基于网站的侵犯公民个人信息案电子数据取证*

黄学鹏 冷静

1. 湖北警官学院 2. 电子取证及可信计算湖北省协同创新中心

引言

近年来，侵犯公民个人信息的犯罪行为不断发生，甚至还与电信网络诈骗、敲诈勒索、绑架等犯罪联系在一起，对社会造成了严重的危害。

公安部深入开展打击整治网络违法犯罪净网专项行动，部署对侵犯公民个人信息犯罪，要坚决捣毁窃取、贩卖公民个人信息的公司、平台，坚决打击窃取、贩卖公民个人信息的企事业单位内部人员，坚决摧毁利用公民个人信息实施诈骗、盗窃、敲诈勒索等犯罪团伙组织体系。

对于此类案件电子数据的取证是一项重要工作。在一起侵犯公民个人信息案件的电子取证过程中，取证人员还原犯罪现场，提取并分析了电子证据，为有效打击此类犯罪提供了思路。

一、案情简要概况

某市公安局在办理一起电信诈骗案件中，犯罪嫌疑人交代用于诈骗的个人身份信息是从某域名网站购买得到。根据线索，办案民警在网站中输入自己姓名、身份证号，采用实名验证测试，按网站指引付款后，得到正确的验证结果，经多次测试，均得到正确认证。侦查确认该域名的网站存在售卖公民信息的犯罪行为。随后，办案民警刑事拘留了网站开办者沈某和杜某，并扣押了用于网站运行的三块服务器硬盘。犯罪嫌疑人交代，网站提供“身份证实名认证”和“身份证照片认证”非法有偿服务，为查清犯罪嫌疑人利用网站售卖公民信息非法获利的犯罪证据，对服务器硬盘数据进行了取证分析。

二、取证基本步骤

1. 将三块服务器硬盘分别编号为“1”、“2”、“3”，利用镜像工具制作出三块服务器硬盘的数据镜像。

2. 通过FTK分别读取分析三块服务器硬盘的镜像数据，初步确认php网站文件存放在编号为“1”的硬盘中，操作系统为linux，mysql数据库文件存放在编号为“2”的硬盘中，网站备份文件存放在编号为“3”的硬盘中。

3. 分析网站文件，判断文件的基本功能，发现“CheckBy51datalink”、“CheckByAliyun”、“CheckByHaodai”、“CheckByZhima”等重要文件，“AlipayApp”、“AlipayMobile”、“WeixinApp”等重要文件夹。

4. 读取数据库文件，从数据库结构、记录内容分析判断，“payment”和“hshd”两数据库为网站中用于公民身份信息查询的后台数据库。

5. 虚拟仿真，将编号为“1”、“ 2”的两块服务器硬盘镜像文件转换成vmdk格式文件，加载到VMware Workstation系统中运行，分析网站运行情况。

三、电子数据分析

（一）虚拟仿真模拟网站运行环境，测试网站基本功能

1. 以普通用户身份测试网站运行功能，可以查看到网站运行页面 “身份证实名认证”（如图1）、“身份证照片认证”（如图2）。经数据分析，证明网站具有身份证实名认证和身份证照片认证的功能。

输入测试数据“姓名：张三”、“身份证号：420989789654356789”，测试 “身份证实名认证”功能，弹出如图3页面，在页面中显示有“支付宝”、“微信”、“QQ钱包”等支付方式，应付“2.88元”字样。

以上网站页面运行与测试情况，反映网站不仅具有“身份证实名认证”和“身份证照片认证”功能的展示页面，而且能进行数据的交互输入，经检查数据库输入的测试数据进入到了数据库中。由于测试环境下无法实现支付方式的对接，支付功能无法通过虚拟仿真实现，且网站是否给出正确的身份认证功能不能通过测试实现，需通过程序代码和数据库的分析验证。在侦查阶段，办案民警输入了自己的姓名和身份证号，并按网站要求支付费用后，获得了正确的认证结果。

2. 以管理员身份进入网站后台管理页面，点击进入“订单来源统计列表”，在页面中输入“开始时间：2016-06-12 00:00”，结束时间“2017-05-22 01:06”，在页面上反映统计数据，从“2016-09-09至2017-05-19”期间，按天统计共有248条记录。导出所有记录，将248条记录的“总收入”求和，得到值为“499110.49”，总单数和为“130787”，页面截图如图4，从页面中可以发现与网站页面相对应的支付方式“支付宝手机”、“支付宝即时”、“微信支付”、“QQ支付”等。

点击“订单信息统计列表”，在页面中输入“开始时间：2016-06-12 00:00”，结束时间“2017-05-22 01:06”，如图5。在页面上作数据统计，从“2016-09-09 15:06:27至2017-05-19 13:32:00”期间，已支付完成的订单共有“130787单”，共计“499110.49元”，其中身份信息查询类已支付订单数为“121372单”，共计“352154.40元”。从页面中可以发现，订单的项目名称有“身份证实名认证”、“身份证照片认证”、“黄道吉日查询”、“观音灵签解签”等。

通过网站恢复，可以初步确定其具有身份信息收费认证功能，并通过后台统计出订单数和收费金额。

（二）读取网站文件，分析网站功能

从硬盘中获取“Check.php”文件，读取文件内容。从文件内容可知，该文件进行身份证查询判断检测，优先在本地已收录的“实名数据库”中查询，有命中记录，就返回一致结果，否则就从本地已收录的“非实名数据库”中查询，若未命中，则从远程接口（合作方）查验结果，查询成功，将结果保存至本地“实名数据库”，文件截图如图6。

从硬盘中获取“CheckBy51datalink”、“CheckByAliyun”、“CheckByHaodai”、“CheckByZhima”等文件，读取基本内容，分析文件代码基本功能，可以确定以上文件实现了网站从第三方合作方接口中查询身份证信息，合作方有“阿里云”、“风控好贷”、“芝麻信用”等，“CheckByZhima”文件代码截图如图7。

分析支付文件，发现“AlipayApp”、“AlipayMobile”、“WeixinApp”等文件夹及文件，其中在“WeixinApp”文件夹中有“Order”文件，文件内容截图如图8。

（三）分析在编号为“2”的检材硬盘中发现的payment和hshd数据库文件

1. payment数据库数据统计分析。payment库中存有t_order数据表，表中subject字段的取值为身份证实名验证、身份证实名认证、实名证件照识别、身份证实名认证高级版、身份证照片认证及其他信息。表中pay_source字段的取值分别为0,1,2,3,4,5,6,7,8。

（1）subject字段取值为身份证实名验证、身份证实名认证、实名证件照识别、身份证实名认证高级版或身份证照片认证时，记录数为1335534条，此数据为订单数，包含了未付款的订单。

（2）subject字段取值为身份证实名验证、身份证实名认证、实名证件照识别、身份证实名认证高级版或身份证照片认证，且pay_source字段的取值为非零时，记录数为121372条，此数据为已付款的订单数，与后台数据一致。

（3）subject字段取值为身份证实名验证、身份证实名认证、实名证件照识别、身份证实名认证高级版或身份证照片认证，且pay_source字段的取值为非零时，total_fee字段的值合计为352154.40，此数据为已付款金额数。

2. hshd库中t_idcard_0至t_idcard_99共100个表，表中共有记录数为16833038条，表示本地身份证数据为16833038条。

综上，网站代码、数据库数据反映了网站运行的基本情况，获取公民个人信息的来源、数量，售卖公民个人信息的数量和非法获利情况。

四、结语

基于网站的侵犯公民个人信息案是一类典型的网络犯罪，此类案件的电子证据取证过程从虚拟仿真、代码分析、数据库分析三方面进行。使用虚拟仿真的方法重建网络犯罪现场，模拟测试身份认证提交过程，从直观上反映非法获取公民身份信息的犯罪场景。分析测试网站程序代码，从功能上判断网站程序获取公民身份信息的来源、支付方式以及如何进行身份验证，证明网站如何实现有偿提供身份信息的工作机制。分析数据库表单，与程序代码结合验证网站功能，统计记录，通过数字证明非法所得和犯罪情节轻重。此案方法也可适用于其他网络犯罪案件，对于案件取证有较大的实践指导意义。