摘要：通过对调证的云服务器镜像文件，恢复网站的运行环境，对网站数据进行鉴定的方法研究。

关键词：云服务器镜像；网站；恢复；电子数据司法鉴定

当前，随着互联网技术的快速发展和移动终端的普及，各类网络犯罪活动呈现出高发态势。特别是以电信网络诈骗、跨境网络赌博、新型网络传销为代表的违法犯罪行为，正在以更加隐蔽的技术手段和更加复杂的组织形态持续蔓延。

涉案网站后台服务器作为网络犯罪的核心载体，往往存储着会员信息、资金流水、管理员操作日志等关键证据。然而在电子数据司法鉴定实践中，单纯以网站后台数据库作为鉴定检材，往往面临诸多技术困境：一方面，随着分布式存储、微服务架构等新型技术的广泛应用，数据库结构日趋复杂，表与表之间的关联关系如同精密交织的网络，难以快速厘清；另一方面，部分犯罪团伙为逃避侦查，刻意将数据加密存储或采用非标准的数据格式。更棘手的是，许多非法搭建的网站未按规范标注表结构注释，字段命名随意性强，甚至使用加密或混淆处理，导致关键数据字段的真实含义难以破译。这些技术障碍极大增加了电子数据司法鉴定的难度。

本文结合实际案例通过对服务器镜像的网站环境恢复，构建与原始后台高度一致的虚拟环境，在面对数据库结构混乱、数据加密混淆等难题时，采用使证据更直观的显示出来的方法进行探讨。

1.案情介绍

某公安局在侦办一起贵金属交易诈骗案中，需对调取的阿里云8个服务器镜像里，涉案后台中管理员信息、会员信息、会员充值提现情况、会员盈亏情况、人员层级等数据进行鉴定。

2.后台网站恢复过程

将检材中送检镜像通过只读接口拷贝到检测设备中，并验算复制镜像文件与原始镜像文件校验值。通过FTK预览所有镜像文件中目录结构，发现m-2ze4dnqfe4idpmbbxnt8_system.raw和m-2ze4dnqfe4idpmbbxnt8_data_xvdb.raw这组镜像文件中有网站文件，m-2zeb15pwop7xr6niqzr3_system.raw和m-2zeb15pwop7xr6niqzr3_data_xvdb.raw这组镜像文件中有Mysql数据库文件。

本次在Ubuntu18.10系统下使用“Virtual Machine Manager 2.2.1”虚拟机管理器来仿真运行送检镜像文件，它可以更好地支持raw格式的镜像文件，仿真运行的系统环境更流畅。

仿真运行m-2ze4dnqfe4idpmbbxnt8_system.raw和m-2ze4dnqfe4idpmbbxnt8_data_xvdb.raw镜像，搭建主机名称为“iZ2zea2ykbzf6gxtmtfwwbZ”服务器运行环境（以下简称“网站服务器”），服务器操作系统为CentOS release 6.8，服务器“eth0”网卡原始IP地址为“172.17.216.255”，修改“eth0”网卡为本地IP地址“192.168.2.240”。

在网站服务器“etc/nginx/conf.d/member.kjzxfx.com.conf”Nginx配置文件中确认涉案网站域名，网站文件目录为“alidata/html/www_mt4_yii/member.kjzxfx.com”

进入网站目录“alidata/html/www_mt4_yii/member.kjzxfx.com/protected/config/main.php”文件配置信息中发现，网站名称为“某某管理系统”、网站数据库类型“mysql”、数据库IP地址为“39.106.135.31”、连接端口为“13306”、数据库名称为“creatrader”、数据库连接用户名为“webroot”、数据库连接密码为“6s-2015-Apple-creat”。

仿真运行m-2zeb15pwop7xr6niqzr3_system.raw和m-2zeb15pwop7xr6niqzr3_data_xvdb.raw镜像文件，搭建主机名称为“iZ2ze0fgixk7tl9gpj2jh5Z”服务器运行环境（以下简称“数据库服务器”），服务器操作系统为CentOS release 7.2.1511，服务器“eth0”网卡原始IP地址为“172.17.217.7”，修改“eth0”网卡为本地IP地址“192.168.2.241”。

根据调证时的注册信息发现“172.17.217.7”IP地址对应的外网IP地址为“39.106.135.31”，数据库服务器与网站配置文件中数据库IP地址一致。

将网站目录“alidata/html/www_mt4_yii/member.kjzxfx.com/protected/config/main.php”文件中数据库IP地址修改为数据库服务器IP“192.168.2.241”。

修改检测电脑中hosts文件配置，将网站域名与网站服务器IP关联，使用浏览器访问涉案域名，就可以进入后台登录界面了。

根据网站main.php文件中数据库账号及密码，使用Navicat连接数据库服务器，在“creatrader”数据库内的“sys_client”表中找到超级系统管理员的账号和密码，密码为MD5加密状态，使用已知的加密密码替换掉管理员密码。

使用账号admin和替换的新密码成功登录后台，涉案后台网站搭建完成，以后就可通过网站直观地进行数据鉴定工作。

3.讨论

网站环境恢复是一项复杂工作，涵盖服务器、数据库、代码及其他依赖组件等多个领域，易出现服务器无法启动或配置错误、数据库无法恢复或数据异常、代码兼容性或部署错误，以及缓存服务器等依赖组件连接故障等复杂状况，需结合实际情况，通过专业检测、工具修复、配置核对、代码更新适配等手段逐步排查故障并优化解决。

通过网站环境恢复的对网站数据鉴定比起直接通过数据库鉴定，具备以下优点：

①直观展示，降低鉴定门槛。网站环境恢复后，鉴定人员能够以用户视角直接浏览网站的实际页面呈现效果。不同于数据库中复杂的表格与代码，网站页面将数据以图文并茂、结构化的形式展示，如新闻网站恢复环境后，文章标题、作者、发布时间、正文内容等一目了然，电商网站的商品名称、价格、库存等信息也直观清晰。这种直观的展示方式，不仅极大地降低了数据理解的难度，即使是非专业的数据库操作人员，也能快速把握数据的整体情况与关联关系，有效提升鉴定工作的效率与准确性。

②代码定位，精准锁定数据位置。网站环境恢复完整保留了网站的前端与后端代码。当鉴定人员需要定位特定数据时，可依据页面元素，通过网站代码中的 HTML 标签、CSS 样式规则以及后端逻辑代码（如 PHP、Python 等脚本），快速追溯到数据在数据库中的存储位置。例如，在一个论坛网站中，若要查找某条帖子的相关数据，可通过帖子展示页面的 HTML 代码找到对应的数据调用函数，进而确定数据库中存储该帖子数据的表与字段，实现精准定位，避免在庞大的数据库中盲目搜索，节省大量时间与精力。

③明确含义，消除字段歧义。数据库字段的含义往往依赖于开发文档或特定的命名规则，然而在实际操作中，可能存在开发文档缺失、命名不规范等情况，导致鉴定人员对字段含义产生误解。通过网站环境恢复进行数据鉴定时，数据在页面上的展示形式与用户交互方式，能够清晰地揭示数据的实际用途与含义。以用户注册页面为例，数据库中 “字段 A” 若仅从名称难以判断其用途，但在网站页面中，通过 “字段 A” 对应的输入框提示文字 “请输入身份证号”，鉴定人员可立刻明确该字段存储的是用户身份证号码，从而避免因数据库字段含义不明确而造成的错误判断，确保数据鉴定的准确性。

④破解加密，突破数据壁垒。随着数据安全意识的提升，数据库中的部分敏感数据常采用加密存储方式，直接从数据库获取这些加密数据，鉴定人员往往难以解读其真实内容。而网站在运行过程中，必然存在对加密数据的解密操作逻辑，这些逻辑隐藏在网站代码中。通过分析网站环境恢复后的代码，专业鉴定人员能够找到数据解密的算法、密钥等关键信息，实现对加密数据的正确解密与还原。例如，对于用户的登录密码数据，在数据库中可能以哈希加密形式存储，通过分析网站的登录验证代码，可获取密码的加密与解密机制，进而对密码数据进行有效的鉴定与分析，突破数据加密带来的鉴定障碍。

各位同行，在当下数字化进程加速的大环境里，各种网络诈骗、赌博、传销、非法经营等案件中网站后台数据的重要性愈发凸显。在实际工作中，我深刻体会到，相较于直接通过数据库进行数据鉴定，通过网站环境恢复开展数据鉴定有着独特且显著的优势，在此分享经验，期望能与大家共同交流学习，碰撞出更多专业火花。

参考文献：

[1]王玉薇。《大数据背景下电子数据的审查与认定》，中国司法鉴定，2017(6): 10-17

[2]邹锦沛， 何思乐， 许志光， 姚兆明， 黎耀明， 许榕生， 麦永浩， 范晓曦。《网络犯罪分析：用户及系统的多视图分析方法》，中国司法鉴定， 2012(5): 59-65

[3]黄步根。《密码破解技术》， 中国司法鉴定， 2010(6): 33-46

[4]SF/Z JD0400001-2014《电子数据司法鉴定通用实施规范》

[5]GA/T 1480-2018《法庭科学计算机操作系统仿真检验技术规范》