摘要:突網軟體作為境外敵對勢力用來對我國上網使用者進行反動宣傳、傳播各類有害資訊的主要工具,引發的安全隱
患十分突出。本文從突網的概念入手,介紹了突網軟體的原理,以及針對突網軟體進行調查取證的常用工具,進而對常見突網軟體的調查取證方法進行了研究,提出了調查取證的具體操作步驟,並通過實驗模擬了調查取證過程。
關鍵詞:突i艤j軟體jjij密**隧道調譙取證一、
引言的搜尋、校驗和動態切換。
本世紀初,國家加大了網路監察的力度,對網路系統中的關鍵點進行資訊收集,並進行智慧型識別,對ip數
突破網路審查或突破網路封鎖,也被簡稱為「突
網」或「破網」,是指針對網際網路審查或封鎖的限制,
繞過相應的ip封鎖、內容過濾、網域名稱劫持等,實現對網
據包內容按照指定的關鍵字過濾,檢查網路中是否有違反安全策略的行為。隨後,各種突破網路審查的加密**技術也就應運而生了。該技術使使用者與第三方能正常
訪問審查內容的節點建立加密連線,間接訪問審查內容。此類**技術主要有:
(一)ssl頁面**
絡內容的訪問,相應的軟體也就被稱為突網軟體。突網
軟體帶來的高度私密性與廣泛的應用性使網路監察工作面臨嚴峻挑戰,針對突網軟體的調查取證方法進行研究
有助於在網際網路安全監察工作中解決和排除涉及突網軟體的電子證據的收集、審查、質證、採信等方面的困難
和障礙。
能夠把其他**的內容抓過來,然後採用ssl ̄]i:i密
傳遞給使用者。採用該技術的突網軟體主要有「動態
二、突網軟體的原理
早期的突網工具都是普通**工具的完善,只要找
網」、「**看世界」等。
(二)加密**技術
在境外伺服器和境內使用者之間利用密碼學方法建立
一到合適的普通**,在瀏覽器中設定**伺服器和端
口,基本就可以暢通無阻。當時的工具主要擅長於**
條安全通道,在網路上充當加密**伺服器的角色。
多數突網軟體都採用這種技術,包括「花園軟體」
年11月43
「無界瀏覽」、「自由門」、「火鳳凰」等。瀏覽器訪
資料,記錄、讀取使用者資料資訊等方面的檔案操作進行監測。filemon是乙個出色的實時檔案系統監視軟體,它可以將與檔案相關的一切操作(如讀取、修改、出錯信
息等)全部記錄下來,並允許使用者對記錄的資訊進行儲存、過濾、查詢等處理。
3.登錄檔監控工具
問網頁的請求被這些程式自動透明地處理,包括自動搜尋最快最安全的**伺服器、加密**和網頁內容等。
1.隧道技術
使用隧道傳遞的資料可以是不同協議的資料幀或包。隧道協議將這些其他協議的資料幀或包重新封裝在新的包頭中傳送。新的包頭提供了路由資訊,從而使封
主要針對突網軟體讀寫登錄檔、修改登錄檔項、對系統進行網路設定,及對使用者的瀏覽器配置進行修改等
裝的負載資料能夠通過網際網路絡傳遞。被封裝的資料報在隧道的兩個端點之間通過公共網際網路絡進行傳遞,使
所經過的邏輯路徑成為隧道。一旦達到網路終點,資料將被解包並**到最終目的地。
2.ssl協議
行為進行監測。regsnap是一款很優秀的既可以監視注
冊表變化,又可以監視系統檔案變化的工具。它可以對
登錄檔以及系統檔案做快照,並可以對兩個快照作比
較,從而詳細地報告登錄檔及其他與系統有關專案的修改變化情況。除系統登錄檔以外,regsnap還可以報告
ssl是使用公鑰和私鑰技術組合的安全網路通訊協議,它在兩個通訊應用程式之間提供私密性和可靠性。
系統目錄下檔案的變化情況和系統配置檔案win.ini和
的變化情況。
(二)突網軟體的網路行為特徵分析工具1.網路資料報和網路協議分析工具
伺服器和使用者在傳輸應用資料之前,採用ssl協議協商加密演算法和加密金鑰,客戶機提出自己能支援的全部算
法清單,伺服器選擇最適合它的演算法。
3.http隧道
wireshark是一款基於流量映象協議分析的網路協議檢測程式提供了對和ftp等常用協議的支援。通過同時
http隧道也是由客戶端和伺服器端組成。客戶端是
由隧道控制功能和功能組成。其中隧道控制
完成建立隧道完成本地的端1:3對映,並且將收到的資料封裝成http的格式發往伺服器。伺服器端
也就是由隧道控制和組成負責對進來的資料報進行解包。把返回的響應封包傳送。隧道控制確定防火牆後的使用者和其他某個使用者通訊的一一對應關係。
將網絡卡插入混合模式,可以用來監視所有在網路上被傳送的包,並分析其內容。
網路封包分析軟體的功能是擷取網路封包,並盡可能顯示出最為詳細的網路封包資料。網路流量分析是指
捕捉網路中流動的資料報,並通過檢視包內部資料以及進行相關的協議、流量分析、統計等來發現網路執行過
程**現的問題。流量映象協議分析是把網路裝置的某
三、突網軟體的調查取證工具
為了達到全面、準確分析突網行為的目的,需要從
系統行為特徵和網路行為特徵兩方面著手。
(一)突網軟體的系統行為特徵分析工具
1.程序監測工具
個埠(鏈路)流量映象給協議分析儀,通過7層協議
解碼對網路流量進行監測。
主要針對程序的完整路徑、程序的相關啟動資訊、程序的模組呼叫情況,以及記憶體使用情況等進行監測。
是用於管理系統程序的工具。不但可以方便地檢視各種系統程序,而且還能檢視到通常看不到的在後台執行的處理程式。同時,可以檢視程序的屬性並分析其各項指數,判斷突網軟體程序並檢視執行緒資訊。
2.檔案系統監控工具
主要針對突網軟體安裝、使用過程中,對系統讀寫
2.埠檢測工具
tcpview是乙個windows程式,它可以顯示系統gtunnel等。
步驟一,將程序監測軟體檔案
中的所有tcp和udp端點的詳細列表,將所有ip位址解析為它們的網域名稱,其中包括本地和遠端位址以及tcp
監控軟體filemon、登錄檔監控軟體regsnap、端el監控軟體資料報及協議分析軟體
wireshark等軟體開啟,並設定filemon的過濾器。
步驟二,使用作系統快照,用於實驗後比較登錄檔及系統關鍵部位變化情況。
步驟三,執行花園軟體檢視各監控軟體在實驗前後的監控結果變化情況,如新建進
連線的狀態。在和xp上,
tcpview還可以報告擁有這些端點的程序的名稱。
四、突網軟體的調查取證方法
(一)突網軟體網路資料報的調查取證
儘管突網軟體在通訊過程中多是經過加密的,在進行解密前是無法了解其具體內容的,但其本身包含源
ip位址和目的ip位址以及伺服器的資訊。通過對jp位址的分析,對於線索的擴充套件是有著積極的意義的。下面通過實驗模擬動態截獲並分析突網軟體通訊資訊的一般過程。
程、開啟的通訊埠、檔案的讀寫情況及通過突網軟體傳送和接收的資料報的相關資訊。
步驟四,製作實驗後的照,並比較前後
快照變化,如突網軟體在登錄檔中對**lp位址的設定、對ie**設定的更改等。
步驟五,檢視filemon中的create和write項,分析
開啟花園軟體gtunnel,同時開啟定義捕獲的網絡卡,點選capture進行獲取。開啟任意境外網頁,稍等片刻點選停止,即可**截獲的內容了。資料報流量非常龐大,從各類協議中過濾出特點ip的資料報需要投入大量時間和精力。
通過分析發現,
突網軟體執行中產生檔案和修改檔案的相關資訊。
步驟六,綜合前面的分析結果,總結出全部行為特
徵,主要包含突網軟體對檔案的新建和修改情況及突網
軟體執行在登錄檔中對系統設定改動、對**伺服器的
gtunnel的傳輸以tcp和http協議為主。可發現本機與通訊密切,可能
設定、lp位址痕跡等。
為突網軟體**伺服器(如圖1所示)。
五、突網軟體的調查取證結果
下面對「自由門」的調查、分析結果進行說明。同
樣方法,可以對「無界瀏覽」、「花園軟體」、「世界
通」、「火鳳凰」等進行調查分析。
(一)登錄檔檢查
1.新增與**設定有關的主鍵:廠—
此項為瀏覽器的預設連線設定。
此項可能為瀏覽器已儲存的連線設定。此項為瀏覽
圖1使用wireshark對花園軟體gtunnel進行抓包分析
器**開關設定,原值為0,新值為1。
(二)突網軟體本地調查取證
下面通過實驗模擬突網軟體本地調查取證的過程,使用的軟體有
鍵值新增字串:」<local>
年11月45
「jun一**開始
e:\實驗一t.zip檔案**成功e:\實驗一tzip檔案**成功jun一**結束
如果您所選的檔案沒有被**下來,可能是因為在指定的天數內沒有這個檔案。您可以增加指定天數或者過幾天再試。」
5.即使選擇了清除選項,仍會有以下上網歷史記錄,「自由門」只是清除了快取檔案,而沒有清除上網
日誌:04
六、突網軟體調查取證需要注意的問題
突網軟體執行後一定會在系統中留下痕跡,根據這種特徵,利用諸如程序監測軟體檔案監控軟體filemon、登錄檔監控軟體regsnap、端13
監控軟體等軟體對突網軟體行為進行程序監測、檔案監控、登錄檔監控等工作,可以準確
分析突網軟體的行為特徵。在調查和取證過程中還應該注意:
此項為**伺服器ip設定,鍵值新增字串:
2.登錄檔內新增軟體使用痕跡——
1.取證的時候要根據不同突網軟體的工作原理和特點,並結合突網軟體網路資料報檢驗中獲得的相關證
據,互相認定,提高證據的證明力。
實馬僉鍵值新增字串
2.調查取證的過程中會涉及到證據的製作,由於電
子證據的易失性和不可復原性,要求調查人員必須嚴格按照操作規範提取證據。
(二)檔案檢查
1.設檔名為f683exe,執行後會在%windir%\
prefetch目錄下生成類似f683.exe一?????7.pf的檔案(其中問號為任意數字或字元組合),也就是說如果「自由門」檔名為別的,如fff.exe,則會生成fffexe一
3.收集電子證據的同時注意傳統證據的採集,與電子證據相互配合形成完備的證據鏈。
2會在%temp%目錄下生成fkmwpmko檔案(檔名不固定,內容固定),使用le開啟,內容如圖2所
不。【1費立偉.1】網路封鎖系統的改進探索[d11.青島大學碩士學
位**.2009
盛曼耳oo盛
f21陳帆.freegate軟體的逆向分析技術研究【d】.上海交通大學碩士學位**,2009.[3l段冰幾類網際網路通訊軟體的分析與控制id]上海交通大學碩士學位**,2009.張磊,谷大武,陸海寧,陳帆件的執行機制分析【j】.通訊技術周正.一種追查加密**資料報的有效方法ⅱ1計算機工
程圖2 temp資料夾下的fkmwpmko檔案內容
3.軟體目錄下生成fg.檔案。
4.如果**過檔案,會在**的目標資料夾生成檔案「logtxt」,其內容指明了**的檔案及儲存位置,
匿圜2010年11月
工作心得 檢察機關民事申訴案件調查取證權的合理性
在我國民事訴訟體制的轉型的過程中,法院的調查取證權被不當的限縮,以致有矯枉過正之嫌。過於限制法院依職權調查取證的權利會帶來貶損案件真實的不良後果,最終使民事訴訟保護當事人合法權益的目的落空,司法公正難以實現。在此背景下,賦予檢察機關適當地對民事申訴案件調查取證權,一方面可以強化程式內監督,形成對法院...
論民事訴訟當事人的申請調查取證權
李浩南京師範大學法學院教授 一 當事人申請調查取證權概述 當事人申請調查取證權,是指民事訴訟中當事人及其訴訟 人在收集證據時遇到客觀上的障礙,無法獲得必要的證據時,請求法院給予幫助,申請法院幫助其調查收集證據的權利。申請調查取證權的確立始於1991年的 民事訴訟法 是立法機關修訂 民事訴訟法 試行 ...
論我國民事訴訟中律師的調查取證權
作者 鄧月媛 法制與社會 2018年第08期 摘要調查令制度是律師證據調查權的一種新嘗試和新動態,2017年7月11日,四川省高階人民法院印發了 關於民事審判 執行階段適用調查令的辦法 試行 的通知。至此,全國先後已經有上海市 山東省 重慶市 山西等省市均頒布並試行律師調查令相關的檔案,各地方法院對...