取证最前线：针对网盘客户端的电子数据取证方法研究

作者：吴同   杨卫军   赵利

引言

随着互联网技术的发展和广泛应用，涉及电子证据的犯罪案件与日俱增。基于云存储技术的网盘使用量日益增多。借助于网盘客户端，人们可以将个人的图片、视频、文档、通讯录等个人信息通过手机或计算机上传到网盘上。很多云存储服务提供商为用户提供1G到4G的使用空间，这为用户在不同地点随时下载自己的文件提供了便利性。Gehlen等对网盘的点击量进行统计分析，发现网盘是排名前十名的网络应用，并且占据5%的点击量。Allot通信公司在对网盘在移动终端上的网络流量的统计分析发现，网盘流量占据移动终端网络流量的21%。这说明网盘给人们的生活带来了极大便利性。然而与此同时，也给不法分子提供了藏匿、传播非法音视频资料、破坏性程序等非法信息的空间。现有取证工具大多是面向单机，无法对网盘中的数据进行取证分析。借助云存储服务提供商的帮助，因涉及跨地域，甚至跨法域调查取证，办案成本太大，给取证工作带来巨大困难。因此，针对网盘，寻求合理有效的取证方法对于取证工作具有重要的现实意义。

网盘，是由互联网公司推出的在线存储服务，由云存储提供商为用户划分一定的磁盘空间，为用户免费或收费提供文件的存储、访问、备份、共享等文件管理等功能。用户可以通过Web、PC、各类智能手机、智能电视、电视机顶盒等设备进行数据共享。网盘客户端是指安装在PC、各类智能手机、智能电视、电视机顶盒等设备中的应用软件。该类应用软件可使用账号密码登录。目前国内用户量较大的网盘有百度网盘，优云网盘、115网盘等；国外用户量较大的网盘有Dropbox、OneDrive、Amazon S3、Google Docs等。

以百度网盘为例，可使用微博、QQ、人人网等合作账号登录，也可以手机号码进行注册登录。自2013年9月1日开始实施《电话用户真实身份信息登记工作方案》后，社交媒体和手机号码的实名制，使得通过手机号码或社交媒体账户来确定虚拟空间犯罪嫌疑人的真实身份更加便捷。因此，本文以百度网盘为例，研究基于windows系统的网盘客户端取证方法。

一、相关工作

目前针对网盘客户端的取证研究还处于起步阶段，Chung等人针对国外流行的网盘Amazon S3、Google Docs和Dropbox等进行了基于客户端设备的取证，通过分析在不同操作系统、浏览器下进行不同操作时产生的日志文件、数据库文件、cookies等系统文件，可以得到账号信息并重现用户在该设备上对文件的修改、删除、复制、移动等操作行为。Hale等人则针对Amazon S3进行了取证研究，通过分析访问、使用Amazon的网盘服务后计算机的残余数据，筛选出安装网盘客户端的计算机中进行修改、删除等操作痕迹，并设计了两个Perl脚本程序实现对证据的自动获取。Quick等人则以Dropbox为研究对象，研究了用户使用Dropbox后，如何获取其文件上传、下载、删除等操作行为。

通过对相关取证工作的分析可以看出，虽然现在已经出现了对网盘使用的取证分析，但是这些研究均是针对国外用户量较大的网盘进行的取证方法的研究。根据Analysys易观发布的《2016年上半年中国网盘市场份额监测报告》显示，我国网盘市场占有率前三名是百度网盘、360云盘和天翼云，其市场份额分别为73.91%、15.94%和7.26%。随着2016年10月20日360宣布将逐步关闭个人云盘服务，转型企业云服务，百度网盘的市场份额将会更大。在这种背景下，研究百度网盘客户端的取证方法，对提升国内计算机取证技术有重要的现实意义。

二、网盘客户端的取证方法

本文以Windows 10（1607）版本的操作系统下百度网盘为研究目标，进行取证实验。

第一步，按照GB/T 29362-2012 《电子物证数据搜索检验规程》和GA/T 756-2008《数字化设备证据数据发现提取固定方法》的要求，启动杀毒软件对电子物证检验工作站系统进行杀毒。使用符合GA/T 754-2008要求的电子数据存储介质复制工具复制待检计算机中的电子数据存储介质，将实验用机器的硬盘制作镜像文件，并记录相应的哈希值。然后，对具备写保护条件的待检设备，使用符合GA/T 755-2008要求的写保护设备，将待检（样本）通过只读方式连接到电子物证检验工作站。

第二步，Win10系统下的百度网盘的保存路径通常为“C:\Users\Administrator\AppData\Roaming\Baidu\BaiduNetdisk”。如果该路径下找不到，则需在电子物证检验工作站中，使用诸如FTK或EnCase等搜索工具，对检材以 “BaiduNetdisk”或“BaiduYunGuanjia”为关键词进行全盘搜索。这是因为旧版本的百度云盘其安装路径为“C:\Users\Administrator\AppData\Roaming\Baidu\BaiduYunGuanjia”。找到该位置后，打开其中的User目录并打开，如图1所示。

上图中以数字和字母混合的文件夹为曾在该计算机中登录过网盘的账户名称加密后的样子。由其后面的修改日期，可以获取在该计算机中各账户最后登录网盘的时间。右键点击某个文件夹，可以找到该文件夹的创建时间，即首次登录时间。

第三步，以任意文件夹为例，双击进入，如下图所示。根据百度网盘的文件结构设计，从该目录下有个名为m0ca的文件夹可知，本文件夹为账号名称为“m0ca”的用户在该计算机上登录后，系统自动生成。

第四步，对该文件夹中的“BaiduYunCacheFile V0.db”和“BaiduYunGuanjia”两文件进行分析。由于网盘类应用程序大多需要跨操作系统，因此大多采用SQLite存储机制。SQLite这种轻型数据库，是遵守ACID规则的关系型数据库管理系统。该数据库系统具有占用资源少，能够支持Windows/Linux/Unix等操作系统，同时能够跟多种程序语言相结合的优点。同Mysql\PostgreSQL相比，其处理速度很快。百度网盘也不例外的使用了该数据库。

使用数据库管理工具Navicat Premium，打开“Baidu YunCacheFileV0.db”数据库进行分析，如图3所示。

从图3中可知，在“BaiduYunCacheFileV0.db”数据库中有两个表，分别是“cache_file”和“version”。其中“cache_file”表中存有使用该计算机登录的m0ca账户中的文件夹信息列表可以导出。相关文件在百度网盘中的存储路径、文件的唯一标示、该文件在百度网盘存储服务器中的文件名，该文件的md5值，访问服务器的时间等信息均可使用Navicat Premium导出保存。其中，文件的md5值可用于验证该机器中相应名称的文件与百度网盘服务器中文件的一致性验证。访问服务器时间，可以证明该计算机使用百度网盘访问该文件的时间。

使用数据库管理工具Navicat Premium，打开“Baidu YunGuanjia”数据库进行分析。在该数据库中，有5个表，分别是：backup_file、download_file、download_history_ file、upload_file、upload_hisotry_file和virson等。

其中，在表download_history_file中，显示的使用账号m0ca在百度网盘中下载过的文件的列表，包括：文件名称、大小、下载的起始时间和完成时间，如图4所示。

在表upload_history_file中，显示的是使用账号m0ca在百度网盘中下载过的文件的列表，包括：文件名称、大小、上传的起始时间和完成时间，如图5所示。

第五步，可使用Navicat Premium将上述信息导出到excel表，保存数据文件，并计算其哈希值。

通过上述取证实验显示，如有犯罪嫌疑人使用百度网盘上传、下载非法音视频资料、破坏性程序等非法信息，在扣押其计算机后，可通过上述方法针对网盘客户端进行搜查取证并固定保全，从而在其他证据的辅助下确定犯罪嫌疑人的网络行为。另外，通过上述取证方法，还可获得对案件有侦查价值的线索。

三、结论

网盘作为一种跨网络、跨操作系统的信息传播载体，也为不法分子所青睐，因此获取通过网盘上传、下载的信息对于数字取证具有重要意义。实践表明，本文提出的使用通用的数据库管理软件搜索检材，分析网络行为、获取数字证据的方法具有较好的指导意义。下一步笔者将致力于对Android、iOS系统中网盘的取证方法进行研究。

参考文献：

[1] GEHLEN V, FINAMORE A, MELLIA M, et al. Uncovering the Big Players of the Web[M]. Springer Berlin Heidelberg, 2012.

[2] MOBILE TRENDS A. Global Mobile Broadband Traffic Report[R/OL]. Allot Communications, Technical Report, http://www.allot.com/resource-library/mobiletrends-report-h12016/.

[3]  Chung H, Park J, Lee S, et al. Digital Forensic Investigation of Cloud Srorage Services[J]. Digital Investigation, 2012,9(2):81-95.

[4] Hale J S. Amazon Cloud Drive Forensic Analysis[J]. Digital Investigation, 2013,10(3):259-265.

[5] Quick D， Choo K K R. Dropbox Analysis: Data Remnants on User Machines[J]. Digital Investigation, 2013,10(1):3-18.

[6] 环球网,易观发布《2016年上半年中国网盘市场数据报告》 百度网盘领跑中国网盘市场[EB\OL], http://china.huanqiu. com/hot/2016-11/9620104.html, 2017-06-06.

[7] 网易, 360宣布将停止个人云盘业务[EB\OL]. Http://baike. Baidu.com/redirect/29275y62gg9Rlsabru6X9dr9oiFWhSEJn4o6kw_2UJh_8EVpD3vvgZ_HR1xuREUEjOfWjlquWPZdlxpZW_LIYpK6CMT579I13kQJXQ3-jFR9, 2017-06-06.

[8] Navicat for MySQL[EB\OL], https://www.navicat.com/en/ products/navicat-for-mysql, 2017-06-26.

声明：本文来自警察技术杂志，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。