百度网盘客户端取证研究

◆韦昊 陈宇琪 王一凡 吕世宇 姚上青 柯婕

（江苏警官学院计算机信息与网络安全系 江苏 210031）

在互联网技术快速发展背景下，网盘的使用量也在持续增加，云储存为人们提供了极大的便利，用户可以借助网盘客户端将文档、照片、视频、压缩包等包含信息的文件上传到网盘，以便于用户在不同地点以及设备上随时下载网盘文件。但同时也带来了一系列安全隐患，对数据信息安全产生巨大的威胁。很多网盘逐渐成为不法分子藏匿违法信息、传播非法文件的空间。2018年4月20-21日，习近平总书记在全国网络安全和信息化工作会议上指出：“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障”。所以在立法、侦查、取证等方面进行及时调整以应对网盘使用的乱象迫在眉睫，但现有的取证工具大多是面向单机数据而非是网络数据，针对网盘数据的取证难度相对较大，还需要进行相应的研究。本文以百度网盘客户端为例，对网盘数据取证方法进行分析。

1 百度网盘客户端取证的意义

网盘作为一种个性化的云存储空间，具有隐私性、便利性等特征，因此很多网盘用户都会将自身日常生活和工作当中的部分数据信息存入网盘。但是将个人数据存储入网盘也是一种“双刃剑”的行为。一方面，网盘文件存储类别极多，基本上可以覆盖如今市场上所有常见的文件形式和文件内容，为用户存储多类型的个人数据提供了更多便利性；但是另一方面，纷乱复杂的数据信息使得网盘监管难度增大，很多不法分子便会利用此特点来将诸多违法信息、非法文件藏匿在网盘中，为相关案件的证据收集带来了极大的不便。因此，当前的网盘安全监管市场亟须寻找一种网盘取证方法来提高网盘犯罪信息的获取效果[1]。

此外，结合当今实际情况来看，百度网盘在我国网盘市场中呈现出“一家独大”的特征，其他网盘虽然也占据一定的市场份额，但百度网盘却占据了国内网盘服务行业的主体地位。因此，很多不法分子也会利用百度网盘数据量大、用户复杂等特点，将违法信息、非法文件藏匿在百度网盘中，进而增加犯罪信息取证难度。针对此种情况，以百度网盘客户端为例，寻找一种可以有效获取百度网盘客户端中犯罪信息的方法，对于犯罪信息取证来说具有极为重要的意义。

2 百度网盘取证原理分析

目前，百度网盘在国内拥有非常庞大的使用群体，在信息数据存储上发挥着重要的作用，在研究中可通过一些技术手段查找痕迹，实现对数据的科学研判分析。

2.1 技术维度分析

（1）证据获取

通过与用户建立密切联系实现对各项数据的读取，这其中，IaaS模型主要应用于云计算方面，借助这类模型可以给予用户更多的权益，实现对数据的科学分析，灵活调整使用策略，最大程度地满足自身需求；另外，PaaS和SaaS模型则具有很强的约束性，单一的数据获取渠道使得用户获取信息的稳定性较差，需要云服务商的介入才可以实现对各项数据的获取，因此建立与服务商密切的联系是保证各项数据获取渠道稳定的基础，借助物理地址可以提供很好的保障，协助完成各项任务[2]。证据获取时还需要结合客户的需求以及各项任务目标研究，仅凭单一的物理机存储大量的数据信息是非常不安全的。所以，需要建立完善的数据保障机制，实现对审计日志的严格审查。

（2）证据分析

证据不稳定很容易造成证据缺失，这是必须解决的问题。云计算资源在分配的过程中不断变化，一旦用户没有资源需求，注销虚拟机，就会重新将已有的资源再次分配，分配后的数据将会覆盖原始数据。目前，资源分配过程中的方向、位置都是不确定的，并且很容易造成丢失，因此只有及时备份才可以避免数据丢失，保证各项数据的完整性和科学性。云取证的方式有很多，但是容易被篡改，数据的完整性和科学性得不到保证；数据的增加会使格式调整速度减缓，篡改的数据无法在第一时间被及时修正；时间分布的不完整以及形势的单一性，都会使得责任的划分存在较大难度[3]。因此需要协调好各方的关系，共同携手对系统进行管理，保证海量数据的科学分析，而这也是本文研究的重点和难点。

2.2 痕迹分析

用户在云存储器上保存数据时，虽然数据得到很好的保存，便于后续的操作，但是在实际的使用过程中还是会留下痕迹，这些痕迹会携带众多用户信息，可以作为后续研究的重要参考，例如用户名、用户ID、用户的操作记录等都可以在痕迹中被找到。借助用户端进行数据分析时，需要关注Web浏览器和客户端应用中残留下来的使用痕迹。Web的服务就是云存储的重要基础，这里需要及时对Internet历史有关的数据和信息进行调整分析，借助分析Web浏览器的日志文件的机会，及时对客户的各项信息进行完善，保证数据的完整性和真实性；同时，很多云服务器具备的功能都可以实现对数据的分析和保存，同样也会在使用的过程中残留下痕迹。利用对这些痕迹的分析就可以掌握客户各项操作的时间线。因此首先对云存储器上的残留痕迹展开分析，是实现对云存储器研究的重要基础，掌握用户重点关注的地方，提取有用的价值信息。

借助对云存储器痕迹分析的研究，这里使用如图1所示的方法实现对云存储器痕迹的追踪和研判。

图1 痕迹分析方法

（1）首先需要对云存储器进行客观的分析，查找对应的数据，掌握相关操作、了解方式方法。通常，用户的重要信息都会被存储在浏览器上，并且云存储器还可以作为重要的数据保存单元，确保数据的完整性和科学性，所以用户可以借助客户端实现对数据的科学分析。对于文件的操作方式多样，能够生成、保存、修改以及删除文件。

（2）云操作的方式都与每一种数据存储方式配对，也就是借助一种云存储方式就可以建立对应的案例测试，形成测试1至测试N。

（3）实现虚拟机环境的纯净，提高设备的分析效率。纯净虚拟机环境下的数据分析，具有高效、可靠、系统的性能。

（4）从测试1开始，建立在虚拟机砂锅的数据测试，结合实际的案例需求完成对测试结果的分析，这里在借助云操作的过程中，虚拟机的测试次数都为1。

然而，近年来国产陶瓷在国际市场上一直保持着数量上（我国日用陶瓷总产量约占世界总产量的65%～70%）的大国地位，但从总体水平上看是大而不强（出口日用陶瓷平均单件换汇仅为0.21 美元，远远低于世界平均单件出口价格1 美元以上的水平，为英国、日本的 1/7，法国的 1/3），与国际先进水平相比还有较大的差距。随着我国物质生活和文化生活的不断发展提高，人们对高档有品质的日用陶瓷产品的需求也大大地提高了，这无疑给我过日用陶瓷产品发展带来了新的发展空间和契机，同时也对我国日用陶瓷产品设计提出了新的挑战和更新更高的要求。

（5）检查（4）中在测试过程中全部被读写的数据信息（可以使用Process Monitor等工具完成对数据的检测和分析）。对数据的具体内容展开科学的研判，分析其内容的重要性，找出数据在存储阶段的误差以及需要完善的地方，假设文中没有出现相关的重要信息，就需要对内容进行完善的记录，依据其格式实现对内容的归类整理，掌握数据的价值。

（6）转至（3）按照上述步骤操作，指导所有的测试方案完成。

（7）在所有的测试方案完成之后，就需要对各项数据进行整合归纳，分析研判其特征属性。

百度网盘在我国的用户非常多，目前主要以两种方式来使用百度网盘，同时也是重要的信息存储方式，对于我国信息的存储发挥着重要的作用，一是使用浏览器对网盘中存储的内容进行访问，二是利用网盘的客户端实现对信息的查询检索。使用痕迹分析的方式完成Windows 7系统下数据的分析，依次使用Chrome浏览器对用户访问过程中留下的痕迹展开详细的检索和分析，并对结果作出科学的预判，完成数据分析，生成痕迹报告。这里研究过程中使用的主要是Chrome浏览器其版本为57.0.2978.110，百度网盘客户端的主体部分为v5.3.4.5。这里虽然在研究中对于百度信息的检索存在众多影响因素，但是其主要的痕迹分析可以实现，这里对于数据信息的检索就是在痕迹分析的基础上完成。

用户使用Chrome浏览器方式和客户端程序方式完成对百度云盘内部各项信息的完善和分析。能够得出，在Chrome浏览器历史记录文件中可以查找到各类历史浏览信息以及存储的文件数据内容，对于客户端的使用和研究发挥着重要的作用。除此之外，其他各类文件痕迹和信息都可以在这里被查找到，但是其主要的信息还是保存在网盘中，如cookie和账号密码等都是具有重要价值的信息。下面将对文件展开详细的分析研究。

百度网盘的客户端也被叫做百度云管家，客户端程序能够提升客户检索信息的效率，对于数据的整合和获取起到重要的作用，并且客户端也是下载大文件的重要依据和载体。用户利用密码和账号就可以实现对系统的登录，在操作上具有极大的便利性。研究得出，用户在安装百度云管家时，会留下相关的痕迹，这一点在百度网盘上可以被有效地检索，并在相应的文件上展开研究分析。百度云管家账号内部保存着重要的信息文件，这也是值得重点关注的地方。

百度云管家云心阶段就会对登录的信息和账号进行保存，并且用户可以依据自己的需求选择是否对信息进行保留，以便下次可以自动登录，百度云管家还会对信息数据进行备份保存在本地文件中。一般数据信息保存的地址为”＼BaiduYunGuanjia＼users＼temp.data”文件，使用UltraEdit打开temp.data文件，temp.data文件中存放的内容都是加密的，用户必须经过百度云管家的授权才可以提取temp.data文件中存储的重要信息。

3 百度网盘客户端取证方法

（1）根据GB/T 29362-2012和GA/T 756-2008中的要求，通过计算机杀毒软件对电子物证检验工作站系统进行病毒查杀，保证工作站系统不会存在病毒，避免对后续操作造成干扰[2]。其次，通过满足上述文件要求的电子数据存储介质复制工具来对待检测计算机数据存储介质中的数据信息进行全面复制。再次，将研究所使用的实验机硬盘制作成为镜像文件，并记录制作完成后镜像文件的哈希值。最后，将具备写入保护功能的待检测计算机按照上述标准中的要求通过只读的方式与电子物证检验工作站相连。

（2）在Windows 7/10操作系统环境下，先对百度网盘的默认保存路径如今进行查询，若是无法查询到百度网盘的默认保存路径，则代表着相关使用者使用了自定义保存路径，此种情况便需要工作人员在电子物证检验工作站中使用FTK、Encase等快速搜索工具，以“BaiduNetdisk”或者“BaiduYunGuanjia”为关键词对百度网盘客户端的保存路径进行查询搜索。在找到保存路径位置后，打开路径中的“User”文件夹，此文件夹中所保存的由数字与字母混合命名的文件夹就是待检测计算机中百度网盘登录后所形成的账户名，只不过这些百度网盘为确保用户的隐私安全，相关账户名已经被加密[3]。右键点击其中某一个文件夹，点击属性，将可以看到此文件夹的创建时间，该时间便是此用户名的首次登录时间。

（3）在百度网盘客户端用户名保存路径（BaiduNetdisk文件夹下）中双击某一文件夹后，可以发现文件夹下存在一个非系统自动命名的文件夹，此文件夹就是百度网盘的账号文件夹，文件夹的命名便是百度网盘客户端用户的账户名。此文件夹是用户在通过百度网盘客户端登录网盘后，客户端自行生成的。

（4）百度网盘客户端用户名保存路径中还存在命名为“BaiduYunCacheFileV0”和“BaiduYunGuanjia”的文件，工作人员需要通过电子物证检验工作站中的Navicat Premium工具对两种文件进行快速检验分析。由于百度网盘所提供的用户群体极为庞大，并且不同用户所采用的操作系统也将会存在一定区别，所以百度网盘通常需要进行跨操作系统提供服务，因此，其所采用的存储机制为通用性更强的SQLlite存储机制。SQLliet作为一种轻型数据库，其具有占用资源少，能够支持Windows、Linux、Unix等主流操作系统，可以与多种程序语言相结合等优点，促使其不仅在百度网盘中得到广泛应用，而且还促使百度网盘的运行速度得到有效提升。

通过电子物证检验工作站中的工具打开“BaiduYunCacheFileV0”文件，并进行分析，之后可以发现文件中蕴含“cache_file”和“version”两种表，其中“cache_file”表中存有此账户百度网盘客户端的文件夹信息列表，相关文件在百度网盘中的存储路径、文件唯一标识、文件访问时间、文件在百度网盘服务器中的文件名，文件的md5值均可以通过工具进行获取和导出。其中，md5的值主要用于检验计算机中文件名与百度网盘服务器中文件名的一致性；而文件访问时间则可以通过查看文件夹的最后访问时间获取。

通过工具打开“BaiduYunGuanjia”文件，可以发现文件夹内存在着5个表，不同的表在百度网盘客户端中多发挥出的功能也不尽相同，其中“download_history_file”表可以显示此账号在百度网盘客户端中下载过的文件列表、文件大小、下载起止时间等信息。“upload_history_file”表则可以显示此账号在百度网盘客户端上传过的文件列表、文件大小、下载起止时间等信息[4]。

（5）通过Navicat Premium工具将上述文件信息进行全部导出，并复制到Excel表格中，保存表格文件，计算表格文件的哈希值。

用户操作的过程中，客户端和服务器会相互传输数据，确保信息完整有效符合客观使用环境（如图2）。

图2 客户端和服务器交互图

通过以上百度网盘客户端取证方法，将可以直接获取犯罪嫌疑人通过百度网盘客户端上传、下载过程的文件信息，进而以此为基础，在百度网盘相关单位的配合下，快速获取相关文件内容，以此来实现百度网盘客户端取证效果。

4 结论

综上所述，随着信息技术的不断发展和普及，网盘作为一种云端存储工具，其已经被越来越多的用户所接受，并为用户提供了更多的便利。然而，如今很多不法分子利用网盘的特点，在网盘中存储各种不法信息，为相关案件的取证带来了极大的难度。针对此种情况，本文以百度网盘客户端为例，提出了一种百度网盘客户端取证方法，并通过实践表明，此种方法可以有效获取百度网盘客户端用户的上传、下载文件信息，进而为网盘信息取证提供重要参考，值得进行普及和应用。同时建立完善的监管机制，此外健全安全机制也是极为重要。