一起网络诈骗案中的电子物证检验
周翔
新疆生产建设兵团公安局,乌鲁木齐 830000

作者简介:周翔(1974—),男,重庆人,学士,工程师,研究方向为电子物证。E-mail:370248403@qq.com

摘要

近年来,国内电信、网络诈骗案件频发,诈骗手法多变;其中犯罪分子冒充国家公、检、法机关工作人员利用电话骗取受害人的信任,指使受害人登录指定网站、安装远程控制程序或木马,远程操作受害人的计算机,登录受害人的网银账户,盗取受害人资金的案件发案率较高。对此类案件的电子物证取证分析存在一定的难度,鉴定过程中易将此类案件归为计算机植入木马类案件进行分析,分析过程中会涉及到程序的反编译、程序代码的跟踪执行等多个检验环节,使案件分析变得复杂。本文报道一案例,在分析过程中首先采用动态仿真模拟出受害人的计算机,然后利用时间线技术分析案发时的计算机操作行为,通过电子物证取证分析,还原了案发时计算机的操作行为,为案件的侦查提供了有力支撑。最后本文就此类案件的电子物证取证分析方法进行探讨。

关键词: 电子物证; 网络诈骗; 动态仿真; 时间线; 远程控制软件
中图分类号:DF793.2 文献标志码:A 文章编号:1008-3650(2016)06-0491-03 doi: 10.16467/j.1008-3650.2016.06.014
Forensic Analysis on Collecting the Electronic Evidence from an Internet Fraud Case
ZHOU Xiang
Public Security Bureau of Xinjiang Production and Construction Corps, Urumqi 830000, China
Abstract

The telecommunication-and-internet fraud cases have occurred frequently in recent years. Offenders played volatile and tricky swindles to reach their goals. Some of the criminals pretended to be the official persons of public security, procuratorate and court to get trusted from the victims who were then instigated to log onto a specific website where a long-range control program or Trojan was to be introduced into the victims’ computers. Thus, the victims’ computers were able to be remotely operated and the accounts of these victims’ E-bank be broken into, resulting in their money in the bank to be stolen. It is really of certain difficulty to conduct the forensic electronic analysis about such cases because they are prone to be categorized into those implanted Trojan ones during the process of authentication which will be involved into a program decompiling, code tracking among the multiple tested links, thereby making the case analysis even more complex. In the case reported here, the dynamic simulation was recruited to imitate the victim’s computer, and then the time sequence was analyzed of the EEG (electroencephalography) operant behavior in the course of crime. With obtainment of the sequence of the event by the above implementation, the key evidence and clue of the case were dug up so that the case was truly restored and solved.

Key words: electronic evidence; network fraud; dynamic simulation; time sequence; remote-control software
1 案例

2015年8月新疆生产建设兵团辖区发生一起特大诈骗案, 犯罪嫌疑人冒充最高人民检察院工作人员, 利用电话称受害人王某的银行账户涉嫌洗钱, 最高人民检察院已受理了案件, 为帮助王某洗脱罪名, 需要王某提供个人或单位的网银、U盾、银行卡账户及密码, 王某在不明真相的情况下, 按照犯罪嫌疑人的指令卸载了计算机上的杀毒软件, 然后登录到指定网站, 完成信息确认, 致使公司损失600余万元人民币, 给公司利益造成重大损失。办案人员希望通过检验分析受害人的计算机, 从中获取相关电子物证线索或证据。

2 检验

以案件发生时间为主线, 建立时间分析模型[1], 利用Safeanalyzer取证分析软件和动态仿真技术[2], 综合检验犯罪嫌疑人使用的计算机硬盘, 重点还原发案时计算机上的操作行为。

2.1 利用动态仿真还原作案过程

为还原作案过程, 将涉案计算机的硬盘接入到盘石计算机仿真取证系统(SafeVM Pro)模拟出涉案计算机。在虚拟机环境下进行启动, 以系统用户的角度直观的检查和操作目标系统, 收集相关证据。SafeVM Pro可对原始镜像文件或者对象计算机系统的物理硬盘进行保护, 虚拟机内进行的任何操作不会改动原始设备或者镜像文件; 支持的Windows操作系统有Windows 7、Windows Vista、Windows 2003, Windows XP, Windows 2000, Windows NT, Windows Me, Windows 98。通过仿真环境模拟出受害人王某的计算机并访问10079.cf网站。访问该网站时提示要安装安全插件“ CHINA.exe” 程序, 该程序运行后, 计算机中会弹出标题为最高人民检察院的弹出窗口(见图1)。

图1 “ CHINA” 插件Fig.1 The outcome with the implementation of the "CHINA" plug-in

在虚拟机上通过对“ CHINA.exe” 运行后的活动端口分析, 该程序是远程控制程序teamviewer(见图2)的定制版。该程序分为服务端和客户端, 安装在受害人机器上的为服务端, 犯罪嫌疑人使用客户端远程连接服务端。犯罪嫌疑人通过电话向受害人王某索取了ID和密码, 从而远程控制了受害人的计算机。通过对Teamviewer的分析发现, 该程序的远控是P2P的形式, 查看log日志只能看到与其连接的ID, 无法追溯到对方的IP地址。

图2 “ teamviewer” 软件截图Fig.2 The screenshot on "TeamViewer" software running

2.2 利用时间线分析技术获取证据

结合案情利用综合取证分析软件safeAnalyzer(v4.4)。该软件是国内盘石软件(上海)有限公司研发的针对硬盘、移动硬盘、U盘等存储介质及DD、AFF、Encase、Iso格式、L01格式镜像文件进行取证分析的软件, 支持的文件系统有NTFS、Fat、Ext2/Ext3、HFS/HFS+、CDFS、UDF; 具有数据恢复、过滤、分析、查找等功能, 该软件是ENCASE/FTK/Winhex等分析软件的全中文替代品。其中在分析功能上可利用时间线分析功能建立时间区域内修改、访问、创建的文件时间线, 方便定位案件相关文件。

2.2.1 卸载杀毒软件行为的记录

利用safeAnalyzer(v4.4)软件过滤出涉案计算机硬盘内的网页文件, 以案发时间为主线通过时间线分析功能, 获取该计算机2015年8月21日20点24分生成了safe.html网页文件, 通过查看该网页分析出该行为是卸载杀毒软件(见图3), 目的是为了能够正常访问犯罪嫌疑人指定的网站, 或者从网站下载插件的时候不被杀毒软件拦截。

图3 卸载杀毒软件行为的记录Fig.3 The record of uninstalling the anti-virus software

2.2.2 访问假冒最高人民检察院网站的记录

受害人王某的计算机于8月21日20点30分首次访问伪装成最高人民检察院的网站10079.cf(见图4), 王某通过网站查询相信最高检已向其下发逮捕令。

图4 访问假冒最高检察院网站的记录Fig.4 The record of access to the fake website of Supreme Procuratorate

2.2.3 登录中国农业银行进行验证的记录

8月21日21点04分受害人王某的计算机访问中国农业银行网页进行“ 验证” (见图5)。

图5 登录中国农业银行进行验证的记录Fig.5 Logging onto the Agricultural Bank of China for verification

2.2.4 网银转账的记录

通过safeAnalyzer过滤出所有网页文件, 并构建银行账号关键词搜索过滤出的网页文件, 获取到网银转账网页, 得到转账记录(见图6)。

图6 网银转账的记录Fig.6 The record of online-bank transfer

3 讨 论

此类案件在分析时, 鉴定人员往往会认为涉案计算机可能被植入木马, 会花费大量时间去查找木马, 但本案是一起典型的利用程序远程操作受害人计算机, 同时利用电话骗取受害人的信任, 实施诈骗的案件。时间线在电子物证取证分析中起着至关重要的作用, 通过对时间线的分析, 往往能分析出在案件发生时犯罪嫌疑人或受害人对计算机所进行的操作, 同时利用动态仿真系统模拟涉案计算机的操作行为, 能够进一步查明案件发生时计算机所触发的行为及相关程序的功能, 从而使作案过程得以再现。

The authors have declared that no competing interests exist.

作者已声明无竞争性利益关系。The authors have declared that no competing interests exist.

参考文献
[1] 刘晓宇, 翟晓飞, 许榕生. 一种用于事件重构的时间分析框架[J]. 信息网络安全, 2009(3): 77-80. [本文引用:1]
[2] 赵振洲, 乔明秋. 基于ATT-3000的动态仿真取证技术研究[J]. 北京政法职业学院学报, 2010(4): 124-126. [本文引用:1]