国家信息中心电子数据司法鉴定中心对某平台传播淫秽物品牟利案件的电子数据司法鉴定
案例内容
【案情简介】
2016年1月7日、8日,深圳某公司及其CEO王某等4名高管被控传播淫秽物品牟利罪一案在法院开庭审理。首次庭审采用了视频直播的形式,庭审中,控辩双方针对核心在案证据,即四台扣押服务器中数据的真实性、完整性以及关联性进行了激烈的质证。本案由于证据存管链条较长,历经环节较多,证据的固定扣押、检验分析以及电子数据鉴定等关键环节存在瑕疵,导致围绕四台服务器呈现的一系列相关证据存在前后不一、相互矛盾的问题,给公诉方造成了巨大影响。同时,涉及的互联网企业的商业行为和社会责任以及是否适用“技术中立”的责任豁免等问题引起了社会大讨论,舆论倾向性强,民众关注度高,司法主管机关也开始密切注意事件的发展和动向。
基于此,法院作为审判机构,综合考虑各方面因素,决定针对四台扣押服务器中的电子数据展开独立调查,对其证据效力和证明力进行重新评估,并委托司法鉴定机构进行电子数据鉴定,对应委托要求为:
1、通过检索四台服务器的系统日志,查找远程访问IP地址信息,查验IP地址相应注册信息;
2、通过检验四台服务器内现存的qdata文件属性信息,分析确定这些qdata文件是否有在2013年11月18日后被从外部拷入或修改的痕迹;
3、结合在案证据及四台服务器的存储内容,从技术角度分析平台播控软件对于淫秽视频的抓取、转换、存储、搜索、下载等行为的作用及效果。
其中,第一条委托要求主要针对辩护方提出的证据关联性问题,即如何证明这四台服务器是该公司所属和维护。第二条委托要求主要针对辩护方提出的完整性问题,即这四台服务器中的淫秽视频文件是否确为该公司缓存形成的,是否存在数据伪造和篡改的可能性。第三条委托要求主要解释这四台服务器在该公司播控平台中承担的功能,进而对该公司的整个播控体系进行解读。
【鉴定过程】
1、将送检四台服务器分别编号,并拍照记录其外观特征。
2、首先分析1号服务器,拆取服务器中的所有硬盘,共计6块,分别编号。继续分析2号服务器并拆取其中的所有硬盘,共计6块,分别编号。分析3号服务器并拆取其中的所有硬盘,共计5块,分别编号为。分析4号服务器并拆取其中的所有硬盘,共计6块,分别编号。对上述硬盘进行编号并拍照记录其外观特征。
3、启动电子物证检验工作站,并对整个系统进行杀毒。分别将上述23块硬盘通过写保护设备接入电子物证检验工作站,启动X-ways Forensics获取镜像,并计算所有硬盘哈希校验值,分别对镜像结果与对应检材硬盘的哈希校验值进行一致性比对。
4、使用R-Studio分别打开所有镜像结果,搜索服务器系统日志文件及现存文件后缀名为“qdata”的文件。
5、在搜索到的服务器系统日志文件中查找远程访问IP相关信息;检验现存文件后缀名为“qdata”文件的时间属性相关信息。
6、结合在案证据及四台服务器的存储内容,从技术角度分析该公司软件对于视频的抓取、转换、存储、搜索、下载等行为的作用及效果。
【分析说明】
针对鉴定委托要求及检材,鉴定工作中要面对的难点是:
1.检材服务器内电池没电,造成BIOS时间失效,需分析系统时间构成,确认文件创建、修改及访问等关键时间属性。
2.检材服务器内硬盘损坏,造成部分数据丢失,要尽快确认数据恢复方案及评估对鉴定造成的影响。
3.由于未对检材服务器进行及时保全,且前期侦察及鉴定都直接对检材操作,造成对数据时间及位置属性的更改,需要通过对服务器内所有数据的分析,确认2013年11月18日关键时间节点前后的操作。
4.从送检方了解到在2013年11月18日后对检材服务器的操作很多,需要检测这些操作对检材服务器中的qdata数据文件内容是否造成修改。
基于检材服务器Linux系统及存储服务器的特点,针对这四个难点开始了初检工作,在初步拟定鉴定方案后,于2016年2月18日召开了本案件鉴定专家论证会,经专家讨论一致通过了原方案。
方案的主要内容是:
1.鉴定方法: SF/ZJD0400001-2014《电子数据司法鉴定通用实施规范》、 GB/T 29362-2012 《电子物证数据搜索检验规程》及GA/T756-2008《数字化设备证据发现提取固定方法》。
2.主要技术路线:在搜索检验结果的基础上,检索和分析系统日志文件内的IP地址信息及后缀名为“qdata”文件的时间属性,确认IP地址相关属性、操作及注册信息,确认时间属性与拷贝、修改操作之间的关系。分析送检服务器中软件的功能及效果。
依据鉴定方案,具体实施如下:
1、在送检4个服务器中,共拆取23块硬盘,记录其硬件基本信息如表1:
表1: 23块送检硬盘硬件基本信息
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
对上述硬盘计算哈希值校验值(SHA-1),结果如表2:
表2: 23块送检硬盘哈希校验值(SHA-1)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2、使用R-Studio分别打开所有镜像结果,查找服务器系统日志文件。经过查看分析,检出其中的wtmp类型文件,记录了用户登录、注销及系统的启动、停机等事件,可能包含远程登录IP信息。经查看,送检服务器中检出的wtmp类型文件。
综合上述日志解析,四台服务器所有远程登录IP。以上远程登录IP的日志文件属性信息见“附件一:包含远程登录IP的日志文件基本属性”(略)。
针对上述日志文件内容解析,分析上述远程登录IP的详细登录信息,结果见 “附件二:远程登录IP详细登录信息” (略);通过网络进行查询,上述IP地址相应注册信息见“附件三:IP地址相应注册信息”(略)。
3、使用R-Studio分别打开所有镜像结果,搜索查找现存文件后缀名为“qdata”文件,查找结果统计如表4:
表4: 送检硬盘中现存文件后缀名为“qdata”文件结果统计
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
针对上述文件进行时间属性检验分析,首先需要确定送检服务器的基准时间。
Linux将时钟分为系统时钟(System Clock)和硬件(Real Time Clock,简称RTC)时钟两种。根据系统设置,Linux系统启动后,其系统时间可以根据硬件时间和时区换算获得,也可以在连接网络后与设定好的时间服务器进行校准。
(1)对送检服务器的时区设置进行检验:在四个送检服务器的系统盘/etc/sysconfig/clock文件中查看zone属性,并检查系统时区配置文件/etc/localtime的文件内容与/usr/share/zoneinfo/Asia/Shanghai文件内容是否一样。检验发现所有服务器时区都是“Asia/Shanghai”,即“东八区”时间。
(2)对送检服务器的硬件时间进行检验:在不插入系统盘的情况下,启动送检服务器,记录BIOS显示的硬件时间,对比其与北京标准时间的时差。
(3)对送检服务器的网络校准时间进行检验:搜索检验送检服务器中的时间同步配置文件“ntp.conf”。在编号的服务器的系统盘“vi /etc/”目录下均找到“ntp.conf”文件,编号为4号的服务器系统盘中未找到“ntp.conf”文件。通过分析 “ntp.conf”文件内容,发现其外部的网络校准时间源为“www.pool.ntp.org”。
综上所述,4台送检服务器的时区设置为“东八区”时间;编号为1、2、3的服务器的外部的网络校准时间源,当外部的网络校准时间源不可用时,服务器的系统时间为“硬件时间+东八区”时间。
确认时间基准后,还需要对Linux中文件的时间属性进行分析,Linux中文件的时间属性有三种,分别为:
(1)atime,为access time的缩写,显示的是文件中的数据最后被访问的时间,比如被系统的进程直接使用或者通过一些命令和脚本间接使用。
(2)mtime,为modify time的缩写,显示的是文件的内容被改变时的最后时间,比如用vi编辑时就会改变。
(3)ctime,为change time的缩写,显示的是文件的权限,拥有者,所属的组,链接数发生改变时的时间,当文件位置和文件内容改变时,也就是Inode内容发生改变和Block内容发生改变时,ctime也会改变。
在Linux中使用“cp命令”或“拖拽”方式将外部文件拷入到硬盘上时,上述三个时间属性记录的信息如表6:
表6:外部文件拷入时文件时间属性记录信息
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
从表4中可以看出,现存文件后缀名为“qdata”文件从存储位置上可分为两大类:
1)文件存储位置不在lost+found文件夹中,下文简称A类;
2)文件存储位置在lost+found文件夹中,下文简称B类;
详细查看上述两类文件的时间属性[详见“附件四:现存文件后缀名为“qdata”文件时间属性特性汇总表”(略)],并综合考虑到4台送检服务器的系统时间的基准时间,A类文件的ctime和mtime都在2013年11月18日之前。B类文件的ctime属性和mtime属性总结如表7:
表7 B类文件的ctime属性和mtime属性总结
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
检出的后缀名为“qdata”文件大小最小的1K,最大的3G,但大部分文件大小分布在100M--1G之间,完成几百兆大小单一文件的拷贝通常需要数分钟的时间,而B类文件ctime属性的时间间隔为每秒钟1000个左右的文件,因此B类文件的ctime属性记录的不是其以拷贝方式进入当前存储位置的时间。
综合上述对四台服务器内现存的qdata文件时间属性分析,未发现其在2013年11月18日后有从外部拷入或修改的痕迹。
4、经检验,四台送检服务器不是完整的系统平台,根据现有存储数据内容不足以从技术角度分析该软件对于视频的抓取、转换、存储、搜索、下载等行为的作用及效果。
【鉴定意见】
针对委托要求,对送检服务器的检验结果如下:
1.四台送检服务器所有远程登录IP地址相应注册信息见附件三(略)。
2.经过对四台送检服务器内现存的qdata文件属性分析,未发现其在2013年11月18日后有从外部拷入或修改的痕迹。
3.四台送检服务器不是完整的系统平台,根据现有存储数据内容不足以从技术角度分析该软件对于视频的抓取、转换、存储、搜索、下载等行为的作用及效果。