基于360殺毒軟件的用戶行為取證分析

楊仕海

（重慶市公安局江北區分局 重慶 400021）

基于360殺毒軟件的用戶行為取證分析

楊仕海

（重慶市公安局江北區分局 重慶 400021）

提取360殺毒軟件的進程歷史日志進行取證分析，對公安機關刻畫犯罪嫌疑人的行為特征有重要意義。闡述了如何借助360殺毒軟件的進程歷史日志準確地對用戶行為進行分析取證的方法。 通過360殺毒軟件的歷史進程日志可以還原Office文件編輯過程的時間節點、計算機系統開關機記錄以及用戶進程的運行狀態，從而提取到與犯罪嫌疑人行為特征相關的線索。

殺毒軟件 用戶行為 取證

1 概述

殺毒軟件每天掃描各種應用程序、進程、文件來阻止和預防個人計算機遭受惡意代碼的侵擾。殺毒軟件是保護電腦系統安全關鍵的一道屏障，殺毒軟件的好壞直接決定系統的防御能力的強或弱[1]，同時殺毒軟件也在終端上存放了大量的日志文件，清晰記錄系統文件的加載時間、應用程序啟動時間、系統發出關機指令的時間、U盤插拔記錄等重要信息，相對操作系統自帶的注冊表信息、系統日志更加容易理解；殺毒軟件的可執行程序信任列表、異常文件恢復區、系統白名單、文件白名單等為惡意代碼的快速分析查找節約了時間。本文以360殺毒軟件、Windows系列操作系統為例，結合實際案例進行深度剖析；360殺毒軟件的安裝目錄/360/360SD/Log/ProcessHistoryLog/存放了每日進程的加載、運行情況的log文件，log文件記錄了計算機操作系統接收。開機指令到發出關機指令后系統完全關機之間，即一次完整的開關機期間應用程序運行情況，通過log文件能快速、精準地對用戶行為進行分析取證。

2 Office文件編輯過程的取證分析

Microsoft公司開發的Office系列軟件是目前最流行的辦公軟件，占據了辦公軟件類 74.4% 的市場份額[2]。在實際的取證分析中，通過文件屬性查看器，能夠查看Office文件的最后訪問時間、最后修改時間、創建時間，在很多時候由于系統時間更改或其他原因，3個時間參考價值往往不大。如果能知道系統每一次開關機期間，具體的哪個Office文件被訪問的次數、被修改的時間點等信息，在相關案件取證的時候，無疑給偵查人員提供非常有價值的線索。Windows系統中，Office文件最常見的編輯軟件是Microsoft Office和WPS Office，360殺毒軟件針對這兩款編輯軟件對應生成的日志信息是不同的，以筆者本機的Log文件“2015-08-13-14-47-00. log”為例。

Office文件被訪問過，Log文件記錄的日志為：

WPS Office：[0]ID=804;PID=3652;N=wps. exe;T=2015-08-13 14:26:15;P=C:PROGRA~1 KingsoftWPSOFF~1Office6wps.exe;C="C:Program FilesKingsoftWPS Office ProfessionalOffice6wps.exe" "C:Documents and SettingsAdministrator桌面關于做好抗戰勝利70周年紀念活動期間電子數據取證工作的通知.doc";

M i c r o s o f t O f f i c e： [0] I D=6 5 8 8;P I D=3 6 5 2;N=W I N W O R D. EXE;T=2015-08-13 14:44:45;P=C:Program Files Microsoft OfficeOffice12WINWORD.EXE;C="C: Program FilesMicrosoft OfficeOffice12WINWORD. EXE" /n /dde;

同一個文件用WPS打開后，會記錄精確的打開時間，打開的文件名稱，而使用Microsoft Office軟件打開則不會記錄文件名。由于WPS軟件為免費軟件，在Office文件編輯方面做了本地化處理，在人群中安裝使用率較高。如果用戶的終端同時安裝了WPS Office，360殺毒軟件則可以從Log文件中找出文件被訪問過、被修改過的時間節點。

Office文件被修改過，Log文件記錄的日志為：

[0]ID=4272;PID=3652;N=wps.exe;T=2015-08-13 11:41:27;P=C:PROGRA~1KingsoftWPSOFF~1 Office6wps.exe;C="C:Program FilesKingsoftWPS Office ProfessionalOffice6wps.exe" "C:Documents and SettingsAdministrator桌面計算機犯罪現場勘驗.doc";

[1]I D=4 2 7 2;T=2 0 1 5-0 8-1 3 11:41:27;S=0;R=0;C=2;

[1]I D=5 6 6 0;T=2 0 1 5-0 8-1 3 11:41:39;S=0;R=0;C=0;

[0]ID=6700;PID=7784;N=wpsupdate. exe;T=2015-08-13 11:41:57;P=C:Program Files KingsoftWPS Office Professionalwtoolexwpsupdate. exe;C="C:Program FilesKingsoftWPS Office Professionalwtoolexwpsupdate.exe" /from:ksoend;

[0]ID=4632;PID=7784;N=updateself. exe;T=2015-08-13 11:41:57;P=C:Program Files KingsoftWPS Office Professionalwtoolexupdateself. exe;C="C:Program FilesKingsoftWPS Office Professionalwtoolexupdateself.exe" r;

以上日志記錄了文件“計算機犯罪現場勘驗.doc”在2015-08-13 11:41:27被打開，2015-08-13 11:41:57保存了該文件的更改信息。

3 計算機開關機時間取證分析

Log文件記錄的系統開機時間并不是十分準確，它所記錄的開機后的第一個進程System Idle Process啟動時間對應的秒位默認為是00，有精確秒位啟動時間的第一個進程為smss.exe，對應的log文件的名稱是以System Idle Process的啟動時間命名的，例如筆者本機的Log文件“2015-07-15-11-11-00.log”的前3行如下：

[0]I D=0;P I D=0;N=S y s t e m I d l e Process;T=2015-07-15 11:11:00;P=[System Process];C=;

[0]ID=4;PID=0;N=System;T=2015-07-15 11:11:00;P=System;C=;

[0]ID=984;PID=4;N=smss.exe;T=2015-07-15 11:12:05;P=SystemRootSystem32smss.exe;C= SystemRootSystem32smss.exe;

經過多次實驗發現，按下個人終端的電源開關的時間與Log文件記錄的進程System Idle Process的啟動時間相差在1分鐘以內。

Log文件記錄的關機時間也并非是系統徹底的關機時間，例如log文件2015-07-15-11-11-00.log記錄的向系統發出關機指令的時間：

[0]I D=3 8 2 0;P I D=1 4 8 8;N=l o g o n u i. exe;T=2015-07-15 17:52:04;P=C:WINDOWS system32logonui.exe;C=logonui.exe /status /shutdown;

在系統發出關機指令后，系統會關閉正常運營的用戶進程，等用戶進程完成相關數據保存之后在徹底關機。

4 用戶進程運行記錄取證分析

Log文件記錄的用戶進程的運行日志能夠有效幫助偵查人員分析嫌疑人的計算機行為，從而刻畫與嫌疑人有關的身份屬性，以筆者參與的一個實際案例來進行深度剖析。簡要案情：2013年3月5日22時30分許，某區派出所接群眾史某報警稱其母親劉某（1933年生）死于家中，屋內有大量被翻動痕跡，但貴重物品并未丟失。2013年3月8日，尸解報告顯示死者劉某的舌骨處于骨折狀態，是由于機械性窒息導致的死亡，死亡時間2013年3月5日16時許；家中有1個臺式電腦，主機機箱內裝有一塊硬盤，筆者對該硬盤的分析如下：

⑴ 從該機硬盤中提取到360殺毒軟件在2013年03月05日生成的4個Log文件，分別名為：“2013-03-05-06-29-00.log”、“2013-03-05-16-02-00. log”、“2013-03-05-16-20-00.log”、“2013-03-05-18-06-00.log”（ 見圖1）。

圖1 案發當天的360殺毒軟件生成的log文件

⑵對上述4個Log文件檢查分析發現該機的操作系統在2013年 3月 5日有4次開關機記錄，整理出最后3次開關機期間部分進程的運行情況，見表。

表 案發當天最后3次開關機期間部分進程運行情況

⑶ 在3次開關機期間該機多次運行了銀河證券、遠為軟件兩款炒股軟件。該機案發當天的使用人是資深股民或股票從業人員的可能性較大，同時該人登錄了QQ軟件，又卸載了QQ。

⑷該機硬盤中Sqlite數據庫文件Msg2.0.db（記錄QQ帳號聊天記錄的數據庫文件，見圖2）修改日期為2013年3月5日的QQ號有：A和B。使用美亞柏科取證大師軟件對硬盤鏡像中的QQ軟件進行取證分析后發現：QQ號A在該機上保存了登錄密碼，聊天記錄很少，最早的聊天記錄是2012年的QQ系統消息，經核實QQ號A為死者劉某生前使用；QQ號B沒有保存登錄密碼，其對應的Msg2.0.db的創建日期為2013年3月5日 ，結合死者的年齡（虛歲：80歲）且符合保存QQ密碼這一習慣，反之推測，QQ號B非死者本人所有的可能性較大。

圖2 Msg2.0.db文件修改時間對比

⑸ Log文件“2013-03-05-16-20-00.log”(見圖3)顯示距QQ號B對應的Msg2.0文件最后修改時間相差不到10分鐘，QQ軟件就被卸載，結合死者的尸檢死亡時間，說明該行為是故意消除QQ登錄痕跡的可能較大，這點極其符合嫌疑人在案發后消除犯罪證據的特點，QQ號B使用者的嫌疑進一步上升。

圖3 QQ軟件卸載記錄

⑹ 通過對QQ號B對應QQ空間中的照片、日志、說說綜合分析，明確了QQ號B的實際使用人為唐某，男，畢業于某職業技術學院計算機專業，曾在某證券公司工作，因工作違規被辭退。唐某到案后，對2013年3月5日殺害劉某一案供認不諱。

5 總結

運行在個人終端的殺毒軟件，可以視為一個被操作系統所認可的木馬，它時刻的掃描、監控用戶進程或可疑程序，有針對性地對用戶操作進行日志化歸檔，如果能掌握殺毒軟件的這些特征，能給偵查取證提供更多有價值的線索。

[1]聶凌.淺談電腦病毒與殺毒軟件[J].信息與電腦,2010(3):2-3.

[2]劉浩陽.計算機取證中Office文件的調查[J].信息網絡安全,2012(8):242-243.

（責任編輯：于 萍）

TP309

A

2095-7939(2017)01-0126-03

10.14060/j.issn.2095-7939.2017.01.022

2016-11-28

楊仕海（1985-），男，四川廣元人，重慶市公安局江北區分局工程師，主要從事網絡安全與電子數據取證研究。