数码复印机电子取证系统的设计与实现

刘铁铭 张媛媛 薛兵 张有为

（1.战略支援部队信息工程大学 河南省郑州市 450000 2.32738 部队 河南省郑州市 450000）

（3.郑州信大先进技术研究院 河南省郑州市 450000）

1 引言

随着现代信息技术的快速发展和信息化社会的不断进步，数码复印机已成为信息化办公的标准设备。为满足用户不同场景的众多需求，数码复印机集成了越来越多的功能，为实现更多功能的拓展，数码复印机往往配备存储硬盘、网络接口等模块。数码复印机在方便用户的同时，安全风险问题随之而来。近些年数码复印机因使用监管不当造成的数据泄露案件已屡见不鲜，这给我国信息安全工作带来巨大的挑战。目前我国针对数码复印机的电子取证技术研究还很薄弱，缺乏行之有效的取证技术和方法。数码复印机电子取证系统能够对数码复印机中存储的图像数据和系统操作日志进行恢复取证，为公检法纪检监察等各级机构侦办案件提供有力支持。

电子数据取证是采取技术手段，获取分析、固定电子数据作为认定事实的科学。数码复印机在进行复印、传真、扫描等操作时，与之对应的图像数据会存储至数码复印机存储硬盘中。数码复印机电子取证系统主要是对数码复印机中图像数据进行恢复取证。针对复印机电子取证系统的功能要求，基于模块化的设计思想，给出了数码复印机电子取证系统的功能方案设计，研究了数码复印机图像数据恢复提取关键技术，提出了基于数据库管理系统的数据管理方案，并基于.NET 开发平台实现了数码复印机电子取证系统开发。通过实验验证分析数码复印机电子取证系统性能稳定，在实际应用中取得良好的效果。

2 数码复印机电子取证系统工作原理及功能分析

数码复印机电子取证系统的工作原理为：数码复印机电子取证系统通过友好的交互环境实现底层功能的透明化，由交互界面根据用户的任务配置参数通过控制耦合模式驱动中央控制控制器实现数码复印机中图像数据的恢复提取，并将数据信息存储在中央数据库中，同时，中央控制器将恢复提取的图像数据以合适方式显示，方便人机交互。

图1：数码复印机电子取证系统整体结构

图2：数码复印机在线模式交互

图3：数码复印机在线数据获取

数码复印机电子系统采用模块化设计，主要有数据提取模块、人机交互模块、数据管理模块、数据分析模块组成，系统的整体结构示意图如图1所示。人机交互模块封装了所有人机交互及输入输出的功能，其中包括系统登录、任务创建、数据提取、数据分析、报告导出等核心功能。数据提取模块分为在线模式和离线模式，在线模式下系统通过该网络端口直接访问工作状态下的数码复印机进行数据读取，离线模式下需要将数码复印机进行停机操作并拆卸数码复印机存储硬盘，系统通过只读设备对存储硬盘进行数据恢复提取。

图4：初始化数据结构

图5：文件系统扫描

图6：数据库结构

图7：数据取证流程

3 数码复印机电子取证系统功能实现

3.1 基于网络协议解析的在线数据获取

为了便于用户和管理员进行操作和管理维护，绝大部分的数码复印机都支持以Web 方式进行远程访问，只需要在同一局域网内访问数码复印机对应的IP，就可以登录数码复印机的Web 系统，此Web 系统提供众多接口，包括数码复印机存储的图像、系统操作日志等用户数据。

图8：实验测量装置

网络协议解析是指通过程序分析网络数据包的包头及其负载，从而了解网络数据包在产生和传输过程中的行为。该文提出采用基于Wireshark 的网络协议解析方式获取与数码复印机交互的具体命令及其参数，分析发现系统主要采用HTTP/HTTPS 协议，默认端口为80 端口，基于请求-响应模式。在模拟操作人员与该系统进行交互时，利用Wireshark 获取数据包，可以得出操作人员主要通过GET/POST 两种方式向数码复印机web 系统发起请求，由Web系统解析后返回响应数据包。如图2所示。

可以通过网络爬虫的方法自动获取用户数据和数码复印机数据信息。通过研究调研，尽管数码复印机品牌和型号繁杂但是数码复印机存储数据所在URL 地址有规律可循。网络爬虫方案首先根据不同的数码复印机品牌进行分类，同一品牌下的不同型号数码复印机进行细化。如图3所示。

考虑到数据获取的时效性问题，网络爬虫方案并没有对数码复印机Web 系统的全量URL 地址进行扫描和逐级爬取，而是采用人工分析的方法，对数码复印机的图像数据所在的URL 地址进行归纳和整理，建立了一个URL 地址特征库。对数码复印机相对应的URL 地址发送请求，基于Wireshark 获取请求和响应数据包，分析其请求头、请求方式、请求携带数据包以及响应数据格式。最后通过网络爬虫方式模拟整个请求-响应过程，从而自动得到数码复印机存储的数据内容。

3.2 基于逆向分析的离线数据获取

不同品牌不同型号的数码复印机在文件系统的选取设计和存储数据的压缩方式上都不尽相同。因此，需要对数码复印机逐一进行文件管理系统和存储数据格式进行逆向分析，为存储数据的正确恢复提供基础。

3.2.1 文件系统解析

经过分析研究数码复印机存储硬盘采用的文件管理系统常见的有FAT、EXT、UFS、XFS 等格式。文件管理系统类型确定后，对其数据存储结构和存储方法进行解析。将数码复印机存储硬盘清零，挂载系统后进行数据存储测试，在存储硬盘分区内寻找发生变化的文件夹，即是数据的存储位置。

表1：实验结果

自动化的获取数据文件主要分为三个过程：系统初始化、文件系统解析和数据提取。

（1）系统初始化。通过scan_system()函数获取已连接的物理设备数量，初始化数据结构，获取物理设备路径并扫描当前物理设备上的所有分区。如图4所示。

（2）文件系统扫描。打开目标设备，通过scan_partitions()函数读取0 号扇区开始，大小为1 个扇区的MBR 信息，获取MBR扇区内第i 号分区表项，读取其基本信息。如图5所示。

（3）数据提取。通过find_file()函数遍历分区，确定需要进行操作的分区（重要数据存储区域），获取当前分区根目录逐级遍历当前路径下所有目录和文件，发现匹配的目录逐级匹配文件或目录名，进行文件提取。

3.2.2 文件特征匹配

数码复印机的文件管理系统部分采用的是异构文件系统。对于文件管理系统未知的数码复印机我们提出采用基于文件特征的数据恢复提取算法。基于文件特征的数据恢复提取算法是利用文件特征与磁盘分区深度扫描相结合的方法。

根据文件的文件头特征信息和文件尾特征信息对数码复印机存储硬盘进行逐字节扫描，为了提高搜索的效率，我们以扇区为单位进行搜索。在扫描过程中首先对每个扇区的头部信息进行目标文件头特征信息匹配，如果某一扇区头部信息匹配到文件头特征信息，这就确定了该文件的起始位置。同理根据文件尾特征信息进行搜索匹配确定文件结束位置。将开始位置与结束位置之间的数据信息进行截取即是一个完整的数据文件。

3.3 数据库管理

数码复印机电子取证系统工作过程中，需要对数码复印机存储硬盘进行不断的数据信息读取、写入和处理。基于文件管理系统进行数据存储，优点在于数据可以长期保存，用户可以按文件名访问，按记录进行存取。缺点在于需要消耗大量的I/O，这样会造成数据的冗余度大，数据的共享性和独立性变差。应用数据库管理系统可以实现数据的结构化，这样就可以很好地解决基于文件管理系统进行数据管理出现的问题。数据库文件和应用程序相互独立，通过事务调度和并发控制，可以有效地对数据库文件进行读写、查询，实现数据的共享。同时借助于数据库管理系统提供的数据有效性性保护、完整性检查等安全机制，可以确保数码复印机电子取证系统具有优良的性能。

图9：数码复印机电子取证系统

数码复印机电子取证系统是一种用于检查取证系统，对数据的有效性和完整性、系统的读写速度要求较高，该文提出应用SQLite数据库构建一个微型数据库管理系统进行数据管理的技术方案。基于SQLite 数据库构建的数码复印机电子取证系统数据库结构如图6所示。

3.4 数据取证实现

程序编写基于Visual Studio2019 开发平台，C#为其编程语言。如图7，数据取证实现过程有：

（1）任务创建。选择要取证的数码复印机的品牌和型号，创建工作目录，用于存取数码复印机电子取证系统恢复提取到的数据文件。

（2）数据浏览。执行数据提取任务结束后，对恢复提取的图像数据以大图标形式或者列表形式展现，展现每张图像数据的大小尺寸、分辨率、创建时间等属性信息，方便分析取证。

（3）哈希校验。系统会对恢复提取的每一张图像数据进行哈希值的计算，确保固定数据的唯一性，便于后期的传输。

（4）数据导出。任务执行结束后，系统生成此次任务的取证分析报告，还支持对提取的数据进行打包压缩并进行哈希校验便于传输。

4 实验验证与结果分析

图10：取证结果

研究的数码复印机电子取证系统可以实现数码复印机的图像数据信息恢复提取和取证功能。图8所示为恢复取证东芝2555C 型号复印机的实验装置，包括数码复印机、存储硬盘及连接装置。图9为数码复印机电子取证系统主界面，主界面中有案件中心、添加证据、数据浏览、数据分析和报告导出五个主按键。

案件中心可以管理所有的案件；添加证据主要设定复印机名称、单位名称、复印机品牌、型号等基本信息；数据浏览提供恢复提取数据展现、数据导出等功能。典型界面如图10所示。

利用数码复印机电子取证系统对东芝品牌4 款型号数码复印机进行测试分析，现对东芝2000Ac、东芝2555c、东芝3040c、东芝3055c 共计4 款型号数码复印机分别扫描存储100 张样本文件，记录测试结果，如表1所示。

数码复印机电子取证系统可视化界面简洁、易操作，大大提高了人机交互的便利性，按照取证流程逐步操作即可。测试结果表明数码复印机电子取证系统可以有效满足取证过程中数据恢复提取和数码复印机数据取证的功能要求。

5 结语

针对数码复印机取证难的技术问题，该文给出了数码复印机电子取证系统的设计架构，研究了数据取证的关键技术，如网络协议解析、文件系统解析、文件特征匹配。研究了数码复印机电子取证系统的实现技术，并进行实验验证。

实验结果证明研制的数码复印机电子取证系统性能优异，能够有效对数码复印机中存储的数据信息进行有效恢复取证，该系统的研究为数码复印机取证工作提供有力支持，对我国的信息安全工作具有重大意义。