幾種常見存儲云的取證研究

◆周 超 蔡家騏 王圣東

（1.上海市公安局 上海 200025；2.盤石軟件（上海）有限公司 上海 200333）

0 引言

大數(shù)據(jù)時代，U盤和硬盤已經(jīng)無法滿足我們對海量數(shù)據(jù)存儲的需求，云時代的到來，云存儲以無上限容量逐漸替代過去的存儲介質(zhì)。目前，在國內(nèi)主流的面向個人用戶提供云存儲服務(wù)的公司有百度、360和騰訊。在云存儲市場中，無論技術(shù)還是用戶數(shù)量他們都具有絕對優(yōu)勢。其中，百度網(wǎng)盤在2016年就超過4億用戶。

云存儲戶只需投入很少的開銷就能獲得大量的計算資源和云存儲空間，但云存儲的資源共享特性也導致了許多安全方面的隱患，如為傳播惡意程序提供了便利、用戶隱私數(shù)據(jù)更易泄露、數(shù)據(jù)更易被破壞等。為保證云存儲環(huán)境的健康發(fā)展，針對云存儲犯罪展開取證分析（即云取證）顯得尤為重要。

1 云存儲取證綜述

云存儲[1]是在云計算(cloud computing)概念上延伸和發(fā)展出來的一個新的概念，是一種新興的網(wǎng)絡(luò)存儲技術(shù)，是指通過集群應(yīng)用、網(wǎng)絡(luò)技術(shù)或分布式文件系統(tǒng)等功能，將網(wǎng)絡(luò)中大量各種不同類型的存儲設(shè)備通過應(yīng)用軟件集合起來協(xié)同工作，共同對外提供數(shù)據(jù)存儲和業(yè)務(wù)訪問功能的系統(tǒng)。

圖1云存儲服務(wù)架構(gòu)

云存儲取證應(yīng)包括云存儲客戶端應(yīng)用的基本信息分析、云端文件的獲取、用戶使用痕跡分析。

1.1 云存儲取證的技術(shù)問題

在司法實踐中，云存儲取證技術(shù)領(lǐng)域的問題主要集中在云端文件的獲取和用戶使用痕跡分析兩個方面。

從傳統(tǒng)的計算機取證方法來看，很多方法在云存儲中適用起來非常困難。例如，傳統(tǒng)的方法就是對保存文件的物理計算機進行證據(jù)固定和提取，在對云端文件的獲取上，這種方法就很難適用，因為文件存儲在云存儲服務(wù)提供商的服務(wù)器上，調(diào)查者可能知道文件的實際存儲位置，即便是云存儲服務(wù)提供商，定位文件的實際存儲位置也是較困難的。原因是云存儲采用的文件系統(tǒng)都是分布式結(jié)構(gòu)的，同一個文件可能存儲在多臺服務(wù)器中，直接對物理計算機進行固定證據(jù)的方法，你可能需要固定很多臺物理計算機，而且還需要云存儲服務(wù)提供商技術(shù)部門的配合。同時，這種方式的證據(jù)固定和提取還牽涉隱私保護和法律問題，在實際中基本不采用。

對于云端文件的獲取，一般采用研究客戶端應(yīng)用，通過賬號訪問的云存儲服務(wù)的方式獲取云端文件。這種方式的難點在于如何得到用戶名和密碼，因為訪問云存儲需要。調(diào)查者可以通過分析客戶端應(yīng)用、客戶端機器中的相關(guān)文件中獲取密碼（可能獲得），以及從客戶端機器使用者那里得到。

1.2 云存儲取證的法律問題

隱私如何保護[2]的問題。例如，物理計算機上出現(xiàn)多用戶數(shù)據(jù)混雜的問題，針對單個物理計算機進行全盤證據(jù)固定時，必定涉及到其他用戶數(shù)據(jù)的，對于其他用戶來說，這是侵犯隱私，屬于違法行為，這就造成了取證不合法，直接影響證據(jù)的法律采信度。因此，如何保護其他用戶的隱私數(shù)據(jù)。

法律的完善，隨著云環(huán)境下新型犯罪方式的出現(xiàn)，現(xiàn)有的法律法規(guī)需要不斷完善。例如當出現(xiàn)多租戶時，可以通過法律條款將權(quán)利賦予特定調(diào)查人員或者法律工作者，使其有權(quán)利獲取多人共享下的所有用戶數(shù)據(jù)，一方面通過法律權(quán)威保護其他不相關(guān)用戶的數(shù)據(jù)隱私，另一方面可以順利、快速地獲取證據(jù)。法律手段還可以通過規(guī)定云存儲服務(wù)提供商必須提供的取證接口，使得調(diào)查者可以順利的獲取證據(jù)，從而提高取證的效率。

2 云存儲客戶端應(yīng)用的基本信息取證

掌握應(yīng)用程序的基本信息，有助于幫助我們制定出最優(yōu)的取證方案。正確的取證方法可以幫助調(diào)查者高效的完成取證工作。也是保護證據(jù)、順利取證的必要前提，所以取證前我們需要充分掌握應(yīng)用程序的基本信息。應(yīng)用程序的基本信息取證應(yīng)包括安裝程序識別、版本號、安裝目錄、安裝時間、修改時間、大小、發(fā)布者，以及應(yīng)用程序中保存的密碼等。例如，用戶保存了訪問密碼，調(diào)查者就可以采用仿真的方式直接訪問云存儲，獲取云端文件。

應(yīng)用程序的基本信息的取證方法，可以分析注冊表文件，可以仿真后從【控制面板-程序-程序和功能】列表中直接查看安裝應(yīng)用的基本信息，可以通過取證分析軟件直接分析等方式。

3 云端文件的獲取

目前，云端文件的獲取是云存儲取證中最困難的工作。如前文所述，由于文件是保存在云端，而不在本地的特點，我們無法從客戶端計算機中直接的獲取云存儲中的全部文件，之所說可以獲取部分文件，是因為調(diào)查者可以從分析客戶端應(yīng)用痕跡上得到保留在客戶端計算機中的文件。云端文件的獲取從方式上來看，可以分為有密碼和無密碼兩種。

3.1 無密碼的情況

如果調(diào)查者通過分析客戶端計算機、應(yīng)用程序基本信息和從其他渠道都無法取得訪問密碼的情況下，如果需要對云端文件進行取證，必須尋求云存儲服務(wù)提供商的技術(shù)部門配合，否則調(diào)查者只能放棄云端文件的取證，因為調(diào)查者根本找不到文件在哪里。

因為云存儲服務(wù)提供商需要保護用戶隱私和企業(yè)的信譽，尋求云存儲服務(wù)提供商技術(shù)部門的配合時，程序上比較復雜，時效性差。此情況下，調(diào)查者只需要技術(shù)上保證云存儲服務(wù)提供商技術(shù)部門提供證據(jù)的合法性即可。

3.2 有密碼的情況

有密碼的情況下，獲取云端數(shù)據(jù)的方式就比較多，可以通過客戶端應(yīng)用直接訪問云存儲，利用客戶端直接獲取云端文件，也可以通過仿真客戶端計算機直接獲取云端文件，調(diào)查者只需要保證證據(jù)文件獲取的原始性和合法性即可。

利用客戶端應(yīng)用直接訪問的方式獲取證據(jù)時，需要調(diào)查者記錄全部的取證過程。建議調(diào)查者采用全程錄屏的方式記錄整個操作過程，做到可追溯；另外即時對獲取的云端文件進行 hash校驗，保證文件的原始性。錄屏和 hash校驗計算工具建議采用屏幕錄像專家和FTK imager。

3.3 通過取證分析軟件獲取云端文件

通過取證分析軟件直接獲取云端文件的支持上，國外軟件明顯好于國內(nèi)，但是國外軟件對于中國的云存儲服務(wù)提供商的支持情況差，很多不支持；國內(nèi)的取證軟件對于云存儲取證方面，研究的力量主要在分析客戶端應(yīng)用上，注重客戶端應(yīng)用的使用痕跡分析，對于云端文件的直接提取方面做的不足。

針對國外的存儲云的云端文件獲取，很多取證分析軟件提供云端文件的獲取功能，可以通過取證分析軟件進行云端文件的獲取。例如，國外 Belkasoft軟件就支持有密碼的情況下直接獲取Google Drive、Google Plus、iCloud的云端文件。

4 Windows平臺的應(yīng)用痕跡分析

應(yīng)用使用痕跡取證，通過分析客戶端應(yīng)用的使用痕跡，調(diào)查者可以提取云存儲應(yīng)用的賬號信息、上傳下載記錄、以及上傳和下載記錄中對應(yīng)的本地文件位置，甚至還可能獲取到賬戶密碼等數(shù)據(jù)。用戶使用痕跡還可以從云存儲服務(wù)提供商的系統(tǒng)日志中分析得到，這種方式需要云存儲服務(wù)提供商的技術(shù)部門提供系統(tǒng)日志文件。

應(yīng)用使用痕跡的取證很多國內(nèi)軟件都支持直接分析，例如SafeAnalyzer軟件。這里著重介紹云存儲應(yīng)用使用痕跡取證的原理和手動分析方法。

4.1 百度網(wǎng)盤

百度網(wǎng)盤[3]是百度推出的一項云存儲服務(wù)，是百度面向個人用戶的網(wǎng)盤存儲服務(wù)，滿足用戶工作生活各類需求，已上線的產(chǎn)品包括網(wǎng)盤、個人主頁、群組功能、通訊錄、相冊、人臉識別、文章、記事本、短信、手機找回。用戶將可以輕松將自己的文件上傳到網(wǎng)盤上，并可跨終端隨時隨地查看和分享。

百度網(wǎng)盤使用痕跡的取證分析，調(diào)查者應(yīng)先分析應(yīng)用結(jié)構(gòu)以及用戶數(shù)據(jù)在本地的保存方式。通過對應(yīng)用結(jié)構(gòu)的研究發(fā)現(xiàn)，百度網(wǎng)盤的用戶數(shù)據(jù)保存在用戶目錄下。圖2表示百度網(wǎng)盤的數(shù)據(jù)結(jié)構(gòu)。

圖2百度網(wǎng)盤數(shù)據(jù)結(jié)構(gòu)

其中以 tdxw001@126.com為名的文件夾為用戶名，BaiduYunGuanjia.db為SQLite3數(shù)據(jù)庫，保存著用戶數(shù)據(jù)。調(diào)查者分析BaiduYunGuanjia.db文件，就能分析出百度網(wǎng)盤的使用痕跡信息，表1表示數(shù)據(jù)庫文件中的表與記錄對應(yīng)關(guān)系。

表1數(shù)據(jù)庫表與記錄對應(yīng)關(guān)系

4.2 360云盤

360云盤[4]是奇虎 360公司推出的在線云儲存軟件，是分享式云存儲服務(wù)產(chǎn)品。為廣大普通網(wǎng)民提供了存儲容量大、免費、安全、便攜、穩(wěn)定的跨平臺文件存儲、備份、傳遞和共享服務(wù)。

360云盤使用痕跡的取證分析，就需要了解應(yīng)用的結(jié)構(gòu)以及用戶數(shù)據(jù)在本地的保存方式。通過研究發(fā)現(xiàn)，360云盤的用戶數(shù)

據(jù)保存在用戶目錄下。圖3表示360云盤數(shù)據(jù)結(jié)構(gòu)。

圖3 360云盤數(shù)據(jù)結(jié)構(gòu)

其中以 13開頭的“135924227”和“135954048”為名稱的文件夾，就是360云盤的為賬號，打開其中一個文件夾后，為賬號對應(yīng)的痕跡數(shù)據(jù)。圖4表示云盤賬號對應(yīng)的數(shù)據(jù)結(jié)構(gòu)。

圖4 360云盤賬號對應(yīng)的數(shù)據(jù)結(jié)構(gòu)

以用戶名為名稱的文件夾下的 filecache.db為 SQLite3數(shù)據(jù)庫，記錄著本地文件緩存記錄；history.dat為一個文本文件，其中記錄了文件傳輸記錄。調(diào)查者分析filecache.db和history.dat文件，就能分析出以此文件夾名為用戶名的用戶使用痕跡數(shù)據(jù)。

4.3 微云（騰訊）

微云[5]是騰訊公司為用戶精心打造的一項智能云服務(wù), 您可以通過微云方便地在手機和電腦之間，同步文件、推送照片和傳輸數(shù)據(jù)。

微云使用痕跡的取證分析，就需要了解應(yīng)用的結(jié)構(gòu)以及用戶數(shù)據(jù)在本地的保存方式。通過研究發(fā)現(xiàn)，微云的用戶數(shù)據(jù)保存在用戶目錄AppDataRomaingTencentWeiyunDisk下。圖 5表示微云的數(shù)據(jù)結(jié)構(gòu)。

圖5微云數(shù)據(jù)結(jié)構(gòu)

其中“**.rdb”文件記錄用戶的傳輸記錄，“**.dirsdb”文件記錄每個網(wǎng)盤目錄下存放的文件，文件名為用戶名。調(diào)查者分析這些文件，就能分析出以此文件夾名為用戶名的用戶使用痕跡信息。

5 結(jié)束語

云存儲取證科學是一個新興的研究領(lǐng)域。本文主要從技術(shù)角度入手，分析云存儲取證的范圍和一般方法。隨著云存儲技術(shù)的發(fā)展，云存儲取證勢必會在將來的云存儲犯罪調(diào)查方面有著重要的應(yīng)用前景。同時，云存儲取證的相關(guān)技術(shù)研究也將推動計算機領(lǐng)域的取證技術(shù)發(fā)展。

[1]李邐.淺析云計算背景下云存儲的優(yōu)勢與劣勢[J].計算機光盤軟件與應(yīng)用，2013.

[2]高運, 伏曉, 駱斌.云取證綜述[J].計算機應(yīng)用研究,2016.

[3]杜娟.百度網(wǎng)盤還能這樣用[J].電腦愛好者，2015.

[4]張文雯.360云盤三招妙用[J].電腦愛好者，2014.

[5]吉吉.利用騰訊微云輕松實現(xiàn)數(shù)據(jù)存儲與共享[J].電腦知識與技術(shù):經(jīng)驗技巧，2013.