1、智能路由器通常是指具有独立操作系统,可以由用户进展智能化管理的路由器。自2013年起,以小米路由器为代表的智能路由器逐渐成为用户的主流选择,也成为电子取证工作中一项新的挑战。智能路由器作为犯罪现场环境一个组成局部,其内部存储的用户数据可能为办案人员提供重要线索,是未来电子物证检验工作中必不可少的一个环节。本文将从智能路由器的取证目标和取证方法入手,以小米路由器的取证为例介绍如何对智能路由器进展取证。2、智能路由器系统介绍传统路由器是指以提供根本的网络功能为主的路由器产品,按照使用场景可分为家用路由器、企业路由器,按照传输方式又可分为无线路由器、有线路由器,比拟知名的厂商有TPLink、Dlin
2、k、华为等。传统路由器的操作系统主要有两类,一是由芯片厂商提供的开发套件SDK,二是实时操作系统,包含由美国风河公司开发的VxWorks操作系统,RedHat提供的eCos操作系统等,这两类操作系统是目前传统路由器市场的主流产品。有别与传统路由器,智能路由器提供了丰富的应用功能扩展,内置离线下载、内网检测、视频加速等功能,用户可以根据需求下载扩展应用图1。国内常见的厂商包括极路由、小米路由器等。智能路由器系统大多由开源系统开展而来,包括OpenWRT、Tomato、DD-WRT等几款操作系统。国内的智能路由器系统也大都由OpenWrt二次开发而成。图1应用功能扩展3、智能路由器取证3.1界面取
3、证路由器取证首先可以通过浏览器进入路由器的后台管理界面,在输入登录密码后,能获取到一些直观的根底的信息,比如连接到该路由器的设备信息,路由器运行的日志记录等。如下图是某路由器的日志信息,显示设备上发生的事件和活动日志。日志信息记录了路由器与终端设备之间的交互,终端设备使用MAC地址Medium/Media Access Control地址,用来表示互联网上每一个站点的标识符,采用十六进制数表示,共六个字节48位标识。图2路由器日志如下图是小米路由器的后台界面,设备管理界面显示了曾经连接到该路由器的终端设备名称,以与产生的流量统计。图3路由器管理信息在路由器的Wi-Fi设置界面,可以查看路由器的
4、Wi-Fi名称和密码,如如下图所示。图4路由器WiFi设置小米路由器出厂时预装的系统是普通用户使用的稳定版,用户可以通过一些操作,将系统更新至开发者版本。刷入开发者系统版本的小米路由器,在系统状态中可以下载路由器的运行日志。图5路由器日志下载下载后将会得到一个以时间命名的压缩包,解压后获得以下文件:图6日志文件“trafficd.log记录了连接过的终端设备的名称、MAC地址、IP地址等信息,如如下图所示:图7设备连接记录“messages日志文件记录路由器在运行过程中的大局部事件,分析该文件也将获得连接至该路由器的终端设备的MAC地址以与连接时间。图8日志事件3.2镜像分析智能路由器,如小米
5、路由器,配置有一块存储介质,用以安装路由系统和保存数据。取证手段与普通的计算机取证类似,可通过只读设备首先对其进展镜像,然后通过分析该存储介质,往往能获得更多信息。下文以小米路由器为例,介绍一般取证手段和思路。拆除小米路由器的底壳,能轻易地取出一块硬盘,与普通的笔记本硬盘一样。由于路由器系统使用的Linux内核,硬盘分区格式为ext4,无法直接挂载在Window系统下进展数据浏览,可对硬盘制作镜像,使用专用的镜像浏览工具来打开镜像文件,并查看文件和数据。图9小米路由硬盘加载镜像后,清晰地浏览到该路由器的文件系统,从中获取到关键信息。图10镜像文件3.2.1连接记录定位到文件/etc/xqDb,
6、这是一个sqllite数据库文件,使用专用的sqllite浏览工具打开该文件,在表“DEVICE_INFO中,记录了曾经连接至该路由器的终端设备的MAC地址和设备名称。图11记录数据库3.2.2日志在分区3,/usr/log 目录下,存放了大量的messages日志文件,从镜像中我们可以发现,直接从路由器的管理界面下载的日志并不完整,只包含了近期的两份日志,而镜像中留存了更早之前的日志记录。依据Linux日志管理系统的规如此,自动对日志进展截断或轮循、压缩以与删除旧的日志文件,在如下图中包含了最早的日志记录。图12日志文件图13文件记录内容结合日志记录与“/etc/xqDb中的MAC地址,可以
7、分析出某个终端设备的连接时间与断开时间,分别显示为:startSceneByDeviceStatus: mac=0c:41:3e:cd:5f:00, connected=1“connected=1 表示终端设备0c:00连接成功。Device Disconnet:0C:3E:CD:5F:00“Device Disconnet 表示终端设备0C:00断开连接。3.2.3用户文件在分区4/data 目录下存放了用户文件,该文件夹是一个共享文件夹,连接至该路由器的设备,即可在网络路径中访问这些文件图14用户数据文件智能路由器通常包含有远程操纵下载的功能,能将文件下载保存在路由器自带的硬盘中,文件夹的
8、下载记录也记录在相应文件中。定位到文件/thunderDB/etm.db,使用sqllite浏览工具打开该文件,在“task_info表中记录了相关信息,包括:“create_time-任务创建时间、“start_time-下载开始时间、“finish_time下载完成时间、“name-下载文件名、“path-文件保存路径,“url-下载地址。图15下载记录文件图16下载记录数据库3.2.4WIFI密码信息路由器将Wi-Fi信息存储在分区3“/etc/config/wireless文件中:option ssid WIFI_NAME显示该路由器无线名称为“WIFI_NAMEoption key ThisIsWifiPassword显示该路由器无线密码为“ThisIsWifiPassword图17无线密码记录4、完毕语伴随着“物联网、“智能家居等概念的兴起,路由器特别是智能路由器逐渐成为生活网络中必不可少的局部,在电子取证中越来越被重视,同时路由器中记录的某些关键信息也能在取证中扮演重要的角色。本文以常见的小米路由器作为案例深入分析和测试实验,从路由器后台管理平台和介质镜像文件等方面,粗浅地提出了一些智能路由器数据取证思路和方法,希望能对智能路由器数据检验提供一定帮助,同时也恳请同行给与批评指正。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1