GoIP 網(wǎng)關(guān)設(shè)備的電子數(shù)據(jù)取證探索

在信息社會里，隨著科學技術(shù)不斷創(chuàng)新和發(fā)展，各種類型的新技術(shù)工具的開發(fā)和利用，促進了社會經(jīng)濟的快速發(fā)展，提高了人們的生活水平，給人們的衣、食、住、行、學習、工作等方面帶來了巨大的便利。然而，隨著科學技術(shù)的普及和應用，科技給人們帶來便利的同時，也帶來一些危害與弊端，其中，就有各種新型犯罪案件涌現(xiàn)，違法犯罪人員能夠便利地借助移動設(shè)備、網(wǎng)絡(luò)等通信工具和現(xiàn)代技術(shù)實施非接觸式的犯罪活動，例如，從事電信網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)傳銷，利用網(wǎng)絡(luò)技術(shù)非法獲取公民個人信息等。據(jù)公安部統(tǒng)計，2020年全年共破獲電信網(wǎng)絡(luò)詐騙案件32.2萬起，抓獲犯罪嫌疑人36.1萬名，止付凍結(jié)涉案資金2720余億元，勸阻870萬名群眾免于被騙，累計挽回經(jīng)濟損失1870余億元。本文將針對近年來電信網(wǎng)絡(luò)詐騙中常用的GoIP網(wǎng)關(guān)設(shè)備的工作原理及對其進行取證的技術(shù)方法進行分析、闡述。1背景和現(xiàn)狀1.1電信網(wǎng)絡(luò)詐騙工具的發(fā)展歷程電信網(wǎng)絡(luò)詐騙的主要手段是打電話或者群發(fā)短信。電信網(wǎng)絡(luò)詐騙者通過“廣撒網(wǎng)”的方式撥打大量用戶的電話，或者發(fā)送大量詐騙短信，這種方式單靠一部手機遠遠無法滿足詐騙者的使用需求。前些年，偽基站由于能夠干擾和屏蔽一定范圍內(nèi)的運營商信號并將短信發(fā)送到從基站附近搜索出的用戶的手機號碼上，這種設(shè)備使用方便，并且價格“實惠”，深受廣大詐騙者喜愛，在經(jīng)過一段時間的專項治理后，采用該設(shè)備詐騙的手段已基本銷聲匿跡。隨著VoIP技術(shù)的不斷成熟，市面上出現(xiàn)了很多基于VoIP技術(shù)的設(shè)備或者軟件，詐騙團伙可以通過VoIP設(shè)備或者軟件將主叫號碼歸屬地修改為受害人所在地，從而降低被呼叫者的心理防御，或者將主叫號碼修改成公眾常見的服務(wù)電話，用來欺騙被呼叫者，進行違法犯罪活動。針對VoIP出現(xiàn)的問題，相關(guān)部門禁止了VoIP的改號功能，而且搭建VoIP網(wǎng)絡(luò)成本較高，難度較大，需要的軟硬件也較多。近年來，新的GoIP技術(shù)逐漸被人們所使用，使用GoIP網(wǎng)關(guān)設(shè)備實施的犯罪活動也越來越多。1.2涉及GoIP網(wǎng)關(guān)設(shè)備案件情況在裁判文書網(wǎng)，我們使用GoIP作為關(guān)鍵字進行搜索，截至2021年11月，出現(xiàn)228個判決結(jié)果（如果同一個案件有二審判決的，以二審判決作為統(tǒng)計對象），其中，有174個案例以幫助信息網(wǎng)絡(luò)犯罪活動罪來定罪量刑，有42個案例以詐騙罪來定罪量刑，總體來說，該類案件的立案類型還是以這兩種方式居多。從本鑒定中心近兩年受理的有關(guān)GoIP網(wǎng)關(guān)設(shè)備的鑒定業(yè)務(wù)統(tǒng)計來看，本中心共受理97個辦案單位的鑒定委托，涉及18個省份75家委托單位，共計157個GoIP設(shè)備。在送檢的GoIP中，品牌數(shù)量排名前3的分別為三匯、鼎信通達和一正。委托數(shù)量統(tǒng)計排名情況符合前面介紹的GoIP設(shè)備的排名情況，具體的GoIP品牌情況如圖1所示。圖1GoIP網(wǎng)關(guān)設(shè)備類型統(tǒng)計在本鑒定中心受理的97個鑒定案例中，根據(jù)公安機關(guān)立案情況的統(tǒng)計，以幫助信息網(wǎng)絡(luò)犯罪活動案立案的有60個；以詐騙案立案的有35個；此外，有2個是以侵犯公民個人信息案進行立案?？梢钥闯?，目前該類案件大部分是以幫助信息網(wǎng)絡(luò)犯罪活動案立案。根據(jù)《中華人民共和國刑法修正案（九）》中增設(shè)的幫助信息網(wǎng)絡(luò)犯罪活動罪，其中，第二百八十七條之二“明知他人利用信息網(wǎng)絡(luò)實施犯罪，為其犯罪提供互聯(lián)網(wǎng)接入、服務(wù)器托管、網(wǎng)絡(luò)存儲、通信傳輸?shù)燃夹g(shù)支持，或者提供廣告推廣、支付結(jié)算等幫助，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。單位犯前款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照第一款的規(guī)定處罰。有前兩款行為，同時構(gòu)成其他犯罪的，依照處罰較重的規(guī)定定罪處罰。”最高法發(fā)布的《最高人民法院、最高人民檢察院關(guān)于辦理非法利用信息網(wǎng)絡(luò)、幫助信息網(wǎng)絡(luò)犯罪活動等刑事案件適用法律若干問題的解釋》中明確了“幫助信息網(wǎng)絡(luò)犯罪活動罪”的入罪標準，為辦理該類案件提供了強有力的法律依據(jù)。2GoIP網(wǎng)關(guān)設(shè)備主要廠家、搭建模式介紹2.1GoIP簡介GoIP，即基于IP的信號傳輸，其本質(zhì)就是把手機卡的信號數(shù)字化[3]，它是VoIP技術(shù)的一種升級，通常以GoIP網(wǎng)關(guān)設(shè)備的形式出現(xiàn)。GoIP設(shè)備是網(wǎng)絡(luò)通信的一種硬件設(shè)備，支持手機卡接入，能夠通過手機卡接入信息服務(wù)運營商網(wǎng)絡(luò)并實現(xiàn)基礎(chǔ)信息網(wǎng)絡(luò)功能（收/發(fā)短信、接/撥電話）。常見的GoIP設(shè)備根據(jù)所支持的運營商（移動、聯(lián)通、電信）、支持頻段（GSM、CDMA、WCDMA、全網(wǎng)通）、信號（2G、3G、4G）、插卡數(shù)量（4、8、16、32、64、128）和并發(fā)數(shù)量（4、8、16、32），可分為多種型號，一臺32個卡槽的GoIP設(shè)備可供上百張手機卡同時運行。詐騙分子為了逃避打擊，通常是通過招募“馬仔”在空置房間內(nèi)安裝GoIP設(shè)備。設(shè)備安裝后無須人員看管，即可遠程登錄使用設(shè)備，達到人、機、卡分離的目的，大大增加了公安機關(guān)的打擊難度。2.2常見的GoIP網(wǎng)關(guān)設(shè)備目前市面上的GoIP網(wǎng)關(guān)設(shè)備品牌眾多，常見的網(wǎng)關(guān)設(shè)備主要有一正、鼎信通達、三匯、得伯樂等，各品牌的網(wǎng)關(guān)設(shè)備功能差異不大。2.3GoIP網(wǎng)關(guān)設(shè)備搭建模式根據(jù)工作模式的不同，目前GoIP網(wǎng)關(guān)設(shè)備搭建的3種常見模式包括：人、機、卡分離模式；卡、機不分離，人分離模式；人、機、卡不分離模式。下面分別對這3種模式的原理進行介紹。2.3.1人、機、卡分離模式詐騙分子利用卡池設(shè)備，將用于詐騙的手機SIM卡與GoIP網(wǎng)關(guān)設(shè)備分離，通過服務(wù)器獲取到卡池里SIM卡的手機號碼，然后將SIM卡信息通過服務(wù)器發(fā)送到GoIP，從而實現(xiàn)撥打電話和發(fā)送短信等目的，而管理者可以遠程操作集中管理終端設(shè)備，實現(xiàn)人、機、卡三者獨立存在，形成分離的模式，系統(tǒng)架構(gòu)模式如圖2所示。打擊這種設(shè)備的難度較大，而且無法形成全鏈條的打擊，辦案機關(guān)在案件偵辦過程中往往只能獲取到GoIP網(wǎng)關(guān)設(shè)備，無法查獲與之對應的經(jīng)濟成本更高的卡池設(shè)備，并且在GoIP網(wǎng)關(guān)設(shè)備被扣押之后，犯罪分子可以快速重新配置新的GoIP設(shè)備來連接卡池設(shè)備，達到繼續(xù)詐騙的目的。圖2人、機、卡分離模式2.3.2卡、機不分離，人分離模式該方式不需要卡池設(shè)備，可以直接將SIM卡插在GoIP網(wǎng)關(guān)設(shè)備上，SIM卡與GoIP網(wǎng)關(guān)設(shè)備不分離，管理者遠程操作終端管理軟件，通過服務(wù)端控制GoIP網(wǎng)關(guān)設(shè)備達到直接撥打電話和發(fā)送短信等目的，系統(tǒng)架構(gòu)模式如圖3所示。與人、機、卡分離的方式相比，因為這種方式不需要使用卡池設(shè)備，成本更低，所以在市面上比較常見，并且由于人與機、卡分離，犯罪分子能在異地（也許在境外）遠程操控設(shè)備，或者雇用“馬甲”操控設(shè)備，更容易達到逃避查處的目的。圖3卡、機不分離，人分離模式2.3.3人、機、卡不分離模式該方式將GoIP網(wǎng)關(guān)設(shè)備、卡池和服務(wù)端管理系統(tǒng)配置在一起，由人員直接管理，僅在局域網(wǎng)內(nèi)操作，這種方式較為少見，系統(tǒng)架構(gòu)模式如圖4所示。這種做法等同于自投羅網(wǎng)，一旦被發(fā)現(xiàn)，人贓俱獲。3常見GoIP網(wǎng)關(guān)設(shè)備的取證方式由于GoIP網(wǎng)關(guān)設(shè)備里面保存著SIM卡信息、電話號碼信息、國際移動設(shè)備識別碼（International

MobileEquipmentIdentity，IMEI）、SIP服務(wù)器信息、收發(fā)的短信數(shù)據(jù)和通話信息等數(shù)據(jù)，將此類數(shù)據(jù)提取、恢復出來，將對案件偵查、定性等起到重要作用。本文列舉了幾種在實際工作中常見的取證方式，如下文所述。3.1網(wǎng)頁登錄模式數(shù)據(jù)提取通常情況下，不同廠家的網(wǎng)關(guān)設(shè)備默認配置的靜態(tài)IP是不一樣的，網(wǎng)關(guān)設(shè)備中都有后臺管理頁面，取證時可以根據(jù)掌握或者默認的設(shè)備管理頁面的IP地址、端口號、登錄賬號和密碼，將本地取證設(shè)備的IP地址與網(wǎng)關(guān)設(shè)備的IP地址配置在同一個網(wǎng)段，使用賬號和密碼登錄進去之后，可以查看網(wǎng)關(guān)設(shè)備中保留的數(shù)據(jù)，采用規(guī)范化的證據(jù)固定流程，將數(shù)據(jù)固定下來?？梢?，在檢驗過程中，采用網(wǎng)頁登錄模式的情況下，如何獲取設(shè)備的IP地址，成為能否成功獲取設(shè)備信息的關(guān)鍵因素。實踐證明，可以通過以下4種方式獲得設(shè)備的IP地址。（1）通過網(wǎng)關(guān)設(shè)備的使用說明書了解設(shè)備默認配置的IP地址。通常情況下，品牌廠商在設(shè)備出廠配置時，會附帶設(shè)備的使用說明書，使用說明書中通常會介紹設(shè)備的使用方法，初始的IP地址及登錄的用戶賬號、密碼等信息，因此，可以從使用說明書或者互聯(lián)網(wǎng)公開的渠道了解所要分析的網(wǎng)關(guān)設(shè)備的IP地址等信息。一些常見的GoIP設(shè)備的默認IP地址以及初始號密碼如表1所示。表1常見的GoIP網(wǎng)關(guān)設(shè)備配置信息（2）使用抓包工具來分析網(wǎng)關(guān)設(shè)備的IP地址。針對關(guān)機情況下的網(wǎng)關(guān)設(shè)備，在實驗室檢驗過程中，取證設(shè)備上配置的IP地址不一定會與網(wǎng)關(guān)設(shè)備中的靜態(tài)默認IP地址一致，使用網(wǎng)線將網(wǎng)關(guān)設(shè)備與取證設(shè)備進行直接連接，運行抓包軟件，網(wǎng)關(guān)設(shè)備與取證設(shè)備連接的時候，網(wǎng)關(guān)設(shè)備會通過地址解析協(xié)議（AddressResolutionProtocol，ARP）廣播設(shè)備的IP地址，從而確定設(shè)備的IP靜態(tài)地址，抓包軟件中顯示的設(shè)備配置IP信息如圖5所示。圖5抓包軟件獲取到的設(shè)備配置IP信息（3）使用取證工具自動獲取網(wǎng)關(guān)設(shè)備的IP地址。市面上部分取證設(shè)備已經(jīng)集成了自動獲取設(shè)備IP的功能，通過網(wǎng)線將取證設(shè)備網(wǎng)口與網(wǎng)關(guān)設(shè)備網(wǎng)口進行連接，通過取證設(shè)備自動掃描網(wǎng)關(guān)設(shè)備的IP地址，如圖6所示。圖6取證軟件自動掃描設(shè)備的IP信息（4）若設(shè)備在案件現(xiàn)場，可以查看網(wǎng)關(guān)設(shè)備現(xiàn)場連接的路由器連接記錄，或者搜索現(xiàn)場所使用的電腦、手機瀏覽訪問記錄等，該類設(shè)備均存在配置設(shè)備信息/遠程訪問設(shè)備的可能性，從而確定網(wǎng)關(guān)設(shè)備所使用的IP地址。3.2TTL模式取證該模式是目前比較常見的取證方式，適合在未掌握網(wǎng)關(guān)設(shè)備的本地登錄的賬號和密碼的情況下使用，將網(wǎng)關(guān)設(shè)備的晶體管-晶體管邏輯電平（TransistorTransistorLogic，TTL）串口或者CONSOLE控制口、miniUSB接口通過連接線與取證設(shè)備連接，下載網(wǎng)關(guān)設(shè)備的Flash鏡像，使用取證軟件解析收發(fā)的短信息、IMEI信息以及用戶密碼、動態(tài)主機配置協(xié)定（DynamicHostConfigurationProtocol，DHCP）、廠商、型號、媒體訪問控制（MediaAccessControl，MAC）地址等配置信息。此外，該模式還支持對部分網(wǎng)關(guān)設(shè)備已經(jīng)刪除數(shù)據(jù)的恢復，相比于網(wǎng)頁登錄模式取證，能獲取到更多數(shù)據(jù)。取證步驟大致可以總結(jié)如下：（1）確認GoIP網(wǎng)關(guān)設(shè)備串口為內(nèi)部串口還是外部串口。外部串口判斷：首先查看是否有明顯標識，如CONSOLE等；其次用對應的線材將GoIP網(wǎng)關(guān)設(shè)備的外部接口與取證分析設(shè)備相連，判斷取證分析設(shè)備的設(shè)備管理器是否彈出新的端口，GoIP網(wǎng)關(guān)設(shè)備的外部串口示例如圖7、圖8所示。圖7網(wǎng)關(guān)設(shè)備外部串口示例1圖8網(wǎng)關(guān)設(shè)備外部串口示例2內(nèi)部串口判斷：若已確定不是外部串口，則首先拆卸設(shè)備外殼，分析印制線路板（PrintedCircuitBoard，PCB）是否有發(fā)送端（Transmit，TX）、接收端（Receive，RX）、地線（Ground，GND）等標識；其次尋找連續(xù)3～5個的板孔，分別通過萬用表確定TX，RX，GND。若已確認該設(shè)備存在內(nèi)部串口，則利用串口硬件工具的TXD連接GoIP網(wǎng)關(guān)設(shè)備內(nèi)部串口接口RX，串口硬件工具的RXD連接GoIP網(wǎng)關(guān)設(shè)備內(nèi)部串口接口TX，串口硬件工具的GND連接GoIP網(wǎng)關(guān)設(shè)備內(nèi)部串口接口GND，再將串口硬件工具另一端連接至取證分析設(shè)備。GoIP網(wǎng)關(guān)設(shè)備內(nèi)部串口以及串口硬件工具USB轉(zhuǎn)TTL的示例如圖9、圖10所示。圖9網(wǎng)關(guān)設(shè)備內(nèi)部串口示例圖10串口硬件工具USB轉(zhuǎn)TTL（2）對設(shè)備的串口號進行識別。在GoIP網(wǎng)關(guān)設(shè)備未與取證分析設(shè)備連接時，通過WindowsAPI接口獲取串口號集合U1；在GoIP網(wǎng)關(guān)設(shè)備與數(shù)據(jù)分析工作站連接時，通過WindowsAPI接口獲取串口號集合U2；獲取到串口號集合U1和集合U2后，比對U1、U2集合差，獲取所需要的串口號。（3）執(zhí)行上述步驟后，對GoIP網(wǎng)關(guān)設(shè)備上電，通過取證工具遍歷可用波特率集合直到獲取數(shù)據(jù)為明文日志信息時，確認GoIP網(wǎng)關(guān)設(shè)備的波特率。（4）使用Xshell軟件分析設(shè)備串口的日志信息，提煉出相關(guān)數(shù)據(jù)并形成配置文件。將配置文件導入取證設(shè)備后，設(shè)置所需的波特率及相應的參數(shù)后，使用取證軟件下載設(shè)備鏡像。使用相應的取證工具，對鏡像中的文件內(nèi)容進行解析來獲取網(wǎng)關(guān)設(shè)備中的數(shù)據(jù)。3.3芯片焊接方式取證在無法掌握Web管理頁面的賬號或者設(shè)備不支持通過直取方式獲取數(shù)據(jù)的情況下，可以拆除網(wǎng)關(guān)設(shè)備的存儲芯片，使用芯片提取設(shè)備備份芯片中的數(shù)據(jù)，制作鏡像文件；使用取證軟件解析制作的鏡像文件，進而獲取網(wǎng)關(guān)設(shè)備存儲的數(shù)據(jù)。4GoIP網(wǎng)關(guān)設(shè)備取證案例分析針對目前GoIP網(wǎng)關(guān)設(shè)備的取證，主要有設(shè)備的IMEI號及所對應的卡槽號、使用過的SIM卡信息、短信記錄、通話記錄和SIP服務(wù)器信息等，部分設(shè)備還保存著使用過程的日志記錄。公安機關(guān)可以通過在網(wǎng)關(guān)設(shè)備中提取的數(shù)據(jù)，例如提取IMEI號和SIM卡串號，再與相應系統(tǒng)上掌握的涉案數(shù)據(jù)進行關(guān)聯(lián)分析，可以分析出有作案嫌疑的手機號碼，進而通過梳理手機號碼，匯總出涉案人員和涉案金額，最終形成完整的證據(jù)鏈條。4.1案情介紹公安機關(guān)受理某詐騙案件時，發(fā)現(xiàn)犯罪嫌疑人使用GoIP設(shè)備作案，嫌疑人購買大量電話卡插入該設(shè)備卡槽，操控設(shè)備進行撥打電話、收發(fā)短信，對受害者實施釣魚短信詐騙，受害人點擊嫌疑人發(fā)送的鏈接網(wǎng)站后，輸入了姓名、身份證、卡號、手機號、交易密碼等信息，銀行卡中的錢隨之在幾分鐘內(nèi)被轉(zhuǎn)走，公安機關(guān)在抓到犯罪嫌疑人后，在審訊中得知，犯罪嫌疑人為了逃避法律的制裁，會定期對使用的GoIP設(shè)備中的登錄密碼進行