基于网站的公民个人信息犯罪电子数据取证.docxVIP

基于网站的公民个人信息犯罪电子数据取证 加强网络违法犯罪净网专项行动，坚决打击贩卖公民个人信息犯罪 近年来，侵犯公民个人数据的犯罪继续发生，这也与电信网络欺诈、威胁和绑架等犯罪有关，这给社会带来了严重的伤害。 公安部深入开展打击整治网络违法犯罪净网专项行动，部署对侵犯公民个人信息犯罪，要坚决捣毁窃取、贩卖公民个人信息的公司、平台，坚决打击窃取、贩卖公民个人信息的企事业单位内部人员，坚决摧毁利用公民个人信息实施诈骗、盗窃、敲诈勒索等犯罪团伙组织体系。 对于此类案件电子数据的取证是一项重要工作。在一起侵犯公民个人信息案件的电子取证过程中，取证人员还原犯罪现场，提取并分析了电子证据，为有效打击此类犯罪提供了思路。 一、 实名认证测试 某市公安局在办理一起电信诈骗案件中，犯罪嫌疑人交代用于诈骗的个人身份信息是从某域名网站购买得到。根据线索，办案民警在网站中输入自己姓名、身份证号，采用实名验证测试，按网站指引付款后，得到正确的验证结果，经多次测试，均得到正确认证。侦查确认该域名的网站存在售卖公民信息的犯罪行为。随后，办案民警刑事拘留了网站开办者沈某和杜某，并扣押了用于网站运行的三块服务器硬盘。犯罪嫌疑人交代，网站提供“身份证实名认证”和“身份证照片认证”非法有偿服务，为查清犯罪嫌疑人利用网站售卖公民信息非法获利的犯罪证据，对服务器硬盘数据进行了取证分析。 二、 数据库文件存文分析 1.将三块服务器硬盘分别编号为“1”、“2”、“3”，利用镜像工具制作出三块服务器硬盘的数据镜像。 2.通过FTK分别读取分析三块服务器硬盘的镜像数据，初步确认php网站文件存放在编号为“1”的硬盘中，操作系统为linux,mysql数据库文件存放在编号为“2”的硬盘中，网站备份文件存放在编号为“3”的硬盘中。 3.分析网站文件，判断文件的基本功能，发现“CheckBy51datalink”、“CheckByAliyun”、“CheckByHaodai”、“CheckByZhima”等重要文件，“AlipayApp”、“AlipayMobile”、“WeixinApp”等重要文件夹。 4.读取数据库文件，从数据库结构、记录内容分析判断，“payment”和“hshd”两数据库为网站中用于公民身份信息查询的后台数据库。 5.虚拟仿真，将编号为“1”、“2”的两块服务器硬盘镜像文件转换成vmdk格式文件，加载到VMware Workstation系统中运行，分析网站运行情况。 三、 电子数据分析 （一） 展示网站页面设计 1.以普通用户身份测试网站运行功能，可以查看到网站运行页面“身份证实名认证”（如图1）、“身份证照片认证”（如图2）。经数据分析，证明网站具有身份证实名认证和身份证照片认证的功能。 输入测试数据“姓名：张三”、“身份证号：420989789654356789”，测试“身份证实名认证”功能，弹出如图3页面，在页面中显示有“支付宝”、“微信”、“QQ钱包”等支付方式，应付“2.88元”字样。 以上网站页面运行与测试情况，反映网站不仅具有“身份证实名认证”和“身份证照片认证”功能的展示页面，而且能进行数据的交互输入，经检查数据库输入的测试数据进入到了数据库中。由于测试环境下无法实现支付方式的对接，支付功能无法通过虚拟仿真实现，且网站是否给出正确的身份认证功能不能通过测试实现，需通过程序代码和数据库的分析验证。在侦查阶段，办案民警输入了自己的姓名和身份证号，并按网站要求支付费用后，获得了正确的认证结果。 2.以管理员身份进入网站后台管理页面，点击进入“订单来源统计列表”，在页面中输入“开始时间：2016-06-12 00:00”，结束时间“2017-05-22 01:06”，在页面上反映统计数据，从“2016-09-09至2017-05-19”期间，按天统计共有248条记录。导出所有记录，将248条记录的“总收入”求和，得到值为“499110.49”，总单数和为“130787”，页面截图如图4，从页面中可以发现与网站页面相对应的支付方式“支付宝手机”、“支付宝即时”、“微信支付”、“QQ支付”等。 点击“订单信息统计列表”，在页面中输入“开始时间：2016-06-12 00:00”，结束时间“2017-05-2201:06”，如图5。在页面上作数据统计，从“2016-09-09 15:06:27至2017-05-19 13:32:00”期间，已支付完成的订单共有“130787单”，共计“499110.49元”，其中身份信息查询类已支付订单数为“121372单”，共计“352154.40元”。从页面中可以发现，订单的项目名称有“身份证实名认证”、“身份证照片认证”、“黄道吉日查询”、“观音灵签解签”等。 通过网站恢复，可以初步确定其具有身份信息收费认证功