点击上方蓝字"小谢取证"一起玩耍
前言
云服务器具有隐蔽性和匿名性、可快速部署、成本低等特征,备受诈骗团伙青睐。我们在办理涉网案件过程中,发现绝大多数的涉案网站或APP的后台均位于各云服务器商。但在获取到镜像数据后,后续的勘验对普通侦查员来讲,则有不小的难度。为此,给大家带来一篇实际案件当中涉案云服务器镜像的快速勘验过程进行记录与分享,供大家参考,不当之处请批评指正!
准备工具
·美亚超级取证大师
·VMware Workstation
·Trae CN
工具说明:
美亚超级取证大师用于对镜像进行快速取证、系统仿真;
VMware Workstation用于配合取证大师运行系统仿真;
Trae CN(AI编程工具)用于分析涉案网站。
勘验目的
固定犯罪证据、挖掘线索
勘验过程
本案中,涉案APP下载网址为ys***y.cc,我们通过ping命令或站长工具,查询到该网址的服务器IP为103.***.***.**
通过站长工具(网址:https://tool.chinaz.com/),我们查询到该IP的运营商为xxx网络有限公司
随即获取到该云服务器镜像,是一个大小为30G的服务器镜像文件.
下载美亚产品试用平台(网址https://myai.sdic.com.cn/gtznn/kjcx/cpsypt/sypt/webinfo/2025/06/1749546427745731.html)下载超级取证大师,通过钉钉注册美亚账户并申请一个月试用授权。
在取证大师新建案件,选择"计算机镜像解析"功能,加载服务器镜像文件,选择对应的取证策略,即可开始取证。
取证结果十分详细,已达到我们的取证需求。
远程访问记录
最后登录的远程主机IP:42.**.**.***
快速分析涉案网站
将6个涉诈网站源代码导出到本地
打开Trae CN,加载每一个文件夹,让其对每个网站的源代码进行分析,给出分析意见。(这边关于使用Trae进行网站分析可以参考文章:电子数据取证之使用Trae进行网站取证)
最终我们发现该服务器仅用于涉诈网站、APP的下载使用。
利用取证大师对服务器镜像进行仿真,有助于更直观勘验服务器内容。
将镜像加载至取证大师,系统会自动加载镜像并将管理员root账号的密码设置为123456。在系统仿真界面点击打开虚拟机,在终端输入用户名、密码即可进入服务器终端界面
在终端登录界面,我们也可以看到最后登录该服务器的IP为42.**.**.***
在终端输入ifcofnig命令查看服务器网络配置,发现该服务器未配置网络。
输入dhclient命令,让路由器给该服务器自动分配一个IP,在终端界面输入/etc/init.d/bt default命令,查看宝塔面板登录信息
在浏览器输入服务器IP+端口+安全入口即可登录宝塔面板https://192.168.153.129:8889/rainy
自此,该服务器镜像数据勘验结束,通过勘验我们发现嫌疑人是通过远程登录这台服务器进行操作。为了更深入挖掘线索,我们将继续挖掘登录这台服务器的远程主机42.**.***.**的镜像数据。
42.**.***.**主机的镜像仅为8.7G大小的文件,推测是一个VPN跳板机。
用取证大师加载镜像文件并进行取证解析,发现该服务器安装了xl2tpd软件,该软件常用于搭建 VPN服务
在终端记录中也发现了安装l2tp(VPN)的记录
通过进一步勘察,可以确定该服务器仅用于运行VPN服务。
为了挖掘真正的操作者,我们将xl2tpd的运行日志发送给deepseek AI,发现47.**.**.***多次成功连接了这台服务器
至此,可以看出嫌疑人利用多个服务器跳转后部署涉案网站,具有较强的反侦察意识
下一步工作,继续对服务器47.**.***.**镜像进行追踪,深挖涉案线索。
总结
本次勘验,主要利用美亚公司的超级取证大师对涉案服务器镜像进行取证以及系统仿真。相较于手动转换格式、修改登录密码再进行勘验,可大幅降低勘验的技术门槛以及节约大量的勘验时间。
通过Trae CN AI编程工具对网站源代码进行分析,可以快速掌握网站的功能及架构。
运用DeepSeek等AI工具,对软件运行日志进行分析,可以快速查找到我们所需要的涉案线索。
敬请各位大佬关注:小谢取证
扫取二维码获取
更多精彩
小谢取证
