遠程勘驗取證技術研究

羅倩 王生玉 石奧迪

摘要：當前互聯網已成為政治、經濟和社會活動的重要場所。犯罪分子利用計算機網絡技術進行各種犯罪活動，傳統的犯罪也在計算機網絡技術輔助下變得更加隱蔽。不同于傳統計算機取證可通過扣押、無損鏡像等方式對數據進行提取，直接獲取服務器較為困難。因此，針對遠程勘驗取證技術的研究勢在必行。該研究介紹了利用遠程勘驗對服務器進行取證分析的方法與步驟，為取證人員提供技術參考。

關鍵詞：遠程勘驗;取證分析;服務器;數據重構

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2020）36-0182-03

Abstract： At present， the Internet has become an important place for political， economic and social activities. Criminals use computer network technology to carry out a variety of criminal activities， the traditional crime has become more hidden with the assistance of computer network technology. Unlike traditional computer forensics， which can extract data by means of seizure and lossless image， it is difficult to obtain the server directly. Therefore， it is imperative to study the technology of remote inspection and evidence collection.

Key words： remote forensic analysis; forensic analysis; the server; data refactoring

1 引言

近幾年，全球數據量迎來爆發，推動這一增長的重要因素之一是云計算的快速發展，越來越多的企業、政府等機構將解決方案遷移至云。與此同時，云服務也給機構和用戶帶來了許多潛在的安全問題。

目前，涉及云服務器案件的取證鑒定主要包括違法網站取證、云服務器入侵取證和利用云服務器傳遞違法犯罪信息的取證。部署在云上的違法網站主要包括詐騙網站、涉穢色情網站、網絡侵權網站、網絡賭博網站等類型。此類違法網站主要通過虛假或非法信息謀取利益，對社會造成負面影響。針對此類案件，除了要對網站信息進行提取和內容分析以外，還要對網絡IP地址、網絡資金流向、數據庫層級關系等信息進行提取。云服務器非法入侵主要通過獲取用戶信息或對用戶進行勒索，從而謀取非法利益，包括服務器入侵、網站數據惡意篡改、網站數據被盜取以及服務器木馬。此類案件的取證工作主要通過對入侵痕跡進行分析，獲取犯罪證據。利用云服務器傳遞違法犯罪信息類案件主要為利用云應用傳遞淫穢色情信息等，這類案件因為數據存放在云端，而云上的數據無論是調證還是取證，相對傳統的取證而言，時間長，難度高，對于執法人員辦案效率具有較大的影響。因此，對云服務器上的數據進行取證分析研究對社會公共安全具有重大意義。

一方面由于云服務器物理存放位置較為隱蔽，資源回收速度快，為傳播惡意程序與代碼等違法犯罪行為提供了有利條件，另一方面云上用戶私人數據更易泄露、數據更易被篡改，使得云服務器非法入侵類案件逐年增多。犯罪分子利用計算機網絡技術進行各種犯罪活動，傳統的犯罪也在計算機網絡技術輔助下變得更加隱蔽[1]。針對這些計算機相關犯罪活動，需要利用取證技術對相關證據進行固定。傳統計算機取證依賴于對原始數據存儲介質的獲取與固定，通過扣押、無損鏡像等方式可獲取電子數據信息[2]。但是對網站、網絡應用來說，其數據存儲在遠程服務器上無法確認服務器物理地點，同時服務器數據量極大，依靠扣押設備直接獲取服務器存儲介質的難度極大[3-4]。當前遠程網絡取證主要以瀏覽器緩存日志分析取證、截屏拍照等為主。

2 遠程勘驗技術

網絡遠程勘驗是指通過網絡對遠程目標系統進行勘驗檢查，以提取、固定遠程目標系統的狀態和留存的電子數據，為案件情況和案件發生過程的分析判斷提供依據，確定案件偵破方向和調查范圍，為破案和刑事訴訟提供重要支撐[5]。目前遠程服務器取證主要通過固定保全的方式進行。

登陸取證內容包括當前操作系統動態信息、操作系統配置信息、存儲介質、網絡相關的信息。操作系統動態數據包括系統開機時間、操作系統版本、當前連續用戶、當前運行進程、當前打開的句柄、網絡偵聽端口、當前網絡連接等各種關機后可能滅失的信息。操作系統配置信息包括用戶列表、系統自啟動項、系統服務、操作系統配置、操作系統日志等各種操作系統相關的數據信息。存儲介質基本信息包括存儲介質的類型、介質大小、分區信息、每個分區的大小、每個分區的文件系統類型，以及文件系統的加載點配置等。用戶可以方便地瀏覽及固定這些數據。網絡數據包括網絡接口配置、網絡偵聽端口、當前網絡連接等網絡類型，可以發起對遠程網絡端口的數據偵聽和數據解析，發現問題網絡數據流和通信目標。

遠程賬號密碼登錄取證主要利用賬號密碼登錄服務器，登錄后可對服務器進行數據固定。一般取證過程可對網站運行狀態、頁面內容進行固定。其中網站運行狀態包括 IP 地址、 運行狀態、服務端軟件和版本等各種信息。頁面內容主要包括網頁內容、網站數據庫等數據信息。目前，固定的數據類型主要包括原始網頁、內容信息、網頁截圖、視頻錄像等。在對遠程網站的固定過程中，在可能的情況下可以保存為與原始網頁對應的 HTML文件格式，同時保存 HTML 格式相關的圖片、CSS 樣式表等文件，形成網站本地鏡像。

網頁數據固定截圖是對頁面的可視部分生成圖形化的快照，快照可以保存為PNG、JPG等單一文檔格式，有利于生成證據清單和頁面內容的后續完整性校驗。對于視頻、Flash 等動態交互內容，提供一個瀏覽器形式的交互界面，用戶通過交互界面觀看視頻、與網頁進行交互，同時將視頻播放、交互情況進行記錄，生成一段視頻，通過屏幕錄像等方式對一段時間內的動態信息進行記錄。

最后，可通過完整性校驗的方式對獲取的證據信息進行真實性和完整性進行記錄。可通過固定過程全程錄像，固定結果、錄像結果加入時間和 URL 標簽，計算Hash值等。

3 數據重構

在對遠程網站的固定過程中，可以同時按照設定的要求下載網站的頁面文件及其附屬文件，形成網站內容的本地鏡像，通過修改源文件的鏈接地址信息，實現網站的本地離線瀏覽，使辦案人員可以正常瀏覽網站。

云服務器上的網站一般為Apache、Nginx、IIS等，需要使用取證工具對此類流行建站工具進行自動識別和應用解析，并完成后續的證據固定。以Apache網站服務器為例，通過取證工具能解析服務器配置文件，得到虛擬主機配置、虛擬目錄配置以及各個網站應用文件和網站日志的存放位置。同時，通過取證工具自動識別MySQL、MsSQL、PostgreSQL等常見數據庫類型，并通過備份、導出等方法對數據庫數據進行提取和固定。

在當前網站開發技術中，網頁展示主要分為兩類，一類是靜態頁面，這類數據是指已經在網站服務器上生成的，以固定格式文件保留在服務器中，常見的有htm和html等，一般多用于不需要經常變更的數據內容展示。相應的另一類是動態頁面，是指頁面內容需要服務器網站應用程序進行處理動態生成的，往往會隨著訪問者身份、訪問行為、訪問時間變化等等一系列參數變化而變化。網頁數據傳輸協議主要以HTTP和HTTPS為主，被包含于URL（Uniform Resource Locator， 統一資源定位符）中，也就是俗稱的網址。網頁取證除了指定URL，還需要對訪問時間，請求參數等數據進行記錄，請求參數主要包括請求方法（request method）、請求頭（request headers），請求載荷（request payload）。不同的組合往往可以獲得不同的請求結果，常見的基本請求參數組合為使用GET請求方法和設置請求頭屬性User-Agent為常用的網絡瀏覽器身份標識，讓服務器認為是相應的網頁瀏覽器請求以呈現對應的頁面結果。網頁取證的技術思路，就是模擬正常用戶的網站訪問行為，即設置好請求參數通過能夠發起HTTP或HTTPS請求的程序訪問目標網址，獲得返回結果。

其主要步驟為：首先通過分析前臺網站服務器配置文件，找到網站服務文件所在的目錄和全部代碼，再通過分析網站服務器文件的配置，找出網絡數據庫類型、IP地址以及數據庫的訪問用戶名、密碼等，導出數據庫中的所有數據;然后利用仿真的方式或者使用提取的網站代碼和數據庫構建模擬網站服務器;最后使用同樣的方式導出后臺管理服務器的代碼和數據庫中的所有數據，并搭建后臺仿真或模擬網站。網站重建之后可以通過登錄前臺界面，模擬用戶操作行為，確定與之相關聯的網站程序和模塊。

對通過各種方式固定的完整服務器系統的鏡像，可采用服務器仿真的方式，完成對數據庫服務器的仿真和重構。對于遠程固定的數據庫數據，在本地仿真啟動數據庫服務器，通過數據庫服務器導入之前固定的數據庫數據，還原原始數據庫的服務，可以正常瀏覽數據庫中的數據，并能為其他應用提供數據服務。

對于原機、硬盤鏡像，通過平臺仿真原有服務器系統的基礎硬件和操作系統環境，形成仿真運行取證系統，支持的操作系統包括常見的 Windows 服務器系統、各種 Linux 發行版服務器等。在啟動服務器鏡像之后，可以仿真原網絡環境和用戶環境，設置 IP 地址/域名等信息。配置相應的數據庫服務等，使得仿真取證系統的網站應用程序能夠在仿真網絡環境使用。此時，可按照原始網絡的運行狀態獲取與用戶環境相關的應用程序及服務的相關數據，重現用戶運行環境狀態。

根據以上方法，可對網站數據庫進行分析，同時可根據數據庫信息及操作記錄還原后臺資金交易信息與人員分層結構，為違法網站取證分析奠定基礎。

4 遠程勘驗取證發展方向

近年來，隨著網絡違法犯罪活動實施方式不斷升級、反取證技術不斷增強、云環境復雜度不斷提高以及應用程序通訊協議不斷更新，給現有云數據取證技術帶來了嚴峻挑戰。在云服務器取證方面，目前云服務器的在線仿真技術，僅限于國內的阿里云平臺[7]。針對其他公有云例如：騰訊云、金山云等仍然需要通過離線仿真進行取證，對于大規模云環境的仿真取證有所欠缺，仍然面臨環境配置復雜、提取速度慢、數據分析難的問題 [8]。針對海外的市場占有率很高的AWS、Azure、Google等。除此以外，網站技術架構推陳出新、定制化嚴重，加大了手工重建網站的難度，網站智能重建技術仍有所欠缺;違法犯罪分子反取證能力的增強，使得數據恢復的場景更加復雜，數據庫碎片重組和分析缺乏智能的分析手段[9]。在應用程序的提取方面，由于通訊協議多樣、數據加密方式不同、風險控制力度加大，導致App賬號密鑰提取難、App脫殼逆向難、App網絡協議逆向難、脫離手機進行云取證難等多個技術難題有待進一步的解決。針對云服務器的取證技術是未來發展的主要方向之一[6]。

5 總結

本文主要介紹現有遠程勘驗技術的幾種方式，同時介紹數據重構的方法與步驟。通過對以上方法的介紹，實現遠程服務器的取證分析，以期為取證人員提供技術參考。

參考文獻：

[1] 石奧迪，吳松洋，劉善軍，等.一種遠程服務器取證的系統和方法[P].2019.

[2] 何震，代江龍.論服務器軟件侵權遠程取證的司法認定[J].電子知識產權，2016（1）：97-102.

[3] 王嘯虎.淺談網絡遠程勘驗流程及其在案件偵辦中的重要性[J].網絡安全技術與應用，2018（11）：113，98.

[4] 朱峰，劉捷，李軍.遠程勘驗取證分析軟件開發與實現[J].信息網絡安全，2011（11）：73-74.

[5] 朱桐輝，王玉晴.電子數據取證的正當程序規制——《公安電子數據取證規則》評析[J].蘇州大學學報（法學版），2020，7（1）：121-132.

[6] 黃逵.刑事檢察中電子數據的收集困境與破解方法[D].長沙：湖南師范大學，2019.

[7] 張麗霞.基于HTML語言的網頁制作方法[J].電子測試，2018（Z1）：86-87.

[8] 金明哲，鄭建立，裴旭明，等.應用于物聯網的Linux云端服務器設計[J].信息技術，2015，39（9）：179-183.

[9] 薛琳. 基于iOS平臺的云服務器管理系統研究與實現[D].上海：東華大學，2015.

【通聯編輯：代影】