引言
USB(通用串行总线,英文Universal Serial Bus)是连接计算机系统与外部设备的一种串口总线标准,也是一种输入输出接口的技术规范,从1996年面市以来,已从1.0版(传输速度从1.5Mb/s)发展到USB 3.1(理论速度10Gb/s),传输速率提升了5000多倍。
USB被广泛地应用于个人电脑、移动设备、摄影器材、数字电视(机顶盒)、游戏机等各个领域,比如日常使用的手机、U盘、移动硬盘、照相机,使用的都是USB接口,毫不夸张地说,USB已和我们的生活、工作密不可分。
USB作为计算机与其他存储设备连接不可或缺的外部接口,在电子数据取证工作中有着相当重要的作用,分析利用保存在计算机中的USB设备连接记录,也是电子数据取证中重要手段。
一、USB设备连接记录哪些信息
计算机会自动记录USB接口设备的连接信息,这些信息主要存在于注册表和系统目录下相关的日志文件中,当USB设备与计算机断开连接后,这些连接信息会依然存在。
在电子数据取证分析中,USB设备连接记录是被作为重要证据来对待的,记录中包含了USB的设备类型、厂商代码、产品代码、序列号、连接和断开时间等信息。
USB(Universal Serial BUS通用串行总线)协议规定,所有的USB设备都有VID(Vendor ID供应商识别码)和PID(Product ID产品识别码)。VID由供应商向USB-IF(Implementers Forum应用者论坛)申请,每个供应商的VID是唯一的;PID由供应商自行决定。主机通过VID和PID来识别不同设备,根据它们(以及设备的版本号),可以给设备加载或安装相应的驱动程序。VID和PID的长度都是两个字节,常见的各大供应商的VID和PID,可以通过http://www.linux-usb.org/usb.ids查询。
USB还定义了种类代码信息,它被用来识别设备功能,以便根据这些功能加载驱动,这些信息包含在基类、子类和协议3个字节里。设备里两个地方可以存放种类代码信息,一个是设备描述符,另一个是接口描述符。 (具体定义见USB官网: http://www.usb.org/developers/defined_class)
二、USB设备连接信息有什么用
电子数据取证分析从本质上讲,可以看作是传统刑事侦查手段的延伸和拓展,它同样遵循刑事侦查的基本原则,目的是通过电子数据所留下的痕迹,查找涉案线索,还原犯罪现场,固定犯罪证据,认定侵害结果。
USB设备连接信息就是行为人使用多种外接设备的一种痕迹,它向鉴证人员提供了鼠标、键盘、打印机、手机、移动存储介质、网银身份认证设备、企业法人一证通等信息。这些信息往往需要与具体案情结合起来综合分析,相关设备的VID、PID和序列号等信息也可以和其他涉案电子设备进行比对,从中还原行为人在某个时间的行为轨迹,为完善证据链提供重要的信息。
【案例一】在星瀚反舞弊中心曾经调查的一起侵犯商业秘密案件中,涉案人员利用工作便利获取了公司文件服务器高级权限后,通过公司内部网络连接服务器,下载大量设计图纸文件,随后复制到移动硬盘,并删除原始文件。案发后,电子数据取证人员对涉案电脑进行了数据恢复,锁定了涉案图纸文件,并提取了涉案电脑上操作日志和USB移动硬盘连接的设备序列号和连接时间,通过综合比对分析,清晰还原了涉案人员行为轨迹,完善了证据链,使案件得以顺利突破。
【案例二】在另一起职务侵占案件中,涉案人员通过设立“白手套”公司,签订虚假合同,非法转移公司资金。案发后,涉案人员辩称,该“白手套”公司系正常经营,双方合作系正常业务往来,案件陷入僵局。电子数据取证人员提取了涉案电脑上的USB设备连接记录,重点筛选出设备类型为“网银U盾”、“企业法人一证通”的USB设备,通过与委托人公司相关设备进行比对,发现了多个非本公司的网银U盾和法人一证通设备,经与外围调查反馈信息比对,确认为涉案“白手套”公司所有,从而印证了该涉案人员同时实际控制多家公司,相关合同、转账均系其一人操作的行为,为顺利突破案件起到了关键性的作用。
三、需要重点关注的几类USB设备
(一)移动存储介质(U盘、移动硬盘):最常见的USB接口设备,是日常办公、转移和保存电子文件的主要载体,较多出现在涉嫌侵犯著作权、知识产权案件中。
(二)手机:容易被忽视的USB设备。手机常被视为移动通信工具和掌上信息处理终端,而在实际应用中,很多用户仍有使用USB线连接手机和电脑进行数据传输、文件备份的习惯,由连接信息分析,往往可以得到曾经连接电脑的手机部分信息,为进一步调查案情提供线索。
(三)网银U盾:容易被忽视的USB设备。网上银行转账是一种常规的资金转移手段,目前大部分网上银行的登录、确认交易等操作均需要使用“U盾”(不同银行的验证设备可能为不同名称,但基本功能一致)来验证身份,虽然通过USB连接记录无法直接获取网银账号和交易信息,但可以从VID、PID得知银行名称,而设备序列号的唯一性也常应用于案件调查,帮助我们锁定证据物品,完善证据链。
(四)企业法人一证通:容易被忽视的USB设备。对于企业用户来说,“法人一证通”是登录工商、税务等主要办事网站、系统的“身份证”和“钥匙”,如税务系统软件ETAX和个税申报系统,需要插入“法人一证通”,输入密码,才可以正常访问使用,是企业日常财税工作必不可少的工具。在调查企业财务人员舞弊行为的过程中,“法人一证通”在电脑上的使用痕迹,可以在某种程度上印证涉案人员诸如超越财务权限、直接控制“白手套”公司等舞弊行为,也可以为询问涉案人员提供直接或间接的证据支撑,增强威慑力。
作者:星瀚内控与反舞弊法律中心 周晓鸣
