暗网个人信息泄露(shadow web 黑暗网络)

　　暗网个人信息泄露(shadow web 黑暗网络)，新营销网红网本栏目通过数据整理汇集了暗网个人信息泄露(shadow web 黑暗网络)相关信息，下面一起看看。

　　随着互联网技术的快速发展，人们对上网的需求已经不局限于内容，而是更加关注网络信息内容、双方身份和通信方式的隐性保护。暗网是隐藏互联网用户的IP报文信息以保护个人隐私信息，实现反跟踪功能的手段。由于暗网的特点，目前对暗网的监管较少，而暗网的匿名技术使得普通手段很难追踪到暗网的用户。以上因素造成大量非法交易在暗网中进行，给执法部门的案件侦破带来很大困难。在分析了暗网中的一系列非法交易后，提出了一种基于虚拟专用网取证、内存取证、洋葱浏览器取证、数字货币取证、网络流量取证、镜像网站取证的取证方案，旨在固定和提取可疑人员利用暗网实施犯罪的证据。

　　内容目录

　　 1暗网概述

　　 2起黑暗网络犯罪案件

　　 3暗网取证的思路

　　 4暗网取证的实践

　　 4.1 VPN取证

　　 4.1.1服务器上的取证

　　客户取证

　　 4.2内存取证

　　记忆图像提取

　　 4.2.2记忆钥匙数据检索

　　 4.2.3内存转储文件的分析

　　 4.3 TOR浏览器取证

　　历史记录

　　 4.3.2下载记录

　　收藏夹

　　表格信息

　　 4.3.5取证在线监控平台

　　 4.4数字货币取证

　　 4.4.1日志信息

　　 4.4.2钱包信息

　　 4.4.3本地同步块记录

　　 4.5网络流量取证

　　 4.5.1暗网服务器流量取证

　　 4.5.2暗网中的客户端流量取证

　　 4.6镜像网站取证

　　 4.6.1镜像网站的模拟和取证

　　 5个结尾词

　　随着社会信息化的快速发展，网络犯罪日益增多，暗网也逐渐进入大众视野。

　　以冰山为例。普通人可以通过谷歌、百度等搜索引擎检索到的漂浮在冰山表面的网络信息被称为“Surface Web”，又称“王铭”。在冰山的表面下，隐藏着大量未索引的“深网”信息，比如邮件、朋友圈照片等。暗网是深层网络的一个子集，是匿名的，不可追踪的。它只能通过特定的软件、授权或计算机的特殊设置来访问。

　　犯罪分子为了逃避打击，从事贩毒、淫秽、拐卖人口等违法活动。在黑暗的网络中，这对社会和公众的安全构成了严重的威胁。，执法部门对暗网取证的需求越来越迫切。

　　一

　　暗网概述

　　暗网是在匿名网的基础上创建的。洋葱路由器(TOR)、隐形互联网项目(I2P)和Freenet是匿名网络的典型代表，其中TOR网络规模最大。

　　托尔出生在美国海军研究实验室。起初是为了躲避敌方监视，保证情报和通信安全而研究的。后来由于经费等原因，逐渐从军方走向民间，为暗网的建立奠定了重要基础。TOR是三重代理，也就是说TOR发出的每一个请求都会先经过TOR网络的三个节点。它通过一系列匿名代理节点对网络流量进行加密传输，执法人员无法通过普通网络流量追踪到原始用户。

　　比特币等虚拟数字货币通常用于暗网交易。比特币不是由国家政府发行，不受银行和金融系统监管，无法追踪资金流向。成为助长网络黑产犯罪的重要工具。

　　 2

　　黑暗网络犯罪案件

　　由于其固有的隐蔽性，暗网经常被用于个人行为，如网络黑客服务、数字货币交易和非法违禁物品(毒品、武器)的销售。尤其是近年来，暗网犯罪频发，国外一些大型暗网交易平台被摧毁，国内暗网相关犯罪频发。这些网站虽然违法，但由于暗网匿名技术的特点，关闭和关停的难度很大。

　　 2013年，据透露，“丝绸之路”的创始人a

　　图1“丝绸之路”暗网交易平台

　　 2019年10月，公安局网安部门侦破一起通过暗网出售500多万条手机注册信息开设银行账户的案件。犯罪嫌疑人通过即时通讯软件结识某安全工程师，以40万元的价格从该安全工程师处购买银行开户、手机卡注册等公民个人信息350余万条，通过暗网出售给他人，非法获利70余万元。

　　三

　　关于暗网取证的思考

　　根据洛克德的交换原理，每一次行走都会留下痕迹，暗网也不例外。在国内，接入暗网需要借助VPN等翻墙软件，可以通过复杂的匿名软件(如TOR洋葱浏览器)登录浏览。，由于暗网网站的特点，通常会在内存中留下访问的痕迹，而资金交易则需要通过比特币等虚拟货币来完成。

　　，可以尝试通过VPN取证、内存取证、TOR浏览器取证、数字货币取证、网络流量取证、镜像网站取证等方式，构建一个完整的关于暗网犯罪活动的证据链。

　　>

　　4

　　暗网取证的实践

　　4.1 VPN取证

　　VPN主要具有隐藏真实网络IP地址，绕过网络审查，避开国内防火墙访问境外网站，模拟地理位置，绕开网站访问的地理限制等特性。，在国内通常需要借助VPN作为代理访问暗网。

　　VPN取证主要涉及到服务端取证和客户端取证两部分。

　　4.1.1 服务端取证

　　（1）信息搜集

　　VPN服务器大多在外地或者境外，一般都会采用远程取证的形式。在远程取证前要先向相关人员取得VPN服务器的管理员口令，并且保证证据有效的前提下登录服务器、查看在线用户并立即修改管理员口令，防止其他人员恶意破坏证据。紧接着就需要提取系统时间、内存、网络状态、系统进程、端口、开机启动项、通信数据等容易丢失的数据 成镜像文件进行内存取证。

　　（2）关键数据提取

　　提取易失数据后，还需要提取VPS服务器中部署的VPN相关数据。VPN程序部署成功后会产生配置文件、日志文件等。从这些文件中可以提取到保护VPN的地址、证书配置信息、共享密钥认证信息、客户端连接后的IP地址段、认证用户名、密码以及当前连接服务器使用VPN的用户等。

　　4.1.2 客户端取证

　　VPN 客户端的重要信息都保存在配置文件中，以常见的shadowsocks为例，shadowsocks配置信息保存在gui-config.json文件中，可以直接解析到VPN类型、服务器地址、上行数据、用户名以及密码等重要信息。取证结果如图2所示。

　　图2 VPN 取证结果展示

　　4.2 内存取证

　　内存取证作为计算机取证科学的重要组成部分，是指从计算机物理内存和页面交换文件中查找、提取、分析易失性证据，是对传统的基于文件系统取证的重要补充，是对抗网络攻击或网络犯罪的有力武器。当系统处于活动状态时，物理内存中保存着关于系统运行时状态的重要信息，比如解密密钥、口令、打开文件、进程信息、网络连接、系统状态信息等。

　　针对暗网的内存取证主要包括两个方面内存镜像提取和内存关键数据检索。

　　4.2.1 内存镜像提取

　　FTK Imager 是一款专门用于创建电子证据文件、计算哈希值等功能的简易工具，再加上其支持各种操作系统和文件系统，并采取全文检索式的信息搜索技术，让取证人员可以快速地找到所需的电子证据。下面简要介绍提取内存镜像的过程

　　（1）启动 FTK Imager 应用程序；

　　（2）点击文件选择捕捉内存，弹出内存捕获窗口，支持自定义保存路径和文件名；

　　（3）点击捕获内存即可获取文件名为memdump.mem的当前系统内存文件。

　　具体操作 如图3所示。

　　图3 FTK 取证内存镜像操作

　　4.2.2 内存关键数据检索

　　检索 memdump.mem 内存文件中的关键数据，可以选择HxD或者Winhex等十六进制查看工具，然后使用暗网域名关键字“onion”进行搜索，就能查找到浏览暗网的相关痕迹信息。检索结果如图4所示。

　　图4 关键字检索

　　4.2.3 内存转储文件分析

　　程序在计算机上运行之前，需要被加载到内存中，内存取证就变得非常重要，这意味着所有被创建、检查或删除的程序或数据都将被保存到内存中。这其中包括图像、所有网页浏览活动、加密密钥、网络连接或进程的代码片段。在许多情况下，这些证据只能在内存中找到。

　　检索内存转储数据，可以使用Volatility进行内存取证，它提供了许多内存信息提取的命令。例如，可以使用volatility -f .vmem plist 查找跟VPN、TOR浏览器、比特币钱包等可疑进程。如果当前进程中没有找到，可以使用volatility -f .vmem connscan 命令查找之前终止的和当前活动的连接，该命令可以列出主机正在进行的通信，可以使用volatility -f .vmem sockscan确认这些通信的入站连接是否安全。

　　4.3 TOR 浏览器取证

　　TOR 浏览器的功能非常强大，它可以帮助用户突破几乎所有的网络限制，所以经常被犯罪分子用来浏览非法信息、进行非法交易。TOR浏览器取证主要涉及以下两个方面

　　本地数据取证和线上监控平台取证。本地内存信息可以用来提取内存中注册表信息和浏览器信息。本地注册表信息中可以提取到应用的安装时间和执行时间。本地缓存中可以提取到历史记录、下载记录、收藏夹和表单信息，这些信息可以用来做事件还原。线上监控平台则可以监控到暗网上违法交易信息发布等，可以第一时间通知受影响的企业或个人，并结合本地数据取证确定犯罪嫌疑人等。

　　4.3.1 历史记录

　　历史记录是用户浏览时的痕迹，通过分析历史记录，可以间接了解用户在上网时的浏览行为，历史记录保存在places.sqlite文件中，使用数据库工具打开places.sqlite文件。浏览网页时地址栏url链接保存在moz_places表中，具体信息如图5所示。

　　图5 TOR 历史记录

　　4.3.2 下载记录

　　TOR浏览器下载记录里会保存用户下载文件的源网站地址、文件保存路径、文件大小等信息，主要保存在places.sqlite文件中的moz_annos表中，具体信息如图6所示。

　　图6 TOR 下载记录

　　4.3.3 收藏夹

　　收藏夹通常是用户感兴趣或经常访问的地址 ，获取和分析收藏夹信息是很有价值的信息。这部分重要的信息主要有信息类型、页面标题、链接等。收藏夹数据保存在places.sqlite文件，使用数据库工具打开文件，表moz_bookmarks和moz_places保存有关收藏夹的信息具体信息如图7所示。

　　图7 TOR收藏夹

　　4.3.4 表单信息

　　表单信息通常是用户在浏览网页时输入的信息。分析表单信息可以获取到有价值的数据，例如账号、邮箱、手机号等。该部分数据保存在formhistory.sqlite文件中，使用数据库工具打开后，查看moz_formhistory表，重要的字段包括表单名称、表单值等信息，如图8所示。

　　图8 TOR表单信息

　　取证结果如图9所示。

　　图9 TOR取证结果

　　4.3.5 线上监控平台取证

　　针对暗网的线上监控平台，在github上已经有比较多的开源工具。比较好用的一款监控工具是DarkNetChinese，线上监控暗网主要采用爬虫技术，实时监控违法的交易信息。暗网的监控原理是使用TOR软件开放一个暗网代理，使用该代理即可像访问明文网站一样编写网页爬虫，具体效果如图10所示。

　　图10 DarkNetChinese 暗网监控工具

　　4.4 数字货币取证

　　数字货币具有数据公开透明、身份隐私保密、记录不可篡改、交易无法抵赖、去中心化网络和分布式共识等特性。

　　比特币作为区块链加密货币的先行者，深受游走在法律边缘的人士欢迎，并且区块链具有较好的匿名性，常常被用于掩盖犯罪行为，非法获利。数字货币取证主要以比特币（BTC）核心钱包为例，比特币核心钱包是比特币以及其它加密货币参考的开源客户端，是一款可以查询余额和交易比特币的软件。

　　主要证据包括日志信息、钱包信息、本地同步区块记录等。

　　4.4.1 日志信息

　　比特币核心钱包安装路径下可以直接找到该文件（Debug.log），从文件中可以获取到每次加载个人钱包的时间，钱包中的地址数据条数等，具体数据如图11所示。

　　图11 BTC 核心钱包日志信息

　　4.4.2 钱包信息

　　新建钱包后会在比特币核心钱包的目录下创建一个跟钱包名同名的文件夹，在文件夹里会保存一个存储钱包交易数据的文件 wallet.dat。重要信息如图12所示

　　tx交易数据；

　　destdata比特币地址数据（直接明文存储）；

　　purpose比特币地址数据（包括创建后删除的比特币地址，直接明文存储）。

　　图12 BTC 核心钱包信息

　　4.4.3 本地同步区块记录

　　比特币钱包客户端在登录时需要同步最近一段时间的区块记录，可以解析到本地同步区块中所有交易记录，能够在离线的环境下为取证提供有力的支撑。

　　比特币交易过程，产生的交易数据文件保存在../bitcoin/blocks(相对路径)，重要信息如图13所示

　　图13 BTC 核心钱包交易信息

　　Bitcoin 区块记录的目录结构如表1所示。

　　BTC 取证结果如图 14 所示。

　　图14 BTC 取证展示

　　4.5 网络流量取证

　　暗网流量在传输过程中会进行数据加密、混淆等操作，造成识别难度增大。针对典型暗网系统，分别从协议设计和实现机制分析，研究匿名通信系统中通信数据流的缓存、封装和调度机制，并对数据包的分布、流量、统计、属性等不同层面特性进行综合分析，筛选出匿名通信流量的可区分特性。在此基础上，可以采用合适的机器识别算法，实现对匿名通信流量的快速、精准在线识别。

　　暗网网络流量取证，是从大量的历史留存的暗网流量中分割和提取网络流量行为，依据流量行为对数据流进行特定的分类，可以分为暗网服务端流量和暗网客户端流量。

　　4.5.1 暗网服务端流量取证

　　暗网服务端流量分析，主要分析典型匿名通信系统 TOR 节点的选择算法，使用节点注入方式枚举在线桥节点，并根据协议特征来区分客户端、正常匿名入口节点和桥节点。通过数据分析推算枚举所有节点的时间，并根据数据分析结果部署，以达到最优的资源配置和最快的桥节点捕获速率。，在获取部分桥节点的基础上，通过对受控网络的监控，分析出入流量中存在的桥节点网络连接特征，从而关联更多的桥节点。

　　针对服务端流量取证，更多地是分析出目标网络流量的关键特征，过滤出需要的网络流量，采用可视化或者其他技术手段更方便快速地完成取证。

　　4.5.2 暗网客户端流量取证

　　暗网客户端的流量分析，主要通过研究暗网采用的安全传输和匿名协议，深入分析上层应用的暗网通信包长、时间间隔以及并发匿名链路数量等提取流量特征。，重点针对HTTP等典型暗网通信流量，通过被动和主动方式采集并预处理流量数据，提取特征生成指纹，建立所关注目标站点的指纹库，使用高效分类模型将未知暗网流量与指纹库中的数据进行匹配，分析出可能的暗网通信目的端。

　　4.6 镜像网站取证

　　暗网登录需要额外工具 , 并且网站域名比较复杂 , 导致暗网访问者相对表层网要少得多。由于暗网中复杂安全机制的设计 , 暗网访问速度明显要比表层网慢，一定程度上削弱了用户访问暗网的兴趣。，暗网并不适合作为大量犯罪团伙之间消息传播的主力军 , 而更像是“后备军和应急部队”。犯罪团伙将需要的资源备份到镜像网站上，通过匿名论坛、聊天室或者邮箱发布镜像网站链接地址。

　　镜像网站取证，主要就是镜像网站的仿真。

　　4.6.1 镜像网站仿真取证

　　（1）仿真服务器镜像

　　仿真服务器镜像包括系统重建、仿真网络验证、虚拟网卡设置等。

　　（2）分析服务器

　　分析服务器要查看网站信息、网站框架实现 、对应站点启动 、站点部署 等来实现正常启动站点访问网站。

　　（3）还原网站及数据库

　　还原网站需要找到站点配置数据，包括网站路径、网站结构和网站配置文件等。还原数据库需要找到数据库配置、账号密码等信息。

　　（4）导出后台管理中的涉案数据

　　网站还原后，可以根据需要将离线网页数据进行证据固定，以备后续使用。

　　5

　　结 语

　　由于暗网的匿名性及不可追溯性特点，互联网黑灰产等违法犯罪活动对匿名访问网络的需求增大，暗网已经成为此类人群上网的首选。当前从技术来说对暗网的屏蔽和封杀存在很多困难，但对于使用暗网进行违法犯罪行为的证据链相对固定，我们可以从各个角度进行研究进而有效追踪犯罪嫌疑人的身份。

　　互联网不是法外之地，暗网也是如此。通过简要阐述暗网的概念和特点，以及现有暗网犯罪证据链的分析，提出了暗网取证的 和思路，并从 VPN 取证、内存取证、TOR 浏览器取证、数字货币取证、网络流量取证、镜像网站取证等几个方面进行取证实践验证，可以快速还原案发现场、追溯犯罪嫌疑人的有效身份。暗网取证技术的不断完善，对执法机关打击暗网犯罪具有重要的现实意义。

　　 相关文章

　　一年级贺卡制作(图解手工贺卡的制作方法)

　　衬衫尺码对照表男士(服装尺寸号型常识)

　　在线手写查字(手写文字识别怎么识别)

　　描写建筑物的词语(常用成语大全)

　　游戏公司排名(游戏行业巨头排行榜)

　　通城虎（大唐传奇薛家将之薛刚）

　　草木灰的作用（草木灰的作用有哪些？）

　　江雪的作者（柳宗元的《江雪》，它到底好在哪里？）

　　白宝山案件（震惊全国的“白宝山案”）

　　植物界的活化石（8种植物界的活化石）

　　玫瑰茄的功效（玫瑰茄的功效与作用都有哪些）

　　刘晓庆有孩子吗（“四婚”没能生下一儿半女）

　　更多暗网个人信息泄露(shadow web 黑暗网络)相关信息请关注本文章，本文仅仅做为展示！