4166am
www.ifeng7777.com
技术分享:网站类鉴定

本所鉴定人员在工作中接到一起计算机司法鉴定委托,委托方要求我所对“XX网”网站中会员的基本信息和广告位投资金额进行提取和统计。与委托方沟通后了解到,该送检材料为委托方委托阿里集团拉取的阿里云服务器上的文件,其中包含网站文件和数据库文件。

近年来,互联网+的不断发展,推动经济形态不断地发生演变,从而带动社会经济实体的生命力,为改革、创新、发展提供广阔的网络平台。然而,科技的飞速发展也给非法集资和传销等类型的犯罪提供了新的成长土壤。本次鉴定的网站涉及就是非法集资类犯罪。

 

从委托方提供的文件中,我们提取到了所需要的网站文件和数据库文件。涉及到网站数据分析的案件,一般情况下,网站文件和数据库文件是必不可少的,数据库文件中存储了该网站中所有的数据,其重要性不言而喻,而网站文件的一般都纪录了数据库中所有数据的含义,以便于网站会员和管理人员更方便的阅读和理解。

 

针对此类型案件,我们分析的重点是将网站页面中显示的数据与数据库中的数据关联起来,这就需要在本地搭建网站运行所需要的环境,将该网站在本地仿真运行,运行成功后,根据页面的显示的数据和数据库中的数据相对应,获取数据库中各数据表的含义。最后根据需求,构造SQL语句,导出所需数据。

 

一般情况下,我们可以通过网站某些特征文件来确定该网站运行所需要的环境。比如本次鉴定中,我们发现其网站文件目录下存在“thinkphp”目录、“tpl”目录和“thinkphp.php”文件,该网站服务器安装了apache服务和MySQL数据库服务,该网站部分文件使用php语言编写,由此可判断该网站使用Apache+MySQL+php的架构,且该网站在制作时使用了Thinkphp框架。

ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP,遵循Apache2开源协议发布,从Struts结构移植过来并做了改进和完善,同时也借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。

 

本次鉴定所需要用到的软件有:VMware Workstation 12.5虚拟机程序、Navicat for MySQL 11.0数据库管理工具、NotePad++文本编辑器、Google Chrome浏览器和XAMPP 5.6 PHP集成包。

 

1.配置环境

根针对不同类型的网站,搭建不同的运行环境,一般情况下网站运行环境有Apache+MySQL+php,或Tomcat+MySQL+Java,我们可以使用对应的软件集成包来配置环境。本次鉴定中所用的XAMPP(Apache+MySQL+PHP+PERL)是一个功能强大的建站集成软件包,可以很方便的帮我们建立一个网站运行环境,而且XAMPP默认设置了Apache配置文件和MySQL配置文件中很多参数,使我们不需要修改太多内容就可以在本地运行网站。

 

1.1  搭建虚拟机

 

在“VMware Workstation”中搭建一个操作系统为“Windows 7 X64”的虚拟机,该虚拟机的配置如下图所示:

在VMware Workstation中开启虚拟机“Windows 7 X64”,虚拟机界面如下所示:

在虚拟机中安装XAMPP 5.6版。安装完成后,程序界面如下所示:

在虚拟机中安装Navicate forMySQL 11.0版。安装完成后程序界面如下所示:

将上述导出的网站文件复制到该虚拟机中的“C:\xampp\htdocs\”目录下,将上述导出的数据库文件复制到该虚拟机中的“C:\xampp\mysql\data\”目录下。

 

1.2  配置服务器

修改apache服务器的地址、端口和网站目录。在XAMPP Control Panel中选择Apache的“Config”按钮,选择Apache配置文件httpd.conf,在该配置文件中找到“Listen 80”这一行,将该行内容修改为“localhost:80”,结果如下所示:

在httpd.conf文件中搜索“DocumentRoot”,结果如下所示:

将上述内容中的路径修改为“C:/xampp/htdocs/(网站文件所在目录)”,结果如下图所示:

1.3  配置数据库

在该虚拟机中打开XAMPP ControlPanel,点击MySQL的Start按钮启动MySQL服务。

 

在该虚拟机中打开Navicat软件,使用该软件新建一个MySQL的连接,连接配置如下所示:

连接成功后可以看到本地已存在的数据库,截图如下所示:

 

查看目录“C:\xampp\htdocs\(网站目录)\data\conf\”下db.php文件,该文件中记录了该网站连接的数据库的相关信息。该网站连接的数据库类型为MySQL数据库,结果如下所示:

将其中连接数据库的密码设置为空。

 

 

2.网站运行,获取登录名和密码

 

网站搭建完成后,就可以运行该网站了。在Chrome的地址栏中输入“localhost”,成功访问该网站主页:

访问成功后,接下来就需要登录网站了,一般情况下,我们拿到了网站源代码,可以观察网站整体运行流程,从而找到纪录用户名和密码的数据库。本次鉴定中获取登录名和密码的过程如下:

 

 

点击主页上“登陆”按钮,进入登录界面:

查看该页面的网页源代码,发现该页面中form表单的action属性值为“/index.php?g=user&m=login&a=dologin”,该页面中“登录”按钮的type属性值为“submit”,该界面中账号输入框的name属性值为“username”,界面中密码输入框的name属性值为“password”,截图如下所示:

上述发现表明:用户在点击“登录”按钮时,该网站会将用户输入的账号和密码提交到网站链接“/index.php?g=user&m=login&a=dologin”中。该链接中“g=user”表示网站的User模块;“m=login”表示LoginAction.class类;“a=dologin”表示LoginAction.class类中的dologin函数。查看目录“C:\xampp\htdocs\(网站所在目录)\application\User\Action”下LoginAction.class.php,找到该类中的dologin函数,结果如下图所示:

该函数的含义为:根据界面上输入的用户名,到数据库的User表中查询该用户,当用户以用户名登录时,查找User表中的“user_login”字段;当用户以邮箱登录时,查找User表中的“user_mail”字段。在Navicat中查看User表中内容,截图如下所示:

该表中“user_login”字段和“user_pass”字段分别记录了用户的用户名和密码。经检验,部分“user_pass”字段的值为字符串的md5值。使用上述“User”表中的用户名和密码登录该网站,登录成功后结果如下所示:

上述结果表明:数据库User表中纪录了用户的账号和密码信息,且部分用户的密码存储的是用户明文密码的MD5值。

 

3.网站后台分析

 

考虑到一般网站都会有管理员后台,以方便管理员对网站进行管理,推测本次鉴定的网站也存在网站后台。查看网站文件的目录结构,发现其中存在“aSOisDSdweWEPmDSE”目录,该目录下只有一个index.php文件,文件内容为:

 

在浏览器中输入“localhost/aSOisDSdweWEPmDSE”,结果成功进入系统后台:
太阳城3122.com
修改系统数据库中管理员账户的密码为“111111”,登录成功后截图如下所示:

点击该页面中“用户管理”按钮,选择“用户组”按钮,选择“本站用户”按钮。结果如下所示:

在后台管理结果我们可以非常清晰地看到网站所有会员的基本信息以及财务流水纪录,这对我们理解该网站的运作模式有很大的帮助。

 

 

4.网站中会员金额分析

在非法集资类案件中,网站中的会员金额信息是一个重要信息,金额的大小以及准确度是委托方关注点的重点。本次我们以网站中会员提现金额为例,分析网站中会员提现流程。

使用数据库中的账号和密码登录该网站,查看“财务中心\提取”页面:
mm72232
该页面中包含了该用户使用虚拟币提现的记录。查看“提现”标签的超链接地址“index.php?g=Userinfo&m=Userinfo&a=tixian”,进入“C:\xampp\htdocs\(网站所在目录)\application\Userinfo\Action”目录下查看UserinfoAction.class.php文件,该文件中存在tixian函数,截图如下所示:

上述代码含义为:从Cashout表中获取数据并将结果赋值给tixian.html模板文件;从Bili表中以id=1为条件获取stags字段的值,并将结果赋值给tixian.html模板,然后输出该模板文件。查看该模板文件:

从上述内容发现数据库中Cashout表的stags字段表示为提现的虚拟币数;addtime字段表示为时间。

 

查看上述tixian.html模板文件的网页源代码:

上述内容表明:Cashout表中is_type字段的取值不同,代表含义不同。is_type=0表示待审核状态;is_type=1表示提现成功状态;is_type=2表示驳回;remark字段表示提现失败原因。

上述内容表示,当点击申请提现按钮时执行javascript函数shenqing()。查看该函数的内容:

该段代码中使用了上述传递给该模板文件的Bili表中的stags值,Bili表内容如下所示:

由上述内容可知,虚拟币和人民币兑换的比例为1:1。

上述记录表明数据库中Cashout表保存了会员用户提现虚拟币币的记录,在该网站中,虚拟币与人民币兑换的比例为1:1。

 

使用SQL语句查询会员用户提现金额,该SQL语句内容如下:

将上述SQL语句查询结果导出至“网站会员提现金额.xls”文件中,文件内容如下图所示:

由此,我们可以得出该网站中所有会员的提现金额,并且可以得到所有会员的提现总额。

 

5.总结           

 

针对此类型的鉴定,鉴定人员不仅需要对网站开发与部署有比较深入的了解,还需要一定的代码解读能力。针对不同类型的网站,搭建不同的运行环境网站成功运行后,就需要我们对网页源代码进行分析了。通过查看网站前端页面中数据展示的过程,我们可以将页面中的数据与数据库中的数据关联起来,从而对数据库中各个表数据的含义有了一个明确的解释。最终,我们可以在导出的数据列中加上中文注释,使得导出数据更加便于阅读与理解。

 

查看目录“C:\xampp\htdocs\(网站目录)\data\conf\”下db.php文件,该文件中记录了该网站连接的数据库的相关信息。该网站连接的数据库类型为MySQL数据库,结果如下所示:
mm72232
太阳城3122.com
明升m88亚洲娱乐城
Copyright © 2002-2017 - 版权所有
太阳城3122.com
返回顶部明升m88亚洲娱乐城
www.ifeng7777.com