數碼復印機電子取證系統的設計與實現

劉鐵銘 張媛媛 薛兵 張有為

（1.戰略支援部隊信息工程大學 河南省鄭州市 450000 2.32738 部隊 河南省鄭州市 450000）

（3.鄭州信大先進技術研究院 河南省鄭州市 450000）

1 引言

隨著現代信息技術的快速發展和信息化社會的不斷進步，數碼復印機已成為信息化辦公的標準設備。為滿足用戶不同場景的眾多需求，數碼復印機集成了越來越多的功能，為實現更多功能的拓展，數碼復印機往往配備存儲硬盤、網絡接口等模塊。數碼復印機在方便用戶的同時，安全風險問題隨之而來。近些年數碼復印機因使用監管不當造成的數據泄露案件已屢見不鮮，這給我國信息安全工作帶來巨大的挑戰。目前我國針對數碼復印機的電子取證技術研究還很薄弱，缺乏行之有效的取證技術和方法。數碼復印機電子取證系統能夠對數碼復印機中存儲的圖像數據和系統操作日志進行恢復取證，為公檢法紀檢監察等各級機構偵辦案件提供有力支持。

電子數據取證是采取技術手段，獲取分析、固定電子數據作為認定事實的科學。數碼復印機在進行復印、傳真、掃描等操作時，與之對應的圖像數據會存儲至數碼復印機存儲硬盤中。數碼復印機電子取證系統主要是對數碼復印機中圖像數據進行恢復取證。針對復印機電子取證系統的功能要求，基于模塊化的設計思想，給出了數碼復印機電子取證系統的功能方案設計，研究了數碼復印機圖像數據恢復提取關鍵技術，提出了基于數據庫管理系統的數據管理方案，并基于.NET 開發平臺實現了數碼復印機電子取證系統開發。通過實驗驗證分析數碼復印機電子取證系統性能穩定，在實際應用中取得良好的效果。

2 數碼復印機電子取證系統工作原理及功能分析

數碼復印機電子取證系統的工作原理為：數碼復印機電子取證系統通過友好的交互環境實現底層功能的透明化，由交互界面根據用戶的任務配置參數通過控制耦合模式驅動中央控制控制器實現數碼復印機中圖像數據的恢復提取，并將數據信息存儲在中央數據庫中，同時，中央控制器將恢復提取的圖像數據以合適方式顯示，方便人機交互。

圖1：數碼復印機電子取證系統整體結構

圖2：數碼復印機在線模式交互

圖3：數碼復印機在線數據獲取

數碼復印機電子系統采用模塊化設計，主要有數據提取模塊、人機交互模塊、數據管理模塊、數據分析模塊組成，系統的整體結構示意圖如圖1所示。人機交互模塊封裝了所有人機交互及輸入輸出的功能，其中包括系統登錄、任務創建、數據提取、數據分析、報告導出等核心功能。數據提取模塊分為在線模式和離線模式，在線模式下系統通過該網絡端口直接訪問工作狀態下的數碼復印機進行數據讀取，離線模式下需要將數碼復印機進行停機操作并拆卸數碼復印機存儲硬盤，系統通過只讀設備對存儲硬盤進行數據恢復提取。

圖4：初始化數據結構

圖5：文件系統掃描

圖6：數據庫結構

圖7：數據取證流程

3 數碼復印機電子取證系統功能實現

3.1 基于網絡協議解析的在線數據獲取

為了便于用戶和管理員進行操作和管理維護，絕大部分的數碼復印機都支持以Web 方式進行遠程訪問，只需要在同一局域網內訪問數碼復印機對應的IP，就可以登錄數碼復印機的Web 系統，此Web 系統提供眾多接口，包括數碼復印機存儲的圖像、系統操作日志等用戶數據。

圖8：實驗測量裝置

網絡協議解析是指通過程序分析網絡數據包的包頭及其負載，從而了解網絡數據包在產生和傳輸過程中的行為。該文提出采用基于Wireshark 的網絡協議解析方式獲取與數碼復印機交互的具體命令及其參數，分析發現系統主要采用HTTP/HTTPS 協議，默認端口為80 端口，基于請求-響應模式。在模擬操作人員與該系統進行交互時，利用Wireshark 獲取數據包，可以得出操作人員主要通過GET/POST 兩種方式向數碼復印機web 系統發起請求，由Web系統解析后返回響應數據包。如圖2所示。

可以通過網絡爬蟲的方法自動獲取用戶數據和數碼復印機數據信息。通過研究調研，盡管數碼復印機品牌和型號繁雜但是數碼復印機存儲數據所在URL 地址有規律可循。網絡爬蟲方案首先根據不同的數碼復印機品牌進行分類，同一品牌下的不同型號數碼復印機進行細化。如圖3所示。

考慮到數據獲取的時效性問題，網絡爬蟲方案并沒有對數碼復印機Web 系統的全量URL 地址進行掃描和逐級爬取，而是采用人工分析的方法，對數碼復印機的圖像數據所在的URL 地址進行歸納和整理，建立了一個URL 地址特征庫。對數碼復印機相對應的URL 地址發送請求，基于Wireshark 獲取請求和響應數據包，分析其請求頭、請求方式、請求攜帶數據包以及響應數據格式。最后通過網絡爬蟲方式模擬整個請求-響應過程，從而自動得到數碼復印機存儲的數據內容。

3.2 基于逆向分析的離線數據獲取

不同品牌不同型號的數碼復印機在文件系統的選取設計和存儲數據的壓縮方式上都不盡相同。因此，需要對數碼復印機逐一進行文件管理系統和存儲數據格式進行逆向分析，為存儲數據的正確恢復提供基礎。

3.2.1 文件系統解析

經過分析研究數碼復印機存儲硬盤采用的文件管理系統常見的有FAT、EXT、UFS、XFS 等格式。文件管理系統類型確定后，對其數據存儲結構和存儲方法進行解析。將數碼復印機存儲硬盤清零，掛載系統后進行數據存儲測試，在存儲硬盤分區內尋找發生變化的文件夾，即是數據的存儲位置。

表1：實驗結果

自動化的獲取數據文件主要分為三個過程：系統初始化、文件系統解析和數據提取。

（1）系統初始化。通過scan_system()函數獲取已連接的物理設備數量，初始化數據結構，獲取物理設備路徑并掃描當前物理設備上的所有分區。如圖4所示。

（2）文件系統掃描。打開目標設備，通過scan_partitions()函數讀取0 號扇區開始，大小為1 個扇區的MBR 信息，獲取MBR扇區內第i 號分區表項，讀取其基本信息。如圖5所示。

（3）數據提取。通過find_file()函數遍歷分區，確定需要進行操作的分區（重要數據存儲區域），獲取當前分區根目錄逐級遍歷當前路徑下所有目錄和文件，發現匹配的目錄逐級匹配文件或目錄名，進行文件提取。

3.2.2 文件特征匹配

數碼復印機的文件管理系統部分采用的是異構文件系統。對于文件管理系統未知的數碼復印機我們提出采用基于文件特征的數據恢復提取算法。基于文件特征的數據恢復提取算法是利用文件特征與磁盤分區深度掃描相結合的方法。

根據文件的文件頭特征信息和文件尾特征信息對數碼復印機存儲硬盤進行逐字節掃描，為了提高搜索的效率，我們以扇區為單位進行搜索。在掃描過程中首先對每個扇區的頭部信息進行目標文件頭特征信息匹配，如果某一扇區頭部信息匹配到文件頭特征信息，這就確定了該文件的起始位置。同理根據文件尾特征信息進行搜索匹配確定文件結束位置。將開始位置與結束位置之間的數據信息進行截取即是一個完整的數據文件。

3.3 數據庫管理

數碼復印機電子取證系統工作過程中，需要對數碼復印機存儲硬盤進行不斷的數據信息讀取、寫入和處理。基于文件管理系統進行數據存儲，優點在于數據可以長期保存，用戶可以按文件名訪問，按記錄進行存取。缺點在于需要消耗大量的I/O，這樣會造成數據的冗余度大，數據的共享性和獨立性變差。應用數據庫管理系統可以實現數據的結構化，這樣就可以很好地解決基于文件管理系統進行數據管理出現的問題。數據庫文件和應用程序相互獨立，通過事務調度和并發控制，可以有效地對數據庫文件進行讀寫、查詢，實現數據的共享。同時借助于數據庫管理系統提供的數據有效性性保護、完整性檢查等安全機制，可以確保數碼復印機電子取證系統具有優良的性能。

圖9：數碼復印機電子取證系統

數碼復印機電子取證系統是一種用于檢查取證系統，對數據的有效性和完整性、系統的讀寫速度要求較高，該文提出應用SQLite數據庫構建一個微型數據庫管理系統進行數據管理的技術方案。基于SQLite 數據庫構建的數碼復印機電子取證系統數據庫結構如圖6所示。

3.4 數據取證實現

程序編寫基于Visual Studio2019 開發平臺，C#為其編程語言。如圖7，數據取證實現過程有：

（1）任務創建。選擇要取證的數碼復印機的品牌和型號，創建工作目錄，用于存取數碼復印機電子取證系統恢復提取到的數據文件。

（2）數據瀏覽。執行數據提取任務結束后，對恢復提取的圖像數據以大圖標形式或者列表形式展現，展現每張圖像數據的大小尺寸、分辨率、創建時間等屬性信息，方便分析取證。

（3）哈希校驗。系統會對恢復提取的每一張圖像數據進行哈希值的計算，確保固定數據的唯一性，便于后期的傳輸。

（4）數據導出。任務執行結束后，系統生成此次任務的取證分析報告，還支持對提取的數據進行打包壓縮并進行哈希校驗便于傳輸。

4 實驗驗證與結果分析

圖10：取證結果

研究的數碼復印機電子取證系統可以實現數碼復印機的圖像數據信息恢復提取和取證功能。圖8所示為恢復取證東芝2555C 型號復印機的實驗裝置，包括數碼復印機、存儲硬盤及連接裝置。圖9為數碼復印機電子取證系統主界面，主界面中有案件中心、添加證據、數據瀏覽、數據分析和報告導出五個主按鍵。

案件中心可以管理所有的案件；添加證據主要設定復印機名稱、單位名稱、復印機品牌、型號等基本信息；數據瀏覽提供恢復提取數據展現、數據導出等功能。典型界面如圖10所示。

利用數碼復印機電子取證系統對東芝品牌4 款型號數碼復印機進行測試分析，現對東芝2000Ac、東芝2555c、東芝3040c、東芝3055c 共計4 款型號數碼復印機分別掃描存儲100 張樣本文件，記錄測試結果，如表1所示。

數碼復印機電子取證系統可視化界面簡潔、易操作，大大提高了人機交互的便利性，按照取證流程逐步操作即可。測試結果表明數碼復印機電子取證系統可以有效滿足取證過程中數據恢復提取和數碼復印機數據取證的功能要求。

5 結語

針對數碼復印機取證難的技術問題，該文給出了數碼復印機電子取證系統的設計架構，研究了數據取證的關鍵技術，如網絡協議解析、文件系統解析、文件特征匹配。研究了數碼復印機電子取證系統的實現技術，并進行實驗驗證。

實驗結果證明研制的數碼復印機電子取證系統性能優異，能夠有效對數碼復印機中存儲的數據信息進行有效恢復取證，該系統的研究為數碼復印機取證工作提供有力支持，對我國的信息安全工作具有重大意義。