游客欢迎光临百问通一站式法律服务平台![登录][注册]

热线:400-850-2627 关注我们 关注我们

法治中国 携手同行

首页|百问资源|简介|资源列表|  正文
民事
婚姻·家庭
劳动·工伤
交通事故
医疗纠纷
民间借贷
担保
消费者
产品责任
民事其它
法规
商事
保险
海关·贸易
海事海商
招投标
不当竞争
票据
会计·审计
税收
环境资源
法规
公司
设立
公司人格
公司资本
股东·高管
股权
公司决议
公司并购
解散·清算
公司诉讼
合伙与联营
破产
法规
合同
成立·效力
合同履行
变更·解除
违约·赔偿
合同解释
代位·撤销
典型合同纠纷
合同范本
法规
房地产
土地
房屋
房地产开发
建设工程
拆迁补偿
房地产税收
金融证券
金融百问通
证券百问通
金融法规
证券法规
知识产权
著作权
商标
专利权
商业秘密
法规
刑法
犯罪
刑罚
常见犯罪
法规
行政
行政法概述
行政许可
行政处罚
行政强制
信息公开
行政复议
典型行政纠纷
国家赔偿
法规
诉讼法
仲裁
民事诉讼
刑事诉讼
行政诉讼
法规

电子数据取证技术在知识产权案件调查当中的一些应用

2018年11月16日

前言

我今天汇报的内容主要是电子数据取证技术在知识产权案件调查当中的一些应用。知识产权调查现在面临各种各样的挑战。可能大家遇到比较多的是软件侵权、软件盗版等,另外就是商业秘密的窃取。

我的主要议题是痕迹怎么提取和分析。主要从以下几个方面跟大家进行分享:一个是软件来源和运行痕迹的分析;一个是文件元数据及编辑痕迹分析;另一个是文件一致性或相似性比对;还有一些其他的痕迹介绍。

一、测试——痕迹信息

首先有一个测试,就是U盘上有一个word文档,把它插入到windows当中,操作系统会做哪些操作?会记录哪些信息?留下什么痕迹?

通过测试发现,会产生大量的痕迹在计算机当中保存着,归纳:第一种是注册表类的文件;还有一种是日志文件;还有在磁盘上有三个文件夹都叫recente,最近的意思,记录了打开的word文档;另外还有一个比较特别的,叫windows history;然后就是一些系统本身的内部文件会记录它的一些活动行为。大概就是这几类。

(一)痕迹1USB设备使用痕迹

1.注册表文件

插入U盘,首先系统会记录这个U盘插入的时间,甚至会记录U盘的型号、序列号。注册表里有一个存储storage,里面有很多的项目,而且是有规则的。借助如取证大师这样的取证分析工具,我们就能看到它的使用记录,包括插拔时间等都可以提取到。

2.日志文件

插一个U盘进去还会产生的一个痕迹是会在硬盘上生成一个文件,不同的操作系统路径是不太一样的。

(二)痕迹2:最近打开文件记录(MRU

1.Windows操作系统

微软的windows操作系统会有自身行为的一些记录,还有一类是第三方应用软件的痕迹。运行过之后操作系统C盘会生成很多的快捷方式。

为了提高操作系统的应用性,从xp开始,会记录最近打开过的一些文件,所有的除了可执行文件之外都会记录。

另外还有一个地方就是注册表里面也会记录。

2.各类应用程序

另外一个是应用程序的。我们平常用的office或者一些第三方的软件,都会有一个最近打开过的文件列表,主要目的为了方便用户下一次打开最近打开过的文件。对于取证来说,这个是很有帮助的,可以了解用户最近看了什么文档,看了什么照片、视频等。

刚才提到有两个地方,一个是U盘在系统端会有一些痕迹,另外一个就是在磁盘上的一些文件夹会生成它们的快捷方式,还有就是本身应用软件会记录最近打开过的文件列表。这些都是对我们来说有用的痕迹。

另外一个是IE浏览器当中文件访问记录。IE浏览器正常是用来记录上网的一些行为的,但是也会记录在“我的电脑”以及资源管理器里面打开过的文件。比如双击word文档或者在资源管理器里打开一个word文档,IE上网记录里都会记录这个信息的,所以大家不要忽略我们通过IE的上网记录也可以知道最近用户打开过的一些文件记录。

(三)小结

插一个U盘或双击word文档,会留下很多的痕迹。如下:

注册表SYSTEM下的USBSTOR增加优盘使用记录;NTUSER.DAT注册表记录最近打开文件列表(RecentDocs);操作系统磁盘所在分区中的两个Recent文件夹增加文件快捷方式;IE上网记录(Index.dat)增加文件打开记录。

二、软件来源及运行痕迹分析

上网痕迹中的下载记录、搜索记录。上网记录当中可以查到到底有没有从一些网站下载了软件、有没有访问记录、有没有购买这个软件以及这个软件的序列号、安装的序列号等。所以说我们可以通过上网记录的一些行为痕迹来分析。

USB的使用痕迹。

应用程序运行的痕迹,也是很重要的。到底下载下来有没有运行也是我们关注的。如果下载下来没有安装和运行,那就跟案件不相关。

另外就是系统还原点。在安装软件的时候,系统都会进行一个备份,把对注册表的修改以及安装的一些软件都会做一个快照。我们遇到案件的时候,需要对计算机的各种浏览器进行分析。一般会用取证分析工具自动去搜索有没有安装软件。

上网记录我们通常关注的痕迹第一块就是了解使用者到底访问了哪些站点、打开了哪些文件。另外是看过什么内容、搜索过什么数据、下载了什么等。

下载历史记录,主要是用户利用浏览器下载过什么文件,可能是一个word文档,也可能是安装程序的安装包。

应用程序有没有运行过其实在系统当中也会留下一些痕迹,主要在两个地方有,一个是预读文件里,还有一个地方是在注册表里。这个对于电子数据取证是非常有意义的,就是可以了解用户最近运行过哪些软件、第一次运行的时间以及运行的次数。

注册表里其实有两个地方有记录,一个是系统注册表,一个是用户注册表。对整台机器整个系统有影响的主要是系统注册表。每个注册表的作用是不一样的。注册表里面有一个地方也会记录运行过的软件,但是这个地方会做一个加密,里面所有的英文字母都被加密,但是中文不加密。

系统还原点。微软是用这个功能来避免系统崩溃,所以会在安装软件的时候做系统的快照和备份。这对于我们调查也有用,有可能注册表有一些数据已经被删除了,但是通过备份的还原点依然可以找到以前的一些数据。

三、文件元数据及编辑痕迹分析

文件的元数据及编辑痕迹分析在一些涉及窃取商业机密的知识产权案件当中会用到。如数码照片文件元数据(Exif)、Office文档元数据。。

(一)元数据分析简介

元数据,英文为Metadatemetadata名词起源于1969年,由Jack E.Myers所提出,是指描述数据的数据(date about date),主要用于描述数据的属性。

元数据用在各个领域来描述数据的属性,如图片、文档、视频、网页等。

(二)范例1:数码照片JPEG元数据(Exif

照片里面就一个exif,这个是JPG规范当中的一种,主要是在文件头部加一些跟拍摄有关的信息如相机厂商型号、参数、拍摄时间甚至拍摄地点等。

EXIF信息分析对电子数据取证的意义:

一是数据照片中的Exif信息丢失,通常说明图片不是原始图片,可能已被修改;

二是数码照片被特定软件编辑过,通常会增加特定的软件名称等信息。

EXIF信息分析与运行痕迹分析结合起来就能形成一个证据链,这样就很有说服力。

另外,元数据信息也可能会被篡改。这个跟windows自身的制式有关系。

但是修改也会留下一些痕迹,不是天衣无缝的。

(三)范例2Word文档元数据

Office文档自身也保存大量的元数据信息,记录了使用者对文档编辑的操作,同时也记录软件的相关信息。

Word元数据分析对电子数据取证的意义:

一是获取原始文档的参考来源信息;

二是获取原始文档的时间属性。

四、文件一致性或相似性比对

(一)哈希比对简介

主要是在一些软件商业机密案件当中,可能会用到文件一致性或者相对性比对。

哈希比对(Hash sets)。目前在取证当中可以用哈希算法来对文件、对硬盘里面的所有数据进行计算。哈希算法是一种可以将要比对的电子数据映射为较短长度、固定位数、唯一的二进制序列并进行比对,以判断其是否一致。通过该算法得出的摘要信息通常称为哈希值或数列值。

常见的哈希算法有:CRC32MD5SHA-1SHA-2。目前国内司法部比较偏向于SHA-2

我们通常会在证据保全的时候,做一个硬盘复制或者径向,通常会用哈希来做一个校验。

模糊哈希比对(Fuzzy Hashing)。

(二)哈希比对的应用

哈希值在电子数据取证中的应用:

白名单比对(操作系统、应用软件)——根据案件实际需要创建白名单,快速搜索已知文件或排除已知可信文件,提高分析效率。

黑名单比对(黑客工具、木马样本、儿童色情图片库)——美国相关机构建立了全国儿童色情图片库,用于调查儿童色情图片传播及虐童案件。

美国NSRL国家软件参考信息库。

美国NIST机构提供了NSRL哈希库(包含各种操作系统、应用软件的哈希值集合),这个是很有用的。

在知识产权类案件中,可使用哈希比对来快速查找计算机中是否存在盗版软件以及快速查找企业商业秘密泄露文件。

(三)传统哈希比对的缺陷

哈希比对,一定是数据要一模一样,但是一些软件源代码泄露的案件当中,代码带走了,肯定会做一些修改,修改完之后的代码跟原来的代码可能会不同,那怎么看是不是相似,其实是可以用哈希技术,只要一部分代码是相同的,我们就可以判断它的相似度大概有多少。这个是通过一些分段计算的方式来比对看两个文件的相似度。

五、其它几种痕迹的提取

一个是回收站(删除记录的分析),另一个是打印痕迹,还有一个是缩略图,这几个跟知识产权案件比较相关。

(一)回收站

回收站主要是了解用户删除过哪些数据。回收站有一些文件会记录原始文件在哪里,什么时间删除的。

虽然在操作系统里面看到的回收站内容都一样,这是操作系统的机制,但实际上用取证分析工具看到的是不一样的。

其实每个回收站里面都有一个INFOR文件,是记录删除过的一些信息。

(二)打印痕迹

有些商业案件当中,有些员工可能通过打印来带走一些商业机密。这一类案件我们是可以通过对计算机当中的一个打印脱机文件进行分析来提取出打印过的内容以及打印的时间。

用取证工具可以提取到打印的记录以及内容,这个是针对EMF格式。当然这些文件删除之后,通过技术手段还是可以恢复的。

(三)缩略图

有时候想快速看照片,可能会用缩略图看,这样就会生成一些痕迹。

有些案件当中,可能把所有图片删除掉了,但是我们拿到隐藏的(some.dd)文件,就会发现用户曾经看过了哪些类型的图片。

基本上这些痕迹跟一些知识产权案件,特别是商业机密的窃取等这一类型的案件是比较相关的。所以我重点介绍了这些痕迹的提取、分析,大家先对这个技术做一个大概的了解,这样对案件调查有帮助。