幾種常見存儲(chǔ)云的取證研究

盤石軟件（上海）有限公司 王圣東

引言

大數(shù)據(jù)時(shí)代，U盤和硬盤已經(jīng)無法滿足我們對(duì)海量數(shù)據(jù)存儲(chǔ)的需求，云時(shí)代的到來，云存儲(chǔ)以無上限容量逐漸替代過去的存儲(chǔ)介質(zhì)。目前，在國(guó)內(nèi)主流的面向個(gè)人用戶提供云存儲(chǔ)服務(wù)的公司有百度、360和騰訊。在云存儲(chǔ)市場(chǎng)中，無論技術(shù)還是用戶數(shù)量他們都具有絕對(duì)優(yōu)勢(shì)。其中，百度網(wǎng)盤在2016年就超過4億用戶。

云存儲(chǔ)戶只需投入很少的開銷就能獲得大量的計(jì)算資源和云存儲(chǔ)空間，但云存儲(chǔ)的資源共享特性也導(dǎo)致了許多安全方面的隱患，如為傳播惡意程序提供了便利、用戶隱私數(shù)據(jù)更易泄露、數(shù)據(jù)更易被破壞等。為保證云存儲(chǔ)環(huán)境的健康發(fā)展，針對(duì)云存儲(chǔ)犯罪展開取證分析（即云取證）顯得尤為重要。

一、云存儲(chǔ)取證綜述

云存儲(chǔ)[1]是在云計(jì)算(cloud computing)概念上延伸和發(fā)展出來的一個(gè)新的概念，是一種新興的網(wǎng)絡(luò)存儲(chǔ)技術(shù)，是指通過集群應(yīng)用、網(wǎng)絡(luò)技術(shù)或分布式文件系統(tǒng)等功能，將網(wǎng)絡(luò)中大量各種不同類型的存儲(chǔ)設(shè)備通過應(yīng)用軟件集合起來協(xié)同工作，共同對(duì)外提供數(shù)據(jù)存儲(chǔ)和業(yè)務(wù)訪問功能的系統(tǒng)。

云存儲(chǔ)取證應(yīng)包括云存儲(chǔ)客戶端應(yīng)用的基本信息分析、云端文件的獲取、用戶使用痕跡分析。

圖1 云存儲(chǔ)服務(wù)架構(gòu)

1.云存儲(chǔ)取證的技術(shù)問題

在司法實(shí)踐中，云存儲(chǔ)取證技術(shù)領(lǐng)域的問題主要集中在云端文件的獲取和用戶使用痕跡分析兩個(gè)方面。

從傳統(tǒng)的計(jì)算機(jī)取證方法來看，很多方法在云存儲(chǔ)中適用起來非常困難。例如，傳統(tǒng)的方法就是對(duì)保存文件的物理計(jì)算機(jī)進(jìn)行證據(jù)固定和提取，在對(duì)云端文件的獲取上，這種方法就很難適用，因?yàn)槲募鎯?chǔ)在云存儲(chǔ)服務(wù)提供商的服務(wù)器上，調(diào)查者可能知道文件的實(shí)際存儲(chǔ)位置，即便是云存儲(chǔ)服務(wù)提供商，定位文件的實(shí)際存儲(chǔ)位置也是較困難的。原因是云存儲(chǔ)采用的文件系統(tǒng)都是分布式結(jié)構(gòu)的，同一個(gè)文件可能存儲(chǔ)在多臺(tái)服務(wù)器中，直接對(duì)物理計(jì)算機(jī)進(jìn)行固定證據(jù)的方法，你可能需要固定很多臺(tái)物理計(jì)算機(jī)，而且還需要云存儲(chǔ)服務(wù)提供商技術(shù)部門的配合。同時(shí)，這種方式的證據(jù)固定和提取還牽涉隱私保護(hù)和法律問題，在實(shí)際中基本不采用。

對(duì)于云端文件的獲取，一般采用研究客戶端應(yīng)用，通過賬號(hào)訪問的云存儲(chǔ)服務(wù)的方式獲取云端文件。這種方式的難點(diǎn)在于如何得到用戶名和密碼，因?yàn)樵L問云存儲(chǔ)需要。調(diào)查者可以通過分析客戶端應(yīng)用、客戶端機(jī)器中的相關(guān)文件中獲取密碼（可能獲得），以及從客戶端機(jī)器使用者那里得到。

2.云存儲(chǔ)取證的法律問題

隱私如何保護(hù)[2]的問題。例如，物理計(jì)算機(jī)上出現(xiàn)多用戶數(shù)據(jù)混雜的問題，針對(duì)單個(gè)物理計(jì)算機(jī)進(jìn)行全盤證據(jù)固定時(shí)，必定涉及到其他用戶數(shù)據(jù)的，對(duì)于其他用戶來說，這是侵犯隱私，屬于違法行為，這就造成了取證不合法，直接影響證據(jù)的法律采信度。

法律的完善，隨著云環(huán)境下新型犯罪方式的出現(xiàn)，現(xiàn)有的法律法規(guī)需要不斷完善。例如當(dāng)出現(xiàn)多租戶時(shí)，可以通過法律條款將權(quán)利賦予特定調(diào)查人員或者法律工作者，使其有權(quán)利獲取多人共享下的所有用戶數(shù)據(jù)，一方面通過法律權(quán)威保護(hù)其他不相關(guān)用戶的數(shù)據(jù)隱私，另一方面可以順利、快速地獲取證據(jù)。法律手段還可以通過規(guī)定云存儲(chǔ)服務(wù)提供商必須提供的取證接口，使得調(diào)查者可以順利的獲取證據(jù)，從而提高取證的效率。

二、云存儲(chǔ)客戶端應(yīng)用的基本信息取證

掌握應(yīng)用程序的基本信息，有助于幫助我們制定出最優(yōu)的取證方案。正確的取證方法可以幫助調(diào)查者高效的完成取證工作。也是保護(hù)證據(jù)、順利取證的必要前提，所以取證前我們需要充分掌握應(yīng)用程序的基本信息。應(yīng)用程序的基本信息取證應(yīng)包括安裝程序識(shí)別、版本號(hào)、安裝目錄、安裝時(shí)間、修改時(shí)間、大小、發(fā)布者，以及應(yīng)用程序中保存的密碼等。例如，用戶保存了訪問密碼，調(diào)查者就可以采用仿真的方式直接訪問云存儲(chǔ)，獲取云端文件。

應(yīng)用程序的基本信息的取證方法，可以分析注冊(cè)表文件，可以仿真后從【控制面板-程序-程序和功能】列表中直接查看安裝應(yīng)用的基本信息，可以通過取證分析軟件直接分析等方式。

三、云端文件的獲取

目前，云端文件的獲取是云存儲(chǔ)取證中最困難的工作。如前文所述，由于文件是保存在云端，而不在本地的特點(diǎn)，我們無法從客戶端計(jì)算機(jī)中直接的獲取云存儲(chǔ)中的全部文件，之所以能獲取部分文件，是因?yàn)檎{(diào)查者可以從分析客戶端應(yīng)用痕跡上得到保留在客戶端計(jì)算機(jī)中的文件。云端文件的獲取從方式上來看，可以分為有密碼和無密碼兩種。

1.無密碼的情況

如果調(diào)查者通過分析客戶端計(jì)算機(jī)、應(yīng)用程序基本信息和從其他渠道都無法取得訪問密碼的情況下，如果需要對(duì)云端文件進(jìn)行取證，必須尋求云存儲(chǔ)服務(wù)提供商的技術(shù)部門配合，否則調(diào)查者只能放棄云端文件的取證，因?yàn)檎{(diào)查者根本找不到文件在哪里。

因?yàn)樵拼鎯?chǔ)服務(wù)提供商需要保護(hù)用戶隱私和企業(yè)的信譽(yù)，尋求云存儲(chǔ)服務(wù)提供商技術(shù)部門的配合時(shí)，程序上比較復(fù)雜，時(shí)效性差。此情況下，調(diào)查者只需要技術(shù)上保證云存儲(chǔ)服務(wù)提供商技術(shù)部門提供證據(jù)的合法性即可。

2.有密碼的情況

有密碼的情況下，獲取云端數(shù)據(jù)的方式就比較多，可以通過客戶端應(yīng)用直接訪問云存儲(chǔ)，利用客戶端直接獲取云端文件，也可以通過仿真客戶端計(jì)算機(jī)直接獲取云端文件，調(diào)查者只需要保證證據(jù)文件獲取的原始性和合法性即可。

利用客戶端應(yīng)用直接訪問的方式獲取證據(jù)時(shí)，需要調(diào)查者記錄全部的取證過程。建議調(diào)查者采用全程錄屏的方式記錄整個(gè)操作過程，做到可追溯；另外即時(shí)對(duì)獲取的云端文件進(jìn)行hash校驗(yàn)，保證文件的原始性。錄屏和hash校驗(yàn)計(jì)算工具建議采用屏幕錄像專家和FTK imager。

3.通過取證分析軟件獲取云端文件

通過取證分析軟件直接獲取云端文件的支持上，國(guó)外軟件明顯好于國(guó)內(nèi)，但是國(guó)外軟件對(duì)于中國(guó)的云存儲(chǔ)服務(wù)提供商的支持情況差，很多不支持；國(guó)內(nèi)的取證軟件對(duì)于云存儲(chǔ)取證方面，研究的力量主要在分析客戶端應(yīng)用上，注重客戶端應(yīng)用的使用痕跡分析，對(duì)于云端文件的直接提取方面做的不足。

針對(duì)國(guó)外的存儲(chǔ)云的云端文件獲取，很多取證分析軟件提供云端文件的獲取功能，可以通過取證分析軟件進(jìn)行文件進(jìn)行云端文件的獲取。例如，國(guó)外Belkasoft軟件就支持有密碼的情況下直接獲取Google Drive、Google Plus、iCloud的云端文件。

四、Windows平臺(tái)的應(yīng)用痕跡分析

應(yīng)用使用痕跡取證，通過分析客戶端應(yīng)用的使用痕跡，調(diào)查者可以提取云存儲(chǔ)應(yīng)用的賬號(hào)信息、上傳下載記錄、以及上傳和下載記錄中對(duì)應(yīng)的本地文件位置，甚至還可能獲取到賬戶密碼等數(shù)據(jù)。用戶使用痕跡還可以從云存儲(chǔ)服務(wù)提供商的系統(tǒng)日志中分析得到，這種方式需要云存儲(chǔ)服務(wù)提供商的技術(shù)部門提供系統(tǒng)日志文件。

應(yīng)用使用痕跡的取證很多國(guó)內(nèi)軟件都支持直接分析，例如SafeAnalyzer軟件。這里著重介紹云存儲(chǔ)應(yīng)用使用痕跡取證的原理和手動(dòng)分析方法。

1.百度網(wǎng)盤

百度網(wǎng)盤[3]是百度推出的一項(xiàng)云存儲(chǔ)服務(wù)，是百度面向個(gè)人用戶的網(wǎng)盤存儲(chǔ)服務(wù)，滿足用戶工作生活各類需求，已上線的產(chǎn)品包括網(wǎng)盤、個(gè)人主頁(yè)、群組功能、通訊錄、相冊(cè)、人臉識(shí)別、文章、記事本、短信、手機(jī)找回。用戶將可以輕松將自己的文件上傳到網(wǎng)盤上，并可跨終端隨時(shí)隨地查看和分享。

百度網(wǎng)盤使用痕跡的取證分析，調(diào)查者應(yīng)先分析應(yīng)用結(jié)構(gòu)以及用戶數(shù)據(jù)在本地的保存方式。通過對(duì)應(yīng)用結(jié)構(gòu)的研究發(fā)現(xiàn)，百度網(wǎng)盤的用戶數(shù)據(jù)保存在用戶目錄下。圖2表示百度網(wǎng)盤的數(shù)據(jù)結(jié)構(gòu)。

圖2 百度網(wǎng)盤數(shù)據(jù)結(jié)構(gòu)

其中以tdxw001@126.com為名的文件夾為用戶名，BaiduYunGuanjia.db為SQLite3數(shù)據(jù)庫(kù)，保存著用戶數(shù)據(jù)。調(diào)查者分析BaiduYunGuanjia.db文件，就能分析出百度網(wǎng)盤的使用痕跡信息，表1表示數(shù)據(jù)庫(kù)文件中的表與記錄對(duì)應(yīng)關(guān)系。

表1 數(shù)據(jù)庫(kù)表與記錄對(duì)應(yīng)關(guān)系

2.360云盤

360云盤[4]是奇虎360公司推出的在線云儲(chǔ)存軟件，是分享式云存儲(chǔ)服務(wù)產(chǎn)品。為廣大普通網(wǎng)民提供了存儲(chǔ)容量大、免費(fèi)、安全、便攜、穩(wěn)定的跨平臺(tái)文件存儲(chǔ)、備份、傳遞和共享服務(wù)。

360云盤使用痕跡的取證分析，就需要了解應(yīng)用的結(jié)構(gòu)以及用戶數(shù)據(jù)在本地的保存方式。通過研究發(fā)現(xiàn)，360云盤的用戶數(shù)據(jù)保存在用戶目錄下。圖3表示360云盤數(shù)據(jù)結(jié)構(gòu)。

圖3 360云盤數(shù)據(jù)結(jié)構(gòu)

其中以13開頭的“135924227”和“135954048”為名稱的文件夾，就是360云盤的為賬號(hào)，打開其中一個(gè)文件夾后，為賬號(hào)對(duì)應(yīng)的痕跡數(shù)據(jù)。圖4表示云盤賬號(hào)對(duì)應(yīng)的數(shù)據(jù)結(jié)構(gòu)。

以用戶名為名稱的文件夾下的filecache.db為SQLite3數(shù)據(jù)庫(kù)，記錄著本地文件緩存記錄；history.dat為一個(gè)文本文件，其中記錄了文件傳輸記錄。調(diào)查者分析filecache.db和history.dat文件，就能分析出以此文件夾名為用戶名的用戶使用痕跡數(shù)據(jù)。

圖4 360云盤賬號(hào)對(duì)應(yīng)的數(shù)據(jù)結(jié)構(gòu)

3.微云（騰訊）

微云[5]是騰訊公司為用戶精心打造的一項(xiàng)智能云服務(wù), 您可以通過微云方便地在手機(jī)和電腦之間,同步文件、推送照片和傳輸數(shù)據(jù)。

微云使用痕跡的取證分析，就需要了解應(yīng)用的結(jié)構(gòu)以及用戶數(shù)據(jù)在本地的保存方式。通過研究發(fā)現(xiàn)，微云的用戶數(shù)據(jù)保存在用戶目錄AppDataRomaingTencentWeiyunDisk下。圖5表示微云的數(shù)據(jù)結(jié)構(gòu)。

其中“**.rdb”文件記錄用戶的傳輸記錄，“**.dirsdb”文件記錄每個(gè)網(wǎng)盤目錄下存放的文件，文件名為用戶名。調(diào)查者分析這些文件，就能分析出以此文件夾名為用戶名的用戶使用痕跡信息。

圖5 微云數(shù)據(jù)結(jié)構(gòu)

五、結(jié)束語(yǔ)

云存儲(chǔ)取證科學(xué)是一個(gè)新興的研究領(lǐng)域。本文主要從技術(shù)角度入手，分析云存儲(chǔ)取證的范圍和一般方法。隨著云存儲(chǔ)技術(shù)的發(fā)展，云存儲(chǔ)取證勢(shì)必會(huì)在將來的云存儲(chǔ)犯罪調(diào)查方面有著重要的應(yīng)用前景。同時(shí)，云存儲(chǔ)取證的相關(guān)技術(shù)研究也將推動(dòng)計(jì)算機(jī)領(lǐng)域的取證技術(shù)發(fā)展。

[1]李邐. 淺析云計(jì)算背景下云存儲(chǔ)的優(yōu)勢(shì)與劣勢(shì)[J]. 計(jì)算機(jī)光盤軟件與應(yīng)用,

[2]2013(23):18-19.高運(yùn), 伏曉, 駱斌. 云取證綜述[J]. 計(jì)

[3]算機(jī)應(yīng)用研究, 2016(1):1-6.杜娟. 百度網(wǎng)盤還能這樣用[J]. 電腦愛好

[4]者, 2015(1):40-41.張文雯. 360云盤三招妙用[J]. 電腦愛好

[5]者, 2014(4):38-39.吉吉. 利用騰訊微云輕松實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)與共享[J]. 電腦知識(shí)與技術(shù):經(jīng)驗(yàn)技巧,