【新型涉网犯罪平台数据库如何固定】
2023-5-5 08:47:28 Author: 电子物证(查看原文) 阅读量:24 收藏

基本概念

什么是数据库?

在介绍数据库取证之前我们需要了解什么是数据库?

每个人家里都会有冰箱,冰箱是用来干什么的?冰箱是用来存放食物的地方。

同样的,数据库是存放数据的地方。正是因为有了数据库后,我们可以直接查找数据。例如你每天使用余额宝查看自己的账户收益,就是从数据库读取数据后给你的。

图片来源于网络

我们也可以将数据库当成是与手机、计算机等同的一种检材,是存放数据的仓库,只是它们存放的数据类型有所差异,在手机中主要以微信、QQ聊天记录、通话记录等作为证据或线索,而在数据库中则是存放类似execl表格、记录等数据作为证据或线索。

为什么要做数据库取证?

随着网络犯罪的不断增加,网络系统取证已经成为了一大趋势。在网络赌博、网络传销、网络诈骗等案件中,涉案数据大多存放在数据库中,为了分析清楚犯罪团队的组织架构、资金流出、人员情况等违法信息,所以需要进行数据库取证。

数据库取证其实就是从数据库中提取分析其中涉案的表、记录等数据作为证据和线索使用。大致步骤如下:

数据库取证案例

以网络赌博平台为例,赌博网站分为网站前端页面和数据库,前端页面就是我们自己能看到或者进行投注交易操作的网页,数据库就是存放相关参赌人员信息、赌博资金流水信息、网站相关信息的数据仓库,比如使用账号密码登陆网站,进行交易、赌博等行为,那么数据库就能记录我们的信息及操作,生成参赌人员表、交易资金表等数据;

再通过数据库取证,获取相应的参赌人员表、交易资金表等信息,便能帮助执法人员结合获取的信息参考量刑标准对涉案人员进行快速的量刑。

 数据库如何固定?

01

本地服务器数据库固定

1) 固定思路

扣押、封存数据库文件所存放的服务器或存储介质;或者对数据库文件所存放的存储介质进行全部镜像或分区镜像。(特殊情况需要现场提取数据库文件的情况可参考后续文章介绍)

2) 注意事项

a) 数据库文件存储位置可能存在异机存储的情况,可以通过网络系统中数据库连接配置确认数据库存放服务器的位置;

如下图数据库连接配置文件所示:

(数据库为SQL server,存放在IP为192.168.3.204的服务器上,当前网站连接的数据库名为CMS5.0,数据库连接访问的账号为sa,密码为xly123456)

b) 部分本地服务器中涉案网站(及数据库)所在主机为虚拟主机(VM等),需要注意对虚拟主机进行取证;

c) 数据库文件所在分区位置需要根据具体数据库类型及相关配置文件进一步确认;

常见数据库类型数据库文件默认存放位置和确认方法,如图所示:

数据库连接配置文件确认数据库文件位置,如图所示为Windows下MYSQL数据库my.ini中数据库文件存储位置;

d) 本地正在运行的涉案数据库在固定时需要注意操作合规性(内存数据固定、正常关闭服务再固定等),某些数据库会因为非正常关闭出现后期模拟仿真故障,具体情况具体讨论;

e)数据库固定时需要注意不要忽视数据库相关的备份文件,如:SQL文件、.bak文件、Excel文件等格式的备份文件固定提取。

02

云端网络空间数据库固定

云端网络空间(即云端主机)数据库固定的主要目的:固定完整的涉案数据库文件或所在空间镜像。根据不同的云端网络空间类型分为多种固证情况,具体如下:

1)独立服务器主机或虚拟主机中数据库固定

➢ 特点

具备独立的操作系统,租用运营商服务,具备公网或内网连接地址,具备远程系统管理(远程桌面、SSH/xftp、运营商服务控制台、FTP管理、DMS系统等)。

➢ 固定思路

➢ 注意事项

a) 云端数据库固定尽可能固定完整的涉案数据库文件或对数据库文件所在空间进行镜像,这样获取的数据库数据更全,对于删除情况下的数据恢复和数据库日志分析等操作更有利;

b) 固定完整的涉案数据库文件,主要包含数据库数据存储文件、日志文件等;

c) 对于存在境外不便协查或不便获取相关信息的,可能要多考虑社工、渗透、系统管理人员询问、管理电脑相关历史信息查看等方式获取数据库连接访问权限;

d) 对于沟通流程畅通(境内)的数据库所在的云端运营商,建议协查,数据更全,鉴于云端数据容易被远程破坏,建议在已知相关连接访问信息的前提下及时按远程勘验标准完成数据库固定,或者寻求运营商冻结相关数据。

2)云空间中数据库固定

➢ 特点

只拥有主机中相关服务使用权限,租用运营商服务,具备公网或内网连接地址,具备远程管理(运营商服务控制台、FTP管理、DMS系统等)。

➢ 固定思路

FTP远程下载、远程连接数据库备份,具体情况要求同独立服务器主机或虚拟主机中数据库固定类似。

➢ 注意事项

a) 如果数据库采用境外异地存储,目前只固定了网站的原始代码文件的情况,可以通过代码文件中数据库连接配置文件确认数据库连接信息(连接信息可能存在加密处理),再远程连接数据库备份,此种方式获取的数据库只有正常数据,无法恢复删除数据;

b) 对于云空间数据库固定建议尽量采用FTP远程下载获取完整的数据库文件,后期提取分析能得到更多有用信息;

c) 云空间中数据库固定更需要注意时效性,及时固定,防止数据被破坏。

数据库取证是网络取证中非常重要的一环,数据库对网络系统而言就如同计算机跟硬盘的关系,涉案网络系统产生的大量数据都存储到了数据库中,所以合理合规完成数据库取证是非常重要的。

来源:效率源


文章来源: http://mp.weixin.qq.com/s?__biz=MzAwNDcwMDgzMA==&mid=2651045478&idx=2&sn=b159e899a371147142c825dbe896896e&chksm=80d0f197b7a7788111066018660399aff5200f253f1adf07b9d6d69d4911727b97b397ce3342#rd
如有侵权请联系:admin#unsafe.sh