VoIP調查取證方法研究

2010-05-09 06:00:22高洪濤

網絡安全技術與應用 2010年8期

高洪濤

中國刑事警察學院計算機犯罪偵查系遼寧 110854

0 前言

網絡電話（VoIP）是一種建立在IP技術上的分組化、數字化傳輸技術基礎上的語音通信方式。VoIP利用了先進、復雜的網絡傳輸技術和加密技術，隱蔽性高、難以監控。近年來，國內出現了利用VoIP犯罪的現象，而且愈演愈烈。其中最突出的有：①短信詐騙；②利用任意號修改軟件直接撥打電話，編造故事，迷惑事主，進行詐騙活動。

1 VoIP的工作原理分析

1.1 VoIP的基本結構

VOIP的基本結構由網關（Gateway）和網守（Gate Keeper）兩部分構成。網關的主要功能是信令處理、H.323協議處理、語音編解碼和路由協議處理等，對外分別提供與PSTN 網連接的中繼接口以及與IP網絡連接的接口。關守（Gatekeeper）或網閘在H.323系統中是可選項，當網閘在系統中出現時，網守的主要功能是用戶認證、地址解析、帶寬管理、路由管理、安全管理和區域管理，提供地址轉換、許可控制、帶寬控制等服務，其內存儲有很多與案件相關的信息，如呼叫記錄、系統維護記錄等，這些數據對涉VoIP案件調查有很大幫助。

一個典型的呼叫過程是：呼叫由PSTN語音交換機發起，通過中繼接口接入到網關，網關獲得用戶希望呼叫的被叫號碼后，向網守發出查詢信息，網守查找被叫網守的IP地址，并根據網絡資源情況來判斷是否應該建立連接。如果可以建立連接，則將被叫網守的IP地址通知給主叫網關，主叫網關在得到被叫網關的IP地址后，通過IP網絡與對方網關建立起呼叫連接，被叫網關則向PSTN網絡發起呼叫并由交換機向被叫用戶振鈴，被叫摘機后，被叫網關和交換機之間的話音通道被連通，網關之間則開始利用H.245協議進行能力交換，確定通話使用的編解碼，在能力交換完成后，主被叫方即可開始通話。

1.2 任意號修改軟件的技術原理

從技術層面來看，手機改號軟件實質上是利用了VoIP技術的一個漏洞。當IP電話終端把主叫方信息傳遞給IP電話網關的時候，網關并沒有對電話終端傳送的主叫方號碼信息進行有效性認證處理，而是直接把主叫號碼信息傳遞給了程控交換機，并最終顯示到了被叫方手機上。目前我國對互聯網上虛擬運營商交換機的網關如何發送主叫號碼，缺乏嚴密的技術規范和相關法律規定。所以虛擬運營商利用這一漏洞，提供“來電號碼任意顯”的“服務”，牟取不當利益。

VoIP要打給固定電話或手機，必須要有網關和固定電話網或移動通信網相連，專業術語叫“落地”。很多提供落地網關服務的運營商沒有對網絡電話送來的主叫號碼進行過濾和分析，而是直接進行了透傳，在落地網關出口處直接設置主叫號碼，或者直接將修改主叫號碼的權利交給網絡電話用戶隨意設置主叫號碼，為不法分子通過這種非法落地網關修改主叫號碼提供了方便。

2 VoIP調查取證方法

2.1 涉VoIP案件的偵查線索

（1）網絡身份

網絡身份認證就是通過對IP地址定位，確定信息的發出者，是涉網犯罪案件偵查過程中必用的偵查手段。通過咨詢服務商，可以得到犯罪分子的IP地址，鎖定犯罪嫌疑人。

（2）網絡通訊內容

通過對通訊內容篩選可以了解到相關的聯系人、聯系地點等線索，對于案件的順利偵查非常重要。

（3）網絡注冊信息

網絡工具大多需要注冊，雖然注冊信息大多是虛假的，但虛假的信息也會體現出個人特征，通過這些線索的收集有可能會發現犯罪嫌疑人有關線索。

（4）銀行賬目變化

網絡上的現金多是通過銀行賬號來體現的。通過監控銀行賬號的轉賬、存款、取款、匯款等信息能夠獲得犯罪嫌疑人重要線索和證據。

（5）銀行攝像記錄

在銀行賬號跟蹤過程中的攝像會發現犯罪嫌疑人的體貌特征、犯罪同伙等有關偵查線索。

2.2 涉VoIP案件的調查取證方法

常規的偵查方法對涉VoIP犯罪案件的偵查工作依然有效，還可以通過一些特殊的調查方法進行調查取證。

（1）對犯罪嫌疑人計算機的檢查

有關犯罪嫌疑人使用的計算機中的證據收集在偵查過程中應該成為重點，其中有大量的文件、上網記錄、日志、聊天記錄、郵件內容等線索，收集線索時應該做到及時快速。

（2）對網絡設備的檢查

任何電腦上網都必須經過網絡設備（路由器、防火墻、代理服務器、網關等），其中會留有大量的上傳和下載活動等相關涉網線索。

（3）對終端設備的檢查

只要是與網絡相連接的終端設備都有可能會留有相關偵查線索。銀行終端設備會反映出賬號的轉賬、存款、取款等變化信息；銀行攝像會反映出取款人的相關信息；電信終端會反映出電話號碼的有關信息。

（4）通過對VoIP的合法偵聽進行偵查

合法偵聽是受到法律許可的對通信進行偵聽的行為，網絡偵查部門可以通過對犯罪嫌疑人的通話進行偵聽，發現罪犯蹤跡。但因為針對NGN中業務監聽系統設計復雜，因此我國現在對VoIP的合法偵聽系統需要進一步研究和驗證才能真正運用于公安實踐中。

（5）對VoIP服務提供商進行調查

對VoIP服務提供商的調查主要分為落地網關和上車網關兩部分。落地網關是VoIP網絡與傳統的PSTN網絡進行數據交換的地方，來電顯示號碼就是在此進行修改的；上車網關是網絡電話的播出方與VoIP網絡進行數據交換的地方。落地網關調查主要涉及網關設備及計費系統等相關系統，可能會得到接聽電話方的真實電話號碼、撥號方或上一級VoIP網關的真實IP地址等。如果得到的是撥號方的真實IP地址，就可直接定位到撥號方的計算機，若得到的是上一級VoIP網關的IP地址，這可以通過網關一級一級向上查找，最后得到撥號方的真實IP地址，從而確定撥號人。

3 涉VoIP調查取證實例分析

3.1 對涉VoIP案件主機的檢查

對涉VoIP案件的主機的檢查工作主要就是對VoIP軟件使用痕跡的檢查，以Skype軟件為例進行介紹。

當被調查的計算機默認安裝并運行過Skype后，軟件會在C:Documents and Settings AdministratorApplication DataSkype下為每個已登錄過的用戶建立一個以用戶名為名字的文件夾，存儲用戶的相關資料。

進入一個以用戶名命名的文件夾（如：jxxyyzly123）后可以看到記錄用戶信息的文件，其中有兩個很重要的文件：callmembwe256.dbb、call256.dbb。callmember256.dbb文件用于存儲該用戶的呼出記錄，文件中每條記錄按時間順序由上至下排列。使用UltraEdit軟件打開callmember256.dbb文件后可以看到每條記錄都記錄著撥出號碼及該號碼的顯示名稱，并與Skype軟件中的撥出記錄相對應。call256.dbb文件用于存儲用戶撥打電話的時間，文件中的每條記錄依次對應call-member256.dbb中的撥號記錄，并記錄是否接通及通話時間。

還可以采用SkypeLogView軟件進行分析。通過Skype LogView可以查看每個用戶的通話記錄、聊天記錄以及傳送文件的記錄，并可按要求寫入文本文件或網頁文件中，以便固定證據。如圖1所示。