CN111770203A - 一种基于GoIP设备的自动化取证方法及系统 - Google Patents

Abstract

本发明公开了一种基于GoIP设备的自动化取证方法及系统，该方法操作为PC机与GoIP设备连接：将PC机与GoIP设备采用网线连接；PC机与GoIP设备的连接配置：配置IP，建立PC机与GoIP设备的连接；GoIP设备的识别：检测识别GoIP设备属于哪个厂家的产品，获得该设备的取证规则；取证：根据获得的取证规则，将GoIP设备各类数据导出到PC机上并计算文件哈希，提取重要数据并生成取证报告文档。本发明的操作终端可以互联网下载安装即可使用，解决了使用的便捷性问题。通用性：本技术方案支持目前所有主流诈骗使用的GoIP设备的取证，非技术人员可无需了解各类GoIP设备的硬件和固件的差异、配置选项和专业名词的差异，使用本技术方案即可完成对目前所有主流GoIP诈骗设备的取证。

Description

一种基于GoIP设备的自动化取证方法及系统

技术领域

本发明涉及网络信息技术领域，具体涉及一种基于GoIP设备的自动化取证方法及系统。

背景技术

当前，由于VoIP直接落地到境内进行诈骗的渠道基本被阻断，境外诈骗分子通过在境内部署GoIP设备进行通话落地已经成为一种常用技术手段。

在通过对GoIP定位打击，缴获到GoIP设备后，面临着高效快速取证的难题。因为通过GoIP溯源犯罪嫌疑人的一些重要数据存储在GoIP设备上（如SIP服务器、SIM Bank服务等IP等），只有从GoIP设备获取这些数据才能继续溯源和收集证据，并且GoIP设备上的这些服务器具有时效性，当犯罪分子发现GoIP设备被缴获后可能迅速清空或关闭互联网上的服务器，导致后续溯源和固定证据无法进行。

一般情况下，会通过请求远程技术指导或将设备拿到（或邮寄）相关技术支持的公司或单位进行数据提取和证据采集。但是，远程技术指导面临着需要专业的技术人员和其他设备和工具的配合，而邮寄等方式又需要花费较长的时间。而且即使是技术人员，在取证的过程中还需解决各类GoIP设备与PC的网络连接、不同种类GoIP重要数据配置位置不同、不同种类GoIP重要数据配置名称（名称叫法、描述）不同等多种问题。

为了解决如上问题，我公司经过对涉诈的多款GoIP设备进行研究分析，经过多次实践，最终形成了一套完善的解决方案，可解决GoIP设备的简单快捷自动化取证的问题。

发明内容

为克服上述存在之不足，本发明的发明人通过长期的探索尝试以及多次的实验和努力，不断改革与创新，提出了一种基于GoIP设备的自动化取证方法，该方法解决GoIP设备取证的便捷性、时效性和易用性问题。

为实现上述目的本发明所采用的技术方案是：

一种基于GoIP设备的自动化取证方法，其包括以下操作：

S1，PC机与GoIP设备连接：将PC机与GoIP设备采用网线连接；

S2，PC机与GoIP设备的连接配置：配置IP，建立PC机与GoIP设备的连接；

S3，GoIP设备的识别：检测识别GoIP设备属于哪个厂家的产品，获得该设备的取证规则；

S4，取证：根据获得的取证规则，将GoIP设备各类数据导出到PC机上并计算文件哈希，提取重要数据并生成取证报告文档。

进一步地：S1中所述PC有多个以太网口，选择具有PC标识的网口，如果没有则任意选择其中一个LAN口或ETH口。

进一步地：S2中配置IP分为静态IP地址配置、动态IP地址配置；

所述静态IP地址配置是在PC机上启动一个ARP扫描服务，获取与PC机使用网线相连接的GoIP设备上配置的IP地址，并将PC机与GoIP设备相连接的网卡设置为GoIP设备同网段的IP地址，实现PC机到GoIP设备的访问。

所述动态IP地址配置是在PC机上启动一个DHCP服务，等待与PC机使用网线相连接的GoIP设备来向DHCP服务器申请IP地址；在GoIP设备分配到IP地址后，PC机也向DHCP服务申请同网段的IP地址，实现PC机到GoIP设备的访问。

进一步地：在动态IP地址配置时，如果GoIP设备获取IP的等待时间超过预设时间，GoIP设备没有向DHCP服务申请IP，则判定GoIP上配置了静态的IP地址，那么PC机向GoIP设备发送ARP协议的数据包，询问GoIP设备的IP地址；

如果GoIP设备已经配置了静态IP地址，则通过ARP协议获取IP地址，并给PC机的网卡自动配置与GoIP设备相同网段的IP地址以使PC与GoIP设备相连通。

进一步地：S3中检测识别GoIP设备是预先提取现有不同GoIP设备的指纹特征并形成信息库，GoIP设备与PC机连接后，根据信息库的储备的指纹特征与 GoIP设备进行比对判断出该GoIP设备的厂家、产品信号相关信息。

进一步地：在生成取证报告文档后，用户可将本报告和导出的证据拷贝、导出或打印，将报告远程发送给技术支撑，便于技术支撑方根据报告中的目标快速地进行更深层取证和溯源。

本发明还提供了一种基于GoIP设备的自动化取证系统，其包括：

DHCP服务器：用于PC机和GoIP设备的IP地址自动分配；

ARP扫描器：用于已配置IP地址的GoIP设备的IP地址扫描，通过ARP协议数据包，主动探测GoIP设备的IP地址；

网卡管理器：用于对PC机的网卡进行配置管理；

GoIP设备识别器：用于识别连接的GoIP设备的厂家和型号；

数据采集器：用于已识别GoIP设备的内部数据采集和存储；

数据哈希计算器：用于已采集的GoIP设备的证据数据的哈希校验，保证取证数据没有被篡改；

报告生成器：用于GoIP设备已采集数据的可视化生成和展示，形成一个完整易读的整体报告和证据内容索引，便于用户从杂乱的证据数据中快速概览和定位重要数据，帮助用户理解证据的结构和内容。

进一步地：所述网卡管理器自动化的备份原PC机的网络配置，根据GoIP设备的配置情况针对性的将PC机的网卡自动配置成和GoIP设备相同网段的IP；当取证完成后，自动恢复原PC机的网卡配置。

进一步地：所述GoIP设备识别器根据已收集到的各厂家设备的软件特征与当前已连接的GoIP设备的信息进行比对，确定当前已连接的GoIP设备的厂商和型号。

进一步地：所述数据采集器根据不同厂商和型号的GoIP设备，自动选择相应的数据采集规则进行GoIP证据数据提取，将采集的证据数据存储到PC机磁盘上。

本发明相比现有技术的有益效果是：

1、本发明的操作终端可以互联网下载安装即可使用，解决了使用的便捷性问题。

2、通用性：本技术方案支持目前所有主流诈骗使用的GoIP设备的取证，非技术人员可无需了解各类GoIP设备的硬件和固件的差异、配置选项和专业名词的差异，使用本技术方案即可完成对目前所有主流GoIP诈骗设备的取证。

3、时效性：取证现场无需依赖专业的技术人员，非技术人员也可以在缴获GoIP设备后的第一时间即可使用本发明的客户端自动化迅速对GoIP设备上的重要数据和证据进行提取，并且迅速获取到未缴获的互联网线上其他证据所在服务器的IP等信息，能够赶在诈骗分子发现之前将线上的其他服务器提供给技术支撑公司或单位将服务器上的数据进行镜像提取、证据固化以及追根溯源。

4、易用性：本技术方案为解决非技术人员使用困难的问题，将使用方式最简化，并且配备了图文的指导，整个取证操作简单便捷。

附图说明

为了更清楚地说明本发明实施方式的技术方案，下面将对实施方式中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1是本发明自动化取证方法操作流程示意图。

具体实施方式

为使本发明目的、技术方案和优点更加清楚，以下具体实施过程将结合附图及实施过程来详细说明本发明的实施方式。因此，以下提供的本发明的实施方式的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施方式，只要不构成冲突，本发明中的各个实施例以及各实施例中的各个特点能进行相互结合，方案所涉及的相关技术均在本发明的保护范围之内。

实施例

如图1所示：本发明中所述的方法具体操作如下：

1.为了便于普通人员操作，本实施例提供了一种简洁的操作软件，具体操作是：首先进行软件下载与安装：通过互联网即可完成软件下载，下载完成后根据引导一直下一步即可完成软件的安装。安装完后打开软件，会提示用户根据图文说明用网线将PC机与GoIP设备相连接。当然也可以采用移动储存设备安装操作客户端。

2.PC机与GoIP设备的物理连接：

本技术方案不使用串口来获取设备上的数据，而是通过以太网口与PC口相连接来获取数据。如果设备有多个以太网口，软件会提示用户优选选择有PC标识的网口，如果没有则随意选择其中一个LAN口或ETH口。用户只需使用一根网线(现场一定会有)将GoIP设备与PC机相连接。

3.PC机与GoIP设备的自动连接配置：

PC机与GoIP设备相连接后，用户只需要点击“自动配置网络”即可完成PC机与GoIP设备的网络IP配置，无需专业的技术人员参与。并且相比专业技术人员来操作，大大简化了IP获取和配置过程，也解决了现场需要物理路由器等硬件设备或专业ARP软件的麻烦。

GoIP设备的IP配置有两种情况，一种是设备已配置静态IP地址；一种是设备需要通过DHCP服务动态分配一个IP地址。在用户将GoIP设备与PC机使用网线相连接后，PC机上的软件会模拟路由器启动一个虚拟的DHCP服务，等待与之相连的GoIP设备来向DHCP服务器申请IP地址。如果GoIP设备是动态获取IP的，那么会获取到DHCP服务分配指定的IP地址，并且PC机与GoIP设备相连的网口也会分配到同网段的IP地址，这样的话PC机就可以成功访问到GoIP设备了。如果等待一小段时间后，GoIP设备没有向DHCP服务申请IP，说明GoIP上配置了静态的IP地址，那么PC机上的软件会向GoIP设备发送ARP协议的数据包，询问GoIP设备的IP地址。如果GoIP设备已经配置了静态IP地址，会通过ARP协议告知工具它的IP地址，工具会给PC机的网卡自动配置与GoIP设备相同网段的IP地址以使PC与GoIP设备相连通。

4.GoIP设备的识别与取证：

PC机与GoIP设备连通后，取证软件会提示用户已成功连接，用户点击“开始取证”即可对已连接的GoIP设备进行取证操作。

我司对诈骗分子目前使用的各厂商GoIP设备进行了长时间的研究，提取了不同GoIP设备的指纹特征，GoIP设备与PC机连接后，无需人为指定，软件将自动判断GoIP设备属于哪个厂家的哪种型号的设备。

不同厂家的设备，涉及到的专业名称和配置的位置都有所差异，非专业技术人员无法读懂和区分。我司根据不同厂家的设备，定制了不同的数据采集规则，将各类型的GoIP设备上配置的SIP服务器、CDR话单服务器、远程控制服务器、中继服务器、通话话单、短信收发件箱、IMEI、IMSI、ICCID、日志文件等各类数据导出到PC机上并计算文件哈希，提取重要数据并生成取证报告文档。

在该方法的实施过程中，如PC机上未安装取证软件，可先通过互联网下载取证软件，一键安装至PC机上。然后使用者双击图标打开取证客户端，取证客户端图文提示如何使用网线连接，用户无需关注不同GoIP设备的构造差异，只需将网线与GoIP设备上的LAN口或ETH口与PC机器进行连接。

取证客户端会自动解决GoIP设备和PC机器的网络连通性问题，无需专业技术人员手工配置IP或者通过路由器设备分配IP建立与GoIP设备的连接。

取证客户端与GoIP设备连接后，会自动检测该GoIP设备属于哪个厂家的产品，自动根据不同厂家的GoIP设备的取证规则进行重要数据页面、配置、日志文件的导出和提取，计算导出证据的哈希，自动化生成取证报告，一台GoIP设备的取证总过程用时在2分钟左右。

用户可将本报告和导出的证据拷贝、导出或打印，将报告远程发送给技术支撑公司或单位，技术支撑公司或单位可根据报告中的目标尽快地进行更深层取证和溯源。

为实现上述方法，本发明还提供了一套实现该方法的系统，具体如下：

一种基于GoIP设备的自动化取证系统，其主要包括以下主要的功能模块和部件：

DHCP服务器：用于PC机和GoIP设备的IP地址自动分配，用软件代替路由器等硬件设备实现DHCP服务，大大降低用户操作复杂度，解决GoIP设备没有IP地址不可访问的问题。

ARP扫描器：用于已配置IP地址的GoIP设备的IP地址扫描，通过ARP协议数据包，主动探测GoIP设备的IP地址，解决GoIP设备IP地址未知而无法访问的问题。

网卡管理器：用于对PC机的网卡进行配置管理。自动化的备份原PC机的网络配置，根据GoIP设备的配置情况针对性的将PC机的网卡自动配置成和GoIP设备相同网段的IP；当取证完成后，自动恢复原PC机的网卡配置，解决不懂技术的用户需要手动修改网卡配置的难题，大大简化了用户的操作。

GoIP设备识别器：用于识别连接的GoIP设备的厂家和型号。GoIP设备识别模块会根据已收集到的各厂家设备的软件特征与当前已连接的GoIP设备的信息进行比对，确定当前已连接的GoIP设备的厂商和型号，解决GoIP设备厂商和型号未知的问题。

数据采集器：用于已识别GoIP设备的内部数据采集和存储。数据采集器会根据不同厂商和型号的GoIP设备，自动选择相应的数据采集规则进行GoIP证据数据提取，将采集的证据数据存储到PC机磁盘上。

数据哈希计算器：用于已采集的GoIP设备的证据数据的哈希校验，保证取证数据没有被篡改。数据哈希计算器会对采集的证据数据进行哈希计算，获取每一个文件数据的哈希值，确保获取的数据和GoIP设备上的数据是完全一致的。

报告生成器：用于GoIP设备已采集重要数据的可视化生成和展示，形成一个完整易读的整体报告和证据内容索引，便于用户从杂乱的证据数据中快速概览和定位重要数据，帮助用户理解证据的结构和内容。

本实施例中所述的各部件，本领域的技术人员可以根据其作用和功能做等同替换。

本发明的操作终端可以互联网下载安装即可使用，解决了使用的便捷性问题。通用性：本技术方案支持目前所有主流诈骗使用的GoIP设备的取证，非技术人员可无需了解各类GoIP设备的硬件和固件的差异、配置选项和专业名词的差异，使用本技术方案即可完成对目前所有主流GoIP诈骗设备的取证。

以上仅是本发明的优选实施方式，应当指出的是，上述优选实施方式不应视为对本发明的限制，本发明的保护范围应当以权利要求所限定的范围为准。对于本技术领域的普通技术人员来说，在不脱离本发明的精神和范围内，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.一种基于GoIP设备的自动化取证方法，其特征在于，包括以下操作：

S1，PC机与GoIP设备连接：将PC机与GoIP设备采用网线连接；

S2，PC机与GoIP设备的连接配置：配置IP，建立PC机与GoIP设备的连接；

S3，GoIP设备的识别：检测识别GoIP设备属于哪个厂家的产品，获得该设备的取证规则；

S4，取证：根据获得的取证规则，将GoIP设备各类数据导出到PC机上并计算文件哈希，提取重要数据并生成取证报告文档。

2.根据权利要求1所述的基于GoIP设备的自动化取证方法，其特征在于，S1中所述PC有多个以太网口，选择具有PC标识的网口，如果没有则任意选择其中一个LAN口或ETH口。

3.根据权利要求1所述的基于GoIP设备的自动化取证方法，其特征在于，S2中配置IP分为静态IP地址配置、动态IP地址配置；

所述静态IP地址配置是在PC机上启动一个ARP扫描服务，获取与PC机使用网线相连接的GoIP设备上配置的IP地址，并将PC机与GoIP设备相连接的网卡设置为GoIP设备同网段的IP地址，实现PC机到GoIP设备的访问；

所述动态IP地址配置是在PC机上启动一个DHCP服务，等待与PC机使用网线相连接的GoIP设备来向DHCP服务器申请IP地址；在GoIP设备分配到IP地址后，PC机也向DHCP服务申请同网段的IP地址，实现PC机到GoIP设备的访问。

4.根据权利要求3所述的基于GoIP设备的自动化取证方法，其特征在于，

在动态IP地址配置时，如果GoIP设备获取IP的等待时间超过预设时间，GoIP设备没有向DHCP服务申请IP，则判定GoIP上配置了静态的IP地址，那么PC机向GoIP设备发送ARP协议的数据包，询问GoIP设备的IP地址；

如果GoIP设备已经配置了静态IP地址，则通过ARP协议获取IP地址，并给PC机的网卡自动配置与GoIP设备相同网段的IP地址以使PC与GoIP设备相连通。

5.根据权利要求1所述的基于GoIP设备的自动化取证方法，其特征在于，S3中检测识别GoIP设备是预先提取现有不同GoIP设备的指纹特征并形成信息库，GoIP设备与PC机连接后，根据信息库的储备的指纹特征与 GoIP设备进行比对判断出该GoIP设备的厂家、产品信号相关信息。

6.根据权利要求1所述的基于GoIP设备的自动化取证方法，其特征在于，在生成取证报告文档后，用户可将本报告和导出的证据拷贝、导出或打印，将报告远程发送给技术支撑，便于技术支撑方根据报告中的目标快速地进行更深层取证和溯源。

7.一种基于GoIP设备的自动化取证系统，其特征在于包括：

DHCP服务器：用于PC机和GoIP设备的IP地址自动分配；

ARP扫描器：用于已配置IP地址的GoIP设备的IP地址扫描，通过ARP协议数据包，主动探测GoIP设备的IP地址；

网卡管理器：用于对PC机的网卡进行配置管理；

GoIP设备识别器：用于识别连接的GoIP设备的厂家和型号；

数据采集器：用于已识别GoIP设备的内部数据采集和存储；

数据哈希计算器：用于已采集的GoIP设备的证据数据的哈希校验，保证取证数据没有被篡改；

报告生成器：用于GoIP设备已采集数据的可视化生成和展示，形成一个完整易读的整体报告和证据内容索引，便于用户从杂乱的证据数据中快速概览和定位重要数据，帮助用户理解证据的结构和内容。

8.根据权利要求7所述的一种基于GoIP设备的自动化取证系统，其特征在于：所述网卡管理器自动化的备份原PC机的网络配置，根据GoIP设备的配置情况针对性的将PC机的网卡自动配置成和GoIP设备相同网段的IP；当取证完成后，自动恢复原PC机的网卡配置。

9.根据权利要求7所述的一种基于GoIP设备的自动化取证系统，其特征在于：所述GoIP设备识别器根据已收集到的各厂家设备的软件特征与当前已连接的GoIP设备的信息进行比对，确定当前已连接的GoIP设备的厂商和型号。

10.根据权利要求7所述的一种基于GoIP设备的自动化取证系统，其特征在于：所述数据采集器根据不同厂商和型号的GoIP设备，自动选择相应的数据采集规则进行GoIP证据数据提取，将采集的证据数据存储到PC机磁盘上。

Images