí)，通常以GoIP網(wǎng)關(guān)設(shè)備的形式出現(xiàn)。GoIP設(shè)備是網(wǎng)絡(luò)通信的一種硬件設(shè)備，支持手機(jī)卡接入，能夠通過手機(jī)卡接入信息服務(wù)運(yùn)營(yíng)商網(wǎng)絡(luò)并實(shí)現(xiàn)基礎(chǔ)信息網(wǎng)絡(luò)功能（收/發(fā)短信、接/撥電話）。常見的GoIP設(shè)備根據(jù)所支持的運(yùn)營(yíng)商（移動(dòng)、聯(lián)通、電信）、支持頻段（GSM、CDMA、WCDMA、全網(wǎng)通）、信號(hào)（2G、3G、4G）、插卡數(shù)量（4、8、16、32、64、128）和并發(fā)數(shù)量（4、8、16、32），可分為多種型號(hào)[4]，一臺(tái)32個(gè)卡槽的GoIP設(shè)備可供上百?gòu)埵謾C(jī)卡同時(shí)運(yùn)行。詐騙分子為了逃避打擊，通常是通過招募“馬仔”在空置房間內(nèi)安裝GoIP設(shè)備。設(shè)備安裝后無(wú)須人員看管，即可遠(yuǎn)程登錄使用設(shè)備，達(dá)到人、機(jī)、卡分離的目的，大大增加了公安機(jī)關(guān)的打擊難度。

2.2 常見的GoIP網(wǎng)關(guān)設(shè)備

目前市面上的GoIP網(wǎng)關(guān)設(shè)備品牌眾多，常見的網(wǎng)關(guān)設(shè)備主要有一正、鼎信通達(dá)、三匯、得伯樂等，各品牌的網(wǎng)關(guān)設(shè)備功能差異不大。

2.3 GoIP網(wǎng)關(guān)設(shè)備搭建模式

根據(jù)工作模式的不同，目前GoIP網(wǎng)關(guān)設(shè)備搭建的3種常見模式包括：人、機(jī)、卡分離模式；卡、機(jī)不分離，人分離模式；人、機(jī)、卡不分離模式。下面分別對(duì)這3種模式的原理進(jìn)行介紹。

2.3.1 人、機(jī)、卡分離模式

詐騙分子利用卡池設(shè)備，將用于詐騙的手機(jī)SIM卡與GoIP網(wǎng)關(guān)設(shè)備分離，通過服務(wù)器獲取到卡池里SIM卡的手機(jī)號(hào)碼，然后將SIM卡信息通過服務(wù)器發(fā)送到GoIP，從而實(shí)現(xiàn)撥打電話和發(fā)送短信等目的，而管理者可以遠(yuǎn)程操作集中管理終端設(shè)備，實(shí)現(xiàn)人、機(jī)、卡三者獨(dú)立存在，形成分離的模式，系統(tǒng)架構(gòu)模式如圖2所示。打擊這種設(shè)備的難度較大，而且無(wú)法形成全鏈條的打擊，辦案機(jī)關(guān)在案件偵辦過程中往往只能獲取到GoIP網(wǎng)關(guān)設(shè)備，無(wú)法查獲與之對(duì)應(yīng)的經(jīng)濟(jì)成本更高的卡池設(shè)備，并且在GoIP網(wǎng)關(guān)設(shè)備被扣押之后，犯罪分子可以快速重新配置新的GoIP設(shè)備來(lái)連接卡池設(shè)備，達(dá)到繼續(xù)詐騙的目的。

2.3.2 卡、機(jī)不分離，人分離模式

該方式不需要卡池設(shè)備，可以直接將SIM卡插在GoIP網(wǎng)關(guān)設(shè)備上，SIM卡與GoIP網(wǎng)關(guān)設(shè)備不分離，管理者遠(yuǎn)程操作終端管理軟件，通過服務(wù)端控制GoIP網(wǎng)關(guān)設(shè)備達(dá)到直接撥打電話和發(fā)送短信等目的，系統(tǒng)架構(gòu)模式如圖3所示。與人、機(jī)、卡分離的方式相比，因?yàn)檫@種方式不需要使用卡池設(shè)備，成本更低，所以在市面上比較常見，并且由于人與機(jī)、卡分離，犯罪分子能在異地（也許在境外）遠(yuǎn)程操控設(shè)備，或者雇用“馬甲”操控設(shè)備，更容易達(dá)到逃避查處的目的。

圖2 人、機(jī)、卡分離模式

圖3 卡、機(jī)不分離，人分離模式

2.3.3 人、機(jī)、卡不分離模式

該方式將GoIP網(wǎng)關(guān)設(shè)備、卡池和服務(wù)端管理系統(tǒng)配置在一起，由人員直接管理，僅在局域網(wǎng)內(nèi)操作，這種方式較為少見，系統(tǒng)架構(gòu)模式如圖4所示。這種做法等同于自投羅網(wǎng)，一旦被發(fā)現(xiàn)，人贓俱獲。

圖4 人、機(jī)、卡不分離模式

3 常見GoIP網(wǎng)關(guān)設(shè)備的取證方式

由于GoIP網(wǎng)關(guān)設(shè)備里面保存著SIM卡信息、電話號(hào)碼信息、國(guó)際移動(dòng)設(shè)備識(shí)別碼（International Mobile Equipment Identity，IMEI）、SIP服務(wù)器信息、收發(fā)的短信數(shù)據(jù)和通話信息等數(shù)據(jù)，將此類數(shù)據(jù)提取、恢復(fù)出來(lái)，將對(duì)案件偵查、定性等起到重要作用。

本文列舉了幾種在實(shí)際工作中常見的取證方式，如下文所述。

3.1 網(wǎng)頁(yè)登錄模式數(shù)據(jù)提取

通常情況下，不同廠家的網(wǎng)關(guān)設(shè)備默認(rèn)配置的靜態(tài)IP是不一樣的，網(wǎng)關(guān)設(shè)備中都有后臺(tái)管理頁(yè)面，取證時(shí)可以根據(jù)掌握或者默認(rèn)的設(shè)備管理頁(yè)面的IP地址、端口號(hào)、登錄賬號(hào)和密碼，將本地取證設(shè)備的IP地址與網(wǎng)關(guān)設(shè)備的IP地址配置在同一個(gè)網(wǎng)段，使用賬號(hào)和密碼登錄進(jìn)去之后，可以查看網(wǎng)關(guān)設(shè)備中保留的數(shù)據(jù)，采用規(guī)范化的證據(jù)固定流程，將數(shù)據(jù)固定下來(lái)。可見，在檢驗(yàn)過程中，采用網(wǎng)頁(yè)登錄模式的情況下，如何獲取設(shè)備的IP地址，成為能否成功獲取設(shè)備信息的關(guān)鍵因素。實(shí)踐證明，可以通過以下4種方式獲得設(shè)備的IP地址。

（1）通過網(wǎng)關(guān)設(shè)備的使用說(shuō)明書了解設(shè)備默認(rèn)配置的IP地址。通常情況下，品牌廠商在設(shè)備出廠配置時(shí)，會(huì)附帶設(shè)備的使用說(shuō)明書，使用說(shuō)明書中通常會(huì)介紹設(shè)備的使用方法，初始的IP地址及登錄的用戶賬號(hào)、密碼等信息，因此，可以從使用說(shuō)明書或者互聯(lián)網(wǎng)公開的渠道了解所要分析的網(wǎng)關(guān)設(shè)備的IP地址等信息。一些常見的GoIP設(shè)備的默認(rèn)IP地址以及初始賬號(hào)密碼如表1所示。

表1 常見的GoIP網(wǎng)關(guān)設(shè)備配置信息

（2）使用抓包工具來(lái)分析網(wǎng)關(guān)設(shè)備的IP地址。針對(duì)關(guān)機(jī)情況下的網(wǎng)關(guān)設(shè)備，在實(shí)驗(yàn)室檢驗(yàn)過程中，取證設(shè)備上配置的IP地址不一定會(huì)與網(wǎng)關(guān)設(shè)備中的靜態(tài)默認(rèn)IP地址一致，使用網(wǎng)線將網(wǎng)關(guān)設(shè)備與取證設(shè)備進(jìn)行直接連接，運(yùn)行抓包軟件，網(wǎng)關(guān)設(shè)備與取證設(shè)備連接的時(shí)候，網(wǎng)關(guān)設(shè)備會(huì)通過地址解析協(xié)議（Address Resolution Protocol，ARP）廣播設(shè)備的IP地址，從而確定設(shè)備的IP靜態(tài)地址，抓包軟件中顯示的設(shè)備配置IP信息如圖5所示。

（3）使用取證工具自動(dòng)獲取網(wǎng)關(guān)設(shè)備的IP地址。市面上部分取證設(shè)備已經(jīng)集成了自動(dòng)獲取設(shè)備IP的功能，通過網(wǎng)線將取證設(shè)備網(wǎng)口與網(wǎng)關(guān)設(shè)備網(wǎng)口進(jìn)行連接，通過取證設(shè)備自動(dòng)掃描網(wǎng)關(guān)設(shè)備的IP地址，如圖6所示。

圖5 抓包軟件獲取到的設(shè)備配置IP信息

圖6 取證軟件自動(dòng)掃描設(shè)備的IP信息

（4）若設(shè)備在案件現(xiàn)場(chǎng)，可以查看網(wǎng)關(guān)設(shè)備現(xiàn)場(chǎng)連接的路由器連接記錄，或者搜索現(xiàn)場(chǎng)所使用的電腦、手機(jī)瀏覽訪問記錄等，該類設(shè)備均存在配置設(shè)備信息/遠(yuǎn)程訪問設(shè)備的可能性，從而確定網(wǎng)關(guān)設(shè)備所使用的IP地址。

3.2 TTL模式取證

該模式是目前比較常見的取證方式，適合在未掌握網(wǎng)關(guān)設(shè)備的本地登錄的賬號(hào)和密碼的情況下使用，將網(wǎng)關(guān)設(shè)備的晶體管-晶體管邏輯電平（Transistor Transistor Logic，TTL）串口或者CONSOLE控制口、miniUSB接口通過連接線與取證設(shè)備連接，下載網(wǎng)關(guān)設(shè)備的Flash鏡像，使用取證軟件解析收發(fā)的短信息、IMEI信息以及用戶密碼、動(dòng)態(tài)主機(jī)配置協(xié)定（Dynamic Host Configuration Protocol，DHCP）、廠商、型號(hào)、媒體訪問控制（Media Access Control，MAC）地址等配置信息。此外，該模式還支持對(duì)部分網(wǎng)關(guān)設(shè)備已經(jīng)刪除數(shù)據(jù)的恢復(fù)，相比于網(wǎng)頁(yè)登錄模式取證，能獲取到更多數(shù)據(jù)。取證步驟大致可以總結(jié)如下：

（1）確認(rèn)GoIP網(wǎng)關(guān)設(shè)備串口為內(nèi)部串口還是外部串口。

外部串口判斷：首先查看是否有明顯標(biāo)識(shí)，如CONSOLE等；其次用對(duì)應(yīng)的線材將GoIP網(wǎng)關(guān)設(shè)備的外部接口與取證分析設(shè)備相連，判斷取證分析設(shè)備的設(shè)備管理器是否彈出新的端口，GoIP網(wǎng)關(guān)設(shè)備的外部串口示例如圖7、圖8所示。

圖7 網(wǎng)關(guān)設(shè)備外部串口示例1

圖8 網(wǎng)關(guān)設(shè)備外部串口示例2

內(nèi)部串口判斷：若已確定不是外部串口，則首先拆卸設(shè)備外殼，分析印制線路板（Printed Circuit Board，PCB）是否有發(fā)送端（Transmit，TX）、接收端（Receive，RX）、地線（Ground，GND）等標(biāo)識(shí)；其次尋找連續(xù)3～5個(gè)的板孔，分別通過萬(wàn)用表確定TX，RX，GND。若已確認(rèn)該設(shè)備存在內(nèi)部串口，則利用串口硬件工具的TXD連接GoIP網(wǎng)關(guān)設(shè)備內(nèi)部串口接口RX，串口硬件工具的RXD連接GoIP網(wǎng)關(guān)設(shè)備內(nèi)部串口接口TX，串口硬件工具的GND連接GoIP網(wǎng)關(guān)設(shè)備內(nèi)部串口接口GND，再將串口硬件工具另一端連接至取證分析設(shè)備。GoIP網(wǎng)關(guān)設(shè)備內(nèi)部串口以及串口硬件工具USB轉(zhuǎn)TTL的示例如圖9、圖10所示。

圖9 網(wǎng)關(guān)設(shè)備內(nèi)部串口示例

圖10 串口硬件工具USB轉(zhuǎn)TTL

（2）對(duì)設(shè)備的串口號(hào)進(jìn)行識(shí)別。在GoIP網(wǎng)關(guān)設(shè)備未與取證分析設(shè)備連接時(shí)，通過Windows API接口獲取串口號(hào)集合U1；在GoIP網(wǎng)關(guān)設(shè)備與數(shù)據(jù)分析工作站連接時(shí)，通過Windows API接口獲取串口號(hào)集合U2；獲取到串口號(hào)集合U1和集合U2后，比對(duì)U1、U2集合差，獲取所需要的串口號(hào)。

（3）執(zhí)行上述步驟后，對(duì)GoIP網(wǎng)關(guān)設(shè)備上電，通過取證工具遍歷可用波特率集合直到獲取數(shù)據(jù)為明文日志信息時(shí)，確認(rèn)GoIP網(wǎng)關(guān)設(shè)備的波特率。

（4）使用Xshell軟件分析設(shè)備串口的日志信息，提煉出相關(guān)數(shù)據(jù)并形成配置文件。將配置文件導(dǎo)入取證設(shè)備后，設(shè)置所需的波特率及相應(yīng)的參數(shù)后，使用取證軟件下載設(shè)備鏡像。使用相應(yīng)的取證工具，對(duì)鏡像中的文件內(nèi)容進(jìn)行解析來(lái)獲取網(wǎng)關(guān)設(shè)備中的數(shù)據(jù)[5]。

3.3 芯片焊接方式取證

在無(wú)法掌握Web管理頁(yè)面的賬號(hào)或者設(shè)備不支持通過直取方式獲取數(shù)據(jù)的情況下，可以拆除網(wǎng)關(guān)設(shè)備的存儲(chǔ)芯片，使用芯片提取設(shè)備備份芯片中的數(shù)據(jù)，制作鏡像文件；使用取證軟件解析制作的鏡像文件，進(jìn)而獲取網(wǎng)關(guān)設(shè)備存儲(chǔ)的數(shù)據(jù)。

4 GoIP網(wǎng)關(guān)設(shè)備取證案例分析

針對(duì)目前GoIP網(wǎng)關(guān)設(shè)備的取證，主要有設(shè)備的IMEI號(hào)及所對(duì)應(yīng)的卡槽號(hào)、使用過的SIM卡信息、短信記錄、通話記錄和SIP服務(wù)器信息等，部分設(shè)備還保存著使用過程的日志記錄。公安機(jī)關(guān)可以通過在網(wǎng)關(guān)設(shè)備中提取的數(shù)據(jù)，例如提取IMEI號(hào)和SIM卡串號(hào)，再與相應(yīng)系統(tǒng)上掌握的涉案數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，可以分析出有作案嫌疑的手機(jī)號(hào)碼，進(jìn)而通過梳理手機(jī)號(hào)碼，匯總出涉案人員和涉案金額，最終形成完整的證據(jù)鏈條。

4.1 案情介紹

公安機(jī)關(guān)受理某詐騙案件時(shí)，發(fā)現(xiàn)犯罪嫌疑人使用GoIP設(shè)備作案，嫌疑人購(gòu)買大量電話卡插入該設(shè)備卡槽，操控設(shè)備進(jìn)行撥打電話、收發(fā)短信，對(duì)受害者實(shí)施釣魚短信詐騙，受害人點(diǎn)擊嫌疑人發(fā)送的鏈接網(wǎng)站后，輸入了姓名、身份證、卡號(hào)、手機(jī)號(hào)、交易密碼等信息，銀行卡中的錢隨之在幾分鐘內(nèi)被轉(zhuǎn)走，公安機(jī)關(guān)在抓到犯罪嫌疑人后，在審訊中得知，犯罪嫌疑人為了逃避法律的制裁，會(huì)定期對(duì)使用的GoIP設(shè)備中的登錄密碼進(jìn)行更改，且嫌疑人拒不承認(rèn)使用該網(wǎng)關(guān)設(shè)備進(jìn)行過詐騙。為了查明案件真相，需要對(duì)該GoIP設(shè)備中存有的相關(guān)數(shù)據(jù)進(jìn)行提取、恢復(fù)，公安機(jī)關(guān)委托本中心對(duì)涉案設(shè)備中的數(shù)據(jù)進(jìn)行鑒定。

4.2 使用取證工具對(duì)網(wǎng)關(guān)設(shè)備中的數(shù)據(jù)進(jìn)行提取、恢復(fù)

根據(jù)案件情況，由于網(wǎng)關(guān)設(shè)備密碼被嫌疑人進(jìn)行修改且嫌疑人拒不提供登錄賬號(hào)、密碼，無(wú)法通過網(wǎng)頁(yè)登錄的方式進(jìn)行取證，在本次分析中，我們使用取證軟件對(duì)送檢的得伯樂設(shè)備進(jìn)行提取、恢復(fù)。

（1）通過TTL模式制作鏡像并分析。啟動(dòng)取證軟件，選擇對(duì)應(yīng)品牌得伯樂、型號(hào)GoIP-32，將送檢GoIP網(wǎng)關(guān)設(shè)備通過夾具和TTL模塊連接到取證設(shè)備，選擇對(duì)應(yīng)端口，將GoIP網(wǎng)關(guān)設(shè)備上電，使用網(wǎng)線將取證設(shè)備與送檢分析的網(wǎng)關(guān)設(shè)備的PC口網(wǎng)口進(jìn)行連接，選擇對(duì)應(yīng)網(wǎng)絡(luò)適配器，點(diǎn)擊“開始取證”按鈕后，將GoIP設(shè)備重新上電，軟件開始制作鏡像。

（2）在完成鏡像制作后，用取證軟件對(duì)制作的鏡像進(jìn)行數(shù)據(jù)解析，提取鏡像中的數(shù)據(jù)。

（3）在取證結(jié)果中，提取到受害人使用手機(jī)號(hào)碼發(fā)送給該網(wǎng)關(guān)設(shè)備的一條關(guān)鍵短信（如圖11所示），該短信內(nèi)容結(jié)合辦案機(jī)關(guān)掌握的其他信息形成了一條完整的證據(jù)鏈。

圖11 網(wǎng)關(guān)設(shè)備上的短信內(nèi)容

5 結(jié) 語(yǔ)

本文介紹了GoIP網(wǎng)關(guān)設(shè)備的幾種常見的品牌、工作方式和在實(shí)踐中采用的幾種取證方式及其技術(shù)原理，但是隨著公安機(jī)關(guān)打擊違法犯罪力度的加強(qiáng)，也出現(xiàn)了網(wǎng)關(guān)設(shè)備系統(tǒng)架構(gòu)更新的情況，存在取證難度加大的可能性。此外，在司法鑒定過程中適用的標(biāo)準(zhǔn)存在一定的空白及滯后性，還需要相關(guān)部門進(jìn)一步加強(qiáng)規(guī)范。