近期某案件当中,嫌疑人有充足的不在场证明,可是随后通过现场的一部路由器数据分析,执法机关又将该嫌疑人锁定为重大作案嫌疑人,案件细节我们出于保密义务,只讨论技术部分。
现场发现的一部路由器,交由我们公司协助分析,由于办案单位通过常规侦查手段已经拿到其登录密码,所以这个相对来说,门槛已经很低。
1.我们通过网页登录到这个路由器的后台配置界面:
我们在下图所示中,可以查看到WIFI设备,RJ45端口连接访问该路由器的记录,一些手机型号,mac地址都是可以显示在该页面中的,由于路由器是处于公共场所,所以这些数据对于本案件来说其实没有太多的意义。
上如所示非涉案路由器,出于对路由器厂商的保护,截图中未提及路由器品牌
2.我们通过ssh方式(winscp)登录到路由器,将所有后天数据dump下来
3.经过对dump出来的数据包进行分析,找到了一个tertfinfo文件:
4. 上图中16开头的数字我们一般判断为是linux时间戳的10进制标识,是设备连接到路由器的时间,可以通过在线工具转换成时间:
5. 通过嫌疑人使用的手机型号以及手机MAC地址去和路由器上的记录对比,判断有没没有连接记录,再通过路由器数据里的连接时间去和案件发生时间做对比,推翻之前的不在场证明!
路由器当中还有很多其他可以被我们用来引导案件走向的数据,需要我们花一些精力和时间去分析,在嫌疑人将手机数据删除格式化等等操作之后,像路由器这些电子产品依然能够给我们办案人员给与充足的有利条件解决案件溯源问题。
后面我们还会有通过对路由器“删除数据恢复”获取有价值证据的一个新颖案例,但是是要等案件结束后,小编给大家详细分享一下,针对于智能路由器的数据获取和分析我们已经着手大量研究添加至主打电子数据解析分析的软件RX-Analyze3001当中,希望RX-Analyze3001在办案人员使用过程中为案件提供有利的技术支撑。
河北阮咸科技有限公司
领取专属 10元无门槛券
私享最新 技术干货