为了查明“火力加速器非法经营案”对涉及到服务器数据、VPS代理服务器功能性进行鉴定。

4.1使用工具及相关标准

硬件工具：电子数据取证工作站；

软件工具：Firefox 浏览器（84.0.2 ）、Hash（版本1.04），取证大师软件（版本6.1.78829），云勘大师（版本2.3.78572）；

技术规范：《电子数据司法鉴定通用实施规范》“编号SF/Z JD0400001-2014）”、《电子物证数据搜索检验规程》“编号GB/T 29362-2012”。

4.2检材的初步检验

对提供的包含服务器域名、IP、端口、用户名和密码的信息可以使用，清单如下：

4.3鉴定过程

4.3.1启动杀毒软件对电子物证检验工作站系统进行杀毒。

4.3.2启动云勘大师软件，使用服务器数据取证功能，输入服务器相关信息（IP、用户名、密码、端口等信息），链接服务器成功后点击磁盘镜像模块，对服务器磁盘制作镜像。

4.3.3对服务器镜像盘进行取证分析（包括：用户痕迹、文件分析等），取证完成后导出取证报告以rar格式保存至电子物证检验工作站KJ-DZQZ001内，并且命名为“2020-KJ-21-JC02.rar”，同时计算该文件哈希值，“2020-KJ-21-JC02.rar”SHA-1值：8BB0B25D83B5DF13CCE30FEB4BC48049DC5108CC，取证结果如图1所示：

图 SEQ 图 * ARABIC 1 取证报告截图

4.3.4查看G：科鉴镜像104.233.162.123dev_vda_20201124214625.dd中的用户痕迹-内置应用-终端记录，如图2至图5所示：

图 SEQ 图 * ARABIC 2记录1

图 SEQ 图 * ARABIC 3记录2

图 SEQ 图 * ARABIC 4 记录3

图 SEQ 图 * ARABIC 5 记录4

4.3.5通过终端记录命令行分析：

第57行命令“cd squid/”创建squid目录。

第59行命令“dpkg -i squid3-common_3.4.8-6+deb8u5_all.deb”、第60行命令“dpkg -i squid3_3.4.8-6+deb8u5_amd64.deb”、第61行命令“dpkg -i squid3-dbg_3.4.8-6+deb8u5_amd64.deb”，进行安装squid 3。

第62行命令“cd/etc/squid3/”进入 etc目录中的squid 3。

第64行命令“echo>squid.conf”输出到屏幕squid的配置文件。

第65行命令“cat squid.conf”查看squid的配置文件。

第72行命令“htpasswd -c /etc/squid3/up telanx”设置squid 3的账户密码。

第73行命令“vi /etc/squid3/squid.conf”修改squid 3 的配置文件。

第74行命令“squid3 -k parse”运行调试squid3。

第75行命令“squid3 -k restart”重启squid3。

4.5.2通过百度可得知squid为代理服务器软件，如图6所示：

图 SEQ 图 * ARABIC 6代理服务器软件信息

4.3.6通过查看证据文件，从路径dev_vda1_20201202114236.dd分区1[hda0]varlogsquid3找到文件名为netdb.state文本，如图7所示：

图 SEQ 图 * ARABIC 7 文本信息

导出日志文件netdb.state并通过TXT文本查看部分截图如图8、图9：

图 SEQ 图 * ARABIC 8日志文件

图 SEQ 图 * ARABIC 9日志文件

日志内容包含用户访问网址、IP、时间节点、访问时长等信息。

通过网址“https：//www.ip138.com/”查询“blog.jiuyou.co”的服务日志IP地址，随机选取几个IP进行查询，结果如图10至图12所示：

图 SEQ 图 * ARABIC 10 IP地址信息图

图 SEQ 图 * ARABIC 11 IP地址信息图

图 SEQ 图 * ARABIC 12 IP地址信息图

结果显示均为国外IP，其中包含无法正常访问的国外站点，如图13至图15：

图 SEQ 图 * ARABIC 13 国外网址

图 SEQ 图 * ARABIC 14 国外网址

图 SEQ 图 * ARABIC 15 国外网址

国内网络正常访问国外站点情况如图16至图18：

图 SEQ 图 * ARABIC 16 HYPERLINK "http：//www.facebook.com" www.facebook.com

图 SEQ 图 * ARABIC 17 HYPERLINK "http：//www.facebook.com" www.google.com

图 SEQ 图 * ARABIC 18 HYPERLINK "http：//www.facebook.com" www.youtube.com

1.对服务器相关信息（IP、用户名、密码、端口等信息），链接服务器成功后点击磁盘镜像模块，对服务器磁盘制作镜像，镜像文件名为“2020-KJ-21-JC02.rar”，并计算该文件哈希值，“2020-KJ-21-JC02.rar”SHA-1值：8BB0B25D83B5DF13CCE30FEB4BC48049DC5108CC。

经鉴定，发现IP为“104.233.162.123（blog.jiuyou.co）”的服务器涉及 squid 代理服务器相关配置操作，通过网址“https：//www.ip138.com/”查询“blog.jiuyou.co”的服务日志ip地址，发现日志中存在对境外 IP 以及境外网站（www.google.com、www.facebook.com、www.youtube.com等）的查询访问等相关信息。

IP为“154.204.30.186（hck.jiuyou.co）”和“185.239.226.154（sg.jiuyou.co）”的服务器未发现相关信息。