上海辰星电子数据司法鉴定中心对电子数据固定保全和程序代码功能检验的司法鉴定案
案例内容
【案情简介】
据委托人介绍,2014年10月,委托人接“2345网站”报案称,其公司网站流量被劫持,造成公司巨大经济损失。现委托上海辰星电子数据司法鉴定中心对相关内容进行司法鉴定。
【鉴定过程】
(一) 检验方法
本鉴定依据中华人民共和国公共安全行业标准GA/T 756-2008《数字化设备证据数据发现提取固定方法》和GA/T 828-2009《电子物证软件功能检验技术规范》进行检验。
(一) 电子数据固定保全
1.网站“www.dXXXXd.cn”上域名“www.sXXXX.com”对应IP地址查询
在鉴定工作站上打开浏览器Chrome v37,在地址栏中输入“www.dXXXXd.cn”,打开DNSPod首页。点击登录,输入用户名“XXXXX@163.com”和密码,在该用户的域名列表中点击“sXXXX.com”,打开网页。
图1 “DNSPod首页”内容图示
图2 指定域名对应IP地址情况图示
由上图2可见,域名“www.sXXXX.com”对应IP地址记录值为“192.XXX.X.X”。
2.检材硬盘的检验
将检材1硬盘通过只读接口连接至鉴定工作站,使用EnCase v6.17对硬盘进行检验。在该硬盘中检出2个涉案文件,分别为“JC收益支出.xls”和“JC2收益支出.xls”,大小共计138,752字节。将上述2个涉案文件固定保全至鉴定
工作站上的目录“G:cases2014-292固定保全”下。计算2个涉案文件的SHA256校验码分别为“43D29E3E6B6926B18F090E4502954AFCD805720AD27CF80D84A83295DF66A171”和“92BD17D94330111DEC8A750 A5F0FE07AA50C8900AEB39FBD07640769B900EA4F”;
又在检材1硬盘中发现QQ帐号为“XXXXXXXX”的用户与QQ帐号为“2XXXX”、“7XXXX”的用户的聊天记录,将聊天记录分别导出并保存为文件“KK(2XXXX).mht”和“XX(7XXXX).mht”,将聊天记录文件保存至目录“G:cases2014-292聊天记录”下;
另在检材1硬盘中将淘宝帐号为“fuxuanhao”的用户在2013年1月1日至2014年12月9日期间的旺旺聊天记录导出并保存为文件“旺旺2013-01-01~2014-12-09.mht”,将聊天记录文件保存至目录“G:cases2014-292聊天记录”下。
【分析说明】
程序代码功能检验
经检验,检材2光盘中有1个名为“1209代码.txt”的文件,大小为530字节,计算其SHA256校验码为“CE0867D24C7A9AFB26419ED7BAF29FCB4D5C13CB26C0B12074074DF775A7945D”。用记事本打开该文件,其内容如图3所示。
建局域网环境,将该路由器IP地址设置为192.XXX.X.X,并将该路由器的登录名和登录密码均设置为admin。使用鉴定工作站连接入该局域网,在鉴定工作站上打开浏览器,在地址栏中输入192.XXX.X.X,输入登录名和登录密码,登录该路由器,打开其中的菜单“DHCP服务”。
图4 “DHCP服务”内容图示
由上图4可知该路由器的“主DNS服务器”和“备用DNS服务器”默认均为0.0.0.0。
创建一个检验测试使用的html网页文件,命名为“test.html”,如图5所示。
在浏览器中打开该网页文件,如图6所示。
览器,在地址栏中输入192.XXX.X.X,输入登录名和登录密码,登录该路由器,打开其中的菜单“DHCP服务”。
图5 网页文件源代码内容图示
图6 使用浏览器打开网页文件内容图示
在该网页文件源代码中加入涉案程序代码,并将源代码中的“我自己的DNS服务器地址”替换为“1.2.3.4”,如图7所示。
图7 源代码替换内容图示
此时,在浏览器中打开修改后的网页文件“test.html”,如图8所示。
图8 替换代码后网页文件内容图示
再次在浏览器地址栏中输入192.XXX.X.X,输入登录名和登录密码,登录TP-LINK路由器,打开其中的菜单“DHCP服务”。
图9 经测试后“DHCP服务”内容图示
由上图9可知,该路由器的“主DNS服务器”和“备用DNS服务器”分别被改成了网页代码中设置的“1.2.3.4”和“8.8.8.8”。
【鉴定意见】
1.在“www.dXXXXd.cn”的网站上,发现域名“sXXXX.com”所对应的IP地址记录值为“192.168.1.1”;
2.对检材1硬盘中的2个涉案文件“JC收益支出.xls”和“JC2收益出.xls”进行了固定保全;
在检材1硬盘中将QQ帐号为“XXXX”的用户与QQ帐号为“2XXXX”、“7XXXX”的用户的聊天记录进行了固定保全;
对检材1硬盘中淘宝帐号为“fuxuanhao”的用户在2013年1月1日至2014年12月9日期间的旺旺聊天记录进行了固定保全;
3.在检材2光盘中发现名为“1209代码.txt”的涉案程序代码文件,对该涉案程序代码文件进行了固定保全并对其进行了功能检验,发现在特定网络环境中打开包含该涉案程序代码的网页,涉案程序代码会将计算机所在网络中路由器的DNS设置改成涉案程序代码中设置的IP地址。