罗倩 王生玉 石奥迪

摘要：当前互联网已成为政治、经济和社会活动的重要场所。犯罪分子利用计算机网络技术进行各种犯罪活动，传统的犯罪也在计算机网络技术辅助下变得更加隐蔽。不同于传统计算机取证可通过扣押、无损镜像等方式对数据进行提取，直接获取服务器较为困难。因此，针对远程勘验取证技术的研究势在必行。该研究介绍了利用远程勘验对服务器进行取证分析的方法与步骤，为取证人员提供技术参考。

关键词：远程勘验;取证分析;服务器;数据重构

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2020）36-0182-03

Abstract： At present， the Internet has become an important place for political， economic and social activities. Criminals use computer network technology to carry out a variety of criminal activities， the traditional crime has become more hidden with the assistance of computer network technology. Unlike traditional computer forensics， which can extract data by means of seizure and lossless image， it is difficult to obtain the server directly. Therefore， it is imperative to study the technology of remote inspection and evidence collection.

Key words： remote forensic analysis; forensic analysis; the server; data refactoring

1 引言

近幾年，全球数据量迎来爆发，推动这一增长的重要因素之一是云计算的快速发展，越来越多的企业、政府等机构将解决方案迁移至云。与此同时，云服务也给机构和用户带来了许多潜在的安全问题。

目前，涉及云服务器案件的取证鉴定主要包括违法网站取证、云服务器入侵取证和利用云服务器传递违法犯罪信息的取证。部署在云上的违法网站主要包括诈骗网站、涉秽色情网站、网络侵权网站、网络赌博网站等类型。此类违法网站主要通过虚假或非法信息谋取利益，对社会造成负面影响。针对此类案件，除了要对网站信息进行提取和内容分析以外，还要对网络IP地址、网络资金流向、数据库层级关系等信息进行提取。云服务器非法入侵主要通过获取用户信息或对用户进行勒索，从而谋取非法利益，包括服务器入侵、网站数据恶意篡改、网站数据被盗取以及服务器木马。此类案件的取证工作主要通过对入侵痕迹进行分析，获取犯罪证据。利用云服务器传递违法犯罪信息类案件主要为利用云应用传递淫秽色情信息等，这类案件因为数据存放在云端，而云上的数据无论是调证还是取证，相对传统的取证而言，时间长，难度高，对于执法人员办案效率具有较大的影响。因此，对云服务器上的数据进行取证分析研究对社会公共安全具有重大意义。

一方面由于云服务器物理存放位置较为隐蔽，资源回收速度快，为传播恶意程序与代码等违法犯罪行为提供了有利条件，另一方面云上用户私人数据更易泄露、数据更易被篡改，使得云服务器非法入侵类案件逐年增多。犯罪分子利用计算机网络技术进行各种犯罪活动，传统的犯罪也在计算机网络技术辅助下变得更加隐蔽[1]。针对这些计算机相关犯罪活动，需要利用取证技术对相关证据进行固定。传统计算机取证依赖于对原始数据存储介质的获取与固定，通过扣押、无损镜像等方式可获取电子数据信息[2]。但是对网站、网络应用来说，其数据存储在远程服务器上无法确认服务器物理地点，同时服务器数据量极大，依靠扣押设备直接获取服务器存储介质的难度极大[3-4]。当前远程网络取证主要以浏览器缓存日志分析取证、截屏拍照等为主。

2 远程勘验技术

网络远程勘验是指通过网络对远程目标系统进行勘验检查，以提取、固定远程目标系统的状态和留存的电子数据，为案件情况和案件发生过程的分析判断提供依据，确定案件侦破方向和调查范围，为破案和刑事诉讼提供重要支撑[5]。目前远程服务器取证主要通过固定保全的方式进行。

登陆取证内容包括当前操作系统动态信息、操作系统配置信息、存储介质、网络相关的信息。操作系统动态数据包括系统开机时间、操作系统版本、当前连续用户、当前运行进程、当前打开的句柄、网络侦听端口、当前网络连接等各种关机后可能灭失的信息。操作系统配置信息包括用户列表、系统自启动项、系统服务、操作系统配置、操作系统日志等各种操作系统相关的数据信息。存储介质基本信息包括存储介质的类型、介质大小、分区信息、每个分区的大小、每个分区的文件系统类型，以及文件系统的加载点配置等。用户可以方便地浏览及固定这些数据。网络数据包括网络接口配置、网络侦听端口、当前网络连接等网络类型，可以发起对远程网络端口的数据侦听和数据解析，发现问题网络数据流和通信目标。

远程账号密码登录取证主要利用账号密码登录服务器，登录后可对服务器进行数据固定。一般取证过程可对网站运行状态、页面内容进行固定。其中网站运行状态包括 IP 地址、 运行状态、服务端软件和版本等各种信息。页面内容主要包括网页内容、网站数据库等数据信息。目前，固定的数据类型主要包括原始网页、内容信息、网页截图、视频录像等。在对远程网站的固定过程中，在可能的情况下可以保存为与原始网页对应的 HTML文件格式，同时保存 HTML 格式相关的图片、CSS 样式表等文件，形成网站本地镜像。

网页数据固定截图是对页面的可视部分生成图形化的快照，快照可以保存为PNG、JPG等单一文档格式，有利于生成证据清单和页面内容的后续完整性校验。对于视频、Flash 等动态交互内容，提供一个浏览器形式的交互界面，用户通过交互界面观看视频、与网页进行交互，同时将视频播放、交互情况进行记录，生成一段视频，通过屏幕錄像等方式对一段时间内的动态信息进行记录。

最后，可通过完整性校验的方式对获取的证据信息进行真实性和完整性进行记录。可通过固定过程全程录像，固定结果、录像结果加入时间和 URL 标签，计算Hash值等。

3 数据重构

在对远程网站的固定过程中，可以同时按照设定的要求下载网站的页面文件及其附属文件，形成网站内容的本地镜像，通过修改源文件的链接地址信息，实现网站的本地离线浏览，使办案人员可以正常浏览网站。

云服务器上的网站一般为Apache、Nginx、IIS等，需要使用取证工具对此类流行建站工具进行自动识别和应用解析，并完成后续的证据固定。以Apache网站服务器为例，通过取证工具能解析服务器配置文件，得到虚拟主机配置、虚拟目录配置以及各个网站应用文件和网站日志的存放位置。同时，通过取证工具自动识别MySQL、MsSQL、PostgreSQL等常见数据库类型，并通过备份、导出等方法对数据库数据进行提取和固定。

在当前网站开发技术中，网页展示主要分为两类，一类是静态页面，这类数据是指已经在网站服务器上生成的，以固定格式文件保留在服务器中，常见的有htm和html等，一般多用于不需要经常变更的数据内容展示。相应的另一类是动态页面，是指页面内容需要服务器网站应用程序进行处理动态生成的，往往会随着访问者身份、访问行为、访问时间变化等等一系列参数变化而变化。网页数据传输协议主要以HTTP和HTTPS为主，被包含于URL（Uniform Resource Locator， 统一资源定位符）中，也就是俗称的网址。网页取证除了指定URL，还需要对访问时间，请求参数等数据进行记录，请求参数主要包括请求方法（request method）、请求头（request headers），请求载荷（request payload）。不同的组合往往可以获得不同的请求结果，常见的基本请求参数组合为使用GET请求方法和设置请求头属性User-Agent为常用的网络浏览器身份标识，让服务器认为是相应的网页浏览器请求以呈现对应的页面结果。网页取证的技术思路，就是模拟正常用户的网站访问行为，即设置好请求参数通过能够发起HTTP或HTTPS请求的程序访问目标网址，获得返回结果。

其主要步骤为：首先通过分析前台网站服务器配置文件，找到网站服务文件所在的目录和全部代码，再通过分析网站服务器文件的配置，找出网络数据库类型、IP地址以及数据库的访问用户名、密码等，导出数据库中的所有数据;然后利用仿真的方式或者使用提取的网站代码和数据库构建模拟网站服务器;最后使用同样的方式导出后台管理服务器的代码和数据库中的所有数据，并搭建后台仿真或模拟网站。网站重建之后可以通过登录前台界面，模拟用户操作行为，确定与之相关联的网站程序和模块。

对通过各种方式固定的完整服务器系统的镜像，可采用服务器仿真的方式，完成对数据库服务器的仿真和重构。对于远程固定的数据库数据，在本地仿真启动数据库服务器，通过数据库服务器导入之前固定的数据库数据，还原原始数据库的服务，可以正常浏览数据库中的数据，并能为其他应用提供数据服务。

对于原机、硬盘镜像，通过平台仿真原有服务器系统的基础硬件和操作系统环境，形成仿真运行取证系统，支持的操作系统包括常见的 Windows 服务器系统、各种 Linux 发行版服务器等。在启动服务器镜像之后，可以仿真原网络环境和用户环境，设置 IP 地址/域名等信息。配置相应的数据库服务等，使得仿真取证系统的网站应用程序能够在仿真网络环境使用。此时，可按照原始网络的运行状态获取与用户环境相关的应用程序及服务的相关数据，重现用户运行环境状态。

根据以上方法，可对网站数据库进行分析，同时可根据数据库信息及操作记录还原后台资金交易信息与人员分层结构，为违法网站取证分析奠定基础。

4 远程勘验取证发展方向

近年来，随着网络违法犯罪活动实施方式不断升级、反取证技术不断增强、云环境复杂度不断提高以及应用程序通讯协议不断更新，给现有云数据取证技术带来了严峻挑战。在云服务器取证方面，目前云服务器的在线仿真技术，仅限于国内的阿里云平台[7]。针对其他公有云例如：腾讯云、金山云等仍然需要通过离线仿真进行取证，对于大规模云环境的仿真取证有所欠缺，仍然面临环境配置复杂、提取速度慢、数据分析难的问题 [8]。针对海外的市场占有率很高的AWS、Azure、Google等。除此以外，网站技术架构推陈出新、定制化严重，加大了手工重建网站的难度，网站智能重建技术仍有所欠缺;违法犯罪分子反取证能力的增强，使得数据恢复的场景更加复杂，数据库碎片重组和分析缺乏智能的分析手段[9]。在应用程序的提取方面，由于通讯协议多样、数据加密方式不同、风险控制力度加大，导致App账号密钥提取难、App脱壳逆向难、App网络协议逆向难、脱离手机进行云取证难等多个技术难题有待进一步的解决。针对云服务器的取证技术是未来发展的主要方向之一[6]。

5 总结

本文主要介绍现有远程勘验技术的几种方式，同时介绍数据重构的方法与步骤。通过对以上方法的介绍，实现远程服务器的取证分析，以期为取证人员提供技术参考。

参考文献：

[1] 石奥迪，吴松洋，刘善军，等.一种远程服务器取证的系统和方法[P].2019.

[2] 何震，代江龙.论服务器软件侵权远程取证的司法认定[J].电子知识产权，2016（1）：97-102.

[3] 王啸虎.浅谈网络远程勘验流程及其在案件侦办中的重要性[J].网络安全技术与应用，2018（11）：113，98.

[4] 朱峰，刘捷，李军.远程勘验取证分析软件开发与实现[J].信息网络安全，2011（11）：73-74.

[5] 朱桐辉，王玉晴.电子数据取证的正当程序规制——《公安电子数据取证规则》评析[J].苏州大学学报（法学版），2020，7（1）：121-132.

[6] 黄逵.刑事检察中电子数据的收集困境与破解方法[D].长沙：湖南师范大学，2019.

[7] 张丽霞.基于HTML语言的网页制作方法[J].电子测试，2018（Z1）：86-87.

[8] 金明哲，郑建立，裴旭明，等.应用于物联网的Linux云端服务器设计[J].信息技术，2015，39（9）：179-183.

[9] 薛琳. 基于iOS平台的云服务器管理系统研究与实现[D].上海：东华大学，2015.

【通联编辑：代影】