当前位置: 首页 > 新闻中心 > 技术分享 > 【美亚技术分享】第三十一期:CSI之电子数据取证技战法思路

【美亚技术分享】第三十一期:CSI之电子数据取证技战法思路

第三十一期:CSI之电子数据取证技战法思路

编者按:本期技术分享感谢美亚柏科技术专家带来关于《CSI》的观后感及剧中所涉及的电子数据取证技战法的相关知识。欢迎更多的技术大咖或技术爱好者加入我们!


前言

CSI:Cyber(网络犯罪调查)是CSI(犯罪现场调查)的衍生剧。作为电子数据取证的从业人员,CSI:Cyber是必看的,可以从中吸取不少电子数据调查取证的技巧、方法和技战法。本文分析CSI: Cyber第一集的办案思路与电子数据取证技术应用。


剧情介绍

故事开始是一美国家庭,婴儿监视器传来了异响,夫妻(下文称夫妻A)两起来发现小孩被抱走了。(你懂的,美国小孩从小就必须自己睡,大人靠这个婴儿监视器来观察小孩的情况,与中国国情大不相同)。


查看小孩房间后,从监控摄像头传来了各国语言的对话,夫妻俩蒙了。

报警之后,由于涉及反安保入侵(婴儿监视器联网被入侵),涉及到电子设备犯罪被定义为网络犯罪,联邦调查局网络犯罪部门(下文简称CSI)接手了这个案件。


这个办公电视墙跟我们公司的会议室效果有一拼。

调查之后,首先是收集了夫妻A的手机、计算机、婴儿监视器等电子设备,进行调查取证。


取证之后,发现手机、平板等都没有被入侵,但女主人的电脑被入侵了。(其中,婴儿监视器的存储卡被拔走了,埋下伏笔)


并且恶意软件专门监控包含“baby”等字眼的邮件,监控他们家小孩的所有信息。


调查女主人的手机通话记录,最后一个通话号码,来自一个港口修船厂,在最近一个月通话频繁,并且所有通话都是在午夜12点以后,女主人出轨了~~


推测小孩也不是这男主人的,这个号码是女主人情夫的。DNA检测验证了这个结果。前往修船厂找到情夫,确实找到了一个小孩,不过却不是夫妻A丢的那个小孩,有人将小孩高价卖给了情夫,因情夫也没见过他小孩,并没有认出来。由此牵出,这是一个多个小孩被抱走的连环案。

CSI从发现的这个小孩的尿布找到了指纹。



发送指挥中心查询,不到几秒钟就传来了比对结果。


找到了第一个嫌疑人Vicky。查看其社交网络信息。


几乎没有什么朋友,只有一个叫“Ricky”的频繁出现,还找到了Ricky有一辆车,照片上有车牌号。


一辆蓝色的科迈罗。

根据情夫的说法,Vicky和Ricky 2小时前离开了船厂,根据其车速和时间,推测他们可能到达的地方。


从犯罪心理、性格分析等推测他们会在一高地的酒吧(这有点神了,其中Vicky有两次酒驾记录)。

抓捕Vicky和Ricky的过程,两人却被枪杀了,抓到枪手后(枪手被CSI开枪击中,死了),枪手的指纹竟然被完全削没了(这犯罪团伙背景不小)。不过从Ricky的口袋里找到了婴儿监视器丢失的存储卡。

恢复了存储卡的视频,案件开始有点眉目了。


竟然是有人直接入侵婴儿监视器,将视频中的婴儿公开拍卖,来自世界各地讲不通语言的人纷纷出价,出价最高的成交。

又有两个家庭报警小孩被偷,三个家庭都安装了同一个厂家的婴儿监视器。找到了婴儿监视器的厂家,发现了其服务器有重大漏洞,紧急关闭了这家婴儿监视器的服务器。

这个时候犯罪团伙恼羞成怒了,竟然直接威胁CSI,通过邻居家小孩的联网游戏机(Game Vex)发来了视频,威胁不重新开启婴儿监视器的服务器,就要杀了夫妻A的小孩。


这时候CSI掌握了反败为胜的机会,先在Game Vex里同意了半小时内让婴儿监视器的服务器重新上线。利用Game Vex的反恋童癖安全机制,找到犯罪团伙游的游戏机ID,追踪游戏机的位置,找到了犯罪团伙的位置。


一番战斗,拿下了犯罪团伙,但他们什么都不说,小孩还没找到,危险。登录犯罪团伙用来入侵婴儿监视器的电脑,20位的密码,只考虑字母和数字,高性能计算机也需要100亿年才能破解(需要这么久么...)


然后从犯罪团伙头目的纹身猜出了密码。


进入犯罪团伙的电脑,看到了其正在监控三辆车(对应三个婴儿)的位置信息。


最后利用这两个位置信息,顺利解救了另外两个婴儿。


观影小结

花了这么大篇幅介绍这一集的剧情,我们整理一下这里面利用的电子数据取证技术:

最开始是计算机取证与计算机木马调查,与我司的取证大师技术类似,找到了一木马。

再来是手机取证与手机木马调查,找到了一可疑号码,主要是通过该号码的通话规律(最后一次通话,频繁在近期的夜里12点后通话,该分析可用我司的手机取证大师系统的时间线播放器进行分析),并得知该号码来自一修船厂。

第三个是监控设备视频取证,几经周折后找到了婴儿监视器的存储卡,并恢复播放了其视频,这个对应我司的视频取证设备。

第四个是现场指纹调查,通过手机拍照直接传指纹到指挥中心进行查询。这个功能对应我司开发中的现场取证设备和现场取证Agent客户端。

第五个是社交网络取证调查,类似我司的舆情调查系统。

第六个是游戏机取证系统,这个我司也在开发中。包括前不久法国的恐怖事件也被传出是用游戏机进行通讯的。

第七个是密码解析系统,类似我司的极光密码解析系统。

所有这些取证技术,最有效的研判手段就是要找到犯罪团伙的位置信息,这是破案的关键。

故事的过程就是这样,作为从事电子数据取证产品研发的行业人员,看到这么一个电视剧节目还是挺震撼的,而且从头到尾并不觉得这些技术是虚构的。只有将计算机取证、手机取证、视频取证、现场取证、社交网络取证、游戏机取证、密码取证等各种各样的电子数据取证技术相结合,才能整体提升公安系统的办案能力。