司法鉴定科学研究院对电子数据的搜索、提取、恢复鉴定
案例内容
【案情简介】
微软公司认为L公司在其网站提供“Microsoft Office精简版”等软件下载,侵犯其著作权,要求对网站服务器硬盘中的涉案电子数据进行提取,并对网站下载数、点击数进行鉴定。
【鉴定过程】
本鉴定依据SF/Z JD0400001-2014、GA/T 756-2008、GB/T 29360-2012、GB/T 29362-2012(现行)鉴定规范进行,使用电子数据检验工作站、只读接口、X-Ways Forensics 17.1、VMWare Workstation 8.0等设备和工具进行检验和分析。
检材1至检材4硬盘均是型号为“ST973402SS”、容量为“73GB”的2.5寸SAS接口希捷硬盘,序列号分别为“3NP23AZ1”、“3NP1B3QG”、“3NP14HVZ”、“3NP1AHB1”。,按照鉴定规范要求对检材1至检材4硬盘进行固定保全,并校验了哈希值确保检材的完整性,后续使用硬盘镜像进行检验。
检验发现,单个检材硬盘上文件系统均不完整,按照Raid0模式重组磁盘阵列后,得到一个大小为266GB的ext3格式数据分区,制作该分区的镜像并计算哈希值,MD5哈希值为“F7AC952394CABE3049A47B1F069904FE”。
在该分区“/opt/case/52z/”目录下找到21个与Microsoft Office相关的软件或软件安装包,文件名及各文件MD5值见表1。在虚拟机环境下执行安装程序,安装过程中显示的软件名称见表1的“安装结果”列。
表1:检材中找到的Microsoft Office相关软件
|
文件名 |
大小 |
MD5哈希值 |
安装结果 |
|
offic200cn.exe |
344 MB |
324D1DD559F0651559C7B3049E74A31A |
Microsoft Office 2000 |
|
office2003.exe |
468 MB |
3A50EE23DD94C7628E5903E3A2B5C924 |
Microsoft Office 2003 |
|
office2003.rar |
468 MB |
1A5427F10A471EBFD33E23FD79B4D706 |
Microsoft Office 2003 |
|
Office2003sp2.exe |
141 MB |
B7FF1CA910C4FD986837E8A69E249E1E |
Office 2003 SP2 5in1 精简版(简体中文企业版,免激活) |
|
Office2003SP3.rar |
55.0 MB |
F88799F31B48D934E6A8CB1C1369EE7E |
桃夭 精简Office 2003 SP3 三合一 v1.0 B版 |
|
Office2003SP3dwj.exe |
1.0 GB |
AC5F8B7024FD7E22A21990659ED6D25F |
Office 2003 SP3企业版 |
|
Office2003SP3V.exe |
55.1 MB |
6C7AD55A93759E3B5D85FC95BD163DAB |
桃夭 精简Office 2003 SP3 三合一 v1.0 B版 |
|
Office2003SP3_3in1.exe |
79.5 MB |
D2C52707A28119EE70D8011580D8334E |
时尚完美Office2003 SP3三合一精简版 |
|
Office2003SP3_4in1.exe |
94.4 MB |
25D5F5331666BBFB840EA4A8D358C892 |
Office 2003简体中文版 |
|
Office2003SP3_5in1.exe |
108 MB |
14D49C9DE5A03CD46548D3665AF6AB3E |
时尚完美Office2003 SP3五合一精简版 |
|
Office2003_3in1_201008.exe |
54.1 MB |
BD9821A02DC5C024C72BB840CC0D0090 |
Office 2003 SP3 3in1 |
|
Office2003_mini.exe |
38.4 MB |
806C197678D84A3E46CB5BE2400C5A46 |
Office 2003 SP3 三合一迷你版 |
|
OFFICE2003_SP3_3in1.exe |
48.3 MB |
7B0B11B2C459C53D59925F50A120933E |
网景Office 2003 SP3 |
|
OFFICE2003_SP3_4in1.exe |
59.6 MB |
866E244CB89D8C5253B156D03BA0DA44 |
网景Office 2003 SP3 |
|
OFFICE2003_SP3_5in1.exe |
70.7 MB |
C1111B299B05A95912A08C21A12E15CB |
网景Office 2003 SP3 |
|
office2007.exe |
0.6 GB |
2BC65032FCA1D3F7DC1C295EF04210F3 |
Microsoft Office Professional Plus 2007 |
|
Office2007SP1CN.CE.rar |
66.2 MB |
8B7CDFA3BDF9414110B8BE33D78DA913 |
无法正常运行 |
|
Office2007SP1EC.rar |
68.8 MB |
5604389B81288ACF133FCF8D427CD22D |
无法正常运行 |
|
Office2010ActBakv.zip |
63.1 KB |
51EDC0F8ED039D38B168BADF24E5862E |
Office 2010激活信息备份还原工具 |
|
office97cn.exe |
98.9 MB |
205C4F93F2EDE866D5038C05F7D691B0 |
Office 97中文专业版 |
|
officesuite-x86-fullfile.exe |
340 MB |
5D1E746A6BED209F53E3C8D0393728F7 |
Microsoft Office 2010 Service Pack 1 |
导出上述文件详见附件光盘。
经检验,在检材硬盘中安装有nginx软件,经数据搜索,未找到nginx的日志记录。进一步对其配置文件进行检验,在“/root/nginx-0.6.36/conf/nginx.conf”配置文件中未指定日志文件保存位置,在“/usr/local/nginx/conf/nginx.conf”配置文件中将错误日志及访问日志文件的保存路径指定为“/dev/null”,如图1所示。
图1:检材硬盘中nginx配置文件
【分析说明】
nginx软件为Linux操作系统下的http服务器。在“/root/nginx-0.6.36/conf/nginx.conf”配置文件中未指定日志文件保存位置,在“/usr/local/nginx/conf/nginx.conf”配置文件中将错误日志及访问日志文件的保存路径指定为“/dev/null”,输出到该路径的数据均会被丢弃,即不会保存通过http协议访问文件的记录。因此,无法统计检材硬盘中各软件的下载次数及实际点击数。
【鉴定意见】
(一)检材硬盘中存储有Microsoft Office相关的软件21个,详见表1及附件光盘。
(二)无法统计检材硬盘中Microsoft Office相关软件的下载次数及实际点击数。