智能路由器數(shù)據(jù)取證研究

1、智能路由器數(shù)據(jù)取證研究1、 引言隨著近年來移動互聯(lián)網(wǎng)的迅猛發(fā)展，移動上網(wǎng)終端數(shù)量已經(jīng)超過個人電腦，正在成為人們接入互聯(lián)網(wǎng)的主要方式。最直觀的改變是移動互聯(lián)網(wǎng)使互聯(lián)網(wǎng)的接入終端形態(tài)發(fā)生變化，互聯(lián)網(wǎng)業(yè)務(wù)及信息也正逐步從以個人電腦為中心向以手機(jī)等移動終端為中心轉(zhuǎn)變。隨之而來的是各類路由器的不斷普及，在一些大的城市里各類路由設(shè)備已覆蓋了城市的各個角落。這為我們公安機(jī)關(guān)辦理相關(guān)案件提供了新的思路，如何能在案發(fā)現(xiàn)場，通過提取周邊相關(guān)路由設(shè)備內(nèi)的信息，為案件提供有力的線索，成為擺在我們面前的一個嶄新的課題。以下我們將以小米路由器為例，介紹一下相關(guān)的取證步驟及原理。智能路由器通常是指具有獨立操作系統(tǒng)，可以由用

2、戶進(jìn)行智能化管理的路由器。自2013年起，以小米路由器為代表的智能路由器逐漸成為用戶的主流選擇，也成為電子取證工作中一項新的挑戰(zhàn)。智能路由器作為犯罪現(xiàn)場環(huán)境一個組成部分，其內(nèi)部存儲的用戶數(shù)據(jù)可能為辦案人員提供重要線索，是未來電子物證檢驗工作中必不可少的一個環(huán)節(jié)。本文將從智能路由器的取證目標(biāo)和取證方法入手，以小米路由器的取證為例介紹如何對智能路由器進(jìn)行取證。2、 智能路由器系統(tǒng)介紹傳統(tǒng)路由器是指以提供基本的網(wǎng)絡(luò)功能為主的路由器產(chǎn)品，按照使用場景可分為家用路由器、企業(yè)路由器，按照傳輸方式又可分為無線路由器、有線路由器，比較知名的廠商有TPLink、Dlink、華為等。傳統(tǒng)路由器的操作系統(tǒng)主要有兩類

3、，一是由芯片廠商提供的開發(fā)套件SDK，二是實時操作系統(tǒng)，包含由美國風(fēng)河公司開發(fā)的VxWorks操作系統(tǒng)，RedHat提供的eCos操作系統(tǒng)等，這兩類操作系統(tǒng)是目前傳統(tǒng)路由器市場的主流產(chǎn)品。有別與傳統(tǒng)路由器，智能路由器提供了豐富的應(yīng)用功能擴(kuò)展，內(nèi)置離線下載、內(nèi)網(wǎng)檢測、視頻加速等功能，用戶可以根據(jù)需求下載擴(kuò)展應(yīng)用（圖1）。國內(nèi)常見的廠商包括極路由、小米路由器等。智能路由器系統(tǒng)大多由開源系統(tǒng)發(fā)展而來，包括OpenWRT、Tomato、DD-WRT等幾款操作系統(tǒng)。國內(nèi)的智能路由器系統(tǒng)也大都由OpenWrt二次開發(fā)而成。圖1應(yīng)用功能擴(kuò)展3、 智能路由器取證3.1 界面取證路由器取證首先可以通過瀏覽器進(jìn)入

4、路由器的后臺管理界面，在輸入登錄密碼后，能獲取到一些直觀的基礎(chǔ)的信息，比如連接到該路由器的設(shè)備信息，路由器運行的日志記錄等。下圖是某路由器的日志信息，顯示設(shè)備上發(fā)生的事件和活動日志。日志信息記錄了路由器與終端設(shè)備之間的交互，終端設(shè)備使用MAC地址（Medium/Media Access Control地址，用來表示互聯(lián)網(wǎng)上每一個站點的標(biāo)識符，采用十六進(jìn)制數(shù)表示，共六個字節(jié)（48位）標(biāo)識。圖2路由器日志下圖是小米路由器的后臺界面，設(shè)備管理界面顯示了曾經(jīng)連接到該路由器的終端設(shè)備名稱，以及產(chǎn)生的流量統(tǒng)計。圖3路由器管理信息在路由器的Wi-Fi設(shè)置界面，可以查看路由器的Wi-Fi名稱和密碼，如下圖所示

5、。圖4路由器WiFi設(shè)置小米路由器出廠時預(yù)裝的系統(tǒng)是普通用戶使用的穩(wěn)定版，用戶可以通過一些操作，將系統(tǒng)更新至開發(fā)者版本。刷入開發(fā)者系統(tǒng)版本的小米路由器，在系統(tǒng)狀態(tài)中可以下載路由器的運行日志。圖5路由器日志下載下載后將會得到一個以時間命名的壓縮包，解壓后獲得以下文件：圖6日志文件“trafficd.log”記錄了連接過的終端設(shè)備的名稱、MAC地址、IP地址等信息，如下圖所示：圖7設(shè)備連接記錄“messages”日志文件記錄路由器在運行過程中的大部分事件，分析該文件也將獲得連接至該路由器的終端設(shè)備的MAC地址以及連接時間。圖8日志事件3.2 鏡像分析智能路由器，如小米路由器，配置有一塊存儲介質(zhì)，用

6、以安裝路由系統(tǒng)和保存數(shù)據(jù)。取證手段與普通的計算機(jī)取證類似，可通過只讀設(shè)備首先對其進(jìn)行鏡像，然后通過分析該存儲介質(zhì)，往往能獲得更多信息。下文以小米路由器為例，介紹一般取證手段和思路。拆除小米路由器的底殼，能輕易地取出一塊硬盤，與普通的筆記本硬盤相同。由于路由器系統(tǒng)使用的Linux內(nèi)核，硬盤分區(qū)格式為ext4，無法直接掛載在Window系統(tǒng)下進(jìn)行數(shù)據(jù)瀏覽，可對硬盤制作鏡像，使用專用的鏡像瀏覽工具來打開鏡像文件，并查看文件和數(shù)據(jù)。圖9小米路由硬盤加載鏡像后，清晰地瀏覽到該路由器的文件系統(tǒng)，從中獲取到關(guān)鍵信息。圖10鏡像文件3.2.1 連接記錄定位到文件/etc/xqDb，這是一個sqllite數(shù)據(jù)庫

7、文件，使用專用的sqllite瀏覽工具打開該文件，在表“DEVICE_INFO”中，記錄了曾經(jīng)連接至該路由器的終端設(shè)備的MAC地址和設(shè)備名稱。圖11記錄數(shù)據(jù)庫3.2.2 日志在分區(qū)3，/usr/log 目錄下，存放了大量的messages日志文件，從鏡像中我們可以發(fā)現(xiàn)，直接從路由器的管理界面下載的日志并不完整，只包含了近期的兩份日志，而鏡像中留存了更早之前的日志記錄。依據(jù)Linux日志管理系統(tǒng)的規(guī)則，自動對日志進(jìn)行截斷（或輪循）、壓縮以及刪除舊的日志文件，在下圖所示文件中，messages.5.gz中包含了最早的日志記錄。圖12日志文件圖13文件記錄內(nèi)容結(jié)合日志記錄與“/etc/xqDb”中的

8、MAC地址，可以分析出某個終端設(shè)備的連接時間與斷開時間，分別顯示為：startSceneByDeviceStatus: mac=0c:41:3e:cd:5f:00, connected=1“connected=1” 表示終端設(shè)備0c:41:3e:cd:5f:00連接成功。"Device Disconnet:0C:41:3E:CD:5F:00"“Device Disconnet” 表示終端設(shè)備0C:41:3E:CD:5F:00斷開連接。3.2.3 用戶文件在分區(qū)4/data 目錄下存放了用戶文件，該文件夾是一個共享文件夾，連接至該路由器的設(shè)備，即可在網(wǎng)絡(luò)路徑中訪問這些文件圖1

9、4用戶數(shù)據(jù)文件智能路由器通常包含有遠(yuǎn)程操縱下載的功能，能將文件下載保存在路由器自帶的硬盤中，文件夾的下載記錄也記錄在相應(yīng)文件中。定位到文件/thunderDB/etm.db，使用sqllite瀏覽工具打開該文件，在“task_info”表中記錄了相關(guān)信息，包括：“create_time”-任務(wù)創(chuàng)建時間、“start_time”-下載開始時間、“finish_time”下載完成時間、“name”-下載文件名、“path”-文件保存路徑，“url”-下載鏈接地址。圖15下載記錄文件圖16下載記錄數(shù)據(jù)庫3.2.4 WIFI密碼信息路由器將Wi-Fi信息存儲在分區(qū)3“/etc/config/wireless”文件中：option ssid 'WIFI_NAME'顯示該路由器無線名稱為“WIFI_NAME”option key 'ThisIsWifiPassword'顯示該路由器無線密碼為“ThisIsWifiPassword”圖17無線密碼記錄4、 結(jié)束語伴隨著“物聯(lián)網(wǎng)”、“智能家居”等概念的興起，路由器特別是智能路由器逐漸成為生活網(wǎng)絡(luò)中必