【用戶痕跡在電子數據取證實戰中的應用】


【用戶痕跡在電子數據取證實戰中的應用】

2021-02-24 電子物證

來源:盤石軟體PANSAFE

編號:Pansafe

作者:皮浩

痕跡是案件調查取證過程中不可或缺的關鍵因素,用戶痕跡則是電子數據取證中不容忽視的重要內容。筆者於2015年末爲《信息犯罪與計算機取證》一書編寫過相關章節內容,本文將基於該原稿並結合近幾年參與過的真實案件來談談用戶痕跡在電子數據取證實戰中的應用。

提到痕跡,首先想到的是實際的事物經過後,可覺察的形影或印跡。其實電子數據也是一樣,用戶通過日常使用計算機、手機、平板電腦等設備,進行新建、修改、訪問、傳輸等操作產生的電子數據記錄也就是用戶留下的痕跡,即用戶痕跡。

用戶痕跡是用戶在使用計算機、手機、平板電腦等設備時產生的電子數據記錄,因此它與用戶活動息息相關。

我們已經知道,電子數據證據有生成證據、存儲證據和混合證據之分,這是根據電子數據的身世來由確定的,電子數據可以是人爲生成、自動生成或者兩者結合下生成的,用戶痕跡數據也是這樣。

人爲生成的電子數據是以用戶的主觀意志創造、複製或者衍生出的新數據,是用戶主動創造的痕跡,記錄著用戶當時的使用情景和狀態。通常這些電子數據痕跡的產生是用戶習慣性經常使用產生的,而且有查閱歷史信息的需要,一般不會特意清除,比如使用郵件客戶端收發的郵件、通過下載工具下載的文檔資料、選擇自動保存的登錄密碼信息等。

自動生成的電子數據是作業系統或者應用系統自動生成的記錄一定信息的數據,不被用戶的主觀意志左右。但隨著用戶的計算機知識和反取證意識的提升,這些數據很可能會被清除或篡改。通常這些數據是從系統啓動開始,在用戶不經意間不斷產生的,而且會在用戶的使用過程中隨時變化,比如作業系統的開關機時間、USB設備的插拔記錄、通過瀏覽器上網產生的緩存記錄等。

兩者結合生成的電子數據是結合了上述的兩種情形下產生的,也是用戶痕跡數據產生的主要方式之一。很多嫌疑人自認爲聰明地去修改或者清除一些痕跡數據,確不知其實系統還會有其他的信息記錄著他們的這一系列行爲,比如人爲篡改系統時間留下的事件日誌記錄、word文檔打開時自動保存的臨時文件等。

人爲、自動和兩者結合的方式產生的用戶痕跡數據貫穿了使用計算機等設備的整個過程,也使得第三方調查者能夠通過調查這些痕跡數據對嫌疑人進行用戶行爲串聯和分析,從而給還原案件的真相提供了可能。

用戶痕跡電子數據具備著電子數據的普遍特點:無形性、多樣性、客觀性、易破壞性、隱蔽性等。

由於痕跡產生於用戶使用計算機等設備的過程中,因此還具備著記錄用戶操作歷史、行爲軌跡、通信記錄、密碼信息等隱私數據的特點。

用戶使用計算機、手機、平板電腦等設備都會產生用戶痕跡。

用戶在常規的文檔類工作中會產生很多的痕跡數據,包括lnk文件、Metadata(元數據)、Thumbnail(縮略圖)、回收站、網絡信息等。

Lnk文件是指擴展名爲.lnk的文件,一般叫做連結文件或快捷方式文件。「.lnk」是Windows系統默認的快捷方式的擴展名,如果「文件夾選項」下設置爲「隱藏已知文件類型的擴展名」,正常情況下「.lnk」是不顯示的。

Lnk文件自動由Windows創建,通常包含以下內容:卷信息Volume infomation(名字、類型);原始位置;系統名稱。

Lnk文件具備以下特點:

·    用於指向其他文件的lnk文件,通常稱爲快捷方式文件,以方便使用者快速調用原始文件。

·     Lnk文件不一定是用戶主動建立的,特別是作爲快捷方式以外的連結文件出現時。

·     當用戶打開和使用文件時,Windows自動創建連結文件並顯示在「最近使用的項目」中(即user用戶名AppDataRoamingMicrosoftWindowsRecent)。

·     如果用戶從USB設備中打開並編輯一個文件,但從未複製到系統中,那麼該文件的lnk文件將被創建在用戶帳戶目錄下的「Recent」文件夾中(即指向「最近使用的項目」目錄)。

·     Lnk文件會包含原始文件的MAC時間[1]、存儲路徑以及所在磁碟的卷信息或網絡共享信息。

【案例一】涉恐案

在某起涉恐案件中,從嫌疑人處查獲U盤一個,其中含有大量涉恐文件。嫌疑人拒不承認與之有關,並表示從未打開過該U盤中的文件。在取證過程中,我們通過對嫌疑人電腦硬碟鏡像進行分析,發現對應的最近文件項中有相關涉恐文件的lnk文件指向G盤。再通過對註冊表中的USB設備記錄進行獲取,發現G盤對應的設備名稱及序列號正好與該涉案U盤吻合,且相關時間屬性也完全對應。至此,嫌疑人的謊言不攻自破,再結合其他電子數據形成的證據鏈,其涉嫌犯罪的事實已無從抵賴。

圖1 取證軟體SafeAnalyzer獲取到的lnk文件信息

圖2 取證軟體SafeAnalyzer獲取到的USB設備信息

元數據(Metadata),又稱中介數據、詮釋數據,也稱之爲數據的數據。

有關metadata名詞起源於1969年,由Jack E. Myers所提出。Metadata的基本定義出自OCLC與NCSA所主辦的「Metadata Workshop」研討會,它將Metadata定義爲「描述數據的數據」(Data about data),此後各種有關Metadata的定義紛紛的出現。現存很多metadata的定義,主要因使用情境而不同。如有關數據的數據(data about data),有關信息對象之結構的信息(structured information about an information object),描述資源屬性的數據 (Data describes attributes of resources)等。

一個數據存儲在共享卷里時,我們可以直接看到它是一個文檔、圖片、視頻或資料庫文件,這些都是數據本身。然而在存儲該數據時,文件系統還會產生很多無法直接看到的,與該數據有關的數據,如文件系統中文件檢索表、路徑信息、地址信息等,這些數據就稱之爲文檔、圖片、視頻等在共享卷中的元數據。

我們可以在很多地方看到元數據的存儲,網上下載下來的電影本身一個視頻文件數據,而點擊右鍵查到看的視頻文件屬性,如存儲路徑、碼率、文件大小、導演、演員、製作單位等就是視頻文件的元數據。在地理空間信息中用於描述地理數據集的內容、質量、表示方式、空間參考、管理方式以及數據集的其他特徵,也都是元數據。

在案件的調查取證過程中,一些數據諸如儲存在電腦里的電子郵件、附件等所包含的元數據往往作爲一些案例的破案依據。Microsoft Office元數據常常也是討論的關鍵,office元數據嵌入到文件自身並包含了相當有用的信息,在多起訴訟案件的根源分析中發揮了作用。信息的類型在案件中也許會是關鍵點,比如:被盜來的office文檔,能夠通過檢查元數據顯示內部信息來證明該文檔的原始來源是另一個公司。

通常office文檔包含的元數據如下:

•       Document標題

• MS Word版本

• Last author作者;

•       文檔創建時間;

•       最近保存時間;

•       最近列印時間。

圖3 Word文檔中的元數據

圖片是一種特殊的文件形式,包含著大量的元數據信息,圖片中的元數據通常叫做EXIF。EXIF是 Exchangeable image file(可交換圖形文件)的縮寫,這個格式是專門爲數位相機照片設定的。這個格式可以記錄數字照片屬性信息。

EXIF是一種圖象文件格式,它的數據存儲與JPEG格式是完全相同的。實際上EXIF格式就是在JPEG格式頭部插入了數碼照片的信息,包括拍攝時的光圈、快門、白平衡、ISO、焦距、日期時間等各種和拍攝條件以及相機品牌、型號、色彩編碼、拍攝時錄製的聲音以及全球定位系統(GPS)、縮略圖等。可以簡單地說,EXIF=JPEG+拍攝參數。因此,你可以利用任何可以查看JPEG文件的看圖軟體瀏覽EXIF格式的照片,但並不是所有的圖形程序都能處理EXIF信息。

通過分析EXIF中包含的GPS信息,更是成爲諸多案件偵破的重要線索和摧毀不在場證明的利器。

圖4 圖片EXIF中的GPS信息

元數據的存在,在法律界已經引起了非常大的爭議,焦點在於:在案件訴訟期間是否應該提供元數據。在許多情況下,並不要求公訴方提供帶有元數據的文件;如果此時,辯方要求附加提供元數據。在當前情況下,法官應要求公訴方補充證據,否則不能要求訴訟開始。

【案例二】2015年能力驗證

圖片的EXIF信息可以說是最典型的一類Metadata,EXIF中的GPS信息在案件的調查取證中又顯得最爲重要。雖然說在真實案件中實際運用不多,但在2015年公安部三所和司法部司鑒院(原司鑒所)所出的電子數據鑑定能力驗證題中都出現了圖片GPS位置信息的獲取。

這裡以其中一例來看,該案件線索涉及制假工廠的具體位置,通過篩查可以發現檢材手機鏡像中有不少照片疑似廠房外景,通過讀取相關照片的EXIF不難獲得圖5中顯示的GPS信息(經緯度),從而可以爲確定廠房具體位置及嫌疑人何時去過何地提供電子數據依據。

圖5 手機中照片及其對應的位置信息

Thumbs.db是一個用於Microsoft Windows緩存Windows Explorer的縮略圖的文件(Linux、macOS、Android、iOS中也有)。Thumbs.db保存在每一個包含圖片或照片的目錄中,可緩存圖像文件的格式包括:jpeg,bmp,gif,tif,pdf以及htm。Thumbs.db文件是一個資料庫文件,裡面保存了這個目錄下所有圖像文件的縮略圖(格式爲jpeg)。當以縮略圖查看時(展示一幅圖片或電影膠片),將會生成一個thumbs.db文件,而且其體積隨著文件夾中圖片數量增加而增大。Thumbs.db是Windows 8/XP/2003爲了提高文件夾在縮略圖查看方式下的響應速度而對當前文件夾下的圖像文件建立的緩存,這個文件本身並無大礙,因爲本身是「系統文件+隱藏文件」,預設隱藏。Windows XP Media Center Edition版本,也生成了一個ehthumbs.db保存了視頻文件預覽。 Windows Vista/7/10中,微軟取消了thumbs.db文件,而是使用縮略圖資料庫” thumbcache_xxxx.db “,文件集中保存於Users[user name] AppData Local Microsoft Windows Explorer。

圖3 縮略圖的顯示

Windows爲了能更快地顯示圖片,會自動將文件夾中的圖片縮略圖保存爲索引文件「Thumbs.db」。我們將沒用的圖片刪除後,由於「Thumbs.db」不能立即自動更新,當出現新文件與原文件名稱相同時,便直接將原縮略圖取了出來,其實圖片本身並沒變,改變的只是圖片的縮略圖。這樣當嫌疑人將涉案的圖片刪除後,因爲有工具可以查看 Thumbs.db 的內容,甚至導出其中的圖像,這樣一來,調查人員可以通過 Thumbs.db 得到此文件夾中的所有文件名及縮略內容,然後可以使用Thumbs.db 瀏覽器下載此目錄下的所有圖像文件並瀏覽。

【案例三】洩密案

XX年X月,某市某局公務員X某在參加某次涉密會議期間,私自藏匿並攜帶一部手機進入會場,會上利用該手機偷拍了一份重要紅頭文件,於會後通過微信傳播。該嫌疑人被抓捕後,警方發現原手機中的照片文件已經被刪除,市面上常規的手機取證工具均無法恢復相關圖片。涉案手機爲iPhone 4,於是我們通過UFED對該手機進行鏡像,由於A4晶片設備還沒有全盤加密,鏡像獲取後可以解析出文件系統。通過對文件系統解析和過濾,我們針對性的查找了帶有thumb字眼的文件,並成功獲取了兩個帶有紅頭文件信息的縮略圖文件。雖然該文件對應圖像解析度較低無法看清具體正文,但紅頭部分已經很明顯(筆者在協助該案件取證工作時尚處於涉密階段,出於保密考慮沒有留存相關圖片資料),再通過微信文字消息及時間等其他屬性信息的印證,形成了一條完整的證據鏈。

回收站是Windows文件系統中重要的區域,能夠幫助調查員在取證過程中調查刪除的文件信息。回收站recycle.bin 是一個隱藏的目錄。

在Window NT/2000/XP/2003系統中,當用戶刪除一個文件,它唯一的SID(安全標示符,security identifier)將被用於在目錄「RECYCLER」中創建一個子目錄,另外,這個路徑的內部還有另一個隱藏的二進位文件 「INFO2」,它用於映射回收站中的文件名與其實際的原始名稱和路徑。

圖4 RECYCLER目錄結構

相比較早的Windows,Windows Vista/ 7以後的回收站對應的$Recycle.Bin的特點如下:

•       以$I開頭的文件:包含原始路徑、名稱、刪除日期和時間。

•       以$R開頭的文件:包含原始文件內容。

•       .FileSlack文件:包含原始文件的Slack區域。

圖5 Windows7以後的$Recycle.Bin目錄

【案例四】名校學生墜樓案

2013年7月,某知名高校發生學生墜樓事件,警方在對現場進行勘驗後沒有發現足夠的證據證明存在他殺的可能。後在對其寢室進行搜查時發現留有一份遺書,遺書爲A4紙列印稿,內容描述了其內心活動和自殺原因。因此,警方初步推斷爲自殺。

死者家屬得知相關信息後認爲遺書真實性存在疑點,很可能不是當事人所寫,而是殺人兇手的障眼法。在接到委託後,得知警方在對死者電腦進行常規的查找恢復後並沒有找到相應的電子文檔,於是我們根據遺書內容設置了關鍵詞,並進行搜索。通過關鍵詞搜索,我們得到了2個$R開頭的文件,時間和內容與案情基本吻合。至此,可以證明遺書電子文檔曾經在該電腦上存在過,經回收站後刪除的。

圖6 恢復出的回收站文件

隨著網際網路技術的發展,通過網絡傳輸的信息種類越來越多,大致可以分爲:瀏覽器記錄、郵件記錄、即時通訊記錄、文件傳輸記錄等等。

瀏覽器類型隨著發展也是五花八門,其中最具代表性的IE記錄中含有cookies、收藏夾、緩存、搜索歷史、歷史記錄等。

Cookies指的是儲存在用戶本地終端上的數據,伺服器可以利用cookies包含信息的任意性來篩選並經常性維護這些信息,以判斷在HTTP傳輸中的狀態。Cookies的一個重要應用就是「購物車」之類的處理。用戶可能會在一段時間內在同一家網站的不同頁面中選擇不同的商品,這些信息都會寫入cookies,以便在最後付款時提取信息。

歷史記錄中包含:歷史記錄名稱、URL、最後訪問時間、訪問者、映射文件。

郵件具有一個相對簡單的文件結構,主要由三部分組成:消息頭、消息主體以及附件。消息頭包含主題、發件人、收件人、發送時間、接收時間等信息;消息主體是被發送者鍵入的文本內容;附件是可選項,可以包含任意文件。

【案例五】復旦投毒案

2013年4月,復旦大學醫學院在讀研究生黃某飲用寢室桶裝水後中毒,經搶救無效後身亡,嫌疑人爲被害人室友林某。當然,該案的關鍵,也是最後在二審中掀起波瀾的爭議點,還是在傳統法醫及毒物鑑定上,這裡不做詳述。

這裡主要討論案件中涉及的電子數據取證環節。我司司法鑑定所受公安機關委託對嫌疑人使用過的私人電腦進行取證,通過上網日誌分析和恢復,得到了嫌疑人在案發前後通過瀏覽器訪問百度網站並搜索過涉案毒物相關信息的記錄,這些痕跡主要來源於瀏覽器的歷史記錄文件,包含了「二甲基亞硝胺+味道」、「二甲基亞硝胺中毒怎麼辦」等重要信息,這些信息是在醫院、警方等未證明毒物種類之前產生的,與之後法醫毒物鑑定公布的毒物結論相一致。從細節不難發現案發時間的前一天(2013年3月31日傍晚),嫌疑人頻繁搜索毒物及其味道等相關信息,非常符合在投毒後擔心被識破的忐忑的心理狀態;案發後(2014年4月1日傍晚)嫌疑人搜索的內容發生轉變,有試圖挽救的心理發展。這些都間接證明了嫌疑人的作案可能。

圖7 涉案的上網痕跡記錄(截選自取證結果報告)

【案例六】離奇的涉黃案

2012年夏,某市抓獲了一個傳播淫穢物品並牟利的犯罪團伙,雖然涉案金額不大,但社會危害性和影響力巨大,還曾經上過新聞報導,筆者有幸參與了該案件的調查取證工作。

該團伙成員分布廣,遍布中國大地,主犯來自西北,小學未畢業,常年癱瘓在牀。成員的日常身份也五花八門,有公務員、軍人、學生等等。主犯通過租用境外伺服器的方式架設了色情論壇,各板塊管理員通過QQ羣進行活動,QQ是該團伙主要的聯絡工具。警方偵查人員通過前期的工作順藤摸瓜陸續抓獲並扣押了相關成員的涉案電腦和手機,結合上述檢材的分析結果,通過關聯碰撞初步得出主犯的QQ號,並藉助技術手段找到了該QQ號的登錄位置信息,從而抓獲了該嫌疑人。

通過對嫌疑人電腦的初步分析,發現該嫌疑人申請了數十個QQ帳號和郵箱,並通過一個txt文件記錄著所有的帳號密碼及驗證問題答案等信息,數據量龐大且看上去雜亂無章。通過常規的QQ記錄解析並沒有發現相關QQ的登錄痕跡,且此時嫌疑人拒不交代使用過該QQ,使得取證工作一度陷入僵局。摸索了一段時間後,我們嘗試用該涉案QQ號及其密碼分別作爲關鍵詞進行全盤搜索,在磁碟的碎片文件中找到了一條疑似登錄web版QQ的痕跡,於是我們通過對硬碟鏡像進行仿真,在聯網環境下嘗試瀏覽器登錄web版QQ,通過已知的帳號密碼登錄成功,並獲取到了緩存在伺服器端的近三天的聊天記錄,與其他涉案成員的相關記錄完全吻合。這一重大發現傳到審訊現場的時候,嫌疑人瞬間崩潰,交代了犯罪事實。

其實用戶痕跡的範圍還是很廣的,本文涉及的只是冰山一角,受時間限制,所述內容可能還不夠全面和詳盡,但願沒有誤人子弟。文中挑選了一些相對接地氣的案例和知識點與大家分享,希望對取證從業人員有所幫助。


[1]文件的MAC時間是指Windows中文件的三個時間屬性信息,即創建時間(Creat Time,縮寫C)、最後訪問時間(Access Time,縮寫A)和修改時間(Modified Time,縮寫M)。