電子數(shù)據(jù)加解密技術(shù)在云平臺鑒定中的應(yīng)用

李 巖，施少培，郭 弘

（司法鑒定科學(xué)研究院 上海市司法鑒定專業(yè)技術(shù)服務(wù)平臺，上海200063）

云平臺鑒定案件多為涉眾類經(jīng)濟犯罪案件，主要類型有傳銷、非法集資、網(wǎng)絡(luò)賭博等。隨著信息技術(shù)的發(fā)展，此類案件逐步從線下轉(zhuǎn)至線上，參與門檻日漸降低，呈現(xiàn)出空間虛擬化、形式隱蔽化、收益高額化、危害全面化、地域全球化等特點[1]，而參與人員和涉案資金可達到以往線下案件的數(shù)百倍。

當(dāng)前，國內(nèi)云平臺的迅猛發(fā)展使得建立和維護一個網(wǎng)站的財力和人力投入都大為降低。本研究過程中遇到的幾例網(wǎng)絡(luò)傳銷類案件都選擇在云上提供服務(wù)，采用B/S或者C/S架構(gòu)設(shè)計，數(shù)據(jù)保存在云上的RDS服務(wù)器，用戶通過瀏覽器或者APP注冊會員后參與。處理這類案件的環(huán)節(jié)主要有幾個，一是從云平臺調(diào)取數(shù)據(jù)，通常由公安、工商等行政機關(guān)完成，二是電子數(shù)據(jù)分析，通常交由鑒定機構(gòu)進行處理。

1 需求提出

以筆者辦理的其中一例網(wǎng)絡(luò)傳銷案件為例，該案件的送檢數(shù)據(jù)是從阿里云調(diào)取的大小分別為80 GB和100GB的兩個raw格式鏡像文件。由于辦案條件所限，其他材料僅提供了阿里云的《調(diào)取證據(jù)清單》，以及一些嫌疑人電腦、手機等檢材中檢出的網(wǎng)站宣傳材料，缺少網(wǎng)站數(shù)據(jù)和架構(gòu)的詳細(xì)技術(shù)資料。委托鑒定的要求包括固定網(wǎng)站頁面、會員情況、會員投資提現(xiàn)情況、產(chǎn)品銷售情況、獎勵規(guī)則等。由于涉及頁面檢驗，必須要先把網(wǎng)站在本地進行仿真。在整個仿真檢驗過程中面臨三個層面的解密:操作系統(tǒng)層面的登錄密碼、數(shù)據(jù)庫層面的訪問密碼、WEB應(yīng)用層面的登錄密碼。

2 策略分析

2.1 操作系統(tǒng)層面的解密

對于網(wǎng)站系統(tǒng)的仿真，一種方式是利用原有的操作系統(tǒng)進行仿真，另一種方式是將網(wǎng)站目錄和數(shù)據(jù)庫遷移至檢驗環(huán)境中進行仿真。前者的優(yōu)點在于最大程度保留了原網(wǎng)站的運行環(huán)境，仿真后進行調(diào)試的工作量相對較小；缺點在于需要破解操作系統(tǒng)登錄密碼。后者的優(yōu)點在于直接繞過了系統(tǒng)登錄密碼，而且對于典型的環(huán)境類型，如LAMP（Linux+Apache+MySQL+Perl/PHP/Python）、Windows Server+IIS+SQL Server+JSP，可以事先準(zhǔn)備按照各類環(huán)境模板配置好的虛擬機，在需要時直接從中選擇；缺點是難以確定所有的配置，在仿真時需要較多調(diào)試工作，特別是多臺服務(wù)器的聯(lián)合仿真尤為困難。

選擇使用原操作系統(tǒng)進行仿真時，需要對系統(tǒng)密碼進行破解。對于Windows系統(tǒng)，在離線模式下讀寫SAM文件，采用散列破解或散列替換的方式獲得或者改變賬戶的登錄密碼。目前已經(jīng)有較多工具可以選用，比如集成了密碼破解功能的Windows PE類啟動盤，在PE模式下啟動系統(tǒng)后使用其中的密碼破解工具直接修改管理員密碼，常見的商用電子數(shù)據(jù)仿真檢驗工具也都集成了屏蔽系統(tǒng)密碼功能。對于Linux系統(tǒng)，在grub引導(dǎo)前修改引導(dǎo)參數(shù)，進入單用戶模式，使用passwd命令更改密碼；若不是使用grub引導(dǎo)，就需要使用啟動光盤，在救援模式下掛載文件系統(tǒng)，編輯/etc/passwd以實現(xiàn)替換或去除密碼。

2.2 數(shù)據(jù)庫層面的解密

雖然云平臺底層或多或少都會有數(shù)據(jù)保護機制，但在平臺即服務(wù)（PaaS）云模式或者軟件即服務(wù)（SaaS）云模式中，數(shù)據(jù)往往是不加密的[2]。

但對于調(diào)取的云平臺鏡像，通常在調(diào)取時已經(jīng)去除了文件系統(tǒng)級的加密，即其中的文件數(shù)據(jù)對于電子數(shù)據(jù)分析人員是透明的，包括保存有數(shù)據(jù)庫連接信息的文件。因此，找到該文件即可獲取連接數(shù)據(jù)庫的類型、位置、版本、用戶名和密碼等信息。搜索該文件可以通過關(guān)注文件名包含“database”“db”“config”“conn”的文件或目錄，或采用全盤搜索關(guān)鍵詞進行定位。

結(jié)合檢出的數(shù)據(jù)庫數(shù)據(jù)，在原有環(huán)境或者搭建的環(huán)境下對數(shù)據(jù)庫進行仿真，在數(shù)據(jù)庫運行狀態(tài)下使用獲取的數(shù)據(jù)庫用戶名和密碼進行連接，之后即可使用數(shù)據(jù)庫管理工具進行數(shù)據(jù)分析。但是，通過上述方式獲取到的數(shù)據(jù)庫往往僅有一個用戶，該用戶可能不具有管理員權(quán)限。如果要訪問數(shù)據(jù)庫的所有數(shù)據(jù)，就需要進一步獲取數(shù)據(jù)庫具有管理員權(quán)限的用戶。類似地，可以對管理員用戶的密碼進行重置或暴力破解管理員密碼。

云平臺網(wǎng)站系統(tǒng)中最為常見的LAMP架構(gòu)使用MySQL數(shù)據(jù)庫。在檢驗MySQL數(shù)據(jù)庫時常用的做法是對管理員密碼進行重置，具體方法的采用停止mysqld服務(wù)后加上“--skip_grant_tables”參數(shù)重啟服務(wù)，之后更新user表中管理員用戶的密碼，最后執(zhí)行flush privileges刷新權(quán)限，再次啟動mysqld服務(wù)即可使用新密碼登錄數(shù)據(jù)庫。

MySQL密碼破解則是從user.MYD數(shù)據(jù)表文件中讀取用戶密碼的哈希串，在MySQL 4.1版本之后哈希串本質(zhì)上來源于密碼的兩次SHA1，一共41位[3]。獲得該哈希串后使用hashcat/cain等工具進行暴力破解。

SQL Server的登錄通常與Windows系統(tǒng)緊密結(jié)合，在原系統(tǒng)仿真完成后可以直接用Windows登錄修改SA用戶的密碼。

SQL Server密碼破解則通常采用暴力破解，容易找到現(xiàn)成的代碼或工具。

其他類型的數(shù)據(jù)庫較少在涉及云平臺鑒定的案件中遇到，在此不做贅述。

2.3 WEB應(yīng)用層面的解密

WEB應(yīng)用的登錄密碼一般是采用特定算法加密后將加密字符串保存在數(shù)據(jù)庫的數(shù)據(jù)表中，加密算法在WEB應(yīng)用程序中實現(xiàn)。最為簡單的加密算法是使用一次哈希函數(shù)，但由于一次哈希的抗攻擊性差，在注重安全性的網(wǎng)站中會選擇更為強壯的加密算法，確保即使數(shù)據(jù)庫數(shù)據(jù)泄露也不會直接泄露用戶的密碼。

登錄驗證的通常方式是對用戶輸入的密碼采用同樣的算法加密，將結(jié)果與數(shù)據(jù)庫中存儲的字符串進行對比，通過驗證兩者是否一致來判斷用戶是否輸入了正確的密碼。因此，當(dāng)已知用戶賬戶A的密碼但不知道用戶賬戶B的密碼時，將數(shù)據(jù)庫中B的密碼字符串替換為A的密碼字符串，即可實現(xiàn)用A的密碼登錄B的賬戶。密碼替換的方法可以解決大部分情況下的網(wǎng)站登錄問題。

一種特殊情況是加密算法中使用了“鹽”，且不同用戶使用不同“鹽”。“鹽”是一個字符串，明文保存在程序或者數(shù)據(jù)庫中，與用戶密碼拼接后執(zhí)行加密算法生成加密字符串。顯而易見的是，在加了不同的“鹽”后，相同的密碼生成的加密字符串是不同的。這種情況下，破解登錄密碼需要從程序代碼入手，分析出加密算法，正向?qū)崿F(xiàn)密碼到加密字符串的過程，或者逆向?qū)崿F(xiàn)加密字符串到密碼的過程，兩者之一即可解決網(wǎng)站的登錄問題。在編碼實現(xiàn)時可以借助于程序代碼本身或者一些公開的算法庫。

3 案例應(yīng)用

在本文第一部分提到的案例中，通過X-Ways Forensics加載鏡像進行檢驗發(fā)現(xiàn)，鏡像為raw格式，無需經(jīng)過特殊轉(zhuǎn)換。兩個鏡像文件均為單分區(qū)鏡像，在80GB鏡像的Windows目錄中檢出操作系統(tǒng)，版本為Windows Server 2012；另一鏡像中無操作系統(tǒng)，在 oolmysql-5.7.20-winx64data 目錄下檢出MySQL數(shù)據(jù)表文件，在 ool omcat1web****ROOT檢出網(wǎng)站根目錄。

查看網(wǎng)站目錄下的WEB-INFclassesconfigjdbcjdbc.properties文件，找到數(shù)據(jù)庫連接信息，如圖 1所示，該 MySQL數(shù)據(jù)庫 root用戶的密碼是12******xx。

圖1 數(shù)據(jù)庫連接信息

在VMware虛擬機中將兩個鏡像分別掛載為C盤和D盤進行仿真，使用Windows PE啟動后修改密碼。

進入操作系統(tǒng)后啟動MySQL數(shù)據(jù)庫服務(wù)和tomcat網(wǎng)站服務(wù)，使用圖 1中的密碼以root用戶的身份連接數(shù)據(jù)庫，查看保存管理員信息的Admin表，獲得五個管理員賬號及密碼字符串，如圖 2所示。其中的onePassword列即為賬號登錄密碼的加密字符串。

圖2 五個管理員賬號及密碼字符串

本案中未獲得用戶的明文密碼，分析網(wǎng)站程序發(fā)現(xiàn)該網(wǎng)站使用JSP開發(fā)，部分算法使用java編寫。密碼加密相關(guān)算法的實現(xiàn)在WEB-INFclasseswebsiteutilsCryptUtil.class文件中找到。使用JDGUI對class文件進行逆向工程，反編譯得到的java關(guān)鍵代碼如圖3所示。

圖3 使用JD-GUI對class文件進行反編譯得到j(luò)ava關(guān)鍵代碼

檢驗發(fā)現(xiàn)，用戶密碼的加密使用了DES算法，密鑰及IV是Qi****23，編碼方式是UTF-8，加密方式是DES/CBC/PKCS5Padding。根據(jù)以上算法和參數(shù)，編寫java程序?qū)崿F(xiàn)解密過程[4]，獲得管理員登錄密碼。至此，使用管理員賬戶登錄仿真網(wǎng)站后臺，后續(xù)的檢驗可以順利進行。

4 結(jié)語

在云平臺電子數(shù)據(jù)鑒定中處理解密問題時，密碼繞過是較優(yōu)的選擇；代碼逆向的技術(shù)難度較高，暴力破解的時間成本較高，在使用時應(yīng)予以綜合評估。