基于家用智能攝像機日志文件取證案例分析

王琦　徐楊軍

摘? 要：由于目前家用智能攝像機技術不夠完善，設備存在缺陷以及黑客攻擊手段的多樣化等，使得智能攝像機的使用會給犯罪分子以可乘之機，導致智能攝像機成為犯罪分子非法利用的工具，給人們的生活帶來危害。文章通過對目前市面上常見的智能攝像機進行剖析研究，對智能攝像機中的視頻文件、日志文件進行取證分析，獲取相關的偵查線索和犯罪痕跡并進行分析，查找犯罪嫌疑人留下的犯罪痕跡，同時對日志文件進行取證固定，以形成電子數據證據在法庭起訴階段呈現。

關鍵詞：智能攝像機；日志文件；電子數據證據

中圖分類號：TP393? 文獻標識碼：A? 文章編號：2096-4706（2023）12-0018-05

Analysis of Forensic Cases Based on Home Smart Camera Log Files

WANG Qi， XU Yangjun

（Anhui Vocational College of Police Officers， Hefei? 230031， China）

Abstract： Due to the current inadequate technology of home smart cameras， equipment defects， and diverse hacker attack means， the use of smart cameras can provide criminals with opportunities to exploit them， causing smart cameras to become tools illegally used by criminals and posing a threat to people's lives. Through the analysis and research of the common smart cameras on the market at present， this paper conducts forensics analysis on the video files and log files in the smart cameras， obtains and analyzes the relevant investigation clues and criminal traces， finds the criminal traces left by the suspect， and at the same time， conducts forensics fixation on the log files to form electronic data evidence presented in the court prosecution stage.

Keywords： smart camera; log file; electronic data evidence

0? 引? 言

眾所周知，智能攝像機在開啟錄像后會默認在儲存卡或者網絡云端生成記錄兩類信息，一是攝像機所拍攝的視頻文件，二是攝像機在進行開啟、設置、登錄、傳輸、關閉等一系列操作后的日志信息。

視頻文件作為一種重要的電子證據，在許多重特大案件中的作用越來越凸顯。智能攝像機由于其獨特的功能性，更加要求偵查人員對視頻文件內容進行細致的分析。雖然智能攝像機由于生產廠家不同，視頻存儲位置、文件類型可能不同，但視頻文件都在存儲卡或者網絡云端中有所保存，文件系統、存儲方式等方面具有共性，研究這類視頻文件的取證具有重要的實際意義。

日志文件是開發者和系統管理者維護系統以及應用程序的兩個常用并且有效的方法。Android系統在運行時會產生很多、各種各樣的日志文件，以方便開發人員調試。Logcat日志是保存在系統內存中，也有的日志被以文件的形式存儲在設備的硬盤或者存儲卡中。

1? 智能攝像機日志文件分析

本文將以Ithink手立視Q1智能攝像機為例，通過對其日志文件進行分析，獲取相關電子數據證據。

將工作一段時間的攝像機存儲卡取出，以只讀方式接入電腦中，在攝像機在根目錄自動生成的文件夾中，日志文件以.log文件類型存儲于本地，其日志文件存儲目錄為：H：＼video＼.log，截圖如圖1所示。

在智能攝像機所記錄的日志文件中可以發現許多在視頻文件中可能無法發現的問題，尤其是針對黑客入侵相關的案件，或者因為撞庫、購買信息等其他惡意行為所導致的用戶的隱私泄露等案件，更需要日志文件中的內容為偵查人員和辦案人員提供線索。攝像機日志文件信息如圖2所示。這些數據非常細致并且在底層，數據信息冗雜寬泛，然而，這些數據可以提供重要的有關時間戳、活動以及終端設備開啟時間等豐富的信息。

圖2中所示的日志信息為logcat日志文件，可以用于顯示某個時刻被更新的系統和應用程序的調試信息列表。通過快速瀏覽以上簡短的日志信息，可以看到服務器端的設備版本號、IP地址、本地日期/時間信息，以及應用程序的相關細節。

日志非常詳細，以上給出的日志文件只不過是日志文件中的很小的一部分，每一個日志信息都以一個信息類型指示符開頭，具體含義如表1所示。

從Ithink手立視Q1所記錄的日志文件入手，分析和查看在其日志文件中所記錄的信息內容，查看是否存在對案件偵查起到關鍵作用的重要信息。

本次實驗利用Notepad++文本編輯器對該日志文件進行查看，并對信息內容進行分析判斷，選取其中對偵查線索有所幫助的信息，同時進行記錄，針對智能攝像機的一些共性問題，在后期開發一款能夠一鍵查找分析的工具軟件，減輕現場辦案的偵查人員的因為對計算機的不了解導致的偵查工作的停滯或者破案的難度。由于日志文件細節豐富，很多都是記錄設備本身調試信息，不具備偵查取證意義，為提取涉案信息，下文將利用截圖的形式將在Ithink手立視Q1中發現的有關案件線索的代碼列舉出來并對其加以分析。

1.1? 手立視登錄Wi-Fi信息

如圖3所示，這條日志信息記錄的是客戶端APP在注冊階段將無線網絡賬號、密碼通過聲波傳輸的方式發送給手立視設備，手立視在自己的日志文件中將無線網絡賬號密碼記錄了下來，從圖3可以看出無線網絡賬號為202，密碼為131415926。從這一點也可發現智能攝像機設備在安全防范方面的不足之處，作為賬號、密碼等隱私信息應當在代碼編寫過程中加密或者隱藏，而不應該以明文的方式記錄的系統日志當中，一旦遭遇黑客攻擊，對方將輕而易舉地獲取該用戶家庭無線網絡密碼，進而侵入家庭無線網絡，對連入家庭無線網絡中的其他設備，尤其是智能手機、筆記本電腦登數據信息抓包分析等其他行為，盜取用戶的網銀賬號、密碼、手機內短信驗證碼等，可能引發更深更嚴重的網絡犯罪。

1.2? 手立視基本信息

如圖4所示，這兩段日志信息是在Wi-Fi連接成功后對手立視設備基本信息的獲取，從截圖中可以發現其中記錄了該手立視設備為：dev_q1_3，本機所對應的局域網無線網絡IP地址為192.168.1.111，手立視設備Mac地址為cc：79：cf：ac：9b：25，連入無線網絡名稱為202，手立視設備系統版本號為1.25等。

這段信息記錄的是手立視設備本身的一些基本信息，尤其注意的是手立視設備連入無線網絡給分配的IP地址和自己本身的Mac地址，這些信息在偵查人員看來可能并沒有什么作用，既不能從中找尋犯罪嫌疑人的個人信息，又不能追查犯罪嫌疑人的行為軌跡。但是，這些基本信息從取證的角度來說卻是意義重大，在了解設備本身的基本信息后，在抓獲犯罪嫌疑人，可以從犯罪嫌疑人的手機客戶端或者PC端查看是否連入過我的智能攝像機設備，由于每一臺設備的Mac地址是唯一的，具有唯一性，所以，一旦當犯罪嫌疑人手機中記錄了我這臺設備的Mac地址信息，即可作為同一認定，認定犯罪嫌疑人曾經非法連入該智能攝像機設備。

1.3? 時間戳屬性

如圖5所示，由于電子證據在2012年《刑事訴訟法》修訂之后，在原有的物證、書證、證人證言中等傳統物證的基礎上增加了“電子數據”一新的證據形式，電子數據證據的法庭證明力也大大增加，其中在電子數據證明力上最重要的一點也就是電子數據的時間屬性，其是否符合案件發生的過程，是否有篡改等、時間屬性的不吻合很有可能會使得該證據證明力的滅失。

而在這條日志記錄中我們可以發現這是由手立視設備在連入互聯網后從默認的初始時間重定向為當前時區時間的過程，同時在之后的日志記錄中以當前時區互聯網時間為基準，保證了日志文件時間屬性的準確性。

1.4? 遠程登錄用戶信息

如圖6所示，用戶的登錄訪問信息是我們在偵查取證過程中需要著重注意的一點，同時也是犯罪嫌疑人在作案后留下痕跡的地方。在這段日志信息中我們可以發現，在clt-umac中，攝像機記錄了每一個登錄用戶的用戶名，即登錄用戶的手機號碼，如圖中所示的賬戶130XXXX2161，其登錄時設備的Mac地址9ca9e43defb4，如果是手機APP客戶端登錄則是手機的無線局域網地址，如果是利用筆記本電腦、臺式機等PC端登錄查看的。則是筆記本或臺式機的無線網卡地址。在ctl-innerip中，攝像機日志文件記錄了登錄用戶使用的IP地址信息192.168.1.110，偵查人員可以根據這一信息可以去確定犯罪嫌疑人所處的地理位置。

由于攝像機允許用戶設立15個子賬戶進行遠程登錄，實時觀看視頻，于是在同一個智能攝像機設備中可能同時存在幾個不同的賬戶登錄的信息。如圖7所示，在主賬戶130XXXX2161的設備的日志文件信息中我們發現了子賬戶180XXXX8011的登錄信息以及它的Mac地址和IP地址。再加上相關時間信息，我們就可以確實何人在何時何地對該攝像機設備進行了遠程訪問和查看。

登錄賬戶等信息的重要性在于不僅可以作為案件定罪量刑時的證據提供給法庭，更可以直接為偵查人員提供犯罪嫌疑人的相關信息，例如手機號碼、移動設備的Mac地址，IP地址等，根據這些信息又可以鎖定到犯罪嫌疑人自身的信息。對案件的偵破有著極大的幫助。

2? 智能攝像機安全防范措施

智能攝像機之所以能夠被網絡黑客遠程破解、控制其主要原因在于目前存在的網絡智能設備普遍存在兩點問題：首先是大多數的智能硬件設備包括本文所說的智能攝像機都是通過無線Wi-Fi與互聯網相連，而目前無線Wi-Fi的安全性，尤其是家用的無線路由器，無論從硬件配置還是密碼設置上，均相對較低。其次是智能硬件系統本身存在安全漏洞，網絡黑客通過后臺數據庫安全漏洞，使得攻擊者能夠獲得完整的后臺數據庫信息，由此黑客便可以利用安全漏洞奪取智能硬件設備控制權，隨時通過網絡攝像機觀察用戶生活起居情況，窺探用戶隱私。

作為以家庭安全防范為初心的網絡安全智能攝像機，購買和使用過程中需要做到以下幾點，以確保不被不法分子利用，真正地做到家庭安全、父母交流、孩子看管等提高生活品質，保障安全的作用。

2.1? 購買品牌攝像機

在選購智能攝像機時，要購買安全系數高的大品牌生產的攝像機，千萬不能圖便宜購買市場上的一些雜牌甚至冒牌的攝像機。

2.2? 注意攝像機擺放位置

在購買智能攝像機后，在家中的擺放位置也是十分重要的，一般不要安裝在衛生間或臥室這些私密空間，如果攝像機帶旋轉功能，在旋轉后的可視角度內也不能夠看到涉及隱私部分的畫面。

2.3? 安全的網絡連接

無線網絡犯罪已然成為現在犯罪的一種新形勢，無論是如今泛濫的電信詐騙案件還是用戶信息泄露案件，無處不體現了無線網絡尤其是Wi-Fi網絡安全性低的問題，在使用網絡安全智能攝像機時也需要保證連入安全的網絡，不要隨意連接陌生Wi-Fi，以防止信息被盜。

2.4? 設置安全密碼

用戶在設置密碼時盡量使用強密碼，密碼要使用數字、特殊符號和大小寫字母組合，這樣即便是黑客想要破解密碼信息也會耗費大量的時間。其次在路由器、攝像機等管理平臺上拒絕使用默認賬戶密碼登錄，更改成為自己獨立的登錄賬戶信息，避免給犯罪分子可乘之機。

2.5? 隨時升級更新固件

每一個軟件的編寫總會出現各式各樣的安全漏洞，有的是編寫之初為了后期維護的方便，程序員主動留有的后門，有的是程序之間引發的沖突導致的安全漏洞，在用戶使用期間，一旦發現安全問題，攝像機生產研發公司會根據漏洞原因編寫相對應的補丁軟件，這時候就要求用戶隨時更新攝像機固件信息，將已經出現的安全漏洞補上。降低用戶已經出現的可能風險。

2.6? 其他安全措施

除了上文所述的常規的安全保障措施之外，在使用智能攝像機的同時，也要注意自身的一些可能泄露隱私或者安全的行為，例如長時間不使用，或者家中長期有人無需監控時可以關閉攝像機（斷電），不要在攝像機前拍攝過于隱私的畫面等。一旦發現在攝像機使用過程中出現異常情況，要及時停止使用，并聯系相關專業人士進行檢修，以防止更嚴重的危害發生。

3? 結? 論

通過對上述家用智能攝像機日志文件的分析，可以看出市面上的很多產品仍然存在各式各樣的漏洞后門，給予不法分子可乘之機。作為消費者，在選取品牌攝像機的同時，也要加強自身的保護意識，避免任何可能的信息泄露。也希望國內的生產廠家除了在產品外觀，性能等方面不斷提升之外，更要在產品安全性上多下功夫，從源頭上杜絕信息泄露的可能。

參考文獻：

[1] 湯艷君，高洪濤，羅文華.電子物證檢驗與分析 [M].北京：清華大學出版社，2014.

[2] 謝希仁.計算機網絡：第8版 [M].北京：電子工業出版社，2021.

[3] 王珊，薩師煊.數據庫系統概論：第5版 [M].北京：高等教育出版社，2014.

[4]曾建偉，黃奕維，林偉堅.防火墻日志分析的關鍵技術 [J].教育信息技術，2018（Z1）：97-98.

[5]王春蘭，張小英.Windows系統日志取證分析簡述 [J].電子世界，2020（24）：21-22.

作者簡介：王琦（1991—），女，漢族，安徽合肥人，助教，碩士研究生，研究方向：刑法、民商法；徐楊軍（1991—），男，

漢族，安徽合肥人，講師，碩士研究生，研究方向：網絡安全與技術。

收稿日期：2023-01-11

基金項目：2022年度安徽省高校哲學社會科學研究項目“互聯網視聽節目版權監管法律制度研究”（2022skxm009）