这样的反侦查手段你想到过吗?

admin 2022年4月25日13:24:27评论42 views字数 4526阅读15分5秒阅读模式

知识

随笔

案例

声音

其他


编者按

本文将讲述一个电子取证的案例,一桩可疑的毒品走私案及一连串莫名难解的密文,取证人员如何抽丝剥茧才能成功破解歹徒的犯罪手法。

台湾同行的做法值得借鉴。


抓获犯罪嫌疑人


警方接获友方情报,圣诞节之后将有一批毒品于西部某渔港上岸,负责接头的嫌疑犯叫阿森,因此警方对阿森展开跟踪行动,试图掌握相关案情。 


由于情报中指称该批毒品的数量与金额十分庞大,绝非阿森一人可独力处理,警方怀疑是集团势力于背后运作。 在跟踪数日之后,阿森发现有异状而开车冲撞警方,之后在高速公路被警车拦截后带回侦讯。 


发现奇怪的聊天内容 


检察官率队至阿森家中搜查,将阿森个人电脑、智能手机等相关物证带回,并送往技术部门鉴定分析。 


阿森在审讯时表现沉着冷静,嘴角露出一抹不经意的微笑,似乎胸有成竹,深信警方绝对查不到任何对他不利的证据。 


取证人员在经过初步分析之后,未能在阿森的个人电脑及手机中找到任何与案情相关的痕迹,仅在聊天记录中发现有些聊天内容为密文(图1),但未能得知其所代表的涵义。


这样的反侦查手段你想到过吗?

 ▲图1 聊天记录中有密文


遗憾的是,在罪证不足的情况下,检方只能眼睁睁见阿森交保离去。 


找到内容怪异的邮件和文件 


取证人员锲而不舍,在手机中查找到阿森的电子邮箱。如图2所示,阿森的邮件帐号为[email protected],经查该邮件伺服器位于境外。 


这样的反侦查手段你想到过吗?

▲图2 查看邮件帐号设定



而在收件箱中发现不少主题与内容均十分怪异的邮件,均来自同一个domain- zer0day.com,如图3所示。 


这样的反侦查手段你想到过吗?

▲图3 出现怪异的邮件内容


此外,在寄件箱中也可见到阿森的回复内容,乍看之下,也像是加密过的内容。不仅如此,硬盘中部分Word文件内容,发现也有与邮件中所见到的相同怪异内容,如图4所示。 


这样的反侦查手段你想到过吗?

▲图4 发现怪异的档案内容


另外,这些可疑的Word文件,除了内容古怪外,其时间戳记(Timestamp)也让人疑惑,不仅Creation Time、Last Access Time、Last Written Time三个时间戳记都是2010年之前的时间,甚至连Entry Modified Time亦是如此,如图5所示。 

这样的反侦查手段你想到过吗?


▲图5 部分有著怪异内容的Word档,而且MACE四个时间戳记完全一致

【编者注】M:Modify,A:Access,C:Create,E:Entry。


为何说这个情况古怪呢?常见的能够篡改文件时间戳记的工具,仅能改动MAC三个时间戳记,而无法改动到Entry Modified Time。 所以,即便嫌疑人使用工具篡改文件的MAC三个时间戳记,仍能由Entry Modified Time察觉异状。这也是电子取证人员判断文件时间属性的重要依据之一。


倘若MACE四个时间戳记都是2010年之前的时间,就表示这些文件在2010年之后皆未被“动”过,那岂不意味着,这些文件与目前的案情并无关联?


但若是如此,便无法解释为何邮件的时间戳记是2015年12月,而有着相同内容之文件的MACE四个时间戳记却都是2010年之前的日期时间。面对这一连串古怪的现象,取证人员不敢大意,立刻向长官呈报此一新发现。 


找来各领域专家研究如何破密 


在专案会议上,长官铁青着脸要求取证人员针对这些有着可疑内容的文件,立即查明为何MACE四个时间戳记都是2010年之前的日期时间,以及它们与案情究竟有无关联。 


取证人员遵照长官指示,联系其他单位要求协助,包括调查局及军方,还找来了语言学专家、科学家、数学家等等国内外各领域专家,共同研究如何解密那些有着怪异内容的邮件及文件。 


各方专家用上所有设备工具及各种演算法进行分析,埋头苦思数日皆无所获,仅能整理出特定字串重复出现的频繁程度及比例,但对内容仍一无所悉,毫无头绪。 


语言学专家表示从未见过这种文字组合,推论可能是中古世纪流传下来的一种用于秘密通讯的语言。FBI的取证专家则建议,留意一下是否能够在检材复制件中找到密文译本,若能找到,也许就能够对照密文译本还原文件内容,当然密文译本也可能以纸质的形式存在。 


取证人员几乎已经把整个检材的每一个角落,也包括阿森的住处全都翻遍了,但没找到密文译本的电子档、纸本或是任何与那些怪异内容相关的迹证。 


此时,决定先把焦点转向那些MACE四个时间戳记十分可疑的Word档身上,若能得知造成此现象的原因及手法,也许便能有所突破。 


还原篡改文件时间戳记的手法 


取证人员R冷静思考,也许阿森的电脑中有篡改文件时间戳记的软件工具或者可执行文件,R使用仿真工具,制作了一份检材快照(Snapshot)。 


由于程序执行时会在Prefetch文件夹内产生副本名为.pf的档案,此为程序执行的重要痕迹,R很快地就锁定了一个名为“PUZZLE.EXE-877A3B07.pf”的可疑文件,如图6所示。 


这样的反侦查手段你想到过吗?

▲图6 找到PUZZLE.EXE-877A3B07.pf。


接着,检查检材里现有所有安装的软件,并无可疑之处。再搜寻有无名为“puzzle”的可执行文件,果然在C盘内一个名为“puzzle”的文件夹中找到了名称叫“puzzle.exe”的程序,如图7所示。 


这样的反侦查手段你想到过吗?

▲图7 检查PUZZLE.EXE文件属性


取证人员R将其点击执行后,屏幕上只出现一闪而过的DOS画面。没错,这是个只能在DOS环境下执行的程式。R很清楚这类在DOS环境执行的程序,会在Windows中产生名为CMD.EXE的prefetch,除此之外,同时也会产生与该可执行文件同名的.pf文件。 


R立即切换到命令行模式,在该路径下执行puzzle.exe,赫然出现提示信息及参数说明(图8),R不禁倒吸了一口气,觉得就是它没错,一个可以用来更改MACE四个时间戳记的反取证利器“timestomp”。


这样的反侦查手段你想到过吗?

▲图8 发现一个Timestomp程序


至于文件名称为何是puzzle.exe,R研判阿森是将“timestomp.exe”的文件名称更改为“puzzle.exe”,以便于混淆与掩人耳目。 


MFT表中有两组时间戳记属性 


至此,已掌握阿森的确有使用timestomp.exe的证据,但仍需进一步检查那些可疑Word文件的时间戳记,以查明其是否确为2010年之前才有存取行为的文件,还是人为刻意篡改文件的MACE四个时间戳记所致。 


取证人员R将检材内的MFT表导出,再以Mft2Csv工具将该MFT表里的所有纪录导出成文字,并查看那些可疑Word档的时间戳记,而有了重大发现。 


R留意到其中一个有着怪异密文内容的Word文件,其文件名为“apache-cronlog-howto.doc”,其内容如图9所示。 


这样的反侦查手段你想到过吗?

▲图9 检查某个怪异Word文件的内容


尽管它的MACE四个时间戳记均已变得一模一样,但其实被改动到的这组时间戳记是所谓的Standard Info(图10)。 


这样的反侦查手段你想到过吗?

▲图10 Standard Info的时间戳记已被timestomp改动


而另一组时间戳记Filename Info却道破了当中玄机,如图11所示。


这样的反侦查手段你想到过吗?

图11 Filename Info的时间戳记未能被timestomp改动


由此可知,即便是以timestomp篡改文件的MACE四个时间戳记,也仅能改动到Standard Info这组时间戳记。 


而对照Outlook邮件内容,可得知该Word文件“apache-cronolog-howto.doc”中的怪异内容即是来自此封邮件,时间为“2015/12/27 下午14:00”,寄件者为Mary,主旨名称是“hhw ytap olod nd”,如所图12示。 


这样的反侦查手段你想到过吗?

▲图12 apache-cronolog-howto文件中的怪异内容即是来自此封邮件



然后,阿森再将邮件内容复制到Word应用程序内,保存并刻意取了一个与内容完全不相干的名称“apache-cronolog-howto”。 


此时,文件的MACE四个时间戳记应如Filename Info所示为“2015/12/27 下午4点47分”(图11),但后来阿森再以timestomp.exe篡改该档案的MACE四个时间戳记为“2009/10/08 下午2点34分”( 图10)。 


研判其目的是为了要保有文件内容以供调阅,而篡改该文件的MACE四个时间戳记则是为了混淆及造成假象,哪怕这些文件被取证人员发现,也会因MACE四个时间戳记而误判其为多年前才有存取行为的文件,与目前案情无关,便可误导取证人员将其忽略,或者造成时间线(Timeline)分析上的混乱。 


找到密文的线索 


取证人员R归纳了一下目前的发现,综合成以下 几点: 


1. 密文中的每一行应代表著一句话,字串之间以空格相隔,但无其他标点符号,研判不加其他标点符号的原因是避免被猜出段落。而以空格做为间隔,应是为了断词以避免语意不清。 


2. 这些字串最短为1个字母,最长为5个字母,并且部分字串出现频率颇高。这是目前唯一确定的规律性,显见这些字母组合应具有一定规则。 


3. 这些字串无法以英文字符或发音找出规则性或关联性,显见应是对应于某种特殊规则的组合。 


R心想,若是有对应到一个特殊规则,那为何会没有任何对照表的存在,难道是专门打造用来让传送接收两方均能凭肉眼及记忆力,便可轻松加以编码及解码的规则?要嘛是犯罪集团份子的记忆力及理解力有相当程度,要嘛是这规则并不复杂,且经一定训练即可上手。 


终于真相大白 


R仔细地在仿真的快照中查找相关线索,同时脑海中闪过各种可能性,若有所思地模拟阿森的操作行为。突然间,R灵机一动,发现了关键所在,R立刻进行解译并出示给长官过目,解译结果如图13∼图14所示。 


这样的反侦查手段你想到过吗?

▲图13 解译结果1


这样的反侦查手段你想到过吗?

▲图14 解译结果2



大家知道R的发现了吗?


没错,就是“仓颉输入法”。R根据图15的发现研判阿森所使用的中文输入法种类有注音以及仓颉,而密文的编码解码规则可能就跟这两者有关。经过验证之后,证实密文的编码解码规则就是仓颉输入法的拆字规则。 


这样的反侦查手段你想到过吗?

▲图15 阿森所使用的中文输入法种类



结语 


歹徒虽然聪明地利用了反取证工具timestomp篡改文件时间戳记,同时又利用取证设备及软件的弱点,也就是它们无法辨识自定义的编码规则所产出的密文,使得初期的侦办方向忽略了这些可疑的邮件及文件内容。 


这是由于取证人员当初在取证分析时,仅依照一贯的做法以各种专业取证软件进行了预处理(Evidence Processsing)及关键字搜寻(Keyword Search)使然,自然未能“看”到有着这些怪异内容的邮件与Word文件。尤其是那些有着怪异内容的Word档,名称看起来均十分正常,除非逐一打开来以肉眼检查其内容,不然是绝无法光靠电脑或任何取证软体察觉出异状。 


这也是电子取证的最高指导原则,即是“善用工具,但不过度依赖工具”,工具无法帮取证人员判断“内容”为何。是否有与案情相关或任何可疑之处,仍须依赖取证人员凭借经验与判断来还原真相。


最后,在取证人员锲而不舍的努力追查之下,以自身的经验及判断找出关键所在,并成功解译密文,顺利破获此一贩毒走私集团,将歹徒绳之以法。 



这样的反侦查手段你想到过吗?

请长按选择识别图中的二维码并关注【信息时代的犯罪侦查】公众号,了解犯罪手段、侦查技术、办案心得,做到自我提升、自我救赎!


原文始发于微信公众号(信息时代的犯罪侦查):这样的反侦查手段你想到过吗?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月25日13:24:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   这样的反侦查手段你想到过吗?http://cn-sec.com/archives/903445.html

发表评论

匿名网友 填写信息