基于網(wǎng)站的公民個人信息犯罪電子數(shù)據(jù)取證

加強網(wǎng)絡(luò)違法犯罪凈網(wǎng)專項行動，堅決打擊販賣公民個人信息犯罪近年來，侵犯公民個人數(shù)據(jù)的犯罪繼續(xù)發(fā)生，這也與電信網(wǎng)絡(luò)欺詐、威脅和綁架等犯罪有關(guān)，這給社會帶來了嚴(yán)重的傷害。公安部深入開展打擊整治網(wǎng)絡(luò)違法犯罪凈網(wǎng)專項行動，部署對侵犯公民個人信息犯罪，要堅決搗毀竊取、販賣公民個人信息的公司、平臺，堅決打擊竊取、販賣公民個人信息的企事業(yè)單位內(nèi)部人員，堅決摧毀利用公民個人信息實施詐騙、盜竊、敲詐勒索等犯罪團(tuán)伙組織體系。對于此類案件電子數(shù)據(jù)的取證是一項重要工作。在一起侵犯公民個人信息案件的電子取證過程中，取證人員還原犯罪現(xiàn)場，提取并分析了電子證據(jù)，為有效打擊此類犯罪提供了思路。一、實名認(rèn)證測試某市公安局在辦理一起電信詐騙案件中，犯罪嫌疑人交代用于詐騙的個人身份信息是從某域名網(wǎng)站購買得到。根據(jù)線索，辦案民警在網(wǎng)站中輸入自己姓名、身份證號，采用實名驗證測試，按網(wǎng)站指引付款后，得到正確的驗證結(jié)果，經(jīng)多次測試，均得到正確認(rèn)證。偵查確認(rèn)該域名的網(wǎng)站存在售賣公民信息的犯罪行為。隨后，辦案民警刑事拘留了網(wǎng)站開辦者沈某和杜某，并扣押了用于網(wǎng)站運行的三塊服務(wù)器硬盤。犯罪嫌疑人交代，網(wǎng)站提供“身份證實名認(rèn)證”和“身份證照片認(rèn)證”非法有償服務(wù)，為查清犯罪嫌疑人利用網(wǎng)站售賣公民信息非法獲利的犯罪證據(jù)，對服務(wù)器硬盤數(shù)據(jù)進(jìn)行了取證分析。二、數(shù)據(jù)庫文件存文分析1.將三塊服務(wù)器硬盤分別編號為“1”、“2”、“3”，利用鏡像工具制作出三塊服務(wù)器硬盤的數(shù)據(jù)鏡像。2.通過FTK分別讀取分析三塊服務(wù)器硬盤的鏡像數(shù)據(jù)，初步確認(rèn)php網(wǎng)站文件存放在編號為“1”的硬盤中，操作系統(tǒng)為linux,mysql數(shù)據(jù)庫文件存放在編號為“2”的硬盤中，網(wǎng)站備份文件存放在編號為“3”的硬盤中。3.分析網(wǎng)站文件，判斷文件的基本功能，發(fā)現(xiàn)“CheckBy51datalink”、“CheckByAliyun”、“CheckByHaodai”、“CheckByZhima”等重要文件，“AlipayApp”、“AlipayMobile”、“WeixinApp”等重要文件夾。4.讀取數(shù)據(jù)庫文件，從數(shù)據(jù)庫結(jié)構(gòu)、記錄內(nèi)容分析判斷，“payment”和“hshd”兩數(shù)據(jù)庫為網(wǎng)站中用于公民身份信息查詢的后臺數(shù)據(jù)庫。5.虛擬仿真，將編號為“1”、“2”的兩塊服務(wù)器硬盤鏡像文件轉(zhuǎn)換成vmdk格式文件，加載到VMwareWorkstation系統(tǒng)中運行，分析網(wǎng)站運行情況。三、電子數(shù)據(jù)分析（一）展示網(wǎng)站頁面設(shè)計1.以普通用戶身份測試網(wǎng)站運行功能，可以查看到網(wǎng)站運行頁面“身份證實名認(rèn)證”（如圖1）、“身份證照片認(rèn)證”（如圖2）。經(jīng)數(shù)據(jù)分析，證明網(wǎng)站具有身份證實名認(rèn)證和身份證照片認(rèn)證的功能。輸入測試數(shù)據(jù)“姓名：張三”、“身份證號：420989789654356789”，測試“身份證實名認(rèn)證”功能，彈出如圖3頁面，在頁面中顯示有“支付寶”、“微信”、“QQ錢包”等支付方式，應(yīng)付“2.88元”字樣。以上網(wǎng)站頁面運行與測試情況，反映網(wǎng)站不僅具有“身份證實名認(rèn)證”和“身份證照片認(rèn)證”功能的展示頁面，而且能進(jìn)行數(shù)據(jù)的交互輸入，經(jīng)檢查數(shù)據(jù)庫輸入的測試數(shù)據(jù)進(jìn)入到了數(shù)據(jù)庫中。由于測試環(huán)境下無法實現(xiàn)支付方式的對接，支付功能無法通過虛擬仿真實現(xiàn)，且網(wǎng)站是否給出正確的身份認(rèn)證功能不能通過測試實現(xiàn)，需通過程序代碼和數(shù)據(jù)庫的分析驗證。在偵查階段，辦案民警輸入了自己的姓名和身份證號，并按網(wǎng)站要求支付費用后，獲得了正確的認(rèn)證結(jié)果。2.以管理員身份進(jìn)入網(wǎng)站后臺管理頁面，點擊進(jìn)入“訂單來源統(tǒng)計列表”，在頁面中輸入“開始時間：2016-06-1200:00”，結(jié)束時間“2017-05-2201:06”，在頁面上反映統(tǒng)計數(shù)據(jù)，從“2016-09-09至2017-05-19”期間，按天統(tǒng)計共有248條記錄。導(dǎo)出所有記錄，將248條記錄的“總收入”求和，得到值為“499110.49”，總單數(shù)和為“130787”，頁面截圖如圖4，從頁面中可以發(fā)現(xiàn)與網(wǎng)站頁面相對應(yīng)的支付方式“支付寶手機”、“支付寶即時”、“微信支付”、“QQ支付”等。點擊“訂單信息統(tǒng)計列表”，在頁面中輸入“開始時間：2016-06-1200:00”，結(jié)束時間“2017-05-2201:06”，如圖5。在頁面上作數(shù)據(jù)統(tǒng)計，從“2016-09-0915:06:27至2017-05-1913:32:00”期間，已支付完成的訂單共有“130787單”，共計“499110.49元”，其中身份信息查詢類已支付訂單數(shù)為“121372單”，共計“352154.40元”。從頁面中可以發(fā)現(xiàn)，訂單的項目名稱有“身份證實名認(rèn)證”、“身份證照片認(rèn)證”、“黃道吉日查詢”、“觀音靈簽解簽”等。通過網(wǎng)站恢復(fù)，可以初步確定其具有身份信息收費認(rèn)證功能，并通過后臺統(tǒng)計出訂單數(shù)和收費金額。（二）查詢成功后存文件查詢從硬盤中獲取“Check.php”文件，讀取文件內(nèi)容。從文件內(nèi)容可知，該文件進(jìn)行身份證查詢判斷檢測，優(yōu)先在本地已收錄的“實名數(shù)據(jù)庫”中查詢，有命中記錄，就返回一致結(jié)果，否則就從本地已收錄的“非實名數(shù)據(jù)庫”中查詢，若未命中，則從遠(yuǎn)程接口（合作方）查驗結(jié)果，查詢成功，將結(jié)果保存至本地“實名數(shù)據(jù)庫”，文件截圖如圖6。從硬盤中獲取“CheckBy51datalink”、“CheckByAliyun”、“CheckByHaodai”、“CheckByZhima”等文件，讀取基本內(nèi)容，分析文件代碼基本功能，可以確定以上文件實現(xiàn)了網(wǎng)站從第三方合作方接口中查詢身份證信息，合作方有“阿里云”、“風(fēng)控好貸”、“芝麻信用”等，“CheckByZhima”文件代碼截圖如圖7。分析支付文件，發(fā)現(xiàn)“AlipayApp”、“AlipayMobile”、“WeixinApp”等文件夾及文件，其中在“WeixinApp”文件夾中有“Order”文件，文件內(nèi)容截圖如圖8。（三）j治理與hshd庫中tsd0個表的比較1.payment數(shù)據(jù)庫數(shù)據(jù)統(tǒng)計分析。payment庫中存有t＿order數(shù)據(jù)表，表中subject字段的取值為身份證實名驗證、身份證實名認(rèn)證、實名證件照識別、身份證實名認(rèn)證高級版、身份證照片認(rèn)證及其他信息。表中pay＿source字段的取值分別為0,1,2,3,4,5,6,7,8。(1)subject字段取值為身份證實名驗證、身份證實名認(rèn)證、實名證件照識別、身份證實名認(rèn)證高級版或身份證照片認(rèn)證時，記錄數(shù)為1335534條，此數(shù)據(jù)為訂單數(shù)，包含了未付款的訂單。(2)subject字段取值為身份證實名驗證、身份證實名認(rèn)證、實名證件照識別、身份證實名認(rèn)證高級版或身份證照片認(rèn)證，且pay＿source字段的取值為非零時，記錄數(shù)為121372條，此數(shù)據(jù)為已付款的訂單數(shù)，與后臺數(shù)據(jù)一致。(3)subject字段取值為身份證實名驗證、身份證實名認(rèn)證、實名證件照識別、身份證實名認(rèn)證高級版或身份證照片認(rèn)證，且pay＿source字段的取值為非零時，total＿fee字段的值合計為352154.40，此數(shù)據(jù)為已付款金額數(shù)。2.hshd庫中t＿idcard＿0至t＿idcard＿99共100個表，表中共有記錄數(shù)為16833038條，表示本地身份證數(shù)據(jù)為16833038條。綜上，網(wǎng)站代碼、數(shù)據(jù)庫數(shù)據(jù)反映了網(wǎng)站運行的基本情況，獲取公民個人信息的來源、數(shù)量，售賣公民個人信息的數(shù)量和非法獲利情況。四、非法獲取公民身份信息犯罪場景分析基于網(wǎng)站的侵犯公民個人信息案是一類典型的網(wǎng)絡(luò)犯罪，此類案件的電子證據(jù)取證過程從虛擬仿真、代碼分析、數(shù)據(jù)庫分析三方面進(jìn)行。使用虛擬仿真的方法重建網(wǎng)絡(luò)犯罪現(xiàn)場，模擬測試身份認(rèn)證提交過程，從直觀上反映