周 翔

(新疆生產(chǎn)建設(shè)兵團公安局，烏魯木齊 830000)

一起網(wǎng)絡(luò)詐騙案中的電子物證檢驗

周 翔

(新疆生產(chǎn)建設(shè)兵團公安局，烏魯木齊 830000)

近年來，國內(nèi)電信、網(wǎng)絡(luò)詐騙案件頻發(fā)，詐騙手法多變；其中犯罪分子冒充國家公、檢、法機關(guān)工作人員利用電話騙取受害人的信任，指使受害人登錄指定網(wǎng)站、安裝遠程控制程序或木馬，遠程操作受害人的計算機，登錄受害人的網(wǎng)銀賬戶，盜取受害人資金的案件發(fā)案率較高。對此類案件的電子物證取證分析存在一定的難度，鑒定過程中易將此類案件歸為計算機植入木馬類案件進行分析，分析過程中會涉及到程序的反編譯、程序代碼的跟蹤執(zhí)行等多個檢驗環(huán)節(jié)，使案件分析變得復(fù)雜。本文報道一案例，在分析過程中首先采用動態(tài)仿真模擬出受害人的計算機，然后利用時間線技術(shù)分析案發(fā)時的計算機操作行為，通過電子物證取證分析，還原了案發(fā)時計算機的操作行為，為案件的偵查提供了有力支撐。最后本文就此類案件的電子物證取證分析方法進行探討。

電子物證；網(wǎng)絡(luò)詐騙；動態(tài)仿真；時間線；遠程控制軟件

1 案例

2015年8月新疆生產(chǎn)建設(shè)兵團轄區(qū)發(fā)生一起特大詐騙案，犯罪嫌疑人冒充最高人民檢察院工作人員，利用電話稱受害人王某的銀行賬戶涉嫌洗錢，最高人民檢察院已受理了案件，為幫助王某洗脫罪名，需要王某提供個人或單位的網(wǎng)銀、U盾、銀行卡賬戶及密碼，王某在不明真相的情況下，按照犯罪嫌疑人的指令卸載了計算機上的殺毒軟件，然后登錄到指定網(wǎng)站，完成信息確認(rèn)，致使公司損失600余萬元人民幣，給公司利益造成重大損失。辦案人員希望通過檢驗分析受害人的計算機，從中獲取相關(guān)電子物證線索或證據(jù)。

2 檢驗

以案件發(fā)生時間為主線，建立時間分析模型[1]，利用Safeanalyzer取證分析軟件和動態(tài)仿真技術(shù)[2]，綜合檢驗犯罪嫌疑人使用的計算機硬盤，重點還原發(fā)案時計算機上的操作行為。

2.1 利用動態(tài)仿真還原作案過程

為還原作案過程，將涉案計算機的硬盤接入到盤石計算機仿真取證系統(tǒng)（SafeVM Pro）模擬出涉案計算機。在虛擬機環(huán)境下進行啟動，以系統(tǒng)用戶的角度直觀的檢查和操作目標(biāo)系統(tǒng)，收集相關(guān)證據(jù)。SafeVM Pro可對原始鏡像文件或者對象計算機系統(tǒng)的物理硬盤進行保護，虛擬機內(nèi)進行的任何操作不會改動原始設(shè)備或者鏡像文件；支持的Windows操作系統(tǒng)有Windows 7、Windows Vista、Windows 2003, Windows XP, Windows 2000, Windows NT, Windows Me, Windows 98。通過仿真環(huán)境模擬出受害人王某的計算機并訪問10079.cf網(wǎng)站。訪問該網(wǎng)站時提示要安裝安全插件“CHINA.exe”程序，該程序運行后，計算機中會彈出標(biāo)題為最高人民檢察院的彈出窗口（見圖1）。

圖1 “CHINA”插件Fig.1 The outcome with the implementation of the "CHINA" plug-in

在虛擬機上通過對“CHINA.exe”運行后的活動端口分析，該程序是遠程控制程序teamviewer（見圖2）的定制版。該程序分為服務(wù)端和客戶端，安裝在受害人機器上的為服務(wù)端，犯罪嫌疑人使用客戶端遠程連接服務(wù)端。犯罪嫌疑人通過電話向受害人王某索取了ID和密碼，從而遠程控制了受害人的計算機。通過對Teamviewer的分析發(fā)現(xiàn)，該程序的遠控是P2P的形式，查看log日志只能看到與其連接的ID，無法追溯到對方的IP地址。

圖2 “teamviewer”軟件截圖Fig.2 The screenshot on "TeamViewer" software running

2.2 利用時間線分析技術(shù)獲取證據(jù)

結(jié)合案情利用綜合取證分析軟件safeAnalyzer (v4.4)。該軟件是國內(nèi)盤石軟件（上海）有限公司研發(fā)的針對硬盤、移動硬盤、U盤等存儲介質(zhì)及DD、AFF、Encase、Iso格式、L01格式鏡像文件進行取證分析的軟件，支持的文件系統(tǒng)有NTFS、Fat、Ext2/ Ext3、HFS/HFS+、CDFS、UDF；具有數(shù)據(jù)恢復(fù)、過濾、分析、查找等功能，該軟件是ENCASE/FTK/Winhex等分析軟件的全中文替代品。其中在分析功能上可利用時間線分析功能建立時間區(qū)域內(nèi)修改、訪問、創(chuàng)建的文件時間線，方便定位案件相關(guān)文件。

2.2.1 卸載殺毒軟件行為的記錄

利用safeAnalyzer(v4.4)軟件過濾出涉案計算機硬盤內(nèi)的網(wǎng)頁文件，以案發(fā)時間為主線通過時間線分析功能，獲取該計算機2015年8月21日20點24分生成了safe.html網(wǎng)頁文件，通過查看該網(wǎng)頁分析出該行為是卸載殺毒軟件（見圖3），目的是為了能夠正常訪問犯罪嫌疑人指定的網(wǎng)站，或者從網(wǎng)站下載插件的時候不被殺毒軟件攔截。

圖3 卸載殺毒軟件行為的記錄Fig.3 The record of uninstalling the anti-virus software

2.2.2 訪問假冒最高人民檢察院網(wǎng)站的記錄

受害人王某的計算機于8月21日20點30分首次訪問偽裝成最高人民檢察院的網(wǎng)站10079.cf（見圖4），王某通過網(wǎng)站查詢相信最高檢已向其下發(fā)逮捕令。

圖4 訪問假冒最高檢察院網(wǎng)站的記錄Fig.4 The record of access to the fake website of Supreme Procuratorate

2.2.3 登錄中國農(nóng)業(yè)銀行進行驗證的記錄

8月21日21點04分受害人王某的計算機訪問中國農(nóng)業(yè)銀行網(wǎng)頁進行“驗證”（見圖5）。

圖5 登錄中國農(nóng)業(yè)銀行進行驗證的記錄Fig.5 Logging onto the Agricultural Bank of China for verifcation

2.2.4 網(wǎng)銀轉(zhuǎn)賬的記錄

通過safeAnalyzer過濾出所有網(wǎng)頁文件，并構(gòu)建銀行賬號關(guān)鍵詞搜索過濾出的網(wǎng)頁文件，獲取到網(wǎng)銀轉(zhuǎn)賬網(wǎng)頁，得到轉(zhuǎn)賬記錄（見圖6）。

圖6 網(wǎng)銀轉(zhuǎn)賬的記錄Fig.6 The record of online-bank transfer

3 討 論

此類案件在分析時，鑒定人員往往會認(rèn)為涉案計算機可能被植入木馬，會花費大量時間去查找木馬，但本案是一起典型的利用程序遠程操作受害人計算機，同時利用電話騙取受害人的信任，實施詐騙的案件。時間線在電子物證取證分析中起著至關(guān)重要的作用，通過對時間線的分析，往往能分析出在案件發(fā)生時犯罪嫌疑人或受害人對計算機所進行的操作，同時利用動態(tài)仿真系統(tǒng)模擬涉案計算機的操作行為，能夠進一步查明案件發(fā)生時計算機所觸發(fā)的行為及相關(guān)程序的功能，從而使作案過程得以再現(xiàn)。

［1］ 劉曉宇，翟曉飛，許榕生. 一種用于事件重構(gòu)的時間分析框架［J］. 信息網(wǎng)絡(luò)安全，2009(3):77-80.

［2］ 趙振洲，喬明秋. 基于ATT-3000的動態(tài)仿真取證技術(shù)研究［J］. 北京政法職業(yè)學(xué)院學(xué)報，2010(4):124-126.

Forensic Analysis on Collecting the Electronic Evidence from an Internet Fraud Case

ZHOU Xiang
(Public Security Bureau of Xinjiang Production and Construction Corps, Urumqi 830000, China)

The telecommunication-and-internet fraud cases have occurred frequently in recent years. Offenders played volatile and tricky swindles to reach their goals. Some of the criminals pretended to be the offcial persons of public security, procuratorate and court to get trusted from the victims who were then instigated to log onto a specifc website where a longrange control program or Trojan was to be introduced into the victims’ computers. Thus, the victims’ computers were able to be remotely operated and the accounts of these victims’ E-bank be broken into, resulting in their money in the bank to be stolen. It is really of certain diffculty to conduct the forensic electronic analysis about such cases because they are prone to be categorized into those implanted Trojan ones during the process of authentication which will be involved into a program decompiling, code tracking among the multiple tested links, thereby making the case analysis even more complex. In the case reported here, the dynamic simulation was recruited to imitate the victim’s computer, and then the time sequence was analyzed of the EEG (electroencephalography) operant behavior in the course of crime. With obtainment of the sequence of the event by the above implementation, the key evidence and clue of the case were dug up so that the case was truly restored and solved.

electronic evidence; network fraud; dynamic simulation; time sequence; remote-control software

DF793.2

A

1008-3650(2016)06-0491-03

2015-12-17

格式：周翔. 一起網(wǎng)絡(luò)詐騙案中的電子物證檢驗 [J]. 刑事技術(shù)，2016,41(6):491-493.

10.16467/j.1008-3650.2016.06.014

周翔（1974—），男，重慶人，學(xué)士，工程師，研究方向為電子物證。E-mail: 370248403@qq.com