◆周 超 蔡家骐 王圣东

（1.上海市公安局 上海 200025；2.盘石软件（上海）有限公司 上海 200333）

0 引言

大数据时代，U盘和硬盘已经无法满足我们对海量数据存储的需求，云时代的到来，云存储以无上限容量逐渐替代过去的存储介质。目前，在国内主流的面向个人用户提供云存储服务的公司有百度、360和腾讯。在云存储市场中，无论技术还是用户数量他们都具有绝对优势。其中，百度网盘在2016年就超过4亿用户。

云存储户只需投入很少的开销就能获得大量的计算资源和云存储空间，但云存储的资源共享特性也导致了许多安全方面的隐患，如为传播恶意程序提供了便利、用户隐私数据更易泄露、数据更易被破坏等。为保证云存储环境的健康发展，针对云存储犯罪展开取证分析（即云取证）显得尤为重要。

1 云存储取证综述

云存储[1]是在云计算(cloud computing)概念上延伸和发展出来的一个新的概念，是一种新兴的网络存储技术，是指通过集群应用、网络技术或分布式文件系统等功能，将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作，共同对外提供数据存储和业务访问功能的系统。

图1云存储服务架构

云存储取证应包括云存储客户端应用的基本信息分析、云端文件的获取、用户使用痕迹分析。

1.1 云存储取证的技术问题

在司法实践中，云存储取证技术领域的问题主要集中在云端文件的获取和用户使用痕迹分析两个方面。

从传统的计算机取证方法来看，很多方法在云存储中适用起来非常困难。例如，传统的方法就是对保存文件的物理计算机进行证据固定和提取，在对云端文件的获取上，这种方法就很难适用，因为文件存储在云存储服务提供商的服务器上，调查者可能知道文件的实际存储位置，即便是云存储服务提供商，定位文件的实际存储位置也是较困难的。原因是云存储采用的文件系统都是分布式结构的，同一个文件可能存储在多台服务器中，直接对物理计算机进行固定证据的方法，你可能需要固定很多台物理计算机，而且还需要云存储服务提供商技术部门的配合。同时，这种方式的证据固定和提取还牵涉隐私保护和法律问题，在实际中基本不采用。

对于云端文件的获取，一般采用研究客户端应用，通过账号访问的云存储服务的方式获取云端文件。这种方式的难点在于如何得到用户名和密码，因为访问云存储需要。调查者可以通过分析客户端应用、客户端机器中的相关文件中获取密码（可能获得），以及从客户端机器使用者那里得到。

1.2 云存储取证的法律问题

隐私如何保护[2]的问题。例如，物理计算机上出现多用户数据混杂的问题，针对单个物理计算机进行全盘证据固定时，必定涉及到其他用户数据的，对于其他用户来说，这是侵犯隐私，属于违法行为，这就造成了取证不合法，直接影响证据的法律采信度。因此，如何保护其他用户的隐私数据。

法律的完善，随着云环境下新型犯罪方式的出现，现有的法律法规需要不断完善。例如当出现多租户时，可以通过法律条款将权利赋予特定调查人员或者法律工作者，使其有权利获取多人共享下的所有用户数据，一方面通过法律权威保护其他不相关用户的数据隐私，另一方面可以顺利、快速地获取证据。法律手段还可以通过规定云存储服务提供商必须提供的取证接口，使得调查者可以顺利的获取证据，从而提高取证的效率。

2 云存储客户端应用的基本信息取证

掌握应用程序的基本信息，有助于帮助我们制定出最优的取证方案。正确的取证方法可以帮助调查者高效的完成取证工作。也是保护证据、顺利取证的必要前提，所以取证前我们需要充分掌握应用程序的基本信息。应用程序的基本信息取证应包括安装程序识别、版本号、安装目录、安装时间、修改时间、大小、发布者，以及应用程序中保存的密码等。例如，用户保存了访问密码，调查者就可以采用仿真的方式直接访问云存储，获取云端文件。

应用程序的基本信息的取证方法，可以分析注册表文件，可以仿真后从【控制面板-程序-程序和功能】列表中直接查看安装应用的基本信息，可以通过取证分析软件直接分析等方式。

3 云端文件的获取

目前，云端文件的获取是云存储取证中最困难的工作。如前文所述，由于文件是保存在云端，而不在本地的特点，我们无法从客户端计算机中直接的获取云存储中的全部文件，之所说可以获取部分文件，是因为调查者可以从分析客户端应用痕迹上得到保留在客户端计算机中的文件。云端文件的获取从方式上来看，可以分为有密码和无密码两种。

3.1 无密码的情况

如果调查者通过分析客户端计算机、应用程序基本信息和从其他渠道都无法取得访问密码的情况下，如果需要对云端文件进行取证，必须寻求云存储服务提供商的技术部门配合，否则调查者只能放弃云端文件的取证，因为调查者根本找不到文件在哪里。

因为云存储服务提供商需要保护用户隐私和企业的信誉，寻求云存储服务提供商技术部门的配合时，程序上比较复杂，时效性差。此情况下，调查者只需要技术上保证云存储服务提供商技术部门提供证据的合法性即可。

3.2 有密码的情况

有密码的情况下，获取云端数据的方式就比较多，可以通过客户端应用直接访问云存储，利用客户端直接获取云端文件，也可以通过仿真客户端计算机直接获取云端文件，调查者只需要保证证据文件获取的原始性和合法性即可。

利用客户端应用直接访问的方式获取证据时，需要调查者记录全部的取证过程。建议调查者采用全程录屏的方式记录整个操作过程，做到可追溯；另外即时对获取的云端文件进行 hash校验，保证文件的原始性。录屏和 hash校验计算工具建议采用屏幕录像专家和FTK imager。

3.3 通过取证分析软件获取云端文件

通过取证分析软件直接获取云端文件的支持上，国外软件明显好于国内，但是国外软件对于中国的云存储服务提供商的支持情况差，很多不支持；国内的取证软件对于云存储取证方面，研究的力量主要在分析客户端应用上，注重客户端应用的使用痕迹分析，对于云端文件的直接提取方面做的不足。

针对国外的存储云的云端文件获取，很多取证分析软件提供云端文件的获取功能，可以通过取证分析软件进行云端文件的获取。例如，国外 Belkasoft软件就支持有密码的情况下直接获取Google Drive、Google Plus、iCloud的云端文件。

4 Windows平台的应用痕迹分析

应用使用痕迹取证，通过分析客户端应用的使用痕迹，调查者可以提取云存储应用的账号信息、上传下载记录、以及上传和下载记录中对应的本地文件位置，甚至还可能获取到账户密码等数据。用户使用痕迹还可以从云存储服务提供商的系统日志中分析得到，这种方式需要云存储服务提供商的技术部门提供系统日志文件。

应用使用痕迹的取证很多国内软件都支持直接分析，例如SafeAnalyzer软件。这里着重介绍云存储应用使用痕迹取证的原理和手动分析方法。

4.1 百度网盘

百度网盘[3]是百度推出的一项云存储服务，是百度面向个人用户的网盘存储服务，满足用户工作生活各类需求，已上线的产品包括网盘、个人主页、群组功能、通讯录、相册、人脸识别、文章、记事本、短信、手机找回。用户将可以轻松将自己的文件上传到网盘上，并可跨终端随时随地查看和分享。

百度网盘使用痕迹的取证分析，调查者应先分析应用结构以及用户数据在本地的保存方式。通过对应用结构的研究发现，百度网盘的用户数据保存在用户目录下。图2表示百度网盘的数据结构。

图2百度网盘数据结构

其中以 tdxw001@126.com为名的文件夹为用户名，BaiduYunGuanjia.db为SQLite3数据库，保存着用户数据。调查者分析BaiduYunGuanjia.db文件，就能分析出百度网盘的使用痕迹信息，表1表示数据库文件中的表与记录对应关系。

表1数据库表与记录对应关系

4.2 360云盘

360云盘[4]是奇虎 360公司推出的在线云储存软件，是分享式云存储服务产品。为广大普通网民提供了存储容量大、免费、安全、便携、稳定的跨平台文件存储、备份、传递和共享服务。

360云盘使用痕迹的取证分析，就需要了解应用的结构以及用户数据在本地的保存方式。通过研究发现，360云盘的用户数

据保存在用户目录下。图3表示360云盘数据结构。

图3 360云盘数据结构

其中以 13开头的“135924227”和“135954048”为名称的文件夹，就是360云盘的为账号，打开其中一个文件夹后，为账号对应的痕迹数据。图4表示云盘账号对应的数据结构。

图4 360云盘账号对应的数据结构

以用户名为名称的文件夹下的 filecache.db为 SQLite3数据库，记录着本地文件缓存记录；history.dat为一个文本文件，其中记录了文件传输记录。调查者分析filecache.db和history.dat文件，就能分析出以此文件夹名为用户名的用户使用痕迹数据。

4.3 微云（腾讯）

微云[5]是腾讯公司为用户精心打造的一项智能云服务, 您可以通过微云方便地在手机和电脑之间，同步文件、推送照片和传输数据。

微云使用痕迹的取证分析，就需要了解应用的结构以及用户数据在本地的保存方式。通过研究发现，微云的用户数据保存在用户目录AppDataRomaingTencentWeiyunDisk下。图 5表示微云的数据结构。

图5微云数据结构

其中“**.rdb”文件记录用户的传输记录，“**.dirsdb”文件记录每个网盘目录下存放的文件，文件名为用户名。调查者分析这些文件，就能分析出以此文件夹名为用户名的用户使用痕迹信息。

5 结束语

云存储取证科学是一个新兴的研究领域。本文主要从技术角度入手，分析云存储取证的范围和一般方法。随着云存储技术的发展，云存储取证势必会在将来的云存储犯罪调查方面有着重要的应用前景。同时，云存储取证的相关技术研究也将推动计算机领域的取证技术发展。

[1]李逦.浅析云计算背景下云存储的优势与劣势[J].计算机光盘软件与应用，2013.

[2]高运, 伏晓, 骆斌.云取证综述[J].计算机应用研究,2016.

[3]杜娟.百度网盘还能这样用[J].电脑爱好者，2015.

[4]张文雯.360云盘三招妙用[J].电脑爱好者，2014.

[5]吉吉.利用腾讯微云轻松实现数据存储与共享[J].电脑知识与技术:经验技巧，2013.