智能路由器数据取证研究.doc

智能路由器数据取证研究1、 引言随着近年来移动互联网的迅猛发展，移动上网终端数量已经超过个人电脑，正在成为人们接入互联网的主要方式。最直观的改变是移动互联网使互联网的接入终端形态发生变化，互联网业务及信息也正逐步从以个人电脑为中心向以手机等移动终端为中心转变。随之而来的是各类路由器的不断普及，在一些大的城市里各类路由设备已覆盖了城市的各个角落。这为我们公安机关办理相关案件提供了新的思路，如何能在案发现场，通过提取周边相关路由设备内的信息，为案件提供有力的线索，成为摆在我们面前的一个崭新的课题。以下我们将以小米路由器为例，介绍一下相关的取证步骤及原理。智能路由器通常是指具有独立操作系统，可以由用户进行智能化管理的路由器。自2013年起，以小米路由器为代表的智能路由器逐渐成为用户的主流选择，也成为电子取证工作中一项新的挑战。智能路由器作为犯罪现场环境一个组成部分，其内部存储的用户数据可能为办案人员提供重要线索，是未来电子物证检验工作中必不可少的一个环节。本文将从智能路由器的取证目标和取证方法入手，以小米路由器的取证为例介绍如何对智能路由器进行取证。2、 智能路由器系统介绍传统路由器是指以提供基本的网络功能为主的路由器产品，按照使用场景可分为家用路由器、企业路由器，按照传输方式又可分为无线路由器、有线路由器，比较知名的厂商有TPLink、Dlink、华为等。传统路由器的操作系统主要有两类，一是由芯片厂商提供的开发套件SDK，二是实时操作系统，包含由美国风河公司开发的VxWorks操作系统，RedHat提供的eCos操作系统等，这两类操作系统是目前传统路由器市场的主流产品。有别与传统路由器，智能路由器提供了丰富的应用功能扩展，内置离线下载、内网检测、视频加速等功能，用户可以根据需求下载扩展应用（图1）。国内常见的厂商包括极路由、小米路由器等。智能路由器系统大多由开源系统发展而来，包括OpenWRT、Tomato、DD-WRT等几款操作系统。国内的智能路由器系统也大都由OpenWrt二次开发而成。图1应用功能扩展3、 智能路由器取证3.1 界面取证路由器取证首先可以通过浏览器进入路由器的后台管理界面，在输入登录密码后，能获取到一些直观的基础的信息，比如连接到该路由器的设备信息，路由器运行的日志记录等。下图是某路由器的日志信息，显示设备上发生的事件和活动日志。日志信息记录了路由器与终端设备之间的交互，终端设备使用MAC地址（Medium/Media Access Control地址，用来表示互联网上每一个站点的标识符，采用十六进制数表示，共六个字节（48位）标识。图2路由器日志下图是小米路由器的后台界面，设备管理界面显示了曾经连接到该路由器的终端设备名称，以及产生的流量统计。图3路由器管理信息在路由器的Wi-Fi设置界面，可以查看路由器的Wi-Fi名称和密码，如下图所示。图4路由器WiFi设置小米路由器出厂时预装的系统是普通用户使用的稳定版，用户可以通过一些操作，将系统更新至开发者版本。刷入开发者系统版本的小米路由器，在系统状态中可以下载路由器的运行日志。图5路由器日志下载下载后将会得到一个以时间命名的压缩包，解压后获得以下文件：图6日志文件“trafficd.log”记录了连接过的终端设备的名称、MAC地址、IP地址等信息，如下图所示：图7设备连接记录“messages”日志文件记录路由器在运行过程中的大部分事件，分析该文件也将获得连接至该路由器的终端设备的MAC地址以及连接时间。图8日志事件3.2 镜像分析智能路由器，如小米路由器，配置有一块存储介质，用以安装路由系统和保存数据。取证手段与普通的计算机取证类似，可通过只读设备首先对其进行镜像，然后通过分析该存储介质，往往能获得更多信息。下文以小米路由器为例，介绍一般取证手段和思路。拆除小米路由器的底壳，能轻易地取出一块硬盘，与普通的笔记本硬盘相同。由于路由器系统使用的Linux内核，硬盘分区格式为ext4，无法直接挂载在Window系统下进行数据浏览，可对硬盘制作镜像，使用专用的镜像浏览工具来打开镜像文件，并查看文件和数据。图9小米路由硬盘加载镜像后，清晰地浏览到该路由器的文件系统，从中获取到关键信息。图10镜像文件3.2.1 连接记录定位到文件/etc/xqDb，这是一个sqllite数据库文件，使用专用的sqllite浏览工具打开该文件，在表“DEVICE_INFO”中，记录了曾经连接至该路由器的终端设备的MAC地址和设备名称。图11记录数据库3.2.2 日志在分区3，/usr/log 目录下，存放了大量的messages日志文件，从镜像中我们可以发现，直接从路由器的管理界面下载的日志并不完整，只包含了近期的两份日志，而镜像中留存了更早之前的日志记录。依据Linux日志管理系统的规则，自动对日志进行截断（或轮循）、压缩以及删除旧的日志文件，在下图所示文件中，messages.5.gz中包含了最早的日志记录。图12日志文件图13文件记录内容结合日志记录与“/etc/xqDb”中的MAC地址，可以分析出某个终端设备的连接时间与断开时间，分别显示为：startSceneByDeviceStatus: mac=0c:41:3e:cd:5f:00, connected=1“connected=1” 表示终端设备0c:41:3e:cd:5f:00连接成功。Device Disconnet:0C:41:3E:CD:5F:00“Device Disconnet” 表示终端设备0C:41:3E:CD:5F:00断开连接。3.2.3 用户文件在分区4/data 目录下存放了用户文件，该文件夹是一个共享文件夹，连接至该路由器的设备，即可在网络路径中访问这些文件图14用户数据文件智能路由器通常包含有远程操纵下载的功能，能将文件下载保存在路由器自带的硬盘中，文件夹的下载记录也记录在相应文件中。定位到文件/thunderDB/etm.db，使用sqllite浏览工具打开该文件，在“task_info”表中记录了相关信息，包括：“create_time”-任务创建时间、“start_time”-下载开始时间、“finish_time”下载完成时间、“name”-下载文件名、“path”-文件保存路径，“url”-下载链接地址。图15下载记录文件图16下载记录数据库3.2.4 WIFI密码信息路由器将Wi-Fi信息存储在分区3“/etc/config/wireless”文件中：option ssid WIFI_NAME显示该路由器无线名称为“WIFI_NAME”option key ThisIsWifiPassword显示该路由器无线密码为“ThisIsWifiPassword”图17无线密码记录4、 结束语伴随着“物联网”、“智能家居”等概念的兴起，路由器特别是智能路由器逐渐成为生活网络中必不可