本文由广州市公安局网络警察支队冯聪老师原创,独家授权,转载请注明。
摘 要:随着智能电子产品市场的高速发展,民用无人机在广泛进入我国普通民众生活,但也造成了许多现实安全隐患。从相关案事件的角度看,无人机所存储的电子数据能起到的证据作用日益凸显,提取收集相关电子数据将是今后的一个重要研究方向。本文通过对主流品牌的无人机数据进行提取及分析实验,探索无人机电子数据取证的流程要点和技术理论。
关键词:无人机 电子数据 取证 分析
引言
无人机(UAV),是无人驾驶飞机(Unmanned Aerial Vehicle)的缩写,指的是利用无线电遥控设备和自备的程序控制装置的非载人飞机。无人机可以在远程遥控的条件下完成负重载荷、航拍测绘等任务,可看做是“空中机器人”。随着物联网科技的不断发展,无人机作为一种消费类的智能电子产品已普及到普通家庭。无论是大疆等著名品牌,还是各类二三线品牌,都可以通过电商平台以数百元至数千元人民币的价格网购得到。
目前我国民用无人机行业发展迅猛,已成为备受关注的新兴行业。据统计,中国生产了全球约94%的民用无人机产品;据预测,我国民用无人机市场2018年的规模将达到110.9亿元;到2020年年销量预计达到65万架。
然而,在无人机产业飞速发展的同时,各种偷窥偷拍、摔机伤人、干扰飞行、运输禁品的案件或事件不断出现。在国家和地方政府对无人机管控的法律法规不断完善的背景下,警方在执法过程中对涉案的无人机进行取证的需求也就日趋强烈和迫切。
一、涉及无人机取证的案事件
随着民用无人机的普及应用渐成规模,在城市空域出现的大量“黑飞”现象,对公共安全构成了较为严重的现实威胁。由于无人机普遍具有一定的拍照摄像、数据传输、机载负重功能,有些不法分子更是利用无人机从事违法犯罪活动。警方在依法查处各类涉及无人机的案事件时,需要使用电子数据取证的方式收集相关证据。以下列举相关国内外案例:
(一)对国家安全的威胁
1、从事间谍活动:2013年以来,在我国北京、河北、新疆等地,已先后发生多起不明控制端的无人机闯入首都禁飞区、军事管理区、部队训练演习基地等事件。
2、制造恐怖袭击:2017年3月,极端组织ISIS发布了一组无人机挂载简易投弹装置的图片,并称该“新型武器”可投放小型榴弹制造敌方伤亡,或发动“自杀式”恐怖袭击。2018年1月,俄罗斯国防部称,俄军驻叙利亚基地成功抵御了一场由十多部装载炸药的无人机组成的集群袭击,被击落的无人机来自距基地50公里以外区域。
(二)对公共安全的威胁
1、干扰民航起降:2017年4月份以来,我国西南地区密集发生无人机干扰民航起降事件,在成都双流机场附近,2017年4月14日、17日、18日、21日、26日、27日、30日、31日和5月3日连续发生此类事件,造成了数百架次航班备降、返航或延误,其密集和危害程度巨大。
2、损坏公共设施:2015年9月,广州市海珠区猎德大桥南端发生无人机“摔机”事件,失控的无人机砸落到广州塔488米的高台处。
3、触发军事警报:2018年2月,数名某技术公司员工在河北省唐山市违规操作放飞油电混合动力无人机,被中部战区防空雷达部队侦测预警,战区参谋部当即派出了两架战斗机起飞拦截处置,其后当地军警联合执法队将有关涉案人员全部抓获。
(三)对人身权益的侵害
1、摔机伤及行人:2013年至2016年,专门谈论无人机“摔机”问题的“SB-DJI”网站就曝光了国内1800多起“摔机”事件,其中不乏伤及过往行人及车辆的事件。
2、偷窥偷拍隐私:2017年7月,陕西省西安市一名男子利用无人机和互联网直播软件,对一名在家中裸居的女子进行直播拍摄。
(四)从事违法犯罪活动
1、偷运违禁物品:2015年,无人机将违禁药物偷运进入美国俄亥俄州的一座监狱时候的,引发了犯人之间的打斗。美媒对此称,近年来已发现十多起无人机将手机、毒品和、色情物品等违禁品运输进入联邦监狱的事件。不仅美国,世界各地都不断有无人机偷运违禁品进入监狱的报道。
2、从事走私活动:2018年3月,深圳海关破获一起在深圳市莲塘深港边境区域利用无人机“飞线”走私进口电子产品的专案,打掉走私团伙6个,抓获犯罪嫌疑人26名,初估涉案案值高达5亿元。此类利用无人机走私的犯罪手法,在全国海关尚属首次查获。
3、跨境运输毒品:2014年,澳大利亚警方披露,无人机已被用来进行毒品走私活动。2015年4月,美国联邦政府在与墨西哥边境处查获全美第一起使用无人机为运输工具的跨境毒品走私案件。
二、无人机取证所需技术支撑
要对无人机实施电子数据取证,须基于获取到涉案无人机或其控制设备(智能手机或遥控器)。所涉及的技术要点按案事件的前中后三个阶段划分来论述。
(一)事前预防
通过无人机电子围栏和无人机云系统可有效地起到管控作用,及时作出预警,为捕获涉案无人机打下基础。无人机云系统是用于管理无人机飞行数据的动态数据库系统,无人机通过网络连接将飞行状态数据上传到无人机云系统进行管理。根据“轻小无人机运行规定(试行)AC-91-FS-2015-31”,II类以上(即起飞重量大于1.5kg)的无人机应装备电子围栏,并接入无人机云系统,根据机型按照每隔30至60秒一次的频率报告飞行数据。
利用无人机电子围栏和云系统可实现对无人机飞行计划管理、飞行状态监控、重点空域管制等管控措施。目前,我国已有“U-Cloud”、“U-Care”等多个无人机云系统获得民航局批准。警方依法提取收集无人机云系统日志记录的电子数据,能在一定程度上对无人机飞行轨迹进行溯源。
(二)事中干预
当发现非法闯入的无人机时,应充分运用无人机反制技术,对正在飞行中的无人机进行干预控制,防止其造成更大的安全威胁,并力求捕获涉案无人机,以便进行下一步的取证分析。目前主流的无人机反制手段有阻断干扰和物理反制两种。
1、阻断干扰。
利用无线电发射器对制定频段(2.4GHz/5.8GHz WLAN控制信息频段、GSM/3G/4G移动蜂窝频段、GPS等GNSS频段)进行干扰和压制,迫使无人机自动返航或自动降落。相应的代表性专用设备有 国外的Battelle品牌GPS/ISM 频段射枪和国内厦门美亚柏科“电子鹰”无人机反制设备,均能实现400米范围之内通过信号压制使无人机迫降。除无线电干扰外,还可以使用声波干扰的方式进行信号阻断,但这种方式可能会导致无人机“摔机”。
2、物理反制
一是用警用无人机携带拦阻网对涉案无人机进行拦截,如国外THEISS UAV SOLUTIONS 公司的抓捕用无人机,以“大机抓小机”的方式追踪飞近涉案无人机后撒网抓捕;二是使用专用设备抛射拦阻网进行拦截捕获,如国外的 SKYWALL 射枪便能发射带有降落伞的拦阻网,将182.88 米范围之内的无人机网住并捕获降落;三是训练猛禽捕捉无人机,在美国的相关部门就有对鹰隼进行特殊训练,直接以“老鹰捉小机”的方式捕捉无人机,此法主要用于处置机场附近非法闯入的无人机。
(三)事后调查
当涉及无人机的案事件发生后,警方按照提取收集电子数据的规范将涉案的无人机、遥控器、控制端智能手机等查货扣押,网安部门需要对应实施电子数据取证,当中需要运用的技术要点包括手机数据取证、日志数据分析、航拍图像固定等。
三、无人机电子数据取证实例
本文以无人机主流品牌大疆、小米为实例,探索无人机电子数据取证方法。
(一)对机身存储数据提取分析
1、大疆无人机机身存储的数据
大疆等厂商出于质量跟踪和合法性要求,一般会在设计时对消费级无人机加入飞行数据记录器功能,便于在飞机坠落或损坏后及时排查原因,或用于无人机调试使用。无人机本体中均应安装有类似“黑匣子”的飞行记录器。
以大疆DJI Phantom4无人机为例,其内置的飞行数据记录器在默认情况下会记录详细的飞行数据。拆开该无人机外壳,找到主板底部的存储卡槽,拆下其中的存储卡便能实施取证。
在记录飞机数据的存储卡中发现名称为“FLY###.dat”,的日志文件。通过对文件进行数据转换查看,该日志文件详细记录了飞行状态及各传感器的数值记录,其中的Longitude和Latitude数值可对应为当次起飞地点的经纬度值。将飞行记录格式转换后,还可以使用谷歌地图或百度地图直观勾勒出飞行的路径轨迹和起飞地点。
图1、2:大疆无人机机身飞行记录存储卡及数据内容
2、小米无人机机身存储的数据
以小米4K版(1080P)型号无人机为例,在拆解无人机本体外壳及芯片屏蔽盖后发现,其与大疆无人机的“黑匣子”内存卡原理相同,小米无人机机身中的飞行记录存储卡位于GPS芯片之下的飞控模块中,用同样的取证方法可提取飞行轨迹数据。
图3:小米无人机机身飞行记录存储卡
然而,想要读取小米无人机本体的飞行数据大可不必拆解。由于其机身提供了USB数据接口,可直接通过线缆连接电脑,便能读取无人机的飞行日志。
图4:小米无人机机身数据接口可直接连接电脑
另外,小米的子品牌米兔于2018年5月推出了低价新品“遥控小飞机”,其实际为集成度极高的微型无人机,长宽尺寸只有手机一般大小,具备航拍功能。该微型无人机完全依靠手机应用程序操控,机身内置4GB存储,仅能通过无线热点的方式传输航拍图像到控制端手机,暂无法通过数据接口或拆除芯片的方式读取飞行数据。此类微型无人机相应的电子数据取证工作则应围绕其对应的手机端应用程序展开。
图5:米兔微型无人机
(二)对手机端的电子数据取证分析
1、大疆无人机手机端应用程序的数据
从大疆“精灵”系列无人机的“手机——遥控器——无人机”连接方式可看出,遥控器通过2.4GHz频段将控制指令发送给无人机,无人机同时使用相应频段传输飞行数据和图像信号,遥控器接收后通过USB数据线传输至手机;同时,由于手机还承担了通过移动网络与大疆服务器连接的功能,从控制原理分析,手机上的无人机控制应用程序中应保存了相应的飞行数据。
以大疆消费级无人机的手机端控制应用程序“DJI GO”为例,其主要用于显示飞行状态和飞行轨迹,并实时查看图传发回的图像数据。使用手机取证软件分析安装了“DJI Go”应用程序的智能手机,在特定的目录下便能找到以“飞行日期+飞行时间”命名的文本日志。当飞行日志经过编码转换后,发现其内容与机身飞行数据记录器类似,均详细记录了每一次飞行的具体数据。
2、小米无人机手机端应用程序的数据
通过直接浏览小米无人机手机端应用程序的功能界面,可以在“设置”栏目中的“飞行记录”项查看到关于无人机的“飞行总公里数”、“飞行总分钟数”、“飞行总次数”记录;在“飞行回放”项中可以查看到以时间排序的“飞控日志”和“回放日志”,在“回放日志”选项中还可以在地图上显示出无人机的飞行轨迹。提取这些电子数据应按照相应的手机取证方法实施,并辅以拍照或截图的方式将数据内容完整记录及直观呈现。
图6:小米无人机手机端应用程序界面
(三)对云台相机数据提取恢复
大疆、小米等品牌的无人机均挂载有航拍用的云台式数码相机,跟普通数码相机原理相同,相机均插有存储航拍照片和视频的TF存储卡。在实施电子数据取证时,可将存储卡拆出,使用常规的电子数据存储介质分析方法,便能提取和恢复相应的多媒体文件数据。
从无人机云台相机存储卡中提取和恢复航拍照片,应进一步提取分析其图片源数据Exif内容,获取Exif信息中记录的拍摄机型、创建时间、GPS经纬度等关键信息。
四、下一步的研究方向和建议
(一)做好涉案无人机电子数据取证的技术储备。为做好相应的技术储备,网安部门对外可与电子数据取证技术研发机构做好沟通,梳理警务实战需求,将无人机取证结合到手机取证的研发中,并视情况定制研发专用的无人机电子数据取证设备;对内应继续完善对涉案无人机的取证流程和作业规范,细化对市面上各种不同品牌型号的无人机本体、智能手机控制端、遥控器端、机载云台相机端的电子取证技术方法。
(二)形成基础的涉无人机案事件警务培训课程。各相关警种应结合无人机管控的法律法规,梳理警务工作中所需相关应知应会的内容,适时研发警务培训课程及微课程,将无人机“黑飞”的危害性、如何发现处置、如何妥善捕获、如何实施取证等知识,与时俱进地传达到基层派出所及相关警种,力求将处置涉无人机案事件的教程手册普及到每位民警。
(三)合理配置无人机反制装备和警用管控系统。对于辖区内有重点防空区域、安保工作较重、无人机案事件多发的区域及警种,应配备快速有效、灵活机动的无人机反制能力,可根据工作需要合理配置信号干扰式、物理捕获式的无人机反制装备,适时建设用于发现追踪违法飞行无人机的警用管控系统。
结语:按照目前民用无人机产业规模的发展,今后涉及无人机的案件将日益增多。在严格执法的同时,警方应做好相关的技术储备,具备通过侦查取证还原无人机违法行为轨迹的能力。为此,电子取证人员需要尽快熟悉掌握各类无人机的电子数据特点,灵活运用多种取证技术和理念,方能有效地提取收集涉案电子数据,为查处相关案件提供必要的证据支撑。
参考文献:
1.《无人机取证方法浅析,我们有的是方法让机器开口!》,厦门美亚柏科信息股份有限公司,孙奕
2.《小型民用无人机电子数据提取固定及检验方法》,大连市公安局网络安全保卫支队,刘浩阳
《广州民用无人机的发展状况及安全管控策略研究》,广州市公安局指挥中心调研处,吴建军
作者简介:
冯聪,警务技术副高级,硕士,广州市公安局电子数据检验鉴定实验室授权签字人、警务技术一级主管,广东警官学院新型犯罪研究中心研究员,公安部、广东省公安厅、广州市公安局网络安全技术专家库成员。
声明:本文来自取证者联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。