维权声明:本文为knight34原创作品,本作者与仪器信息网是该作品合法使用者,该作品暂不对外授权转载。其他任何网站、组织、单位或个人等将该作品在本站以外的任何媒体任何形式出现均属侵权违法行为,我们将追究法律责任。
1 前言说起司法鉴定/法庭科学,可能都会觉得挺神秘的。本文将CNAS T0752《电子数据的提取、固定与恢复能力验证计划》(http://www.cnas.org.cn/zxtz/744164.shtml)需要提交的最终报告贴出来,同时介绍一下鉴定文书编写的注意事项,让大家对这一领域有一定的了解,同时也供该领域的人员参考。本文仅供参考,并非标准答案。部分文字用XXX代替,图片较多未全部贴出。2 内容司法鉴定报告有别于一般的检测报告,主观性强,对人员的专业能力要求较高,注重对检验结果的分析、说明、判断。
司法鉴定报告通常采用《司法鉴定文书规范》提供的模板。编写报告时,要理清思路,参照鉴定工作记录,将鉴定的关键过程和关键结果整理到鉴定报告中,适当分析说明,并提出鉴定意见。鉴定文书编写完后应进行自查,然后才提交授权签字人审核。最后还要加盖机构章和钢印。
CNAS T0752能力验证检验鉴定报告见本文下方(注:官人的要求。)
3 总结此次能力验证的难点在于可疑文件和可疑IP地址的完整获取。从wwwroot获取部分可疑文件后,先以这些可疑文件为关键字分析web访问日志获取可疑IP地址;然后再以IP地址为关键字搜索访问的可疑文件;接着再以新获取的可疑文件为关键字分析web访问日志;多次重复上述操作,直接到将可疑文件和可疑IP地址获取完整。整个过程需要鉴定人员的耐心、细心,同时也考验鉴定人员的专业知识(如哪些文件是常用的入侵工具、端口映射工具。。。)。
参考[1] 司法通[2007]71号 司法鉴定文书规范附上报告:---------------------------------------------分割线-----------------------------------------------------------
CNAS T0752能力验证检验鉴定报告
×××第×××号
一、基本情况
委 托 人:CNAS T0752能力验证委托鉴定事项:1.计算送检U盘(样品)和送检U盘中硬盘镜像文件的SHA256校验码。2.提取、固定与恢复并分析本次黑客入侵事件的相关电子证据。受理日期:2013年XX月XX日鉴定材料:标识有参加机构代码的U盘1个鉴定日期:2013年XX月XX日至2013年XX月XX日鉴定地点:XXX鉴定实验室二、检案摘要某商业公司网站遭黑客入侵,网站数据库被盗,该公司服务器的硬盘已复制成硬盘镜像文件,现需对该硬盘镜像文件进行鉴定检验,提取、固定与恢复并分析本次黑客入侵的相关电子证据(该公司网站管理员介绍:该网站的数据库仅使用移动介质进行备份)。三、检验过程鉴定设备:XXX取证设备鉴定软件:XXX取证软件、winhex鉴定方法:GA/T 756-2008《电子数据发现提取固定方法》、GA/T825-2009《电子物证数据搜索检验技术规范》、GA/T 826-2009《电子物证数据恢复检验技术规范》1.记录检材情况,对检材拍照留证,记录检材的特征。2.启动XXX取证设备,运行XXX杀毒软件对系统进行全盘扫描杀毒,确保鉴定环境的安全。3.通过只读接口连接检材,运行XXX截图软件对以下每一步骤截图留档。4.U盘和镜像文件sha256值的计算:a)运行winhex软件,计算u盘的sha256值;b)加载镜像文件计算镜像的sha256值。5.设计检验用例:a)本案例检材为镜像文件,制作镜像文件t0752-182.img的副本做为检验对象;b)使用winhex计算镜像文件副本的sha256值,与4.b)计算所得进行比较,确保两者一致。6.发现提取固定证据数据:a)本案例为商业公司网站遭黑客入侵且网站数据库被盗,以分析IIS服务器的wwwroot文件夹和web访问日志为重点。b)用XXX取证软件加载镜像副本进行取证分析。获取c:\inetpub\wwwroot文件夹的6个“可恢复被删文件”,分别为dbBackTest.zip、hash.txt、lcx.exe、test.asp、test.txt、wce.exe。其中,wce.exe为hash注入工具,lcx.exe为反向连接的内网端口映射工具,这两个可执行文件是黑客入侵的重要工具。如图一:
图一 wwwroot文件夹获取的文件
c)获取c:\inetpub\logs\logfiles\w3svc1文件夹的7个“可恢复被删文件”,分别是u_ex130703.log、u_ex130704.log、u_ex130719.log、u_ex130722.log、u_ex130723.log、u_ex130724.log、 u_ex130725.log。如图二:
图二 恢复的web访问日志文件
d)以6.b)恢复出的可疑文件的文件名为关键字,分析IIS日志文件获取可疑IP地址。e)以6.d)步获取的IP地址为关键字搜索访问或操作的程序,提取可疑文件,并以此可疑文件为关键字搜索可疑的IP地址。7.运行winhex计算上述每一个提取文件的MD5值;将上述提取的文件、各步骤的截图、结果反馈表刻录成光盘,计算光盘的MD5值。四、检验结果经对编号为“T0752-xxx”的检材采用GA/T 756-2008、GA/T 825-2009、GA/T 826-2009方法,使用XXX取证软件进行技术检验,检验结果如下:1.计算送检U盘的SHA256校验码为:80D9327988E420F67C27958CAA6184D029BBC6053F61926E2742C5EE5FB6458D送检U盘中镜像文件的SHA256校验码为:5A762CFACFD98CBC3486023992F740EB80FBF8C2302E88DCDEECD7E658CB91612.在检材“T0752-xxx”中提取(恢复)固定与案情有关可疑文件 19个 ,发现可疑IP地址12个。涉及可疑文件如下: 涉及可疑IP地址如下:113.57.246.253、113.57.182.143、74.217.148.72、74.217.148.77、113.57.246.107、113.57.246.82、113.57.247.226、113.57.247.227、113.57.183.89、113.57.246.122、113.57.247.34、113.57.182.180鉴定结果及意见:在所检样品中存在与黑客入侵相关的黑客程序文件、网页程序文件,经日志分析发现了黑客入侵的相关痕迹。所有提取的内容见附件光盘,光盘校验值为XXX。五、落款司法鉴定人签名或者盖章 《司法鉴定人执业证》证号:司法鉴定人签名或者盖章 《司法鉴定人执业证》证号:
(司法鉴定机构司法鉴定专用章)
二○一三年×月×日
---------------------------------------------结束------------------------------------------------------------