涉案服务器鉴定
【案情概述】
某公司涉嫌参与或发起诈骗活动,现需将该公司后台账单和业务活动的详细情况导出成文档进行证据固定,该公司服务器均为阿里云服务器,需找到涉案服务器实例,并将网站后台数据导出。
【基本情况】
委托鉴定事项:从本地访问镜像中的“****.****.com”“****.****.com”两个网站,并从网站中导出所有可导出的表格。
鉴定材料:嫌疑人阿里云服务器中“****”服务器的镜像压缩包:“****_m-m5eckk jve0rt40np1s96_system.raw.tar.gz”、“****_m-m5eckkjve0rt40np1s96_data_xvdb.raw.tar.gz”。
【鉴定过程】
1. 鉴定方法
依据以下鉴定方法进行鉴定:SF/Z JD0400001-2014《电子数据司法鉴定通用实施规范》、 GB/T29362-2012《电子物证数据搜索检验规程》。
2. 鉴定设备
硬件设备:XX电脑(编号:XXXX,操作系统 windows 10);
软件工具:MyHash_1.4.7;仿真取证软件v4.1.1.2972;Vmware Workstation 15 pro;FirefoxBrowser 93.0;Xshell 7;Navicat Premium 15.0.26;
3. 鉴定过程概要
在电脑D盘新建“游戏诈骗案”文件夹,用于存放本次鉴定过程中的相关数据,将待检测数据拷贝到该文件夹中,使用MyHash_1.4.7校验“网站服务器虚拟机.7z”的MD5和SHA-256;校验码信息与检材描述一致。网站后台校验:对服务器的两个raw镜像进行仿真,访问的页面为“****.****.com”,“****.****.com”; 根据鉴定要求,将两个网站页面上能导出的表格数据全部导出,检出数据刻录:将所有相关数据全部导出(除去导出失败的),将所有导出文件压缩为“导出文件.rar”,使用哈希值计算软件MyHash_1.4.7对该文件进行哈希计算。
【鉴定意见】
已成功实现从本地访问镜像中的“****.****.com”“****.****.com”两个网站,并成功从网站中导出所有可导出的表格。
涉案APP分析
【案情概述】
查明**APP非法获取计算机信息系统数据案。
【基本情况】
委托鉴定事项:从本地访问镜像中的“****.****.com”“****.****.com”两个网站,并从网站中导出所有可导出的表格。 鉴定材料:嫌疑人阿里云服务器中“****”服务器的镜像压缩包:“****_m-m5eckk jve0rt40np1s96_system.raw.tar.gz”、“****_m-m5eckkjve0rt40np1s96_data_xvdb.raw.tar.gz”。
【鉴定过程】
1. 鉴定方法
依据以下鉴定方法进行鉴定: GA/T 1478-2018《法庭科学网站数据获取技术规范》、GA/T 757-2008《程序功能检验方法》、SF/Z JD0400001-2014《电子数据司法鉴定通用实施规范》。
2. 鉴定设备
硬件设备:实验室取证工作站;取证专用笔记本电脑dell g3,操作系统Windows10;取证专用苹果笔记本电脑Mac Book pro,操作系统MacOS 10.14.4;
软件工具:360杀毒软件 V7.5.0.1410;jadx-gui-0.9.0;Sublime Text3;哈希值计算软件MyHash_1.4.7;模拟器Genymotion for personal use Custom Phone 6.0.0;
3. 鉴定过程概要
启动工作站,通过取证工作站只读光驱,读取光盘内容;对各APP进行如下操作:将光盘文件拷贝到专用取证笔记本电脑,计算MD5值校验。然后进行黑盒检测【在手机上安装APP后观察其授权需求提示】与白盒检测【软件工程逆向后的代码功能分析】,判断是否仅有获取手机通讯录、短信信息、定位信息,并上传至服务器、是否没有其他实质性功能、获取信息的功能是否可以实时获取、有无内置隐私协议等。
【鉴定意见】
1.软件均仅有获取手机型号、手机通讯录、定位信息和短信信息,及将获取的信息上传到变量apiserver=XX.XX.XX.XX网址服务器的功能,未发现除上述功能外的其他实质性功能。
2.具有定时获取短信信息的功能,即实时获取短信信息并发送到服务器功能。
3.“**.apk”,在程序运行过程中未发现有类似app的隐私政策、用户注册协议、免责声明等隐私协议;“**.ipa”,在程序逻辑过程中未发现有类似app的隐私政策、用户注册协议、免责声明等隐私协议。
涉案e程序鉴定
【案情概述】
****诈骗案。
【基本情况】
委托鉴定事项:送检光盘中存有压缩包“单某硬盘提取文件.zip”,内容为单某电脑E盘存放的案件相关程序的源码文件。请对其中“新番茄3.71.e”进行功能性鉴定。 鉴定材料:装有“单某硬盘提取文件.zip”文件的光盘一张。
【鉴定过程】
1. 鉴定方法
依据以下鉴定方法进行鉴定:SF/Z JD0400001-2014《电子数据司法鉴定通用实施规范》、SF/Z JD0403004-2018《软件功能鉴定技术规范》和GA/T 757-2008《程序功能检验方法》。
2. 鉴定设备
硬件设备:取证工作站;ThinkPad只读光驱。
软件工具:MyHash64;易语言;UltraISO;VMware Workstation 16 Pro。
3. 鉴定过程概要
将光盘放入ThinkPad只读光驱并接入取证工作站;使用UltraISO软件制作光盘映像文件;将光盘映像文件拷贝至虚拟机,解压并找到“新番茄3.71.e”文件。
使用易语言打开“新番茄3.71.e”文件,观察其界面与相关代码。分析后发现其调用多个模块,在****集团及/或其关联公司未授权的情况下便可进行登录**、抢购下单、获取返利的功能。
【鉴定意见】
送检光盘中的“新番茄3.71.e”文件具有以下功能:
1.程序具有“扫码登录”、“网页登录”的功能,模拟了**的登录过程。
2.在未发现有****集团及/或其关联公司授权的情况下,程序与**服务器进行通讯,实现无需进入**官方网站活动页面便可进行登录和抢购的功能。
3.程序在执行抢购功能的过程中,使用自动处理滑块验证的方式,绕过了****集团及/或其关联公司对**帐号下单环节的人机识别的验证机制。
当前位置: 首页 > 典型案例 
