【实战】电子取证之案中有案

释放双眼,带上耳机,听听看~!

【请转发】如果你或者朋友车子的柴油被盗过赶紧来看看

四川警队广泛搜集柴油被盗案源 .    近日,四川省公安厅刑侦局指挥乐山、绵阳、内江、阿坝、成都邛崃等地公安机关成功破获一个特大盗窃货车、工程机械柴油团伙案。根据已到案人员交代情况,已核实串并破获一大批货车、工程机械柴油被盗案件,但亦有相当数量案

转载自微信公众号:信息时代的犯罪侦查

原名《温泉会馆、军用枪支、软件公司、电子取证……》

编者按

温泉会馆、军用枪支、软件公司……,他们之间会有什么样的联系?

传统犯罪结合了电脑犯罪,成为复合型的犯罪型态,也使得执法部门所面临的挑战更加严峻。取证人员不仅要大胆假设小心求证之外,更要有足够的经验及判断,才不会错失重要关键破案线索。


温泉会馆传来枪声


警方接获线报,在一处僻静山区的温泉会馆,传出疑似枪支击发的声响。警方抵达现场后,根据会馆大厅和停车场的监视器录影带,循线查到名叫阿伟和阿强的男子有重大嫌疑,并在阿强的身上搜出一把制式90手枪。 


即刻展开调查 


经讯问后案情轮廓渐渐浮现,阿伟坦承是他将这把制式90手枪(图1)售予阿强,刻意选在僻静的温泉会馆中交易,但因阿强在清枪时误扣扳机,因而东窗事发。 

▲图1 找到一把制式90手枪


至于这把枪的来源,阿伟辩称是在山中的废弃工厂中拾得,警方对此说法持高度怀疑,所幸在阿伟家中的电脑桌面发现了疑似枪交易的客户名单以及案件信息(图2),最后,顺利突破阿伟心防,供出幕后主使者为名叫阿良的男子。 


▲图2 找到疑似枪交易的客户名单和案件信息



警方在阿良家中的地下室起获大批改造手枪、制式手枪、长枪,子弹以及改枪工具,简直可说是一间地下兵工厂,主要犯罪嫌疑人阿良对于拥有这些枪供认不讳,并表示阿伟是他手底下的业务员。 


阿良供称改枪的相关技能是结合军中专长加上个人的兴趣钻研所习得,而售予阿强一把制式90手枪是他的第一笔生意,专案小组认为阿良仍有所保留,有待进一步厘清。电子取证小组在阿良家中进行现场勘查,并将所扣得的笔记本电脑等证物带回实验室进行取证分析,以查明案情。 


发现可疑的执行程序


取证人员以取证工具对相关证物进行取证分析,在阿良的笔记本电脑中发现大量与枪改造及枪贩售相关的网页浏览记录,如图3所示。


▲图3 发现大量与枪改造及枪枝贩售相关的网页浏览记录



值得留意的是,在“我的文件”中发现了一个文件,内容清楚地记载了案件编号、时间、单位名称、承办人、购买产品、数量以及相关案况描述等等,如图4所示。 

▲图4 发现一个重要的文件


之所以引起取证人员的关注,主要是因为这份内容所具有的格式,不像是人工手动编辑所制作,倒像是由系统所产生的报表。因此,取证人员进一步查看阿良笔记本电脑中的程序执行痕迹,以了解是否有可疑程序与案情有关。赫然发现一个名为”PILOT.EXE-906AA733.pf“的可疑prefetch,它所指向的可执行程序pilot.exe位于“c:\pilot\”路径之下,如图5所示。 


▲图5 发现一个名为PILOT.EXE-906AA733.pf的可疑prefetch



出现奇怪的错误信息


要查明这个程序是否与那些报表有所关连,就有必要进行动态分析加以验证。但在点击pilot.exe时却发现无法执行,报错信息提示“Dongle not found”。 


说到此处,有经验的取证人员应该会比较熟悉了,这是程序运行缺少“加密狗”。

R灵机一动,想起当时在阿伟家中除了扣押笔记本电脑外,还有几个外接式USB储存设备,立即领出以进行验证。 


关键内容浮现 


取证人员R在逐一将阿良的优盘通过只读设备接入后,果然发现其中一支Lexar的USB盘(图6)可令系统顺利执行。 


▲图6 可让系统顺利执行的优盘



当将这支USB随身碟插入后,执行pilot.exe时不会出现任何错误讯息,执行画面如图7所示,映入眼廉的赫然是“军武销售管理系统”。 


编者注:写到此处,小编着实惊出一身冷汗……


▲图7 执行成功后所显示的画面



取证小组由此系统中查得大批枪枝交易记录,根据销售日期可得知阿良已经经营枪弹贩售数年之久,警方立即针对枪枝流向展开追查(图8)。 


▲图8 根据销售日期得知阿良已贩售枪械多年


另一方面,警方认为如此的一个企业化经营手法和规模,应非阿良一人能独力为之,合理怀疑应还有同伙共同犯案。根据在系统中所查得的业务代号和中英文姓名(图9),比对自阿良手机中提取出的聊天记录内容。警方顺利掌握这些业务员的身分并约谈到案,相关涉案人员均供认不讳。


【工具】查询有英文网站的公司—-AI HIT DATA

AI HIT DATA 是一个庞大的人工智能/机器学习自动化系统,该系统通过机器学习,可以从网络上获取和更新有英文网站的各类公司信息。目前官网有全球各类公司15796625家。 aiHitdata不仅可以自动提取相关公司数据。它还可以监控和了解公司网站上发生的变化; 同时

▲图9 查得业务代号和中英文姓名



案件侦查至此,专案小组成员都认为告一段落,不但破获军火贩售集团,并且循线追查枪枝流向,查出先前数个案件与此案的相关人员及枪枝有所关连,可谓是连破数案,成果丰硕。


然而……



但取证人员R深仔细检查证物及取证分析的相关发现,觉得此案尚有未尽之处,当面对此一企业化经营的犯罪组识,看到他们所使用的电脑设备及ERP系统,背后所代表的含义便是:专业


但问题来了,这套军武销售管理系统是打哪来的呢? 


案中有案 继续追查 


从客观角度分析,在阿良的笔记本电脑中发现这套系统的存在,并有频繁的执行痕迹,但市面上却未曾听过见过,且也不可能真有这么一套系统在贩售。


阿良本身精通改枪,但并不具备软件研发能力,不可能是阿良个人研发而成。因此,有必要追查的是,这套系统是哪来的?是何人或何团队所开发?与阿良为首的犯罪集团又有何关连? 


重大发现让案情明朗 


取证人员R持续检查名为“pilot”的ERP系统,在其子系统库存管理系统之中,发现了“版本版权”(图10),其中出现了疑似程序开发人员的大头照,虽然经过卡通处理,但仍可清楚辨识其五官,而右方的宣告信息更是留下一个名字,研判即是该名程序设计人员在版权宣告之中加注其姓名所致。


 ▲图10 发现“版本版权”说明



警方在出示上述物证后顺利突破阿良心理防线,阿良供称这套系统是委托一位程序设计师Brian所开发的,他并不认识Brian,是通过一位军中老乡牵线促成合作。警方循线找到Brian,发现他是任职于某知名软件信息公司的开发人员,但Brian矢口否认他与此案有任何关连。 


警方在Brian住处扣得笔记本电脑及相关物证进行取证分析,以厘清Brian涉案程度。取证小组在经过一番取证分析之后,初步发现有大量程序代码及SA文件储存在Brian的电脑中,但未发现与阿良军武贩售管理系统有明显相关之处,案情一度陷入胶着。 


掌握关键线索 


取证人员R清楚该Lexar的随身优盘即是关键所在,透过这支优盘必然可以查出与系统开发者的关连性。由于该Lexar USB随身碟即是该军武销售管理系统的认证设备,若Brian确为该系统的开发人员,那在Brian电脑之中势必存在该支Lexar 优盘的插拔记录才是。 


取证人员R检查自Brian笔记本电脑中提取的USB使用痕迹,果然找到一笔与该支Lexar优盘的pid(Product ID)、vid(Vendor ID)、Serial Number相符的记录,如图11所示。 


▲图11 找到与Lexar 优盘相符的记录


进一步查看Brian笔电中的文件存取痕迹,发现有一个名为“dongle.lic.lnk”的文件存取痕迹,是指向本机磁盘以外的磁盘代号F:,设备型态为Removeable,且记录了当时该USB设备的Volume Name为「DONGLE」,及Volume Serial Number为「52EB-4DF3」,如图12所示。 


▲图12 查看dongle.lic.lnk文件存取痕迹



经与阿良的这支Lexar优盘的相关信息进行比对,结果为完全相符,如图13所示。


▲图13 比对结果完全相符


编者注:通过最简单的dos命令,就可以查看磁盘或者分区的序号和假名,这在国内某系统电子取证大赛中曾经被选手广泛使用。


终于真相大白 


案情至此已完全明朗,Brian在将该军武销售管理系统出货给阿良之前,为达到控管使用者授权的目的,将控管授权的License档dongle.lic放进该Lexar 优盘,并点击存取License文件内容,因此才在Brian自己的笔记本电脑中留下USB插拔记录,以及指向位于F盘的dongle.lic文件存取痕迹。 


除非对此优盘进行格式化,不然这个Volume Serial Number是不会改变的。而由于这支Lexar优盘是控管系统能否顺利运行的Key,阿良显然是不可能任意将其格式化。 


另外,取证人员R在Brian的电脑中发现D盘下有个名为“License file”的文件夹,其中有一个名为“dongle.lic”的文件(图14),与该Lexar 优盘中的文件“dongle.lic”进行比对,具有完全相同的内容(MD5值相同)。根据文件时间属性,可得知此即为Brian保留在自己电脑中的备份,以备不时之需。  


▲图14 找到同名且内容一致的dongle.lic文件


警方向Brian出示相关物证,Brian坦承由于禁不起高报酬的利诱,答应为阿良开发军武销售管理系统,但并未加入该犯罪集团。取证人员R认为Brian有避重就轻之嫌,怀疑Brian贩售牟利的程序可能与所任职公司研发的成果有所关连,因此与Brian所任职的单位进行练习,以进行相关程序代码的比对。 


比对结果发现,虽然在程序操作界面上稍有不同,但在引用函数及命名空间(Naming Space)等方面,有很高的相似度,此时公司高层也怀疑Brian窃取公司研发成果,决定要对Brian提出诉讼。Brian眼看无从抵赖,只好全盘供出。 


Brian表示在任职该知名软件公司期间,因公司在USB储存设备的控管上较为松散,甚至还可以将私人笔记本电脑带至公司使用。且由于在Windows操作系统上将文件或文件夹复制到USB储存设备时,并不会留下任何操作记录或日志,因此Brian便萌生歹意,将大量的专业程序代码通过USB设备存放在自己的电脑中。当日后生意上门时,Brian为赶在到期日前交货,仅需修改操作界面,再加入客户所要求的定制化功能即可贩售牟利。 


而为了持续经营及利于控管,Brian还启用了控管License的Dongle机制,将所产生的License档存放在Dongle之中,以Dongle来控管License的使用授权和使用期限,无需担心客户将系统复製分享给其他人使用。且届时License到期,还可以再向客户收取续约费用。也多亏了Brian如此专业及费心,采用了Dongle控管机制,一支USB优盘便成了此案能够顺利找到线索的关键。 




请长按选择识别图中的二维码并关注【信息时代的犯罪侦查】公众号,了解犯罪手段、侦查技术、办案心得,做到自我提升、自我救赎!

本文源自微信公众号:丁爸 情报分析师的工具箱

【培训】 2019首期竞争情报高级培训班下周在北京开班

 2019首期竞争情报高级培训 实训营课程安排   时间:5月28-31日(周二晚到周五)  地点:中国 北京   学习目标:  经过三个阶段三天的培训、实训,使学员具备情报工作的正确意识,并掌握良好的工作方法,从而能较为顺利地进入情报工作状态,并在本单位的实际情

人已赞赏
安全工具

【情报课程】英国领先的调查和欺诈培训课程和解决方案提供商----Focus Training的课程简介

2019-10-15 16:05:55

安全工具

【请转发】如果你或者朋友车子的柴油被盗过赶紧来看看

2019-10-15 16:06:09

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索