GoIP 网关设备的电子数据取证探索

在信息社会里，随着科学技术不断创新和发展，各种类型的新技术工具的开发和利用，促进了社会经济的快速发展，提高了人们的生活水平，给人们的衣、食、住、行、学习、工作等方面带来了巨大的便利。然而，随着科学技术的普及和应用，科技给人们带来便利的同时，也带来一些危害与弊端，其中，就有各种新型犯罪案件涌现，违法犯罪人员能够便利地借助移动设备、网络等通信工具和现代技术实施非接触式的犯罪活动，例如，从事电信网络诈骗、网络传销，利用网络技术非法获取公民个人信息等。据公安部统计，2020年全年共破获电信网络诈骗案件32.2万起，抓获犯罪嫌疑人36.1万名，止付冻结涉案资金2720余亿元，劝阻870万名群众免于被骗，累计挽回经济损失1870余亿元。本文将针对近年来电信网络诈骗中常用的GoIP网关设备的工作原理及对其进行取证的技术方法进行分析、阐述。1背景和现状1.1电信网络诈骗工具的发展历程电信网络诈骗的主要手段是打电话或者群发短信。电信网络诈骗者通过“广撒网”的方式拨打大量用户的电话，或者发送大量诈骗短信，这种方式单靠一部手机远远无法满足诈骗者的使用需求。前些年，伪基站由于能够干扰和屏蔽一定范围内的运营商信号并将短信发送到从基站附近搜索出的用户的手机号码上，这种设备使用方便，并且价格“实惠”，深受广大诈骗者喜爱，在经过一段时间的专项治理后，采用该设备诈骗的手段已基本销声匿迹。随着VoIP技术的不断成熟，市面上出现了很多基于VoIP技术的设备或者软件，诈骗团伙可以通过VoIP设备或者软件将主叫号码归属地修改为受害人所在地，从而降低被呼叫者的心理防御，或者将主叫号码修改成公众常见的服务电话，用来欺骗被呼叫者，进行违法犯罪活动。针对VoIP出现的问题，相关部门禁止了VoIP的改号功能，而且搭建VoIP网络成本较高，难度较大，需要的软硬件也较多。近年来，新的GoIP技术逐渐被人们所使用，使用GoIP网关设备实施的犯罪活动也越来越多。1.2涉及GoIP网关设备案件情况在裁判文书网，我们使用GoIP作为关键字进行搜索，截至2021年11月，出现228个判决结果（如果同一个案件有二审判决的，以二审判决作为统计对象），其中，有174个案例以帮助信息网络犯罪活动罪来定罪量刑，有42个案例以诈骗罪来定罪量刑，总体来说，该类案件的立案类型还是以这两种方式居多。从本鉴定中心近两年受理的有关GoIP网关设备的鉴定业务统计来看，本中心共受理97个办案单位的鉴定委托，涉及18个省份75家委托单位，共计157个GoIP设备。在送检的GoIP中，品牌数量排名前3的分别为三汇、鼎信通达和一正。委托数量统计排名情况符合前面介绍的GoIP设备的排名情况，具体的GoIP品牌情况如图1所示。图1GoIP网关设备类型统计在本鉴定中心受理的97个鉴定案例中，根据公安机关立案情况的统计，以帮助信息网络犯罪活动案立案的有60个；以诈骗案立案的有35个；此外，有2个是以侵犯公民个人信息案进行立案。可以看出，目前该类案件大部分是以帮助信息网络犯罪活动案立案。根据《中华人民共和国刑法修正案（九）》中增设的帮助信息网络犯罪活动罪，其中，第二百八十七条之二“明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通信传输等技术支持，或者提供广告推广、支付结算等帮助，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。”最高法发布的《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》中明确了“帮助信息网络犯罪活动罪”的入罪标准，为办理该类案件提供了强有力的法律依据。2GoIP网关设备主要厂家、搭建模式介绍2.1GoIP简介GoIP，即基于IP的信号传输，其本质就是把手机卡的信号数字化[3]，它是VoIP技术的一种升级，通常以GoIP网关设备的形式出现。GoIP设备是网络通信的一种硬件设备，支持手机卡接入，能够通过手机卡接入信息服务运营商网络并实现基础信息网络功能（收/发短信、接/拨电话）。常见的GoIP设备根据所支持的运营商（移动、联通、电信）、支持频段（GSM、CDMA、WCDMA、全网通）、信号（2G、3G、4G）、插卡数量（4、8、16、32、64、128）和并发数量（4、8、16、32），可分为多种型号，一台32个卡槽的GoIP设备可供上百张手机卡同时运行。诈骗分子为了逃避打击，通常是通过招募“马仔”在空置房间内安装GoIP设备。设备安装后无须人员看管，即可远程登录使用设备，达到人、机、卡分离的目的，大大增加了公安机关的打击难度。2.2常见的GoIP网关设备目前市面上的GoIP网关设备品牌众多，常见的网关设备主要有一正、鼎信通达、三汇、得伯乐等，各品牌的网关设备功能差异不大。2.3GoIP网关设备搭建模式根据工作模式的不同，目前GoIP网关设备搭建的3种常见模式包括：人、机、卡分离模式；卡、机不分离，人分离模式；人、机、卡不分离模式。下面分别对这3种模式的原理进行介绍。2.3.1人、机、卡分离模式诈骗分子利用卡池设备，将用于诈骗的手机SIM卡与GoIP网关设备分离，通过服务器获取到卡池里SIM卡的手机号码，然后将SIM卡信息通过服务器发送到GoIP，从而实现拨打电话和发送短信等目的，而管理者可以远程操作集中管理终端设备，实现人、机、卡三者独立存在，形成分离的模式，系统架构模式如图2所示。打击这种设备的难度较大，而且无法形成全链条的打击，办案机关在案件侦办过程中往往只能获取到GoIP网关设备，无法查获与之对应的经济成本更高的卡池设备，并且在GoIP网关设备被扣押之后，犯罪分子可以快速重新配置新的GoIP设备来连接卡池设备，达到继续诈骗的目的。图2人、机、卡分离模式2.3.2卡、机不分离，人分离模式该方式不需要卡池设备，可以直接将SIM卡插在GoIP网关设备上，SIM卡与GoIP网关设备不分离，管理者远程操作终端管理软件，通过服务端控制GoIP网关设备达到直接拨打电话和发送短信等目的，系统架构模式如图3所示。与人、机、卡分离的方式相比，因为这种方式不需要使用卡池设备，成本更低，所以在市面上比较常见，并且由于人与机、卡分离，犯罪分子能在异地（也许在境外）远程操控设备，或者雇用“马甲”操控设备，更容易达到逃避查处的目的。图3卡、机不分离，人分离模式2.3.3人、机、卡不分离模式该方式将GoIP网关设备、卡池和服务端管理系统配置在一起，由人员直接管理，仅在局域网内操作，这种方式较为少见，系统架构模式如图4所示。这种做法等同于自投罗网，一旦被发现，人赃俱获。3常见GoIP网关设备的取证方式由于GoIP网关设备里面保存着SIM卡信息、电话号码信息、国际移动设备识别码（International

MobileEquipmentIdentity，IMEI）、SIP服务器信息、收发的短信数据和通话信息等数据，将此类数据提取、恢复出来，将对案件侦查、定性等起到重要作用。本文列举了几种在实际工作中常见的取证方式，如下文所述。3.1网页登录模式数据提取通常情况下，不同厂家的网关设备默认配置的静态IP是不一样的，网关设备中都有后台管理页面，取证时可以根据掌握或者默认的设备管理页面的IP地址、端口号、登录账号和密码，将本地取证设备的IP地址与网关设备的IP地址配置在同一个网段，使用账号和密码登录进去之后，可以查看网关设备中保留的数据，采用规范化的证据固定流程，将数据固定下来。可见，在检验过程中，采用网页登录模式的情况下，如何获取设备的IP地址，成为能否成功获取设备信息的关键因素。实践证明，可以通过以下4种方式获得设备的IP地址。（1）通过网关设备的使用说明书了解设备默认配置的IP地址。通常情况下，品牌厂商在设备出厂配置时，会附带设备的使用说明书，使用说明书中通常会介绍设备的使用方法，初始的IP地址及登录的用户账号、密码等信息，因此，可以从使用说明书或者互联网公开的渠道了解所要分析的网关设备的IP地址等信息。一些常见的GoIP设备的默认IP地址以及初始号密码如表1所示。表1常见的GoIP网关设备配置信息（2）使用抓包工具来分析网关设备的IP地址。针对关机情况下的网关设备，在实验室检验过程中，取证设备上配置的IP地址不一定会与网关设备中的静态默认IP地址一致，使用网线将网关设备与取证设备进行直接连接，运行抓包软件，网关设备与取证设备连接的时候，网关设备会通过地址解析协议（AddressResolutionProtocol，ARP）广播设备的IP地址，从而确定设备的IP静态地址，抓包软件中显示的设备配置IP信息如图5所示。图5抓包软件获取到的设备配置IP信息（3）使用取证工具自动获取网关设备的IP地址。市面上部分取证设备已经集成了自动获取设备IP的功能，通过网线将取证设备网口与网关设备网口进行连接，通过取证设备自动扫描网关设备的IP地址，如图6所示。图6取证软件自动扫描设备的IP信息（4）若设备在案件现场，可以查看网关设备现场连接的路由器连接记录，或者搜索现场所使用的电脑、手机浏览访问记录等，该类设备均存在配置设备信息/远程访问设备的可能性，从而确定网关设备所使用的IP地址。3.2TTL模式取证该模式是目前比较常见的取证方式，适合在未掌握网关设备的本地登录的账号和密码的情况下使用，将网关设备的晶体管-晶体管逻辑电平（TransistorTransistorLogic，TTL）串口或者CONSOLE控制口、miniUSB接口通过连接线与取证设备连接，下载网关设备的Flash镜像，使用取证软件解析收发的短信息、IMEI信息以及用户密码、动态主机配置协定（DynamicHostConfigurationProtocol，DHCP）、厂商、型号、媒体访问控制（MediaAccessControl，MAC）地址等配置信息。此外，该模式还支持对部分网关设备已经删除数据的恢复，相比于网页登录模式取证，能获取到更多数据。取证步骤大致可以总结如下：（1）确认GoIP网关设备串口为内部串口还是外部串口。外部串口判断：首先查看是否有明显标识，如CONSOLE等；其次用对应的线材将GoIP网关设备的外部接口与取证分析设备相连，判断取证分析设备的设备管理器是否弹出新的端口，GoIP网关设备的外部串口示例如图7、图8所示。图7网关设备外部串口示例1图8网关设备外部串口示例2内部串口判断：若已确定不是外部串口，则首先拆卸设备外壳，分析印制线路板（PrintedCircuitBoard，PCB）是否有发送端（Transmit，TX）、接收端（Receive，RX）、地线（Ground，GND）等标识；其次寻找连续3～5个的板孔，分别通过万用表确定TX，RX，GND。若已确认该设备存在内部串口，则利用串口硬件工具的TXD连接GoIP网关设备内部串口接口RX，串口硬件工具的RXD连接GoIP网关设备内部串口接口TX，串口硬件工具的GND连接GoIP网关设备内部串口接口GND，再将串口硬件工具另一端连接至取证分析设备。GoIP网关设备内部串口以及串口硬件工具USB转TTL的示例如图9、图10所示。图9网关设备内部串口示例图10串口硬件工具USB转TTL（2）对设备的串口号进行识别。在GoIP网关设备未与取证分析设备连接时，通过WindowsAPI接口获取串口号集合U1；在GoIP网关设备与数据分析工作站连接时，通过WindowsAPI接口获取串口号集合U2；获取到串口号集合U1和集合U2后，比对U1、U2集合差，获取所需要的串口号。（3）执行上述步骤后，对GoIP网关设备上电，通过取证工具遍历可用波特率集合直到获取数据为明文日志信息时，确认GoIP网关设备的波特率。（4）使用Xshell软件分析设备串口的日志信息，提炼出相关数据并形成配置文件。将配置文件导入取证设备后，设置所需的波特率及相应的参数后，使用取证软件下载设备镜像。使用相应的取证工具，对镜像中的文件内容进行解析来获取网关设备中的数据。3.3芯片焊接方式取证在无法掌握Web管理页面的账号或者设备不支持通过直取方式获取数据的情况下，可以拆除网关设备的存储芯片，使用芯片提取设备备份芯片中的数据，制作镜像文件；使用取证软件解析制作的镜像文件，进而获取网关设备存储的数据。4GoIP网关设备取证案例分析针对目前GoIP网关设备的取证，主要有设备的IMEI号及所对应的卡槽号、使用过的SIM卡信息、短信记录、通话记录和SIP服务器信息等，部分设备还保存着使用过程的日志记录。公安机关可以通过在网关设备中提取的数据，例如提取IMEI号和SIM卡串号，再与相应系统上掌握的涉案数据进行关联分析，可以分析出有作案嫌疑的手机号码，进而通过梳理手机号码，汇总出涉案人员和涉案金额，最终形成完整的证据链条。4.1案情介绍公安机关受理某诈骗案件时，发现犯罪嫌疑人使用GoIP设备作案，嫌疑人购买大量电话卡插入该设备卡槽，操控设备进行拨打电话、收发短信，对受害者实施钓鱼短信诈骗，受害人点击嫌疑人发送的链接网站后，输入了姓名、身份证、卡号、手机号、交易密码等信息，银行卡中的钱随之在几分钟内被转走，公安机关在抓到犯罪嫌疑人后，在审讯中得知，犯罪嫌疑人为了逃避法律的制裁，会定期对使用的GoIP设备中的登录密码进行