四川效率源电子数据司法鉴定所对涉嫌发送诈骗短信设备进行电子数据鉴定案例
案例内容
【案情简介】
2017年8月31日,某某县某某派出所在工作中发现一起利用台式电脑、猫池和三网通软件发送诈骗短信的案件。委托鉴定机构对相关设备的电子数据进行鉴定。
【鉴定过程】
(一)技术规范
1.GB/T 29362-2012 电子物证数据搜索检验规程;
2.GB/T 29360-2012 电子物证数据恢复检验规程;
3.GA/T 756-2008数字化设备证据数据发现提取固定方法。
(二)鉴定工具
设备:鉴定工作站(ED-SP9200)
软件:效率源仿真系统V1.0、效率源伪基站数据分析工具V2.4.0.4、R-STUDIO V7.2.154997(以下简称R-STUDIO)、WinHex V18.3(以下简称WinHex)、Navicat Premium V11.2.7(以下简称Navicat)。
(三)鉴定步骤
1.检材编号
对检材进行唯一性编号:2017-0134-JC
2.准备鉴定环境
使用360 Total Security Essential杀毒软件对工作站进行全盘扫描,未发现病毒。
杀毒软件版本:8.8.0.1043
病毒库日期:2017年9月11日
同时对检验工作站及周边环境进行了防磁、防水、防静电和防震保护。
3.固定数据
运行WinHex软件,对检材2017-0134-JC进行MD5(128bit)校验。随后对其生成镜像文件“2017-0134-JC.dd”,大小为111GB(120034776字节),并对镜像文件进行MD5(128bit)校验。两次校验的MD5(128bit)值见表3-3-1所示。
|
校验结果 |
|
|
校验对象 |
MD5(128bit)检验值 |
|
硬盘:2017-0134-JC |
5E3C15F58BC6E7D9011BECC54EAAD5A7 |
|
镜像文件:2017-0134-JC.dd |
5E3C15F58BC6E7D9011BECC54EAAD5A7 |
表3-3-1 检材与镜像文件校验结果
经过比对,编号为“2017-0134-JC”的检材源盘与名为“2017-0134-JC.dd”的检材镜像文件的校验值相同,可以确认二者的数据完全一致,在司法鉴定操作过程中将镜像文件视作检材源盘。
数据固定完成后断开连接,取出检材,放入封装袋后封存。
4.筛选数据
运行效率源仿真系统,加载镜像文件“2017-0134-JC.dd”。
根据委托要求以及简要案情进行筛查检验,在检材路径“D:\Program Files”下,找到2个用于发送短信的软件程序的文件夹。
(1)在检材路径“D:\Program Files\三网通-6.5”下,有“三网通-多功能短信王”软件的可执行程序文件以及数据库文件等。
可执行程序文件的快捷方式被创建于检材计算机系统桌面,名为“三网通-6.5_04-30”。
数据库文件“db.db”大小为23.3MB(24529920字节),将该数据库文件保存至鉴定专用盘。
(2)在检材路径“D:\Program Files\三网通-彩信”下,有“三网通-多功能彩信系统”软件的可执行程序文件以及数据库文件等。
数据库文件“db.db”大小为67.0KB(68608字节)。将该数据库文件保存至鉴定专用盘。
根据委托要求以及简要案情进行筛查检验,在检材路径“D:\3G猫池万能驱动-USB(WIN7)”下,找到3个用于发送短信的软件程序的文件夹。
(3)在检材路径“D:\3G猫池万能驱动-USB(WIN7)\钱来发发”下,有“卡商自动发码窗口版”软件的可执行程序文件、数据库文件“Data.mdb”及“运行日志”文件夹等。
数据库文件大小1.06MB(1118208字节),属性为隐藏。将该数据库文件和“运行日志”文件夹导出至鉴定专用盘。
(4)在检材路径“D:\3G猫池万能驱动-USB(WIN7)\钱来发发卡商自动发码窗口版V1.7.0324.02”下,有“卡商自动发码窗口版”软件的可执行程序文件、数据库文件“Data.mdb”以及“运行日志”文件夹等。
数据库文件大小1.86MB(1953792字节),属性为隐藏。将该数据库文件和“运行日志”文件夹导出至鉴定专用盘。
(5)在检材路径“D:\3G猫池万能驱动-USB(WIN7)\钱来发发卡商自动发码窗口版V1.7.0324.023”下,有“卡商自动发码窗口版”软件的可执行程序文件、数据库文件“Data.mdb”以及“运行日志”文件夹等。
数据库文件大小944KB(966656字节),属性为隐藏。将该数据库文件和“运行日志”文件夹导出至鉴定专用盘。
【分析说明】
(一)“三网通”软件发送短信分析
1.分析“三网通-多功能短信王”软件的数据库
运行Sqlite工具,打开的“三网通-多功能短信王”软件“db.db”数据库,解析数据库后,在数据库的表“t_sms_send”中找到该软件发送短信记录,共计发送126636条,同时该表还记录了发送短信的内容、发送时间以及接收短信的手机号码等,详情统计如表4-1-1所示。
|
“三网通-多功能短信王”软件发送短信数量统计 |
|
|
信息内容 |
发送数量 (单位:条) |
|
你被奔一跑一兄一弟,定为本季互动者,得¥l80000与笔記本一台!用8800到 jrbck.cn 査看;—个工作曰內有效 |
20674 |
|
你被奔一跑一兄一弟,定为本季互动者,得¥l80000与笔記本一台!用8800到 jrbcl.cn 査看;—个工作曰內有效 |
8500 |
|
你被奔一跑一兄一弟,定为本季互动者,得¥l80000与笔記本一台!用到 jrbcl.cn 査看;—个工作曰內有效 |
1 |
|
你被奔一跑一兄一弟,定为本季互动者,得¥l8与笔記本一台!用8800到 jrbcl.cn 査看;—个工作曰內有效 |
1 |
|
你被奔一跑一兄一弟.定为本季互动者,得¥I80000与笔記本一部。用8800到 jrbck.cn 査看;二十四小时內有效 |
8635 |
|
你被奔一跑一兄一弟.特定为本季互动者,得¥l0与筆記本一部;用8800到 jrbck.cn 査取。24小时內有效 |
1 |
|
你被奔一跑一兄一弟.特定为本季互动者,得¥l80000与筆記本一部;用8800到 jrbck.cn 査取。24小时內有效 |
22726 |
|
你被奔一跑一兄一弟.特定为本季互动者,得¥l80000与筆記本一部;用到 jrbck.cn 査取。24小时內有效 |
2 |
|
你被奔一跑一兄一弟;定为本季互动者,得¥l80000与筆记本一部;用8800进 jrbck.cn 査取;24小时內有效 |
20890 |
|
你被奔一跑一兄一弟;定为本季互动者,得¥l80000与筆记本一部;用进 jrbck.cn 査取;24小时內有效 |
2 |
|
你被奔一跑一兄一弟;定爲本季荣誉者,得¥I0与笔記本一台!输8800到 jrbck.cn 査领,二十四小时內有效 |
2 |
|
你被奔一跑一兄一弟;定爲本季荣誉者,得¥I80000与笔記本一台!输8800到 jrbck.cn 査领,二十四小时內有效 |
26754 |
|
你被奔一跑一兄一弟;定爲本季荣誉者,得¥I80000与笔記本一台!输到 jrbck.cn 査领,二十四小时內有效 |
1 |
|
您被奔一跑一兄一弟,定爲本季参与者,得¥l80000与笔記本一台.用8800到 jrbck.cn 査看.—个工作曰內有效 |
7800 |
|
跑一男一节一目一组!指定你为本季互动者,得¥l0与笔記本一部;用8800进 jrbck.cn 査看!24小时內有效 |
1 |
|
跑一男一节一目一组!指定你为本季互动者,得¥l80000与笔記本一部;用8800进 jrbck.cn 査看!24小时內有效 |
10645 |
|
跑一男一节一目一组!指定你为本季互动者,得¥l8与笔記本一部;用8800进 jrbck.cn 査看!24小时內有效 |
1 |
|
总计 |
126636 |
表4-1-1 “三网通-多功能短信王”软件发送短信数量统计
2.分析“三网通-多功能彩信系统”软件数据库
运行Sqlite工具,打开的“三网通-多功能彩信系统”软件“db.db”数据库,解析数据库,未发现其中有短信发送记录。
(二)“卡商自动发码窗口版”软件发送短信分析
1.“卡商自动发码窗口版”软件的数据库分析
(1)使用Access 2016打开检材路径“D:\3G猫池万能驱动-USB(WIN7)\钱来发发\”下的数据库文件“Data.mdb”,在表“fwrecord”中找到发送短信记录共计3204条。根据短信内容统计发送数量如表4-2-1所示。
短信发送记录统计
短信内容计数
(单位:条)
【钱宝网】验证码XXXXXX,请勿告诉他人。工作人员不会向您索要任何验证码或密码,谨防被骗!若非本人操作请不用理会,如有疑问请致电402266
【钱宝网】验证码XXXXXX,请勿告诉他人。工作人员不会向您索要任何验证码或密码,谨防被骗!若非本人操作请不用理会,如有疑问请致电400-155-8899。回TD退订11
温馨提示:截至2016年06月06日07时,您的套餐内含全国流量20.0M,已使用0.0M,剩余20.0M,本数据仅供参考,详情以当地营业厅查询为准.5
验证码XXXXXX,请勿告诉他人。工作人员不会向您索要任何验证码或密码,谨防被骗!若非本人操作请不用理会,如有疑问请致电400-XXXXXX
尊敬的用户:欢迎您来到浙江,如需帮助请拨打客服热线XXXXX或登录www.XXXXX.com,优惠订购机票酒店请拨打XXXXXX,一览浙江风光人文请点击http://u.XXXXXX.cn/dv【中国联通】。6
总计3204
表4-2-1 “钱来发发”文件夹下短信记录统计
(2)使用Access 2016打开检材路径“D:\3G猫池万能驱动-USB(WIN7)\钱来发发卡商自动发码窗口版V1.7.0324.02\”下的数据库文件“Data.mdb”,在表“fwrecord”中找到发送短信记录共计5427条,如图4-2-2所示。根据短信内容统计发送数量如表4-2-2所示。
|
短信发送记录统计 |
|
|
短信内容 |
计数 (单位:条) |
|
【滴滴出行】(XXXXX)滴滴出行验证码 |
100 |
|
【钱宝网】欢迎使用钱宝网,您此次操作的验证码是:XXXXX。回TD退订 |
1008 |
|
【钱宝网】验证码XXXXX,请勿告诉他人。工作人员不会向您索要任何验证码或密码,谨防被骗!若非本人操作请不用理会,如有疑问请致电40 |
387 |
|
【钱宝网】验证码XXXXX,请勿告诉他人。工作人员不会向您索要任何验证码或密码,谨防被骗!若非本人操作请不用理会,如有疑问请致电400-155-XXXX。回TD退订 |
559 |
|
【翼支付】欢迎使用翼支付业务!本次验证码:XXXXX。如有疑问,请致电客服4008011888 |
15 |
|
【翼支付】您的验证码为:XXXXX。请勿泄露此验证码,他人索取行为均可能为诈骗。如有疑问,请致电400XXXXXX。 |
3010 |
|
【翼支付】您正在尝试登录翼支付,校验码:******,守住“它”,这是我们之间的秘密。如非本人操作,请尽快修改翼支付登录密码。 |
338 |
|
【翼支付】验证码为:XXXXX。守住“它”,这是我们之间的秘密 |
8 |
|
本次验证码是:XXXXXX。若非本人操作请忽略此条信息,给您带来不便,望请见谅。【翼龙贷】 |
2 |
|
总计 |
5427 |
表4-2-2 “钱来发发卡商自动发码窗口版V1.7.0324.02”文件夹下
短信记录统计
(3)使用Access 2016打开检材路径“D:\3G猫池万能驱动-USB(WIN7)\钱来发发卡商自动发码窗口版V1.7.0324.023\”下的数据库文件“Data.mdb”,在表“fwrecord”中找到发送短信记录共计2859条,如图4-2-3所示。根据短信内容统计发送数量如表4-2-3所示。
数据库文件“Data.mdb”
|
短信发送记录统计 |
|
|
短信内容 |
计数 (单位:条) |
|
【百度】964786 (动态验证码),请在30分钟内填写 |
1 |
|
【大象金服】验证码为:XXXX,您正在提现。有问题请咨询客服。 |
4 |
|
【滴滴出行】(XXXX)滴滴出行验证码 |
537 |
|
【钱宝网】欢迎使用钱宝网,您此次操作的验证码是:XXXXX。回TD退订 |
817 |
|
【钱宝网】验证码XXXXX,请勿告诉他人。工作人员不会向您索要任何验证码或密码,谨防被骗!若非本人操作请不用理会,如有疑问请致电40 |
950 |
|
【钱宝网】验证码XXXXX,请勿告诉他人。工作人员不会向您索要任何验证码或密码,谨防被骗!若非本人操作请不用理会,如有疑问请致电400-155-8899。回TD退订 |
476 |
|
验证码XXXXX,请勿告诉他人。工作人员不会向您索要任何验证码或密码,谨防被骗!若非本人操作请不用理会,如有疑问请致电400-155 |
74 |
|
总计 |
2859 |
表4-2-3 “钱来发发卡商自动发码窗口版V1.7.0324.02”文件夹下
短信记录统计
2.“卡商自动发码窗口版”软件的日志文件分析
(1)检材路径“D:\3G猫池万能驱动-USB(WIN7)\钱来发发\运行日志”下共14个日志文件。
日志中记录了“卡商自动发码窗口版”软件的运行情况以及发送短信记录(包括发送短信时间、发送短信内容、接收短信的手机号等)。
(2)检材路径“D:\3G猫池万能驱动-USB(WIN7)\钱来发发卡商自动发码窗口版V1.7.0324.02\运行日志”下共14个日志文件。日志中记录的信息与上述日志类似。
(3)检材路径“D:\3G猫池万能驱动-USB(WIN7)\钱来发发卡商自动发码窗口版V1.7.0324.023\运行日志”下共6个日志文件。日志中记录的信息与上述日志类似。
【鉴定意见】
经过使用鉴定工作站(ED-SP9200)、效率源仿真系统 V1.0、效率源Sqlite手机数据恢复工具V7.0、WinHex V18.3、Microsoft Access 2016、360杀毒等设备和软件,对编号为“2017-0134-JC”的检材进行技术检验和取证,鉴定意见如下:
在检材中共提取到发送短信138126条,数量详情见表5-1所示。
|
短信发送统计 |
|
|
软件 |
数量 |
|
三网通-多功能短信王 |
126636条 |
|
卡商自动发码窗口版 |
11490条 |
|
共计 |
138126条 |
表5-1 检材中短信发送记录统计
发送短信的内容、号码、时间等详细信息以及提取分析的数据存储在编号为“2017-0134”的光盘路径下压缩文件“2017-0134.zip”内路径“2017-0134案件数据”下的各子文件夹中,解压后可使用相应软件进行查看。
光盘唯一性编号为:2017-0XXX,数据压缩包的MD5(128bit)校验值为XXXXXXXXXXXXXXXXXXXXXXX