吴玉强 吴育宝

(南京森林警察学院，江苏·南京 210023)

一、VPN“翻墙”工具简介

VPN指虚拟专用网络，它是一种相对常见的远程网络访问技术，通常用作企业员工或分支机构访问企业内部网服务器资源的网络访问手段。VPN“翻墙”工具，俗称网络“翻墙”工具或软件，是指在公共网络上建立的一种专用的加密网络。目前，互联网上存在的VPN“翻墙”工具基本都是通过租用国外服务器来搭建的。由于“翻墙”工具会通过公用网络搭建专线来进行加密通讯与境外对应的服务器对接，它可以突破相关部门设置的IP封锁、域名劫持等技术限制，以便用户浏览境外网络内容。因此，它经常被一些不法分子用以逃避监管。在现实生活中，提供“翻墙”技术服务的组织或个人被称为VPN软件提供商。

VPN软件商提供的跨境网络接入服务，是一种增值电信服务。工业和信息化部先前已颁布法规，要求在中国提供VPN服务的公司进行注册，否则他们将不受我国法律保护。然而在利益驱动下仍有人以身试法，利用电商网络等平台非法销售 VPN“翻墙”工具等网络代理服务，非法牟利。

二、VPN“翻墙”工具的检验鉴定

在裁判文书网上以“VPN”、“翻墙”为关键字进行搜索，并对筛选出的有效案例进行总结，发现绝大部分类似私搭、销售 VPN网络“翻墙”工具的案件以非法经营罪定案，余下的案例被以提供侵入、非法控制计算机信息系统程序和工具犯罪定性。不管适用何种罪名，搭建并为他人提供“翻墙”工具等犯罪行为，为那些利用跨境网络从事洗钱、毒品交易、人口买卖等违法犯罪活动提供了渠道，为不法分子获取公民个人隐私信息提供了便利[注]① 法律未来.程序员出售VPN缘何被判刑？[EB/OL].(2018-10-12).https://mp.weixin.qq.com/s/qPKsxdi1Ph5TjBme2QTpng.，使网络犯罪的技术门槛大大降低，对国家网络空间安全也构成了巨大的潜在危险。目前，专业生产、提供和销售此类工具已形成一条网络黑色产业链，已成为网络犯罪居高不下的罪魁祸首之一。

因此，针对VPN“翻墙”工具的检验鉴定在案件的侦办中尤为重要，该检验的焦点就在于此类非法工具是否使用公共网络通过软硬件等设备互联国内外对应服务器，绕过相关部门的IP封锁、内容过滤、域名劫持、流量限制等措施，实现对境外互联网信息的访问，这就需要我们对VPN“翻墙”工具的功能进行检验。

三、VPN“翻墙”工具的检验鉴定实例

通过一个具体案例对VPN“翻墙”工具功能的检验进行分析。

(一)案情摘要

2018年5月2日，南通市通州区公安局民警在工作中发现有人在QQ中非法售卖VPN“翻墙”软件，邢××通过“搬瓦工”平台购买境外VPS服务器，然后通过安装Shadowsocks软件私自搭建专线与境外服务器联通，进行国际联网，接着在国内销售联网账号进行非法牟利。

检材和样本：白色CD一张，内含邢×ד搬瓦工”平台账号。

(二)鉴定要求

对邢×ד搬瓦工”平台内服务器的VPN“翻墙”功能进行检验。

(三)执行标准

本次检验使用《电子数据法庭科学鉴定通用方法》(标准编号：GA/T 976-2012)标准、《数字化设备证据数据发现提取固定方法》(标准编号：GA/T 756-2008)标准、《电子物证数据搜索检验规程》(标准编号：GB 29362-2012)标准。

(四)检验实施环境

检验实施环境上，和其他电子数据检验类似，我们需要远程勘验工作站一台(CPU、内存、硬盘、操作系统版本等系统环境具体参数省去)

检验工具软件：Shadowsocks 4.0.9.0。

其他工具软件：录屏软件Bandicam(V4.1.1.1073)、Google Chrome浏览器、压缩包软件WinRAR(5.5.0)、文件校验工具HashTab(V6.0.0)、360杀毒、MS Office 2010、Windows 图片查看器；照相工具。

(五)检验鉴定方法

通过梳理分析该“翻墙”工具的技术特点，概括该案的检验鉴定方法为：首先登陆“搬瓦工”平台并登陆邢××账号，查看该账号下服务器数量和运行状态。然后，分别进入服务器控制台并查看运行程序和相关配置文件，查看、提取代理服务程序相关运行信息并对其功能进行检验，固定并下载服务器中的Shadowsocks日志。

由于此类检验鉴定属于通过网络通讯进行远程勘察检验的一种，所以，正式检验之前，必须要对远程勘验工作站的网络环境进行真实性校验，整个检验过程全程录像，具体步骤如下。

1. 启动“命令提示符”(CMD)窗口。

2. 执行ipconfig /all命令，查看本机网络基本信息，其中可得到远程勘验工作站的DNS服务器ip地址。

3. 执行more C:Windowssystem32driversetchosts命令，查看本机HOSTS域名解析文件，结果显示该远程勘验工作站没有域名通过HOSTS文件进行本地静态设置。

4. 执行ping www.baidu.com命令，测试远程勘验工作站到百度网的通达状态。

5. 执行ping www.sina.com.cn命令，测试远程勘验工作站到新浪网的通达状态。

6. 执行ping 114.114.114.114命令，测试远程勘验工作站到配置的DNS服务器(IP地址为114.114.114.114)的通达状态。

7. 执行tracert 114.114.114.114命令，测试远程勘验工作站与DNS服务器的路由状态。

8. 执行tracert www.baidu.com命令，测试远程勘验工作站与百度服务器之间的路由状态。

9. 通过浏览器打开百度网(https://www.baidu.com)，搜索“时间”关键词获取当前网络时间并与本机系统时间比对进行时间校验。

通过上述九步操作，可以认定远程勘验工作站上没有域名进行本地静态解析、工作站访问互联网状态正常、DNS解析正常、时间正常，整个工作站的网络环境是没有问题的。这是进行后续检验的基础，是必不可少的环节。党的十八届四中全会提出“推进以审判为中心的诉讼制度改革”以来，鉴定人出庭作证制度作为实现审判中心地位的重要环节[注]叶青,徐明敏.以审判为中心的证人、鉴定人出庭作证制度的实践思考[J]. 中国司法鉴定,2017，(4).，鉴定人在检验鉴定过程中务必做到科学严谨。

确认远程勘验工作站的环境符合相关要求之后，就可以对案件正式进行检验鉴定了。可以分为以下三步：

1.访问“搬瓦工”平台，登陆并查看邢××账号内的服务器，发现正在运行并可查看的服务器共十四台，部分服务器状态如图1所示。为方便论文，我们暂且选取其中一台服务器为例，然后对服务器内的VPN“翻墙”功能进行检验(其他服务器所对应的检验方法完全相同)。

图1 服务器状态

2.点击“KimiVM Control Panel”进入到选定服务器的控制界面，然后选择界面左边“Admin functions”菜单中的“Root shell-basic”选项，在右边界面运行ifconfig命令查看服务器IP，运行ps -aux命令发现存在shadowsocks代理服务程序，并发现其连接端口、连接密码、加密方式，如图2所示。通过查看服务器日志目录/var/log发现并固定代理服务程序日志shadowsocks.log至/root目录下，然后运行md5sum计算root目录下shadowsocks.log的MD5值。

图2

3.在远程勘验工作站Google Chrome浏览器地址栏上打开百度，输入IP，得到当前本机的IP地址，如图3所示，显示为国内ISP的IP地址；接着输入www.google.com，显示无法访问此网站。然后打开远程勘验工作站上的shadowsocks.exe程序，连接上述服务器，输入图2中相关参数并开启全局代理。再次通过Google Chrome浏览器查看远程勘验工作站IP地址，发现此时IP的归属地已经变为美国的，如图4所示；访问www.google.com，发现远程勘验工作站使用对应代理服务器IP地址后可以访问www.google.com网站，即说明该工具能够提供“翻墙”功能。

图3 使用代理前IP

图4 使用代理后IP

上述所有检验前远程勘验工作站已使用360杀毒软件进行杀毒，并且整个检验过程都通过Bandicam软件进行全程录屏，检验结束后需将shadowsocks.exe、录屏文件存储并计算其MD5哈希值。

(六)论证(分析说明)

本次检验经对CD中邢×ד搬瓦工”平台账号所对应的十四台服务器进行了检验分析，通过对比，发现通过十四台服务器的代理服务功能均可以访问www.google.com网站。分别发现、固定并提取下载每台服务器中的shadowsocks日志，计算获得MD5值。最后将生成的压缩文件刻录在光盘中即可。

四、结语

本文通过一起典型的提供VPN“翻墙”工具案例中对VPN“翻墙”工具功能的检验鉴定进行分析，分别介绍了手动验证和自动测试这两种检验方法，并对检验进行论证说明，以确保检验鉴定的科学性、严谨性。但由于目前我国尚缺乏明确的针对此类型案件检验鉴定的标准和技术规范，导致鉴定机构在司法鉴定实践中没有参照依据[注]秦玉海,杨嵩,侯世恒. Android 平台木马的检验鉴定[J].中国司法鉴定,2017，(3).，故建议相关部门尽早制定相关标准或技术操作规范。