基于家用智能攝像機(jī)日志文件取證案例分析

王琦　徐楊軍

摘? 要：由于目前家用智能攝像機(jī)技術(shù)不夠完善，設(shè)備存在缺陷以及黑客攻擊手段的多樣化等，使得智能攝像機(jī)的使用會(huì)給犯罪分子以可乘之機(jī)，導(dǎo)致智能攝像機(jī)成為犯罪分子非法利用的工具，給人們的生活帶來危害。文章通過對(duì)目前市面上常見的智能攝像機(jī)進(jìn)行剖析研究，對(duì)智能攝像機(jī)中的視頻文件、日志文件進(jìn)行取證分析，獲取相關(guān)的偵查線索和犯罪痕跡并進(jìn)行分析，查找犯罪嫌疑人留下的犯罪痕跡，同時(shí)對(duì)日志文件進(jìn)行取證固定，以形成電子數(shù)據(jù)證據(jù)在法庭起訴階段呈現(xiàn)。

關(guān)鍵詞：智能攝像機(jī)；日志文件；電子數(shù)據(jù)證據(jù)

中圖分類號(hào)：TP393? 文獻(xiàn)標(biāo)識(shí)碼：A? 文章編號(hào)：2096-4706（2023）12-0018-05

Analysis of Forensic Cases Based on Home Smart Camera Log Files

WANG Qi， XU Yangjun

（Anhui Vocational College of Police Officers， Hefei? 230031， China）

Abstract： Due to the current inadequate technology of home smart cameras， equipment defects， and diverse hacker attack means， the use of smart cameras can provide criminals with opportunities to exploit them， causing smart cameras to become tools illegally used by criminals and posing a threat to people's lives. Through the analysis and research of the common smart cameras on the market at present， this paper conducts forensics analysis on the video files and log files in the smart cameras， obtains and analyzes the relevant investigation clues and criminal traces， finds the criminal traces left by the suspect， and at the same time， conducts forensics fixation on the log files to form electronic data evidence presented in the court prosecution stage.

Keywords： smart camera; log file; electronic data evidence

0? 引? 言

眾所周知，智能攝像機(jī)在開啟錄像后會(huì)默認(rèn)在儲(chǔ)存卡或者網(wǎng)絡(luò)云端生成記錄兩類信息，一是攝像機(jī)所拍攝的視頻文件，二是攝像機(jī)在進(jìn)行開啟、設(shè)置、登錄、傳輸、關(guān)閉等一系列操作后的日志信息。

視頻文件作為一種重要的電子證據(jù)，在許多重特大案件中的作用越來越凸顯。智能攝像機(jī)由于其獨(dú)特的功能性，更加要求偵查人員對(duì)視頻文件內(nèi)容進(jìn)行細(xì)致的分析。雖然智能攝像機(jī)由于生產(chǎn)廠家不同，視頻存儲(chǔ)位置、文件類型可能不同，但視頻文件都在存儲(chǔ)卡或者網(wǎng)絡(luò)云端中有所保存，文件系統(tǒng)、存儲(chǔ)方式等方面具有共性，研究這類視頻文件的取證具有重要的實(shí)際意義。

日志文件是開發(fā)者和系統(tǒng)管理者維護(hù)系統(tǒng)以及應(yīng)用程序的兩個(gè)常用并且有效的方法。Android系統(tǒng)在運(yùn)行時(shí)會(huì)產(chǎn)生很多、各種各樣的日志文件，以方便開發(fā)人員調(diào)試。Logcat日志是保存在系統(tǒng)內(nèi)存中，也有的日志被以文件的形式存儲(chǔ)在設(shè)備的硬盤或者存儲(chǔ)卡中。

1? 智能攝像機(jī)日志文件分析

本文將以Ithink手立視Q1智能攝像機(jī)為例，通過對(duì)其日志文件進(jìn)行分析，獲取相關(guān)電子數(shù)據(jù)證據(jù)。

將工作一段時(shí)間的攝像機(jī)存儲(chǔ)卡取出，以只讀方式接入電腦中，在攝像機(jī)在根目錄自動(dòng)生成的文件夾中，日志文件以.log文件類型存儲(chǔ)于本地，其日志文件存儲(chǔ)目錄為：H：＼video＼.log，截圖如圖1所示。

在智能攝像機(jī)所記錄的日志文件中可以發(fā)現(xiàn)許多在視頻文件中可能無法發(fā)現(xiàn)的問題，尤其是針對(duì)黑客入侵相關(guān)的案件，或者因?yàn)樽矌?、購買信息等其他惡意行為所導(dǎo)致的用戶的隱私泄露等案件，更需要日志文件中的內(nèi)容為偵查人員和辦案人員提供線索。攝像機(jī)日志文件信息如圖2所示。這些數(shù)據(jù)非常細(xì)致并且在底層，數(shù)據(jù)信息冗雜寬泛，然而，這些數(shù)據(jù)可以提供重要的有關(guān)時(shí)間戳、活動(dòng)以及終端設(shè)備開啟時(shí)間等豐富的信息。

圖2中所示的日志信息為logcat日志文件，可以用于顯示某個(gè)時(shí)刻被更新的系統(tǒng)和應(yīng)用程序的調(diào)試信息列表。通過快速瀏覽以上簡短的日志信息，可以看到服務(wù)器端的設(shè)備版本號(hào)、IP地址、本地日期/時(shí)間信息，以及應(yīng)用程序的相關(guān)細(xì)節(jié)。

日志非常詳細(xì)，以上給出的日志文件只不過是日志文件中的很小的一部分，每一個(gè)日志信息都以一個(gè)信息類型指示符開頭，具體含義如表1所示。

從Ithink手立視Q1所記錄的日志文件入手，分析和查看在其日志文件中所記錄的信息內(nèi)容，查看是否存在對(duì)案件偵查起到關(guān)鍵作用的重要信息。

本次實(shí)驗(yàn)利用Notepad++文本編輯器對(duì)該日志文件進(jìn)行查看，并對(duì)信息內(nèi)容進(jìn)行分析判斷，選取其中對(duì)偵查線索有所幫助的信息，同時(shí)進(jìn)行記錄，針對(duì)智能攝像機(jī)的一些共性問題，在后期開發(fā)一款能夠一鍵查找分析的工具軟件，減輕現(xiàn)場辦案的偵查人員的因?yàn)閷?duì)計(jì)算機(jī)的不了解導(dǎo)致的偵查工作的停滯或者破案的難度。由于日志文件細(xì)節(jié)豐富，很多都是記錄設(shè)備本身調(diào)試信息，不具備偵查取證意義，為提取涉案信息，下文將利用截圖的形式將在Ithink手立視Q1中發(fā)現(xiàn)的有關(guān)案件線索的代碼列舉出來并對(duì)其加以分析。

1.1? 手立視登錄Wi-Fi信息

如圖3所示，這條日志信息記錄的是客戶端APP在注冊(cè)階段將無線網(wǎng)絡(luò)賬號(hào)、密碼通過聲波傳輸?shù)姆绞桨l(fā)送給手立視設(shè)備，手立視在自己的日志文件中將無線網(wǎng)絡(luò)賬號(hào)密碼記錄了下來，從圖3可以看出無線網(wǎng)絡(luò)賬號(hào)為202，密碼為131415926。從這一點(diǎn)也可發(fā)現(xiàn)智能攝像機(jī)設(shè)備在安全防范方面的不足之處，作為賬號(hào)、密碼等隱私信息應(yīng)當(dāng)在代碼編寫過程中加密或者隱藏，而不應(yīng)該以明文的方式記錄的系統(tǒng)日志當(dāng)中，一旦遭遇黑客攻擊，對(duì)方將輕而易舉地獲取該用戶家庭無線網(wǎng)絡(luò)密碼，進(jìn)而侵入家庭無線網(wǎng)絡(luò)，對(duì)連入家庭無線網(wǎng)絡(luò)中的其他設(shè)備，尤其是智能手機(jī)、筆記本電腦登數(shù)據(jù)信息抓包分析等其他行為，盜取用戶的網(wǎng)銀賬號(hào)、密碼、手機(jī)內(nèi)短信驗(yàn)證碼等，可能引發(fā)更深更嚴(yán)重的網(wǎng)絡(luò)犯罪。

1.2? 手立視基本信息

如圖4所示，這兩段日志信息是在Wi-Fi連接成功后對(duì)手立視設(shè)備基本信息的獲取，從截圖中可以發(fā)現(xiàn)其中記錄了該手立視設(shè)備為：dev_q1_3，本機(jī)所對(duì)應(yīng)的局域網(wǎng)無線網(wǎng)絡(luò)IP地址為192.168.1.111，手立視設(shè)備Mac地址為cc：79：cf：ac：9b：25，連入無線網(wǎng)絡(luò)名稱為202，手立視設(shè)備系統(tǒng)版本號(hào)為1.25等。

這段信息記錄的是手立視設(shè)備本身的一些基本信息，尤其注意的是手立視設(shè)備連入無線網(wǎng)絡(luò)給分配的IP地址和自己本身的Mac地址，這些信息在偵查人員看來可能并沒有什么作用，既不能從中找尋犯罪嫌疑人的個(gè)人信息，又不能追查犯罪嫌疑人的行為軌跡。但是，這些基本信息從取證的角度來說卻是意義重大，在了解設(shè)備本身的基本信息后，在抓獲犯罪嫌疑人，可以從犯罪嫌疑人的手機(jī)客戶端或者PC端查看是否連入過我的智能攝像機(jī)設(shè)備，由于每一臺(tái)設(shè)備的Mac地址是唯一的，具有唯一性，所以，一旦當(dāng)犯罪嫌疑人手機(jī)中記錄了我這臺(tái)設(shè)備的Mac地址信息，即可作為同一認(rèn)定，認(rèn)定犯罪嫌疑人曾經(jīng)非法連入該智能攝像機(jī)設(shè)備。

1.3? 時(shí)間戳屬性

如圖5所示，由于電子證據(jù)在2012年《刑事訴訟法》修訂之后，在原有的物證、書證、證人證言中等傳統(tǒng)物證的基礎(chǔ)上增加了“電子數(shù)據(jù)”一新的證據(jù)形式，電子數(shù)據(jù)證據(jù)的法庭證明力也大大增加，其中在電子數(shù)據(jù)證明力上最重要的一點(diǎn)也就是電子數(shù)據(jù)的時(shí)間屬性，其是否符合案件發(fā)生的過程，是否有篡改等、時(shí)間屬性的不吻合很有可能會(huì)使得該證據(jù)證明力的滅失。

而在這條日志記錄中我們可以發(fā)現(xiàn)這是由手立視設(shè)備在連入互聯(lián)網(wǎng)后從默認(rèn)的初始時(shí)間重定向?yàn)楫?dāng)前時(shí)區(qū)時(shí)間的過程，同時(shí)在之后的日志記錄中以當(dāng)前時(shí)區(qū)互聯(lián)網(wǎng)時(shí)間為基準(zhǔn)，保證了日志文件時(shí)間屬性的準(zhǔn)確性。

1.4? 遠(yuǎn)程登錄用戶信息

如圖6所示，用戶的登錄訪問信息是我們?cè)趥刹槿∽C過程中需要著重注意的一點(diǎn)，同時(shí)也是犯罪嫌疑人在作案后留下痕跡的地方。在這段日志信息中我們可以發(fā)現(xiàn)，在clt-umac中，攝像機(jī)記錄了每一個(gè)登錄用戶的用戶名，即登錄用戶的手機(jī)號(hào)碼，如圖中所示的賬戶130XXXX2161，其登錄時(shí)設(shè)備的Mac地址9ca9e43defb4，如果是手機(jī)APP客戶端登錄則是手機(jī)的無線局域網(wǎng)地址，如果是利用筆記本電腦、臺(tái)式機(jī)等PC端登錄查看的。則是筆記本或臺(tái)式機(jī)的無線網(wǎng)卡地址。在ctl-innerip中，攝像機(jī)日志文件記錄了登錄用戶使用的IP地址信息192.168.1.110，偵查人員可以根據(jù)這一信息可以去確定犯罪嫌疑人所處的地理位置。

由于攝像機(jī)允許用戶設(shè)立15個(gè)子賬戶進(jìn)行遠(yuǎn)程登錄，實(shí)時(shí)觀看視頻，于是在同一個(gè)智能攝像機(jī)設(shè)備中可能同時(shí)存在幾個(gè)不同的賬戶登錄的信息。如圖7所示，在主賬戶130XXXX2161的設(shè)備的日志文件信息中我們發(fā)現(xiàn)了子賬戶180XXXX8011的登錄信息以及它的Mac地址和IP地址。再加上相關(guān)時(shí)間信息，我們就可以確實(shí)何人在何時(shí)何地對(duì)該攝像機(jī)設(shè)備進(jìn)行了遠(yuǎn)程訪問和查看。

登錄賬戶等信息的重要性在于不僅可以作為案件定罪量刑時(shí)的證據(jù)提供給法庭，更可以直接為偵查人員提供犯罪嫌疑人的相關(guān)信息，例如手機(jī)號(hào)碼、移動(dòng)設(shè)備的Mac地址，IP地址等，根據(jù)這些信息又可以鎖定到犯罪嫌疑人自身的信息。對(duì)案件的偵破有著極大的幫助。

2? 智能攝像機(jī)安全防范措施

智能攝像機(jī)之所以能夠被網(wǎng)絡(luò)黑客遠(yuǎn)程破解、控制其主要原因在于目前存在的網(wǎng)絡(luò)智能設(shè)備普遍存在兩點(diǎn)問題：首先是大多數(shù)的智能硬件設(shè)備包括本文所說的智能攝像機(jī)都是通過無線Wi-Fi與互聯(lián)網(wǎng)相連，而目前無線Wi-Fi的安全性，尤其是家用的無線路由器，無論從硬件配置還是密碼設(shè)置上，均相對(duì)較低。其次是智能硬件系統(tǒng)本身存在安全漏洞，網(wǎng)絡(luò)黑客通過后臺(tái)數(shù)據(jù)庫安全漏洞，使得攻擊者能夠獲得完整的后臺(tái)數(shù)據(jù)庫信息，由此黑客便可以利用安全漏洞奪取智能硬件設(shè)備控制權(quán)，隨時(shí)通過網(wǎng)絡(luò)攝像機(jī)觀察用戶生活起居情況，窺探用戶隱私。

作為以家庭安全防范為初心的網(wǎng)絡(luò)安全智能攝像機(jī)，購買和使用過程中需要做到以下幾點(diǎn)，以確保不被不法分子利用，真正地做到家庭安全、父母交流、孩子看管等提高生活品質(zhì)，保障安全的作用。

2.1? 購買品牌攝像機(jī)

在選購智能攝像機(jī)時(shí)，要購買安全系數(shù)高的大品牌生產(chǎn)的攝像機(jī)，千萬不能圖便宜購買市場上的一些雜牌甚至冒牌的攝像機(jī)。

2.2? 注意攝像機(jī)擺放位置

在購買智能攝像機(jī)后，在家中的擺放位置也是十分重要的，一般不要安裝在衛(wèi)生間或臥室這些私密空間，如果攝像機(jī)帶旋轉(zhuǎn)功能，在旋轉(zhuǎn)后的可視角度內(nèi)也不能夠看到涉及隱私部分的畫面。

2.3? 安全的網(wǎng)絡(luò)連接

無線網(wǎng)絡(luò)犯罪已然成為現(xiàn)在犯罪的一種新形勢，無論是如今泛濫的電信詐騙案件還是用戶信息泄露案件，無處不體現(xiàn)了無線網(wǎng)絡(luò)尤其是Wi-Fi網(wǎng)絡(luò)安全性低的問題，在使用網(wǎng)絡(luò)安全智能攝像機(jī)時(shí)也需要保證連入安全的網(wǎng)絡(luò)，不要隨意連接陌生Wi-Fi，以防止信息被盜。

2.4? 設(shè)置安全密碼

用戶在設(shè)置密碼時(shí)盡量使用強(qiáng)密碼，密碼要使用數(shù)字、特殊符號(hào)和大小寫字母組合，這樣即便是黑客想要破解密碼信息也會(huì)耗費(fèi)大量的時(shí)間。其次在路由器、攝像機(jī)等管理平臺(tái)上拒絕使用默認(rèn)賬戶密碼登錄，更改成為自己獨(dú)立的登錄賬戶信息，避免給犯罪分子可乘之機(jī)。

2.5? 隨時(shí)升級(jí)更新固件

每一個(gè)軟件的編寫總會(huì)出現(xiàn)各式各樣的安全漏洞，有的是編寫之初為了后期維護(hù)的方便，程序員主動(dòng)留有的后門，有的是程序之間引發(fā)的沖突導(dǎo)致的安全漏洞，在用戶使用期間，一旦發(fā)現(xiàn)安全問題，攝像機(jī)生產(chǎn)研發(fā)公司會(huì)根據(jù)漏洞原因編寫相對(duì)應(yīng)的補(bǔ)丁軟件，這時(shí)候就要求用戶隨時(shí)更新攝像機(jī)固件信息，將已經(jīng)出現(xiàn)的安全漏洞補(bǔ)上。降低用戶已經(jīng)出現(xiàn)的可能風(fēng)險(xiǎn)。

2.6? 其他安全措施

除了上文所述的常規(guī)的安全保障措施之外，在使用智能攝像機(jī)的同時(shí)，也要注意自身的一些可能泄露隱私或者安全的行為，例如長時(shí)間不使用，或者家中長期有人無需監(jiān)控時(shí)可以關(guān)閉攝像機(jī)（斷電），不要在攝像機(jī)前拍攝過于隱私的畫面等。一旦發(fā)現(xiàn)在攝像機(jī)使用過程中出現(xiàn)異常情況，要及時(shí)停止使用，并聯(lián)系相關(guān)專業(yè)人士進(jìn)行檢修，以防止更嚴(yán)重的危害發(fā)生。

3? 結(jié)? 論

通過對(duì)上述家用智能攝像機(jī)日志文件的分析，可以看出市面上的很多產(chǎn)品仍然存在各式各樣的漏洞后門，給予不法分子可乘之機(jī)。作為消費(fèi)者，在選取品牌攝像機(jī)的同時(shí)，也要加強(qiáng)自身的保護(hù)意識(shí)，避免任何可能的信息泄露。也希望國內(nèi)的生產(chǎn)廠家除了在產(chǎn)品外觀，性能等方面不斷提升之外，更要在產(chǎn)品安全性上多下功夫，從源頭上杜絕信息泄露的可能。

參考文獻(xiàn)：

[1] 湯艷君，高洪濤，羅文華.電子物證檢驗(yàn)與分析 [M].北京：清華大學(xué)出版社，2014.

[2] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)：第8版 [M].北京：電子工業(yè)出版社，2021.

[3] 王珊，薩師煊.數(shù)據(jù)庫系統(tǒng)概論：第5版 [M].北京：高等教育出版社，2014.

[4]曾建偉，黃奕維，林偉堅(jiān).防火墻日志分析的關(guān)鍵技術(shù) [J].教育信息技術(shù)，2018（Z1）：97-98.

[5]王春蘭，張小英.Windows系統(tǒng)日志取證分析簡述 [J].電子世界，2020（24）：21-22.

作者簡介：王琦（1991—），女，漢族，安徽合肥人，助教，碩士研究生，研究方向：刑法、民商法；徐楊軍（1991—），男，

漢族，安徽合肥人，講師，碩士研究生，研究方向：網(wǎng)絡(luò)安全與技術(shù)。

收稿日期：2023-01-11

基金項(xiàng)目：2022年度安徽省高校哲學(xué)社會(huì)科學(xué)研究項(xiàng)目“互聯(lián)網(wǎng)視聽節(jié)目版權(quán)監(jiān)管法律制度研究”（2022skxm009）