四川效率源电子数据司法鉴定所对涉嫌提供侵入、控制计算机信息系统程序工具罪进行电子数据鉴定案
案例内容
【案情简介】
陈某等人涉嫌提供侵入、非法控制计算机信息系统程序工具案,南充市某公安局委托该所进行电子数据司法鉴定。
【鉴定过程】
(一)使用的技术规范
1. SF/Z JD0402004-2018软件功能鉴定技术规范
2.GA/T 756-2008 数字化设备证据数据发现提取固定方法
(二)使用的鉴定工具
设备:鉴定工作站(ED-SP9200)
软件:360杀毒软件、WinHex 18.3、VMware Workstation 10.0.0、X64dbg Jul 2 2019
(三)鉴定步骤
1.检材描述及编号如表2-1所示
表2-1
|
检材文件名 |
大灰狼远程管理(V9.06).zip |
|
校验值(MD5) |
6BFC09BA5F1CD36D23B509D9F70AA261 |
|
检材编号 |
2019-0132 |
2.准备鉴定环境
使用360 Total Security Essential杀毒软件对工作站进行扫描,未发现病毒。杀毒软件版本为8.8.0.1105,病毒库日期为2019年6月28日,同时对检验工作站及周边环境进行了防磁、防水、防静电和防震保护。
3.数据固定
将检材压缩包制作副本文件并进行MD5校验,校验值与原压缩包校验值相同,在后续检验分析中将副本文件视作源检材使用。
4.检材软件功能分析
(1)将检材压缩包解压得到“大灰狼远程管理”,经检验,该软件的版本为V9.06,运行环境为Windows操作系统。使用VMware软件在鉴定工作站中架设2台虚拟机(主控计算机和被控计算机),硬件配置详情见表2-2,随后配置虚拟机网络,并安装所需使用的软件,网络参数和软件详情见表2-3。
表2-2
|
虚拟机名称 |
主控计算机 |
被控计算机 |
|
操作系统 |
Microsoft Windows |
|
|
操作系统版本 |
Windows 7 x64 |
|
|
硬盘容量 |
60GB |
|
|
内存 |
2GB |
|
|
网络适配器 |
VMnet1(only host) |
|
表2-3
|
虚拟机名称 |
主控计算机 |
被控计算机 |
|
MAC地址 |
00-0C-29-71-B0-C8 |
00-0C-29-B0-75-B8 |
|
IP地址 |
192.168.56.129 |
192.168.56.128 |
|
子网掩码 |
255.255.255.0 |
|
|
DHCP |
192.168.56.254 |
|
|
DNS服务器 |
192.168.56.1 |
|
|
安装的软件 |
WinHex 18.3 x64 |
|
|
x64dbg Jul 2 2019 |
||
(2)启动“主控计算机”,将检材“大灰狼远程管理”软件拷贝至主控计算机系统桌面。随后启动大灰狼软件,运行其中的“服务生成”功能模块,设置上线参数并通过连接测试后,将服务端程序生成至主控计算机系统桌面,程序生成界面如图2-1所示。
图2-1
生成的服务端程序名为“DhlServer.exe”。启动“被控计算机”,将服务端程序“DhlServer.exe”拷贝至被控计算机系统桌面。在主控计算机中运行大灰狼软件,在被控计算机中使用x64dbg软件对服务端程序“DhlServer.exe”进行调试分析,调试分析过程如图2-2所示。
图2-2
(3)通过分析可知大灰狼软件具有“文件管理”、“远程桌面”、“远程视频”、“语音监听”、“CMD终端”、“系统管理”、“注册表”、“服务管理”、“主机管理”、“下载运行”、“文件上传”等功能。主控端功能分发响应地址、跳转编号和核心功能函数地址如表2-3所示。 表2-3
|
软件功能 |
事件响应地址 |
功能跳转编号 |
核心功能地址 |
|
文件管理 |
0x1001271F |
0x10011150 |
0x10009C50 |
|
远程桌面 |
0x10012731 |
0x10011310 |
0x10016A70 |
|
远程视频 |
0x10012743 |
0x100113F0 |
0x10020FE0 |
|
语音监听 |
0x10012755 |
0x10011520 |
0x10021CE0 |
|
CMD终端 |
0x10012767 |
0x10011230 |
0x10019F70 |
|
系统管理 |
0x1001278B |
0x10011740 |
0x1001BE00 |
|
注册表 |
0x1001279D |
0x10011820 |
0x10015760 |
|
服务管理 |
0x100127AF |
0x10011900 |
0x100179C0 |
|
主机管理 |
0x100127C1 |
0x100119E0 |
0x100189D0 |
|
下载运行 |
0x100128CA |
0x100120F0 |
0x1001F3F0 |
|
文件上传 |
0x10012993 |
0x10012010 |
0x1001A440 |
【分析说明】
对软件部分功能及运行结果进行详细分析。
(一)“文件管理”功能
在软件主控端可以使用其文件管理功能查看、上传、下载、修改被控计算机中的文件,事件响应地址和功能跳转编号如图3-1-1所示,核心功能地址如图3-1-2所示,运行结果如图3-1-3所示。
图3-1-1
图3-1-2
图3-1-3
(二)“远程桌面”功能
在软件主控端可以使用其远程桌面功能远程查看、控制被控计算机的桌面,事件响应地址和功能跳转编号如图3-2-1所示,核心功能地址如图3-2-2所示,运行结果如图3-2-3所示。
图3-2-1
图3-2-2
图3-2-3
下文将不再对事件响应地址、功能跳转和核心功能地址进行详细展示。
(三)“远程视频”功能
在软件主控端可以使用其远程视频功能开启被控计算机上的视频摄像头,进行远程视频查看,运行结果如图3-3-1所示。
图3-3-1
(四)“语音监听”功能
在软件主控端可以使用其语音监听功能监听被控计算机上的音频设备的声音信息。
(五)“CMD终端”功能
在软件主控端可以使用其CMD终端功能操作被控计算机执行系统命令,运行结果如图3-5-1所示。
图3-5-1
(六)“系统管理”功能
在软件主控端可以使用其系统管理功能管理被控计算机的进程、窗口,查看拨号密码、系统信息、网络接口、启动项、系统日志,运行结果如图3-6-1所示。
图3-6-1
(七)“注册表”功能
在软件主控端可以使用其注册表功能查看、修改被控计算机的注册表,运行结果如图3-7-1所示。
图3-7-1
(八)“服务管理”功能
在软件主控端可以使用其服务管理功能查看、修改被控计算机上的所有服务,运行结果如图3-8-1所示。
图3-8-1
(九)“主机管理”功能
在软件主控端可以使用其主机管理功能查看、修改被控计算机的用户信息,运行结果如图3-9-1所示。
图3-9-1
(十)“下载运行”功能
在软件主控端可以使用其下载运行功能查看、上传、下载、修改被控计算机的磁盘文件,运行结果如图3-10-1所示。
图3-10-1
(十一)“文件上传”功能
在软件主控端可以使用其文件上传功能将本地文件上传到被控计算机,上传后的动作有:隐藏运行、正常运行、不运行。运行结果如图3-11-1所示。
图3-11-1
【鉴定意见】
检材软件“大灰狼远程管理V9.06”具备下列主要功能:
|
软件功能 |
功能描述 |
|
文件管理 |
查看、上传、下载、修改被控计算机中的文件 |
|
远程桌面 |
远程查看、控制被控计算机的桌面 |
|
远程视频 |
开启被控计算机上的视频摄像头,进行远程视频查看 |
|
语音监听 |
监听被控计算机上的音频设备发出的声音 |
|
CMD终端 |
对被控计算机执行系统命令 |
|
系统管理 |
管理被控计算机的进程、窗口,查看拨号密码、系统信息、网络接口、启动项、系统日志 |
|
注册表 |
查看、修改被控计算机的注册表 |
|
服务管理 |
查看、修改被控计算机上的所有服务 |
|
主机管理 |
查看、修改被控计算机的用户信息 |
|
下载运行 |
查看、上传、下载、修改被控计算机的磁盘文件 |
|
文件上传 |
将本地文件上传到被控计算机,上传后的动作有:隐藏运行、正常运行、不运行 |
通过对上述大灰狼软件具体功能的分析,“大灰狼远程管理”程序具备远程控制计算机信息系统、获取被控计算机信息系统数据的功能。