网络赌博案件中代理所用主机的电子数据取证特征分析

2015-12-19 08:12罗文华
中国刑警学院学报 2015年2期
关键词:关键字文件夹代理

高 杨 罗文华

(中国刑警学院 辽宁 沈阳 110035)

网络赌博案件中代理所用主机的电子数据取证特征分析

高 杨 罗文华

(中国刑警学院 辽宁 沈阳 110035)

为逃避打击,网络赌博网站不断更新建站技术,早期侧重于赌博网页收集的取证方法已无法获取到更有价值的证据和线索。以网络赌博案件中的“代理”角色为视角,从维管赌博网站、推介赌博网站、赌资交易及投注等方面,探讨代理所用主机的电子数据取证特征,并结合实例具体说明取证实践中的注意事项。

网络赌博 代理 远程桌面连接 网站推广 关键字搜索

1 引言

通常,从庄家到赌客会员之间的组织结构一般呈“金字塔”型,从上到下依次为庄家(或赌博公司)、股东、总代理、代理、会员等多个层次。庄家与股东往往并不直接参与赌博业务而且又多位于境外,很难现场收缴到其组织网络赌博的直接证据;会员则处于金字塔的最底层,一般只与代理单线联络,对打击网络赌博犯罪的意义相对较小;总代理与代理位于金字塔的中间位置,起到承上启下的作用,庄家利用其实现赌博网站的日常管理及维护,会员则通过代理获取赌博网站动态地址,实现赌博交易(或由代理代为实现)。因此,基于代理所用主机的电子数据取证对于打击网络赌博犯罪具有特殊且重要的现实意义。

2 代理所用主机的电子数据取证特征

2.1 管理维护赌博网站

作为代理,其主要日常工作之一就是进行赌博网站的管理与维护。为规避风险,同时也出于扩大影响的目的,同一代理往往会负责多个内容相似的赌博网站的维管工作。为吸引更多的赌客会员参与赌博,赌博网站制作得通常都非常美观,因此其主机中通常会安装有专门用于网页制作与编辑的工具,如Macromedia Dreamweaver或Adobe GoLive等,以及相关图片与HTML代码素材;或是通过商业网络公司购买的一整套网站构建素材。特别需要指出的是,一部分代理习惯于使用纯文本编辑器(如EltraEdit) 进行网页编辑(能够节省磁盘存储空间),这种情况下主机中储存的则为以文本文件格式存放的HTML代码。

准备好相关网站资源后,代理需要登录主机管理系统(如N点、开源团等) 进行网站设置管理操作。此类主机管理系统能够提供一整套的自动化傻瓜式管理服务,主要包括虚拟主机、主机系统参数、数据库常管理等功能,特别方便用户对其所有的服务器进行管理。图1所示即为“开源团”主机管理系统的登录界面。

图1 “开源团”主机管理系统的登录界面

赌博网站服务器配置完毕后,代理便会定期通过“远程桌面连接” (“开始”→“程序”→“通讯”→“远程桌面连接”) 方式登录至服务器(图2),开展更深层次的维管工作,如网页内容的更新与调整、数据库管理等。赌博网站服务器一般均设置在境外,基本无法做到现场勘查与收缴取证,但如果能使用远程桌面连接用户名与密码登录进服务器的话,即可获得赌博网站会员账户交易的下注时间、下注金额、输赢情况等详细信息,甚至能够梳理出会员与代理乃至更上层角色之间的具体关联,证据价值极其重大。

图2 “远程桌面连接”窗口

由于代理通常同时负责十几乃至数十个赌博网站的业务,涉及到的IP地址、端口号、用户名及密码的信息量较大,因此,其习惯于将网站配置及远程桌面连接所需的上述相关信息存放于电脑中。而对于这类信息文件的获取是针对代理使用主机进行电子数据取证工作的重中之重。由于文件的重要性,代理也往往会采用加密、伪装等方式增加文件内容解析的难度,实践中需通过密码破解、文件头校验等方式加以甄别剖析。除了“远程桌面连接”方式外,代理还可能通过FTP方式实现网站维管,此时其使用的FTP上传与下载工具(如LeapFTP,见图3)一般会记录有相应的IP地址、用户名或密码,此处信息同样需要及时获取并深入调查。

图3 使用LeapFTP维护赌博网站

2.2 推广宣传赌博网站

代理的另一重要任务是进行赌博网站宣传与推广,提高网站的访问率和知名度,以吸引更多的人参与其中,自己从中获得更多的提成。网站推广的手段之一就是建立联盟策略,实现同类赌博网站同盟,互为宣传,互为推广。在图4所示的网页截图中,“百家乐娱乐城”网站就为“皇冠娱乐城”、“皇冠现金网”、“新葡京娱乐城”、“维多利亚娱乐城”等多家网站进行推介。以这种方式进行推介的代理主机中,往往存储有大量其他赌博网站的信息,可以以此作为线索,扩大调查的深度与广度。

图4 某赌博网站为其他赌博网站进行广告宣传

另一种较为普遍的推介做法是通过增加外链以提高赌博网站在搜索引擎中的排名。所谓外链即指从其他网站导入到自身网站的链接。同时,鉴于导入链接的质量会更直接地决定网站在搜索引擎中的权重,代理更倾向于在正规或门户网站中植入链接。当然正规网站不会接受赌博网站的植入申请,因此,代理通常会利用托管服务器漏洞或是网络攻击技术将广告渗透进正规网站中。同时,代理还会定期对自己负责的网站的外链情况进行调查。取证实践中,发现有代理将需要查询的网站填写到文本文件中,再将其导入到名为“网站外链批量查询工具”的工具中(图5),运行后即可得到对应网址在Google、Baidu、Yahoo等重要搜索引擎中的外链数量。然后,代理可根据具体的数量信息决定针对哪些特定网站进行再推广。

图5 “网站外链批量查询工具”使用界面

还有一种可能就是代理会选择人气旺盛的网络平台(如天涯论坛) 或是拥有共同爱好的网络社区(如QQ麻将群),通过发布精品内容以吸引爱好者访问。此时除了留意发帖内容外,跟帖信息中往往也会隐藏重要的调查线索,值得特殊关注。

2.3 赌资交易与代理投注

网络赌博猖獗的主要原因之一就是赌资支付的电子化程度高、运转速度快。通常赌徒在赌博网站注册为会员之后,会将赌资打入指定的银行账户或是第三方支付平台(如支付宝) 中,购买电子化筹码进行赌博。代理则负责在多个金融机构开设账户,以实现赌博资金的电子化投注与转移。获取交易账户对于准确查明资金款项来龙去脉的现实意义十分巨大。为便于交易操作,代理往往会将其银行账户用户名、密码以及网银开机密码、网银登录密码(图6所示即为登录网上银行所需输入的常见信息)记录在Txt、Word或Excel文件中,实际工作中要特别注意此类文档的搜集。为快速访问支付账号,某些用户会把对应网址添加到浏览器的“收藏夹”中,其内容对应用户文件夹下的Favorites文件,也应给予足够重视。

图6 登录网上银行所需输入的常见信息

另外,代理还可能自行参赌或是为会员代理投注,这种情况下投注网页就可能残留在硬盘中(图7)。可以根据案情的实际要求,选择不同的关键字进行搜索。如着重关心下注金额,可将关键字设定为“下注金额”或“投注金额”;若要调查总代理或代理情况,则可将关键字配置成“可用额度”或“信用额度”;如果调查具体账户交易情况,可使用“账户”(或同类称呼) 或直接使用该账户名称作为关键字。需要指出的是,由于编码方式的不同,即使是同一关键字,其存储在计算机上的码值也会有所不同。赌博网站常用的编码格式有Unicode、BIG5、UTF-8及GB2312。QQ等聊天信息中也会透漏资金流向或投注交易内容,实践中应注意提取。

图7 代理为其会员进行投注

3 电子数据取证实例

2014年2月,内蒙古自治区某市公安局治安支队接居民张某报案称:在自家上互联网时发现一个赌博网站(www.pjXXXX.com,为保密起见,个别信息用X号替代或涂抹掩盖,下同),之后就在该网站进行注册并进行赌博,报案人称至今已经输掉十万余元。该市公安局对该网站进行侦查发现情况属实,并抓捕了张某的上线(该赌博网站在境内的代理之一) 王某,收缴了王某使用的联想笔记本电脑,送至中国刑警学院电子物证实验室进行检验。

取证人员在该笔记本电脑硬盘中,发现一名为“做域名”的文本文件(存放在Administrator用户的“桌面”文件夹下) 其部分内容信息如图8所示。

图8 “做域名”文件部分内容

使用用户名“admin”,密码“qaz12433wsXX”登录http∶//70.39.XXX.XXX∶8098/admin/,能够成功登录进“N点虚拟主机管理系统”,进行网站设置的管理操作。在“N点虚拟主机管理系统”中可以进行空间存放路径、服务器/IIS重启、主机参数、站点信息等相关设置,如图9所示。

图9 在“N点虚拟主机管理系统”进行网站配置

另外,使用该文件中出现的用户名“administrator”,密码“ai87mVotXXX”以远程桌面连接方式登录70.39.XXX.XXX∶9833,发现该服务器开放了80、9833端口,用于提供Web及远程桌面连接服务。同时,服务器内发布了“chuangfuXXXX”、“xiruiXXXX”、“zwjkXXXX”等多个网站(图10)。其中,“xiruiXXXX”网站域名为xiruiXXXX.c.c、xiruiXXX X.com、www.xiruXXXX.com,监听端口均为80。经检验,其所发布的网站均为赌博网站。

图10 远程服务器发布的网站

另外,在“桌面”文件夹下,还发现有一名为“灿”的文本文件(图11),该文件出现有支付宝账号、客户编号、登录名、密码、地址、工作电话、电子邮箱等信息,后经核实为其资金转移所用。

图11 文本文件“灿”的部分内容

图12 “有用的”文件夹下的子文件夹结构

在D盘中“有用的”文件夹(图12) 下则发现有大量可用于网站构建的素材文件,其中“词改”文件夹下包含有存放赌博网站介绍或赌博技术说明的文本文件,“搞站”文件夹下存放的是包含有赌博网站名称或网址的文本文件,“新建文件夹”下的discuz主页.txt含有赌博网站推介方面的html代码,“做站资料”和“新建文件夹(2)”文件夹中含有大量存放有赌博网站html代码的文本文件。

通过“取证大师”软件,设置多种格式的搜索关键字,如“下注”等(如图13),对磁盘空间(包括松弛空间) 进行以簇为单位的扫描(如图14所示)。编码格式的赌博投注网页残缺信息(图15),由此进一步确定了该代理与其下属会员之间的业务联系。

图13 设置多种格式的搜索关键字

最终在笔记本硬盘的松弛空间中发现大量UTF8

图14 设置关键字搜索的范围

图15 硬盘松弛空间中的赌博投注网页残缺信息

4 结束语

互动形式赌博网站 (主要采用视频或Flash技术)的普及使得磁盘残留信息大为减少,很难直接作为证据使用。但无论采用何种技术,赌博网站的运营还是无法缺失“代理”这一关键环节。针对代理所用主机进行电子数据取证的重要意义逐渐凸显。以往文献着重于说明如何利用数据恢复、数据搜索等技术实现赌博网页的挖掘,本文则基于代理的日常工作讨论了可能留存的数字形式的操作痕迹,更具现实意义。需要特别指出的是,针对代理使用主机的收缴与取证务必要及时,否则赌博网站服务器关闭之后,即使拥有用户名与密码,也无法获取到最为直接的网站实体与赌博交易信息。

[1]罗文华.从“10·7”案件看网络赌球案件电子数据取证实践[J].警察技术,2009,(7).

[2]商小平,张宁.关于侦查网络赌博犯罪案件证据体系的建立[J].辽宁警专学报,2009,(3).

[3]刘浩阳.网络赌博犯罪分析及证据固定方法[J].警察技术,2008,(9).

[4]谢杰.网络赌博犯罪中帮助收取赌资行为的司法认定[J].信息网络安全,2011,(10).

[5]何宏斌,李波阳.论网络赌博犯罪及其防治对策[J].云南警官学院学报,2011,(3).

[6]史存会,罗文华,林鸿飞.文本挖掘技术在互联网赌博案情分析中的应用[J].计算机工程与应用,2011,(28).

(责任编辑:孟凡骞)

D918.2

A

2095-7939(2015)02-0045-04

2014-11-06

公安部应用创新计划项目(编号:2014YYCXXJXY056)。

高杨(1981-),男,辽宁锦州人,中国刑警学院网络犯罪侦查系讲师,硕士,主要从事电子物证研究。

猜你喜欢
关键字文件夹代理
履职尽责求实效 真抓实干勇作为——十个关键字,盘点江苏统战的2021
Fast Folders,让你的文件夹四通八达
成功避开“关键字”
代理圣诞老人
摸清超标源头 大文件夹这样处理
调动右键 解决文件夹管理三大难题
不容忽视的空文件夹
108名特困生有了“代理妈妈”
胜似妈妈的代理家长
一个村有二十六位代理家长