【案件分享】某次源代碼泄露事件取證

背景概要

某軟件公司發(fā)現(xiàn)公司源代碼疑似出現(xiàn)泄露，通過初步的調(diào)查，發(fā)現(xiàn)公司技術(shù)總監(jiān)電腦下班時(shí)沒有鎖屏，只是關(guān)了屏幕，而公司沒有安裝監(jiān)控，只有門口的門禁指紋鎖。通過指紋鎖的出入門記錄發(fā)現(xiàn)，公司某銷售頻繁凌晨三四點(diǎn)出入公司，調(diào)查人員初步懷疑是他盜取了公司源代碼。

但是該公司沒有第一時(shí)間找到專業(yè)的電子數(shù)據(jù)取證部門，而是自行插拔U盤進(jìn)行了測(cè)試，導(dǎo)致相關(guān)USB拔插記錄丟失。

Tips1: 外部設(shè)備/USB使用記錄

Windows系統(tǒng)下，USB使用痕跡一般會(huì)在注冊(cè)表、事件日志、setupapi文件等處可以分析到。

1. 注冊(cè)表

注冊(cè)表是USB設(shè)備使用痕跡最主要且最重要的來源。

HKLM\SYSTEM\CurrentControlSet\Enum\下的USB表鍵使用VID_v(4)& PID_d(4)格式描述USB設(shè)備。

其中, v(4)代表4個(gè)數(shù)字的銷售商代碼(由 USB協(xié)會(huì)分配給各銷售商); d(4)代表4個(gè)數(shù)字的產(chǎn)品代碼(由銷售商分配給其生產(chǎn)的產(chǎn)品)。

USBSTOR表鍵則使用Disk& Ven_iManufacturer& Prod_iProduct& Rev_r(4)格式進(jìn)行描述。iManufacturer表示制造廠商, iProduct表示設(shè)備類型, r(4)則為修正碼。

上圖即為該設(shè)備的制造廠商為L(zhǎng)enovo, 設(shè)備類型為USB_Flash_Drive, 修正碼為1100, 但設(shè)備序列號(hào)比USB表鍵多了“ & 0” 兩個(gè)字符。其實(shí), “ & 0” 一類的字符串為系統(tǒng)自動(dòng)添加, 不屬于設(shè)備序列號(hào)范疇。如USB設(shè)備中未包含有序列號(hào)信息, Windows則會(huì)通過系統(tǒng)自動(dòng)生成的字符串標(biāo)識(shí)該設(shè)備。

USB表鍵和USBSTOR表鍵均未包含掛載的時(shí)間信息, 實(shí)際上此處時(shí)間信息是以屬性形式進(jìn)行存儲(chǔ)的。選擇以序列號(hào)為名稱的子鍵, 單擊右鍵選擇“ 導(dǎo)出” , 并將“ 保存類型” 選為“ 文本文件” , 打開保存后的文本文件即可獲得時(shí)間信息。

2. 事件日志

事件ID 20001記錄了USB設(shè)備相關(guān)的插拔事件，如下圖所示。

3. setupapi文件

setupapi.log（適用于 Windows XP/2000/2003）和 setupapi.dev.log（適用于 Windows Vista/7/8/10）也是分析USB設(shè)備比較好的信息來源。

在setupapi日志文件中存儲(chǔ)了與加載到系統(tǒng)中的驅(qū)動(dòng)程序和設(shè)備相關(guān)的所有事件，并帶有時(shí)間戳以及加載了哪些驅(qū)動(dòng)程序，可以用來確定：

• 首次插入外部設(shè)備時(shí)間

• 惡意驅(qū)動(dòng)程序加載到系統(tǒng)上時(shí)間

• 為未知設(shè)備加載了哪些驅(qū)動(dòng)程序

• 證明設(shè)備已成功安裝且可訪問

XP及以前該日志文件路徑為：C:\Windows\setupapi.log

Win7/8/10該日志文件路徑為：C:\Windows\inf\setupapi.dev.log

事件分析

因?yàn)殛P(guān)鍵的USB記錄丟失，分析陷入了僵局。那我們能不能換個(gè)角度進(jìn)行分析，通過ShellBags和Jump Lists分析出在對(duì)應(yīng)時(shí)間段，確實(shí)有對(duì)泄露代碼相關(guān)文件的操作行為。

Tips2: ShellBags與取證的關(guān)系

ShellBags是一組用來記錄文件夾（包括掛載網(wǎng)絡(luò)驅(qū)動(dòng)器和掛載設(shè)備的文件夾）的名稱、大小、圖標(biāo)、視圖、位置的注冊(cè)表項(xiàng)，或稱為BagMRU。

每次對(duì)文件夾的操作，ShellBags的信息都會(huì)更新，而且包含時(shí)間戳信息。即使刪除文件夾后，ShellBags仍然會(huì)保留文件夾的信息。通常用來分析出用戶的相關(guān)文件活動(dòng)。

1、如果ShellBags記錄了某個(gè)文件夾，表示它一定在某個(gè)時(shí)間出現(xiàn)過在該系統(tǒng)中，包括壓縮文件在內(nèi)的本地文件系統(tǒng)、網(wǎng)絡(luò)位置和外接設(shè)備（如U盤、移動(dòng)硬盤等）上的文件夾，即使對(duì)應(yīng)的設(shè)備已經(jīng)不在了。

2、由于對(duì)文件夾的操作與用戶的注冊(cè)表配置單元相關(guān)聯(lián)?？梢詫⑻囟ㄓ脩艉吞囟ǖ奈募A相關(guān)聯(lián)，還可以從ShellBags包含的MAC時(shí)間戳中獲取文件夾的訪問時(shí)間信息。

通過使用取證軟件進(jìn)行分析，我們發(fā)現(xiàn)分別在某兩日分別凌晨1點(diǎn)多與凌晨3點(diǎn)多，均有發(fā)現(xiàn)了文件夾操作痕跡。

Tips3: Jump Lists與取證的關(guān)系

Jump Lists是微軟在Windows 7開始引入的新功能，主要提供用戶查看固定在任務(wù)欄中程序最近打開的文件。

通過分析Jump Lists也可以分析出用戶對(duì)文件相關(guān)的操作和具體時(shí)間。尤其是資源管理器，通常任務(wù)欄中都會(huì)固定它，資源管理器相關(guān)的Jump Lists在取證中有著廣泛應(yīng)用。

詳細(xì)內(nèi)容可以參考：https://forensicswiki.xyz/wiki/index.php?title=Jump_Lists

通過對(duì)Jump Lists的分析，我們發(fā)現(xiàn)有某日凌晨2點(diǎn)多，存在大量與泄露代碼相關(guān)文件的操作行為。

事件尾聲

經(jīng)過縝密的取證分析，我們鑒定所給客戶出具了相關(guān)的司法鑒定意見書給委托單位，案件后續(xù)也成功立案定罪。通過這次事件我個(gè)人對(duì)Windows取證也有了更加深刻的認(rèn)識(shí)，相比于手機(jī)取證，Windows取證更加考驗(yàn)鑒定人員的基本功。

企業(yè)內(nèi)部文件泄露在案件中也是時(shí)有發(fā)生，在此也希望廣大企業(yè)內(nèi)部提高風(fēng)險(xiǎn)意識(shí)，事前做好風(fēng)險(xiǎn)預(yù)防。如果發(fā)生安全事件后，盡可能第一時(shí)間聯(lián)系公安機(jī)關(guān)，不要對(duì)檢材進(jìn)行其他操作，避免造成檢材數(shù)據(jù)的污染。