本次比武命题本着“面向实战、服务实战、融入实战”原则,集中考核市场监管执法现场检查流程及规范操作、文书制作,市场监管领域计算机取证、手机取证、数据恢复技术、数据关联分析技术应用等内容。比武突出知识产权保护领域案件的现场执法和证据分析,设置了现场勘察取证、市场监管和电子数据取证法律法规理论考核、个人数据分析赛、团体数据分析赛等四个比武环节。
01
现场勘察考题复盘解析
现场勘察取证以一起笔者实际经办过的知识产权保护案真实现场为素材。现场检查背景说明及比武要求如下:
案件背景:“A市市场监督管理局接到B公司举报称,A市翱翔汽车科技有限公司窃取了其汽车设计专利,涉及无钥匙进入系统(PEPS)、遥控中控系统核心源代码等多项知识产权。A市市场监督管理局经核查立案后,组织执法人员对翱翔公司进行了现场检查。作为本案执法人员,请你们在限定时间内对翱翔科技有限公司进行现场检查,获取本案必要证据。”
命题组要求参赛选手使用自己准备的电子数据现勘取证设备,在1个半小时时间限定内完成现场勘察。
命题组布置了计算机环境和周边办公环境两个现场勘验环境。周边办公环境主要考核项目为现场计算机、光盘、文件记录和获取。计算机环境主要考核项目为易丢失数据提取固定和涉案文件提取。
经过评卷,30支队伍现勘取证主要失分点集中在“发现FTP服务器客户端”、“提取FTP服务器文件”两个部分,“发现加密容器并做镜像”这一部分也失分较多。令人意外的是,参赛队伍中仅福建队发现了现场计算机安装的FTP客户端并进行取证。而在这起真实发生的案例中,当事人确实是将所有侵权源代码都保存在FTP服务器中,如果第一现场未能及时进行提取,当事人可随时对服务器进行远程数据删除处理。因此,对服务器数据取证与否对本案起到了至关重要的作用。
02
个人赛案例分析考题复盘解析
个人赛案例分析环节主要考察的是个人运用取证软件对涉案检材进行快速数据分析的能力,侧重考核计算机基本信息提取技术、计算机系统痕迹分析提取技术、手机备份相关数据提取技术、关键词检索技术等。命题组要求考生在2小时内对涉案当事人于某办公电脑镜像文件和办公手机备份文件进行分析,总共设置了20道分析题,60名队员参与此次比武考核。
部分考题解析如下:
1.通过对于某笔记本电脑镜像文件进行分析,该镜像中操作系统分区的设备序列号。
考察能力:计算机基本信息提取
解题步骤:①通过取证软件自动取证分析;②在“证据文件”视图中,根据操作系统文件特征,选择操作系统分区F;③在“摘要”中查看设备序列号。
准确率:36.67%,22名参赛队员完成解题
5.通过对于某笔记本电脑镜像文件进行分析,用户在该系统中曾经生成过iTunes备份,请写出备份手机的序列号。
考察能力:手机备份相关数据提取
解题步骤:①通过取证软件自动取证分析;②在取证结果文件分析中的“手机备份及相关数据”查看序列号。
准确率:91.67%,55名参赛队员完成解题
7.通过对于某笔记本电脑镜像文件进行分析,获取连接名:Yu-wifi的无线账号密码。
考察能力:计算机网络连接信息提取
解题步骤:①通过取证软件自动取证分析,取证结果中发现提取密码/密钥检索信息;②在无线账号中提取连接的密码。
准确率:91.67%,55名参赛队员完成解题
9.通过对于某笔记本电脑的分析,提取其最后访问的Excel表格文件,请写出其文件名。
考察能力:计算机用户痕迹分析提取
解题步骤:①通过取证软件自动取证分析;②在取证结果用户痕迹中的“最近访问的文档”查看文件名;
准确率:53.33%,32名参赛队员完成解题
10.通过对于某笔记本电脑的分析,获取于某关系人“李X光”的手机号码。
考察能力:关键词检索技术
解题步骤:①通过取证软件设置关键词“李X光”,并进行全盘检索;②在命中结果中查看其手机号。
准确率:11.67%,7名参赛队员完成解题
11.通过对于某笔记本电脑的分析,获取用户上传到百度网盘的文件APK08.rar。
考察能力:云客户端程序解析
解题步骤:①通过取证软件自动取证分析;②在云存储客户端的上传文件记录中查看文件大小。
准确率:88.33%,53名参赛队员完成解题
12.通过对于某笔记本电脑中PNG格式图片进行数据恢复,请写出物理扇区为68362986的图片文件。
考察能力:文件签名恢复、文件属性分析
解题步骤:①通过取证软件对检材未分配簇进行PNG图片的签名恢复;②在签名恢复结果中,找到起始物理扇区第68362986位置的图片;③查看该图片文件的逻辑大小。
准确率:41.67%,25名参赛队员完成解题
13.通过对于某笔记本电脑的分析,获取“3255.xlsx”文件。
考察能力:Bitlocker分区解密、文件过滤、内容检索
解题步骤:①通过设置Bitlocker恢复密钥相关关键词或密钥正则表达式,在未分配簇中提取到Bitlocker恢复密钥;②用Bitlocker恢复密钥解密E分区;③通过文件过滤模块快速找到“3255.xlsx”文件。
准确率:13.33%,8名参赛队员完成解题
19.通过对于某iTunes备份进行分析,获取文哥银行卡号信息。
考察能力:手机备份文件提取分析
解题步骤:①通过取证软件自动取证分析;②在取证结果文件分析中的“手机备份及相关数据”,找到备份记录,右键选择跳转到源文件,导出iTunes备份文件目录;③通过手机大师分析该备份文件,在取证结果的备忘录中查看。
准确率:48.33%,29名参赛队员完成解题
20.通过对于某笔记本电脑的分析,确认于某通过航拍设备并进行微处理的图片。
考察能力:加密容器解析
解题步骤:①通过取证软件自动取证分析;②在取证结果的加密文件中找到“PrvDisks.cmt”;③结合文档访问痕迹,在文档“TC密码.txt”提取加密容器的密码;③用Truecrypt工具加载该加密容器,得到答案。
准确率:5%,3名参赛队员完成解题
本次个人赛案例分析考题部分设置的20道考题均被参赛选手解出,大部分选手完成率在60%左右,主要失分点集中在计算机文件系统分析、关键词检索、文件解密、加密容器解析等考核要点。
03
团队赛考题复盘解析
团体赛采用与现场勘察同一起知识产权保护案件为素材。案件背景说明及相关要求如下:
A市市场监督管理局接到B公司举报称,A市翱翔汽车科技有限公司(以下简称翱翔公司)窃取了其汽车设计专利,涉及无钥匙进入系统(PEPS)、遥控中控系统核心源代码等多项知识产权。A市市场监督管理局经立案,对翱翔公司进行了现场检查,获取了翱翔公司法定代表人张洋用于日常经营的计算机数据(使用硬盘镜像复制技术制作成“张洋办公计算机.E01”,编号:检材1)、U盘数据(张洋办公U盘.dd,编号:检材2)及手机数据(张洋办公手机.dd,编号:检材3)。结合现场检查询问,执法人员初步判定B公司知识产权是由“内鬼”李明德发送给当事人翱翔公司法定代表人张洋使用。后张洋交给翱翔公司技术工程师李竞进行修改,并交由华德公司等客户使用并获取高额报酬。
命题组要求每支队伍派出2名选手通力协作,在4小时内对上述电子数据进行分析并获取涉案相关证据。共30支队伍进行比武。
部分考题解析如下:
1、通过对检材1的分析,提取“翱翔张洋名片.ppt”文件。
考察能力:文件过滤
解题步骤:①通过取证软件文件过滤功能,快速查找“翱翔张洋名片.ppt”;②勾选命中的文件,右键选择“哈希计算当前文件”。
准确率:96.67%,29个参赛队完成解题
2、通过对检材1的分析,提取名称为“遥控中控产品开发合作合同” 的文件,文件中“开发费用金额(含税)”为多少万人民币。
考察能力:Bitlocker分区解密、文件过滤、内容检索
解题步骤:①通过取证软件自动取证分析,取证结果中发现提取Bitlocker恢复密钥;②用Bitlocker恢复密钥解密E分区;③通过文件过滤模块快速找到“遥控中控产品开发合作合同docx”文件;④在合同文档中预览获取“开发费用金额(含税)”。
准确率:93.33%,28个参赛队完成解题
6、通过对检材1的分析,提取张洋最后一次访问的压缩文档,写出该文档名称。
考察能力:计算机用户痕迹解析提取
解题步骤:①通过取证软件自动取证分析,取证结果中发现提取最近访问文档记录;②在结果中对“最近访问时间”进行排序;③获取最后一次访问的压缩文档;
准确率:60%,18个参赛队完成解题
8、通过对检材1的分析,提取张洋邮箱账号对应的密码。
考察能力:Bitlocker分区解密、电子邮件解析提取
解题步骤:①通过取证软件自动取证分析,取证结果中发现提取Bitlocker恢复密钥文件;②用Bitlocker恢复密钥解密E分区;③取证软件自动取证解析电子邮件内容;④在菜单栏“工具”-“密码字典”中查看结果;
准确率:53.33%,16个参赛队完成解题
10、通过对检材1的分析,提取绑定手机号为1785***8390对应的微信ID号。
考察能力:计算机即时通讯解析提取
解题步骤:①通过取证软件自动取证分析,取证结果中发现提取即时通讯信息;②找到微信记录查看结果;
准确率:96.67%,29个参赛队完成解题
13、通过对检材1的分析,提取张洋百度云盘的登录密码。
考察能力:计算机登录密码提取、EFS文件解密 、文件过滤
解题步骤:①通过解析手机镜像文件,获取备忘录中记录的计算机登录密码;②在“证据文件”视图中,右键计算机检材,选择“EFS密钥解密”,输入计算机登录密码;③文件过滤出所有EFS加密文件;④查看结果;
准确率:26.67%,8个参赛队完成解题
14、通过对检材1的分析,提取张洋计算机的Administrator用户的系统登录密码。
考察能力:计算机登录密码提取、系统仿真技术
解题步骤:①通过解析手机镜像文件,获取备忘录中记录的计算机登录密码;②仿真系统模拟登录计算机系统,验证登录密码;
准确率:86.67%,26个参赛队完成解题
15、通过对检材1的分析,提取张洋经常通过某软件远程访问的服务器站点列表,写出记录有“网站服务器”站点的IP地址。
考察能力:仿真技术、计算机程序应用解析
解题步骤:①仿真系统模拟登录计算机系统;②打开桌面FTP连接客户端;③查看ChinaFTP客户端连接结果;
准确率:16.67%,5个参赛队完成解题
16、通过对检材1的分析,提取张洋的银行卡账号。
考察能力:仿真技术、便签信息查看
解题步骤:①仿真系统模拟登录计算机系统;②桌面便签查看结果;
准确率:33.33%,10个参赛队完成解题
17、通过对检材1的分析,提取张洋在bbs.xmfish.com网站注册账号对应的密码。
考察能力:仿真技术、浏览器保存的密码提取
解题步骤:①仿真系统模拟登录计算机系统,需要用密码登录;②打开谷歌浏览器,在“设置—密码”中,找到浏览bbs.xmfish.com网站记录,通过再次输入登录密码查看密码;
准确率:6.67%,仅2个参赛队完成解题,福建队和山东队
18、通过对检材1的分析,提取张洋记录的2019年总收入金额多少万?
考察能力:加密文档解析
解题步骤:①通过取证软件自动取证分析,取证结果中发现加密文件“收入明细.xls”;②通过工具解析该文件,获取密码10080;③查看结果;
准确率:3.33%,仅1个参赛队完成解题,山西队
20、通过对检材1的分析,提取张洋计算机中被删除的电子邮件。
考察能力:电子邮件恢复技术、文件完整性校验
解题步骤:①通过取证软件签名恢复模块进行原始电子邮件恢复,注意默认恢复的文件大小是否满足附件大小的需求;②在恢复的邮件中导出压缩包附件,尝试是否能够正常解压,确保附件完整导出。
准确率:10%,仅3个参赛队完成解题,湖北队、云南队、江苏队
21、通过对检材1的分析,提取张洋计算机D:/Files/文件夹中的一张损坏的图片,请技术修复该图片,并写出图片中所显示的年份信息。
考察能力:图片修复技术
解题步骤:①通过取证软件在D盘对应目录中找到损坏的图片“硬件图.JPG”,并导出到本地;②利用Winhex软件查看图片的十六进制值,并与一张正常的JPG图片进行对比;③手工在Winhex环境下补全图片的头部信息,保存好;④在Windows中打开修复好的图片,读取具体时间信息;
准确率:23.33%,7个参赛队完成解题
22、通过对检材1的分析,提取 “开发费用报价.xls” 重要文件。
考察能力:加密容器解密
解题步骤:①通过取证软件提取加密文件“New Container.jbc” ②在手机镜像文件中提取音频文件,获取加密容器密码;③用BestCrypt软件加载加密文件“New Container.jbc”,输入密码打开加密容器;④找到“开发费用报价.xls”文件;
准确率:0%,无参赛队完成解题
23、通过对检材1的分析,提取张洋删除的关于“昌辉汽电PEPS项目介绍”的PPT文档(位于分区2),请恢复该文件,文件中“设计金额”为多少万。
考察能力:文档恢复技术
解题步骤:①通过取证软件对分区2进行PPT文档的签名恢复;②在恢复的结果中进行查看,找到PPT格式的文档;③翻阅PPT文档,找到设计金额的具体数据;
准确率:60%,18个参赛队完成解题
24、通过对检材1的分析,提取张洋手机通讯录中“李竞”手机号码。
考察能力:通讯录备份取证技术
解题步骤:①通过取证软件对计算机镜像进行解析,发现提取VCF文件;②利用VCF查看工具读取联系人信息,查找“李竞”的手机号码;
准确率:3.33%,仅1个参赛队完成解题,江西队
29、通过对检材1的分析,提取邮件中李竞修改并发送给张洋的源代码文件,比对李明德提供给张洋的原始源代码文件,发现李竞总共修改了几行源代码。
考察能力:电子邮件解析技术、文件比对分析技术
解题步骤:①通过取证软件进行邮件解析,分别提取原始源代码及修改后的代码文件;②安装文本比对工具(如Beyond Compare);③将待分析比对的文件加载到比对工具中,快速比对出被修改的源代码行数;
准确率:43.33%,13个参赛队完成解题
36、通过对检材3的分析,提取张洋计算机硬盘中的加密容器的密码。
考察能力:手机综合取证分析技术
解题步骤:①通过手机取证软件对手机检材进行自动取证分析;②在音频文件中提取到加密容器的密码;
准确率:3.33%,仅1个参赛队完成解题,甘肃队
40、通过对检材3的分析,提取张洋记事本类APP中提到的甲方华德陈总联系方式。
考察能力:手机APP手工解析
解题步骤:①通过手机取证软件对手机检材进行自动取证分析;②在文件列表中提取文件“分区1[hda0]:dataxyz.hanks.notedatabasesnote.db”;③用SQLite查看工具打开该文件;④在数据表“Note”中找到该答案。
准确率:6.67%,仅2个参赛队完成解题,浙江队、广东队
本次团体赛共设置了40道考题(仅两题未被参赛队伍解出),考点分布情况为自动常规分析类考题占比50%,手动深度分析类考题占比30%,综合关联分析类考题占比20%。大部分参赛队伍都能完成自动常规分析类考题,但手动深度分析类及综合分析类考题完成情况总体还有待提升。为了更清晰的复盘此次团体赛考题,笔者绘制了本案例的数据分析路径图。
图片为原创,未经允许不得用于商业用途等
团体数据分析赛中,浙江队和广东队完成情况最佳,考题完成率达82.5%和72.5%,成绩斐然。团队数据分析赛考核的不仅是选手个人数据分析能力,也考核团队集体协作能力,各参赛队伍表现出的集体荣誉感和积极向上的精神面貌令在场所有人都钦佩。相信各参赛队伍会把大比武中体现出来的好作风好品质坚持下去,把大比武中积累的好技术好经验推广出去,把大比武中学习的好方法好技巧运用出来,持续提升执法办案电子数据取证水平。
( 现场勘察评分标准及完整考题复盘解析请查阅《市场监督管理》半月刊2021年第1期)
(作者:王粟洋 林远进 蔡菲娜)
发布单位:中国工商出版社 新媒体部(数字出版部)
注重交流执法经验
关注消费维权动态
同护市场公平正义
共观市场经济大潮
权威●专业
半月沙龙微信
输入公众号“市场监管半月沙龙”,即可找到。
来源:市场监督管理半月沙龙
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!