一起网络诈骗案中的电子物证检验
来源:99网
别孳技 术 2016年第4l卷Science and Technology 第6期 DOI:10.16467 ̄.1008—3650.2016.06.014 ・技术与应用・ 一起网络诈骗案中的电子物证检验 周翔 f生产建设兵团,乌鲁木齐8300()0) 摘要:近年来,国内电信、网络诈骗案件频发,诈骗手法多变;其中犯罪分子冒充国家公、检、法机关工作 人员利用电话骗取受害人的信任,指使受害人登录指定网站、安装远程控制程序或木马,远:程操作受害人的计 算机,登录受害人的网银账户,盗取受害人资金的案件发案率较高。对此类案件的电子物证取证分析存在一定 的难度,鉴定过程中易将此类案件归为计算机植入木马类案件进行分析,分析过程中会涉及到程序的反编译、 程序代码的跟踪执行等多个检验环节,使案件分析变得复杂。本文报道一案例,在分析过程中首先采用动态仿 真模拟出受害人的计算机,然后利用时间线技术分析案发时的计算机操作行为,通过电子物征取证分析,还原 了案发时计算机的操作行为,为案件的侦查提供了有力支撑。最后本文就此类案件的电子物征取证分析方法进 行探讨。 关键词:电子物证;网络诈骗;动态仿真;时间线;远程控制软件 中图分类号:DF793.2文献标识码:A文章编号:1008—3650(2016)06 0491—03 Forensic Analysis on Collecting the Electronic Evidence from an Internet Fraud Case ZHOU Xiang (Public Security Bureau ofXinjiang Production and Construction Corps,Urumqi 830000,China) ABSTRACT:The telecommunication.and—internet fraud cases have occu ̄ed frequently in recent years.Offenders played vOlatile and tricky swindles to reach their goals.Some of the criminals pretended to be the oficialf persons of public security, procuratorate and court to get trusted from the victims who were then instigated to log onto a speciic website where a lfong— ran2e contro1 program or Tr ̄an was to be introduced into the victims’computers.Thus,the victims’computers were able tO be remOtely operated and the accounts of these victims’E—bank be broken into,resulting in their money in the bank to be stolen.It is really of certain diiculfty to conduct the forensic electronic analysis about such cases because they are prone to be categorized into those implanted Trojan ones during the process of authentication which will be involved into a program decompiling,code tracking among the multiple tested links,thereby making the case analysis even more complex・In the case repo ̄ed here,the dynamic simulation was recruited to imitate the victim’S computer,and then the time sequence was analyzed of the EEG felectroencephalography)operant behavior in the course of crime.With obtainment of the sequence of the event bv the above implementation,the key evidence and clue of the case were dug up SO that the case was truly restored and SOIved・ KEY WORDS:electronic evidence;network fraud;dynamic simulation;time sequence;remote—control software 1案例 2015年8月生产建设兵团辖区发生一起特 员,利用电话称受害人王某的银 账户涉嫌洗钱,最 高人民已受理了案件,为帮助王某洗脱罪名, 需要王某提供个人或单位的网银、u盾、银行卡账户 及密码,王某在不明的情况下,按照犯罪嫌疑人 大诈骗案,犯罪嫌疑人冒充最高人民工作人 作者简介:周翔(1974),男,重庆人,学士,工程师,研宄方向为电子物证。E—mail:370248403@qq.corrl ・492・ 再IJ事技术ForensicScienceand Technology 2016年第41卷第6期 的指令卸载了计算机上的杀毒软什,然后登录到指定 =F某索取了ID和密码,从 远程控制了受害人的汁 算机通过埘Teamviewer的分析发现,该程序的远 控足P2P的彤式, 看log日志只能看到与其连接的 ID,无法追溯到对 的IP地址 J TelmVi ̄一一 网站,完成信息确认,敏使公司损失600余万元人民 币,给公司利益造成重大损失 办案人员希望通过检 验分析受害人的计算机,从中获取相关电子物证线索 或证据 一“ ・- 一 2检验 以案件发 时间为主线,建立时I1jJ分析模 …, ,是|軎 证 |l聊 目遵I・pI∞l l 许逸 }宅制 l 污 蛙 下 lD{c 西i 制iJ Il程 }斡帆 xll ̄^ 控■9 r . C盏》 123 7‘n 181 。 lf…j Safeanalyzer取证分析软什和动态仿真技术 】, D wt v 上件惜嫡 -综合检验犯罪嫌疑人使,ttj的计算机硬盘,重点还原发 案fI寸计僻:机上的操作行为 2.1 利用动态仿真还原作案过程 为还原作案过程,将涉案汁算机的硬盘接入到 融石计算机仿真取证系统(SafeVM Pro)模拟jIl涉 案汁算机 在虚拟机环境下进,彳启动,以系统JH户 图2 “teamviewer”软件截图 Fig.2 The screenshot On’’TeamViewer”software running 2.2利用时间线分析技术获取证据 的角度血观的检查和操作日标系统,收集相天 据一 SafeVM Pro可时原始镜像文件或者对象汁算机系统 的物理硬髓进行保护,虚拟机内进行的任何操作 会 改动原始没备或者镜像义件;支持的Windows操作 系统有Windows 7、Windows Vista、Windows 2003, Windows X P.Windows 2000.Windows N T.Windows 结合案情利ItJ综合取汪分析软件safeAnalyzer (v4.4)j该软什是罔『土J盘石软件(上海)有限公司研 发的乍1’对硬盘、移动硬盘、u盘等仔储介匝及DD、 AFF、Encase、lso格式、LOl格式镜像文件进行取 分析的软件,支持的史件系统有NTFS、Fat、Ext2/ Ext3、HFS/HFS+、CDFS、UDF;具彳『数据恢复、过滤、 分析、查找等功能,该软什是ENCASE/FTK/winhex Me,Windows 98 通过仿真环境模拟fl{受害人一 某的 汁算机行访问1 0079.cf网站访问该网站fI1f提尔要安 等分析软件的全中文替代品 其中 分析功能上可利 用时问线分析功能建立时间』 域内修改、访问、创建 装安全捕件“CHINA.exe”程序,该程序运行后,计 算机中会弹ffJ标题为最高人民的弹f}J窗『】( 1) 的文件时问线.方便定位案什l卡f1关文件、 2.2.1卸栽杀毒软件行为的记录 利朋safeAnalyzer(v4.4)软件过滤m涉案汁算机 硬盘内的网贞文件,以案发时间为主线通过时间线 分析功能,捩取该讣辫:机20l5年8月21口20点24 分生成了safe.html网页文件,通过查看该网页分析 ¨1该行为是卸载杀毒软件【 网3),日的是为了能 够I} 常访问犯罪嫌疑人指定的网站.或者从网站下载 插件的时候小被杀毒软件拦俄 U● ■5mg■●口■■■ zRl■_一_一 i■s雌 0& -群 —— —— 口母5974 l5-∞-2l 2C=24=49‘叼a"g 口肆¥口 975 2oi,—惦 21 2o_洲 h 删 钳76拍l5-0 ̄21凇●蚺f_cn聊 口 ,"7挪Is・∞-n砌描O 0ls u雌 l习l ”CHINA”插件 r 口 5978 2015-08-21∞ :如MaNI ̄ST-OI56%9 口茁5 1015・O}2l弛 ,。CURRENT-RF2 ̄g7Id¥ ̄TMP Fig.1 The outcome with the imDlementatiOn ofthe”CHINA” plug—in 口盛59∞曲l’・罅t2l∞ 村0赫awO b- ● 口A口 , 598曩12 220o1I5l-—(。 ̄.I-2l1 ∞ 2 ̄2.&50 O聊s1204 ̄1Io曲 a ・ { 棒 一 ii, “ 存虚拟机_J 通过埘“CHINA.exe”运行后的活 动端r_j分析,该 序是远程控制程序teamviewer(见 2)的定制版、陔程序分为服务端和客户端,安装 受害人机器上的为服务端,犯罪嫌疑人使H】客户 图3 卸载杀毒软件行为的记录 Fig.3 The record of uninstalling the anti—virus software 端远程连接服务端 犯罪嫌疑人通过电活向受害人 20l6年第4I卷第6期 周翔:一起网络诈骗幸中的电子物证检验 2.2.2访问假冒最高人民网站的记录 受 .1;:人 某的汁算机丁8月2I lj 20点30分 次 伪 成最高人 俭察院的『xxJ站10079.cf( 2.2.4网银转账的记录 通过safeAnalyzer过滤…所_仃网 史什,ji:缃业 仃账号关键词搜索过滤…的网页文件,捩收到 转 网 ,得到转 i 求( 转m#髓 4),卜 通过网站 询十} 最『l 愉已向其下发逑 捕令 墨曩E墨匿墨墨墨墨 函 。 一。一——一露窭富璧垦鐾霾匿墨蟊要量圆1s。s2l2缸蝴 6 珏1@黼6) 醵i^曲i^懒 蕾 II毫丝辨 #搿I 踟蹦胁 #^I号 #舻‘#^l 蟑雌 肆 胛17 2o15。8 21N:30'22埘姗琳t瑚22 6懈21毒 畹i ̄79.d l㈣d _ - ‘醛 —■_—■●■■—_爵 ・・—・● =l—E 氍*漆兽竺 蠹 2; 图6 网银转账的记录 Fig.6 The record ol’online bank transfer & ^ ^ l,g ^ 按 # 目A 州^ 瞎 疆ii!l 话琵震翥舔慧辫 ; ; 豁2嚣 §≮ ? 3 讨论 , 一一 定人员 会、人为涉案 霉握 、’E目 {t表毒员 《窜I 建 世辱 草等 i 专 鞋 码 # #§^ ] 饕 砩 此类案fq:6-:分{:Ji.I1’f, 汁钟:机可能被悄人小 5,会化费1人遁时川上 找小 图4 访问假冒最高网站的记录 Fig.4 The record of,3.CCeSS to the fake website of Supreme Procuratoratc ,5.但本案是一起 型的利川程序远程操作受 i;:人汁 机,同时利删电话骗取受 ^:人的信任,实施 案什.时间线 电了物ilt!Ll2illI, 折中起营至炎 的 的 2.2.3登录中国农业银行进行验证的记录 8 J J 21日2I点04分受 , 人li桀的汁算机访 rfJ旧农、 银行网页进行“验 ”( 5) .作』I J,通过对时fnJ线的分析,往fj=能分析j¨ 案什 发,l 时 嫌疑人或受 人埘计算机所进仃的操作, 岐 …II,J‘利用动态仿真系统模拟涉案、卜苒 ̄)Lfl9操作f . 能够进一步 I1月案什发 lI汁算机所触发的 l、f卡¨父程序的功能,从『n 作案过秤得以f{f现 ④ -& 诅曼 } {《H{I毒l t _‘ 孵 ●{啪拥一酗朴t l * 聊l I ・t 参考文献 [1]ZIJ唬々 . 晓 ,I i。 li.’fIllnj] ;f f:呕f勾fnII,J fItJ 分" H1 明. i 、 络友 ,2009(3):77—80. 图5登录中国农业银行进行验证的记录 Fig.5 Logging 01110 the Agricultural Bank of China fbr verification [2] 振洲,斥HJJ秋. J ATT 3000的动志俯 明.北京政iZSn,qkC:院 报.20l0f4):124 l16. 技术研’)’ 收稿日期:20l 5 l J 7 引川本艾格式:尉翔.一起 络诈犏窠Itlll『内电r物证检验lj11)t31'g技术,2016,41(6):491—493