推荐星级:
  • 1
  • 2
  • 3
  • 4
  • 5

Python编程在电子数据取证分析中的应用

更新时间:2019-12-24 22:04:08 大小:3M 上传用户:songhuahua查看TA发布的资源 标签:python 下载积分:1分 评价赚积分 (如何评价?) 打赏 收藏 评论(0) 举报

资料介绍

近年来,电子数据取证分析技术日益成熟,大部分电子数据取证分析工具都能对主流的应用程序数据进行提取解析,提高了电子数据取证分析人员工作效率的同时也降低了电子数据取证分析人员的技术门槛。然而,在实际电子数据取证分析工作中,目前基于预设策略的电子数据取证分析工具无法智能化、自动化地对新的应用程序数据进行提取解析。如何提取解析数据量大、数据复杂的应用程序数据,这给电子数据取证分析人员提出新的挑战,成为目前取证分析工作中的难点。


部分文件列表

文件名 大小
Python编程在电子数据取证分析中的应用.pdf 3M

部分页面预览

(完整内容请下载后查看)
网 络 空 间 安 全  
Vol.09ꢀꢀNo.2ꢀFeb.2018  
第09卷ꢀꢀ第2期ꢀ2018年2月  
Cyberspace Security  
Python编程在电子数据取证分析中的应用  
章凇,张朝程  
(钦州市公安局,广西钦州 535000)  
近年来 电子数据取证分析技术日益成熟 大部分电子数据取证分析工具都能对主流的  
摘 要  
应用程序数据进行提取解析 提高了电子数据取证分析人员工作效率的同时也降低了电子数据  
取证分析人员的技术门槛 然而 在实际电子数据取证分析工作中 目前基于预设策略的电子  
数据取证分析工具无法智能化 自动化地对新的应用程序数据进行提取解析 如何提取解析数  
据量大 数据复杂的应用程序数据 这给电子数据取证分析人员提出新的挑战 成为目前取证  
分析工作中的难点  
Python 编程 电子数据取证 分析  
关键词:  
DF793.2  
B
中图分类号:  
文献标识码:  
The application of python programming in digtal forensics and analysis  
Zhang Song, Zhang Chaocheng  
(Qinzhou Municipal Public Security Bureau, Guangxi Qinzhou 535000)  
Abstract:  
In recent years, the technology of digtal forensics and analysis is increasingly mature. The  
mainstream application data can be extracted and analyzed by most of the digtal forensics and analysis  
tools, so that it can improve digital forensic investigation works efficiency while also reducing the  
technical threshold. However, in practical work, tools which is based on default policies can not extracted  
and analyzed the new application data intelligently and automatically. For digital forensic investigators,  
it's a big challenge to extracted and analyzed the large and complex application data.  
Key words: python; programming; digtal forensics; analysis  
解 析 数 据 , 但 此 种 方 法 仍 然 会 受 到 取 证 软 件 本  
1 引言  
身 设 计 的 一 些 限 制 导 致 有 时 不 能 达 到 理 想 的 取  
证 效 果 。 为 填 补 这 一 漏 洞 , 使 得 对 这 一 类 特 殊  
应 用 程 序 的 取 证 可 以 达 到 最 佳 效 果 , 满 足 不 同  
实 战 环 境 的 取 证 要 求 , 本 文 以 一 种 非 典 型 “ 伪  
基 站 ” 的 主 程 序 日 志 文 件 的 编 程 取 证 为 例 , 提  
出了一种根据不同应用场景使用Python编程解  
决 特 殊 应 用 程 序 数 据 提 取 的 思 路 , 在 实 战 中 取  
得较好的效果。当然,除此之外还可以使用C/  
C++、C#、Java甚至Linux Shell编程实现相同  
的效果。本文在此只介绍Python一种。  
在 电 子 数 据 取 证 分 析 工 作 中 , 我 们 常 常 遇  
到 手 头 上 的 电 子 数 据 取 证 分 析 工 具 预 设 的 数 据  
提 取 策 略 无 法 满 足 提 取 解 析 个 别 小 众 的 或 基 于  
违 法 犯 罪 目 的 开 发 的 特 别 的 应 用 程 序 数 据 , 也  
无 法 进 行 数 据 恢 复 等 操 作 , 给 取 证 工 作 的 开 展  
带 来 诸 多 不 便 。 目 前 , 通 常 的 应 对 做 法 是 使 用  
Encase、X-Ways Forensics、UFED Physical  
Analyzer和Digatal Forensics Framework等电子  
数 据 取 证 分 析 工 具 自 带 的 脚 本 编 译 器 编 程 提 取  
15  
网络空间安全  
2018年第2期  
Cyberspace Security  
件“OpenBTS.log”存储有已发送的短信内容。  
2 “伪站”案件的取证点  
4 应用景简介  
目前,国内办理的“伪基站”案件的行为性  
质大部分为非法使用“伪基站”设备干扰公用电  
信 网 络 信 号 、 危 害 公 共 安 全 , 依 照 《 刑 法 》 第  
一百二十四条第一款的规定,以破坏公用电信设  
施罪追究刑事责任;同时构成虚假广告罪、非法  
获取公民个人信息罪、破坏计算机信息系统罪、  
扰乱无线电通讯管理秩序罪的,依照处罚较重的  
规定追究刑事责任。除法律、司法解释另有规定  
外,利用“伪基站”设备实施诈骗等其他犯罪行  
为,同时构成破坏公用电信设施罪的,依照处罚  
较重的规定追究刑事责任[1]。  
工作中发现一种非典型的“伪基站”软件,  
该 软 件 操 作 主 界 面 无 数 据 显 示 , 且 通 过 L i n u x  
Shell命令登录“伪基站”的MySQL数据库发现  
“伪基站”主程序的相关记录也被清空,无法用  
常 规 方 法 及 取 证 软 件 对 软 件 界 面 及 数 据 库 中 存  
储 的 发 送 信 息 条 数 、 发 送 信 息 内 容 等 定 案 关 键  
数 据 进 行 恢 复 提 取 。 经 对 该 软 件 的 结 构 及 文 件  
内 容 反 复 研 究 , 我 们 发 现 软 件 的 一 个 日 志 文 件  
“OpenBTS.log”中存储有大量的可疑数据,于  
是决定以此为切入点,尝试采用以下解密方式恢  
复该日志文件中的内容,从而达到既定的获取该  
“伪基站”软件发送出去的手机短信息内容的取  
证目的。  
针 对 非 法 使 用 “ 伪 基 站 ” 设 备 干 扰 公 用 电  
信 网 络 信 号 、 危 害 公 共 安 全 行 为 , 最 高 人 民 法  
院公布了相关司法解释:造成2000以上不满1万  
用 户 通 信 中 断 1 小 时 以 上 , 或 者 1 万 以 上 用 户 通  
信中断不满1小时的;在一个本地网范围内,网  
间 通 信 全 阻 、 关 口 局 至 某 一 局 向 全 部 中 断 或 网  
间某一业务全部中断不满2小时或者直接影响范  
围不满5万(用户×小时)的;造成网间通信严  
重障碍,1日内累计2小时以上不满12小时的,  
属 于 刑 法 第 一 百 二 十 四 条 规 定 的 “ 危 害 公 共 安  
全 ” , 依 照 刑 法 第 一 百 二 十 四 条 第 一 款 规 定 ,  
以 破 坏 公 用 电 信 设 施 罪 处 3 年 以 上 7 年 以 下 有 期  
徒刑[2]。  
5 “OpenBTS.log”中短信内容的手  
工提取解析过程  
提出该算法的主要思路是,根据“伪基站”  
软件数据库及日志文件中存储数据的一般结构,  
先用关键字“addsms”将所有的疑似涉案数据  
二 进 制 文 件 提 取 出 来 , 然 后 根 据 网 络 上 较 常 见  
的 木 马 程 序 等 加 密 解 密 的 规 则 , 先 手 工 将 这 些  
二 进 制 文 件 解 密 成 正 常 能 阅 读 的 汉 语 言 文 字 ,  
再 用 编 程 的 方 式 , 实 现 取 证 的 自 动 化 , 大 大 减  
少 取 证 人 员 的 重 复 工 作 量 , 提 高 取 证 效 率 。 经  
反 复 试 验 , 现 将 手 工 解 密 的 原 理 介 绍 如 下 : 将  
检材的备份镜像文件中路径“/var/log/”下的  
“OpenBTS.log”计算SHA-256值后复制到专用  
U盘。启动杀毒软件对电子物证检验工作站系统  
进 行 杀 毒 , 杀 毒 结 果 显 示 电 子 物 证 检 验 工 作 站  
系统为安全。将专用U盘通过只读方式连接到电  
子物证检验工作站,打开Terminal,进入到“/  
根据上述“伪基站”案件的量刑依据,可知  
“伪基站”案件的取证要点主要有“伪基站”已  
发送的短信内容、“伪基站”的操作系统时间、  
“伪基站”的中断用户通信的时间段和被“伪基  
站 ” 中 断 通 信 的 用 户 数 量 。 其 中 , 获 取 “ 伪 基  
站”已发送的短信内容是“伪基站”案中电子取  
证的一个难点。  
3 “伪站”已发送短信内容的存储  
位置  
media/root/761E61A1E35D3B9/”目录下,  
校验“OpenBTS. log”SHA-256值一致性后,  
嫌疑人使用“伪基站”发送短信时,通常会  
在“伪基站”主界面、“伪基站”的MySQL数  
据库文件“ibdata1”、“伪基站”的系统日志  
“syslog”系列文件和“伪基站”的主程序日志文  
使用“cat OpenBTS.log | grep 'addsms' | head  
-2”,命令运行结果如图1所示。  
使用文本编辑器将第二行短信数据中的二进  
制 数 值 按 顺 序 以 1 个 字 节 ( 8 位 ) 为 单 位 转 换 为  
16  

全部评论(0)

暂无评论

上传资源 上传优质资源有赏金

  • 打赏
  • 30日榜单

推荐下载