【技术分享】时间线-重建零口供案件证据链

admin 2024年9月23日01:09:10【技术分享】时间线-重建零口供案件证据链已关闭评论27 views字数 2717阅读9分3秒阅读模式

【技术分享】时间线-重建零口供案件证据链

过去,电子数据取证分析大多聚焦在「现有数据的直接分析」或「删除数据的恢复分析」,而不同数据之间的关联分析关注度就会相对低一些,并且实战中操作起来也较为繁琐。

如何高效实现涉案检材中大量、多样、独立的数据之间的关联分析,实战中快速厘清、掌握嫌疑人的「犯罪行为链条」【时间线】则成为了解决问题的核心能力。

案件背景

近期,平航技术工程师协助某用户单位在某投资理财诈骗案件中,落地一名涉案技术员-嫌疑人X。但在后期案件调查过程中,嫌疑人X拒绝配合,保持沉默。

为此,平航技术工程师协同办案人员对嫌疑人检材进行了深度线索梳理,重建嫌疑人X的犯罪行为链条。

【技术分享】时间线-重建零口供案件证据链

图源网络,与案件无关,仅供参考

“技术窝点”勘查小贴士

在对此类技术窝点勘查时,主要围绕如文档类、代理类、服务器远程连接类以及浏览器、聊天类应用等进行深度勘查,目标获取如技术文档、账号密码、远程服务器信息、配置信息、订阅节点的IP地址、浏览历史、聊天记录等关键线索。

【技术分享】时间线-重建零口供案件证据链

平航计算机现场快速勘查系统

深度分析、梳理线索

由于嫌疑人X反侦察意识较强,提前清除了涉案手机、计算机中的大部分数据,在窝点现场并未直接找到有力的证据线索。

扣押期间,平航技术工程师协同办案民警使用平航手机多路取证软件PF5200和介质取证分析软件CS6100分别对固定回来的涉案手机、计算机进行取证深度取证分析,并成功挖掘出了一些案件线索。

【技术分享】时间线-重建零口供案件证据链

图源网络,与案件无关,仅供参考

线索一:宝塔面板绑定记录

对涉案苹果手机分析,发现嫌疑人X曾在APP Store商店中下载过阿里云盘,但手机中未找到,推断被嫌疑人删除

【技术分享】时间线-重建零口供案件证据链

APP Store界面

通过嫌疑人手机号重新登录,发现空间及回收站均无数据,密码箱(隐私空间)提示需要输入密码,说明密码箱曾经被使用过。

通过短信验证绕过密码登录,发现密码箱中有一个「资料.zip」文件,解压缩后发现里面记录着宝塔面板的账号密码,并且账号就是嫌疑人X的手机号码。

【技术分享】时间线-重建零口供案件证据链

阿里云盘-隐私空间

于是,技术人员通过嫌疑人X的手机号码登录了宝塔面板,确定该手机号码注册的宝塔面板绑定过涉案服务器。

【技术分享】时间线-重建零口供案件证据链

宝塔面板

线索二:连接过涉案服务器

涉案计算机中还存在MobaXterm连接工具,但工具中无连接记录。

查看数据目录,发现MobaXterm backup.zip文件,看其命名规则,判断为备份文件。

【技术分享】时间线-重建零口供案件证据链

MobaXterm连接工具文件夹

通过本地复现,技术人员发现在每次关闭该软件后,它都会自动将连接过的记录保存在MobaXterm backup.zip中。

进一步对该备份文件分析,发现其中记录了一条服务器的连接记录,但与涉案服务器IP不一致。

使用记录的服务器IP和密钥,通过平航服务器远程勘验软件SF3300对服务器进行取证,发现服务器宝塔面板的request日志中完整的记录了服务器IP的更换记录,可确认该涉案计算机连接过的服务器就是涉案服务器。

【技术分享】时间线-重建零口供案件证据链

宝塔面板的request日志

线索三:

代理订阅节点与服务器登录IP一致

通过分析涉案服务器,发现宝塔面板上的登录IP均为境外IP。继续推断,嫌疑人会使用翻墙软件来隐藏真实IP,然后通过浏览器登录宝塔面板进行网站维护。

查找嫌疑人翻墙软件使用痕迹,果不其然,在计算机中找到一款翻墙软件,虽然账号已退出,但在数据目录下找到其使用过的订阅节点

在取证设备上将节点添加到clash应用中,通过全局模式,记录节点使用的服务器IP,分析得到节点的IP与服务器宝塔面板上登录的IP完全一致。

【技术分享】时间线-重建零口供案件证据链

IP地址查询

时间线重建犯罪行为

为了能够更加清晰的溯源嫌疑人X的犯罪行为,最后通过介质取证分析软件CS6100的时间线分析功能,逐步梳理出一条清晰的、指向嫌疑人的“犯罪行为链条”。

以浏览器访问网址的记录为基准,筛选出行为记录发生前20分钟内的计算机事件变化。

【技术分享】时间线-重建零口供案件证据链

时间筛选

查看时间线展示的事件信息,在使用浏览器前,计算机会生成一些缓存文件,查看缓存文件所在目录确定其为翻墙工具的数据目录。

经过本地复现,每次使用翻墙工具时,其会在数据目录下生成缓存文件。通过时间线功能重建出嫌疑人使用计算机从“计算机休眠唤醒-使用翻墙软件-使用浏览器登录服务器宝塔面板”的行为。

2024-08-05 08:46:31 计算机休眠唤醒
2024-08-05 08:46:34 使用翻墙工具
2024-08-05 08:47:31 使用浏览器登录宝塔面板
……

【技术分享】时间线-重建零口供案件证据链

时间线分析

将嫌疑人X使用计算机的时间线跟涉案服务器宝塔面板的登录时间进行重合,重建出嫌疑人从“计算机休眠唤醒-使用翻墙软件-使用浏览器登录服务器宝塔面板-涉案服务器宝塔面板中的登陆时间等”的整个完整作案行为,最终为案件侦办提供了一定的帮助。

2024-08-03 02:12:03 计算机休眠唤醒
2024-08-03 02:12:15 使用翻墙工具
2024-08-03 02:14:18 使用浏览器登录宝塔面板
2024-08-03 02:14:26 服务器宝塔面板中的登陆时间
……

2024-08-05 08:46:31 计算机休眠唤醒
2024-08-05 08:46:38 使用翻墙工具
2024-08-05 08:47:31 使用浏览器登录宝塔面板
2024-08-05 08:47:40 服务器宝塔面板中的登陆时间
……

以上内容为本次案件支撑简要概述

详细技术支撑过程,可见

2024年第三季度平航电子取证技术简报

即将上线,敬请期待

CS6100-时间线

作为平航介质取证分析软件CS6100近期更新功能的一大亮点,“时间线”分析模块让原本各自独立的应用数据、海量文件、日志信息、网络痕迹等计算机数据得以轻松关联梳理,将计算机中所有具备时间戳的行为交织成数据链。

主要亮点1:不挑应用

CS6100时间线分析适用于计算机中所有带“时间戳”的数据,包括三方应用、日志信息、注册表信息、网络痕迹等等。

【技术分享】时间线-重建零口供案件证据链

主要亮点2:随时触发

通过CS6100全新时间线分析模块,实战中用户可以在任意一条具备“时间戳”的数据上,触发时间线分析功能,自定义数据筛选范围,生成可视化分析图表。

【技术分享】时间线-重建零口供案件证据链

主要亮点3:功能丰富

在时间线分析模块中,用户可以直接查看关键数据上下文、导出源文件、跳转至文件系统分析模块,实现多维筛选、事件统计等常用需求,使用更加方便。

【技术分享】时间线-重建零口供案件证据链

结语

根据我国《刑事诉讼法》第五十五条的规定,即使没有被告人的供述,只要其他证据确实、充分的,也可以认定被告人有罪和处以刑罚。

这一规定为“零口供”案件的办理提供了法律依据。

【技术分享】时间线-重建零口供案件证据链

而在“零口供”案件的勘查实战中,关键在于构建一个完整的证据链条,确保证据之间的相互关联和印证,从而形成对案件事实的唯一合理解释。

而平航介质取证分析软件CS6100时间线功能,可在梳理计算机证据链条中发挥重要辅助作用。

相关产品及功能均已发布

产品试用可联系区域销售

案件技术支撑正在服务中

欢迎来询

【技术分享】时间线-重建零口供案件证据链
【技术分享】时间线-重建零口供案件证据链
【技术分享】时间线-重建零口供案件证据链

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月23日01:09:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【技术分享】时间线-重建零口供案件证据链https://cn-sec.com/archives/3194311.html