黃學(xué)鵬 冷靜

1. 湖北警官學(xué)院 2. 電子取證及可信計(jì)算湖北省協(xié)同創(chuàng)新中心

引言

近年來(lái)，侵犯公民個(gè)人信息的犯罪行為不斷發(fā)生，甚至還與電信網(wǎng)絡(luò)詐騙、敲詐勒索、綁架等犯罪聯(lián)系在一起，對(duì)社會(huì)造成了嚴(yán)重的危害。

公安部深入開展打擊整治網(wǎng)絡(luò)違法犯罪凈網(wǎng)專項(xiàng)行動(dòng)，部署對(duì)侵犯公民個(gè)人信息犯罪，要堅(jiān)決搗毀竊取、販賣公民個(gè)人信息的公司、平臺(tái)，堅(jiān)決打擊竊取、販賣公民個(gè)人信息的企事業(yè)單位內(nèi)部人員，堅(jiān)決摧毀利用公民個(gè)人信息實(shí)施詐騙、盜竊、敲詐勒索等犯罪團(tuán)伙組織體系。

對(duì)于此類案件電子數(shù)據(jù)的取證是一項(xiàng)重要工作。在一起侵犯公民個(gè)人信息案件的電子取證過(guò)程中，取證人員還原犯罪現(xiàn)場(chǎng)，提取并分析了電子證據(jù)，為有效打擊此類犯罪提供了思路。

一、案情簡(jiǎn)要概況

某市公安局在辦理一起電信詐騙案件中，犯罪嫌疑人交代用于詐騙的個(gè)人身份信息是從某域名網(wǎng)站購(gòu)買得到。根據(jù)線索，辦案民警在網(wǎng)站中輸入自己姓名、身份證號(hào)，采用實(shí)名驗(yàn)證測(cè)試，按網(wǎng)站指引付款后，得到正確的驗(yàn)證結(jié)果，經(jīng)多次測(cè)試，均得到正確認(rèn)證。偵查確認(rèn)該域名的網(wǎng)站存在售賣公民信息的犯罪行為。隨后，辦案民警刑事拘留了網(wǎng)站開辦者沈某和杜某，并扣押了用于網(wǎng)站運(yùn)行的三塊服務(wù)器硬盤。犯罪嫌疑人交代，網(wǎng)站提供“身份證實(shí)名認(rèn)證”和“身份證照片認(rèn)證”非法有償服務(wù)，為查清犯罪嫌疑人利用網(wǎng)站售賣公民信息非法獲利的犯罪證據(jù)，對(duì)服務(wù)器硬盤數(shù)據(jù)進(jìn)行了取證分析。

二、取證基本步驟

1. 將三塊服務(wù)器硬盤分別編號(hào)為“1”、“2”、“3”，利用鏡像工具制作出三塊服務(wù)器硬盤的數(shù)據(jù)鏡像。

2. 通過(guò)FTK分別讀取分析三塊服務(wù)器硬盤的鏡像數(shù)據(jù)，初步確認(rèn)php網(wǎng)站文件存放在編號(hào)為“1”的硬盤中，操作系統(tǒng)為linux，mysql數(shù)據(jù)庫(kù)文件存放在編號(hào)為“2”的硬盤中，網(wǎng)站備份文件存放在編號(hào)為“3”的硬盤中。

3. 分析網(wǎng)站文件，判斷文件的基本功能，發(fā)現(xiàn)“CheckBy51datalink”、“CheckByAliyun”、“CheckByHaodai”、“CheckByZhima”等重要文件，“AlipayApp”、“AlipayMobile”、“WeixinApp”等重要文件夾。

4. 讀取數(shù)據(jù)庫(kù)文件，從數(shù)據(jù)庫(kù)結(jié)構(gòu)、記錄內(nèi)容分析判斷，“payment”和“hshd”兩數(shù)據(jù)庫(kù)為網(wǎng)站中用于公民身份信息查詢的后臺(tái)數(shù)據(jù)庫(kù)。

5. 虛擬仿真，將編號(hào)為“1”、“ 2”的兩塊服務(wù)器硬盤鏡像文件轉(zhuǎn)換成vmdk格式文件，加載到VMware Workstation系統(tǒng)中運(yùn)行，分析網(wǎng)站運(yùn)行情況。

三、電子數(shù)據(jù)分析

（一）虛擬仿真模擬網(wǎng)站運(yùn)行環(huán)境，測(cè)試網(wǎng)站基本功能

1. 以普通用戶身份測(cè)試網(wǎng)站運(yùn)行功能，可以查看到網(wǎng)站運(yùn)行頁(yè)面 “身份證實(shí)名認(rèn)證”（如圖1）、“身份證照片認(rèn)證”（如圖2）。經(jīng)數(shù)據(jù)分析，證明網(wǎng)站具有身份證實(shí)名認(rèn)證和身份證照片認(rèn)證的功能。

輸入測(cè)試數(shù)據(jù)“姓名：張三”、“身份證號(hào)：420989789654356789”，測(cè)試 “身份證實(shí)名認(rèn)證”功能，彈出如圖3頁(yè)面，在頁(yè)面中顯示有“支付寶”、“微信”、“QQ錢包”等支付方式，應(yīng)付“2.88元”字樣。

以上網(wǎng)站頁(yè)面運(yùn)行與測(cè)試情況，反映網(wǎng)站不僅具有“身份證實(shí)名認(rèn)證”和“身份證照片認(rèn)證”功能的展示頁(yè)面，而且能進(jìn)行數(shù)據(jù)的交互輸入，經(jīng)檢查數(shù)據(jù)庫(kù)輸入的測(cè)試數(shù)據(jù)進(jìn)入到了數(shù)據(jù)庫(kù)中。由于測(cè)試環(huán)境下無(wú)法實(shí)現(xiàn)支付方式的對(duì)接，支付功能無(wú)法通過(guò)虛擬仿真實(shí)現(xiàn)，且網(wǎng)站是否給出正確的身份認(rèn)證功能不能通過(guò)測(cè)試實(shí)現(xiàn)，需通過(guò)程序代碼和數(shù)據(jù)庫(kù)的分析驗(yàn)證。在偵查階段，辦案民警輸入了自己的姓名和身份證號(hào)，并按網(wǎng)站要求支付費(fèi)用后，獲得了正確的認(rèn)證結(jié)果。

2. 以管理員身份進(jìn)入網(wǎng)站后臺(tái)管理頁(yè)面，點(diǎn)擊進(jìn)入“訂單來(lái)源統(tǒng)計(jì)列表”，在頁(yè)面中輸入“開始時(shí)間：2016-06-12 00:00”，結(jié)束時(shí)間“2017-05-22 01:06”，在頁(yè)面上反映統(tǒng)計(jì)數(shù)據(jù)，從“2016-09-09至2017-05-19”期間，按天統(tǒng)計(jì)共有248條記錄。導(dǎo)出所有記錄，將248條記錄的“總收入”求和，得到值為“499110.49”，總單數(shù)和為“130787”，頁(yè)面截圖如圖4，從頁(yè)面中可以發(fā)現(xiàn)與網(wǎng)站頁(yè)面相對(duì)應(yīng)的支付方式“支付寶手機(jī)”、“支付寶即時(shí)”、“微信支付”、“QQ支付”等。

點(diǎn)擊“訂單信息統(tǒng)計(jì)列表”，在頁(yè)面中輸入“開始時(shí)間：2016-06-12 00:00”，結(jié)束時(shí)間“2017-05-22 01:06”，如圖5。在頁(yè)面上作數(shù)據(jù)統(tǒng)計(jì)，從“2016-09-09 15:06:27至2017-05-19 13:32:00”期間，已支付完成的訂單共有“130787單”，共計(jì)“499110.49元”，其中身份信息查詢類已支付訂單數(shù)為“121372單”，共計(jì)“352154.40元”。從頁(yè)面中可以發(fā)現(xiàn)，訂單的項(xiàng)目名稱有“身份證實(shí)名認(rèn)證”、“身份證照片認(rèn)證”、“黃道吉日查詢”、“觀音靈簽解簽”等。

通過(guò)網(wǎng)站恢復(fù)，可以初步確定其具有身份信息收費(fèi)認(rèn)證功能，并通過(guò)后臺(tái)統(tǒng)計(jì)出訂單數(shù)和收費(fèi)金額。

（二）讀取網(wǎng)站文件，分析網(wǎng)站功能

從硬盤中獲取“Check.php”文件，讀取文件內(nèi)容。從文件內(nèi)容可知，該文件進(jìn)行身份證查詢判斷檢測(cè)，優(yōu)先在本地已收錄的“實(shí)名數(shù)據(jù)庫(kù)”中查詢，有命中記錄，就返回一致結(jié)果，否則就從本地已收錄的“非實(shí)名數(shù)據(jù)庫(kù)”中查詢，若未命中，則從遠(yuǎn)程接口（合作方）查驗(yàn)結(jié)果，查詢成功，將結(jié)果保存至本地“實(shí)名數(shù)據(jù)庫(kù)”，文件截圖如圖6。

從硬盤中獲取“CheckBy51datalink”、“CheckByAliyun”、“CheckByHaodai”、“CheckByZhima”等文件，讀取基本內(nèi)容，分析文件代碼基本功能，可以確定以上文件實(shí)現(xiàn)了網(wǎng)站從第三方合作方接口中查詢身份證信息，合作方有“阿里云”、“風(fēng)控好貸”、“芝麻信用”等，“CheckByZhima”文件代碼截圖如圖7。

分析支付文件，發(fā)現(xiàn)“AlipayApp”、“AlipayMobile”、“WeixinApp”等文件夾及文件，其中在“WeixinApp”文件夾中有“Order”文件，文件內(nèi)容截圖如圖8。

（三）分析在編號(hào)為“2”的檢材硬盤中發(fā)現(xiàn)的payment和hshd數(shù)據(jù)庫(kù)文件

1. payment數(shù)據(jù)庫(kù)數(shù)據(jù)統(tǒng)計(jì)分析。payment庫(kù)中存有t_order數(shù)據(jù)表，表中subject字段的取值為身份證實(shí)名驗(yàn)證、身份證實(shí)名認(rèn)證、實(shí)名證件照識(shí)別、身份證實(shí)名認(rèn)證高級(jí)版、身份證照片認(rèn)證及其他信息。表中pay_source字段的取值分別為0,1,2,3,4,5,6,7,8。

（1）subject字段取值為身份證實(shí)名驗(yàn)證、身份證實(shí)名認(rèn)證、實(shí)名證件照識(shí)別、身份證實(shí)名認(rèn)證高級(jí)版或身份證照片認(rèn)證時(shí)，記錄數(shù)為1335534條，此數(shù)據(jù)為訂單數(shù)，包含了未付款的訂單。

（2）subject字段取值為身份證實(shí)名驗(yàn)證、身份證實(shí)名認(rèn)證、實(shí)名證件照識(shí)別、身份證實(shí)名認(rèn)證高級(jí)版或身份證照片認(rèn)證，且pay_source字段的取值為非零時(shí)，記錄數(shù)為121372條，此數(shù)據(jù)為已付款的訂單數(shù)，與后臺(tái)數(shù)據(jù)一致。

（3）subject字段取值為身份證實(shí)名驗(yàn)證、身份證實(shí)名認(rèn)證、實(shí)名證件照識(shí)別、身份證實(shí)名認(rèn)證高級(jí)版或身份證照片認(rèn)證，且pay_source字段的取值為非零時(shí)，total_fee字段的值合計(jì)為352154.40，此數(shù)據(jù)為已付款金額數(shù)。

2. hshd庫(kù)中t_idcard_0至t_idcard_99共100個(gè)表，表中共有記錄數(shù)為16833038條，表示本地身份證數(shù)據(jù)為16833038條。

綜上，網(wǎng)站代碼、數(shù)據(jù)庫(kù)數(shù)據(jù)反映了網(wǎng)站運(yùn)行的基本情況，獲取公民個(gè)人信息的來(lái)源、數(shù)量，售賣公民個(gè)人信息的數(shù)量和非法獲利情況。

四、結(jié)語(yǔ)

基于網(wǎng)站的侵犯公民個(gè)人信息案是一類典型的網(wǎng)絡(luò)犯罪，此類案件的電子證據(jù)取證過(guò)程從虛擬仿真、代碼分析、數(shù)據(jù)庫(kù)分析三方面進(jìn)行。使用虛擬仿真的方法重建網(wǎng)絡(luò)犯罪現(xiàn)場(chǎng)，模擬測(cè)試身份認(rèn)證提交過(guò)程，從直觀上反映非法獲取公民身份信息的犯罪場(chǎng)景。分析測(cè)試網(wǎng)站程序代碼，從功能上判斷網(wǎng)站程序獲取公民身份信息的來(lái)源、支付方式以及如何進(jìn)行身份驗(yàn)證，證明網(wǎng)站如何實(shí)現(xiàn)有償提供身份信息的工作機(jī)制。分析數(shù)據(jù)庫(kù)表單，與程序代碼結(jié)合驗(yàn)證網(wǎng)站功能，統(tǒng)計(jì)記錄，通過(guò)數(shù)字證明非法所得和犯罪情節(jié)輕重。此案方法也可適用于其他網(wǎng)絡(luò)犯罪案件，對(duì)于案件取證有較大的實(shí)踐指導(dǎo)意義。