VIP 视频解析APP 的检验鉴定
吴玉强,吴育宝,韩硕
(南京森林警察学院,江苏南京210023)
要:近年来,一种开发手机APP 侵入主流视频网站并盗播VIP 视频资源从而非法牟利的犯罪也越来越多,而业
内针对VIP 视频解析APP 的检验鉴定缺少相应技术标准,为解决此问题以达到打击此类案件的目的。从VIP 视频解析APP 的基本概念和原理出发,结合检验的所涉及的法律法规,通过搭建检测环境,对检材APP 的视频数据获取行为进行固定和检验,并对检验过程中的一些具体问题及技术进行分析解读。利用此方法可验证VIP 视频解析APP 能够播放所抽选的视频,同时有效获取视频板块播放所抽选的VIP 视频内容来源的真实IP 地址,并确保了检验鉴定的科学性、严谨性。利用以上的检验鉴定方法及标准可完成对非法VIP 视频解析APP 的检验鉴定,此方法符合相关法律法规。通过对VIP 视频解析APP 的基本概念和原理出发,结合检验的所涉及的法律法规,通过一个检验鉴定实例并对检验过程中的一些具体问题进行分析解读,以期对同类案件的检验提供一个行之有效的检验分析过程和方法。关键词:网络黑产;视频解析;APP 中图分类号:DF794;TP393
文献标志码:B
doi :10.3969/j.issn.1671-2072.2020.02.015
文章编号:1671-2072-(2020)02-0101-04
收稿日期:2018-09-04
基金项目:江苏高校哲学社会研究项目(2018SJA0575);江苏高校品牌专业建设工程资助项目(PPZY2015A058)
作者简介:吴玉强(1988—),男,工程师,硕士,主要从事电子数据取证和网络犯罪侦查。E-mail :****************。
鉴定论坛ForensicForum
近年来随着网络通信的全面普及,网络黑产犯罪也越演越烈,其中一种开发手机APP 非法侵入主流视频网站并盗播VIP 视频资源从而非法牟利的犯罪也越来越多。由于整条黑产业链包括了非法解析视频服务提供商、手机APP 开发运营商、实体激活卡总代理及各地核心代理店等等复杂环节,所以对公安机关实现此类犯罪的全链条打击提出了更高的要求,而针对此类非法解析视频网站VIP 资源APP 软件(以下简称VIP 视频解析APP )的检验鉴定在案件的侦办过程中就显得尤为重要。
1VIP 视频解析APP 简介
APP ,全称Application ,主要是指安装在智能手
机上的软件应用。目前主流的APP 版本主要有基于安卓(Android )的APK 安装包和基于苹果(IOS )的IPA 安装包。
随着人们生活质量的提高,很多人将大量时间花在观看手机视频上,而获取视频最快捷的方式就是在手机上安装各种门户网站的视频APP 软件,常见的有腾讯视频、爱奇艺视频、优酷视频、乐视视频、芒果TV 、搜狐视频等。这些视频APP 所提供的绝大部分视频是可以免费观看的,但有越来越多的用户愿意为获取更优质的视频内容及观影体验而支付会员服务费以观看APP 上的VIP 视频。通过付费,用户可以获得了更好的视频服务,如免广告、观看最新电影、电视资源等。当前,部分主力视频网站平台付费用户数量已经达到千万级别。以腾讯视频和爱奇艺为例,截至2018年6月30日,腾讯视频付费会员达7400万,同比增长121%。其中,2018年第二季度总收入近737亿元人民币,同比增长30%;而爱奇艺会员规模达6710万,其中付费会员为6620万。可以说视频平台发展VIP 会员的能力将成为促使其良性快速发展的关键。
目前像爱奇艺VIP 、腾讯视频VIP 、优酷VIP 、乐视视频VIP 的年卡价格都是198元上下,这个价格对于一般消费者来说还是略高的,于是在利益的驱动下,一些不法分子未经相关视频企业的授权,
101··
“研发”出非法VIP视频解析APP进行售卖,用户只需花费20元甚至更低的价格便可通过该软件观看包括腾讯视频、爱奇艺、乐视等在内的国内十几家视频网站的VIP会员资源的服务。
在2018年6月,江苏南通警方侦破的一起公安部督办的特大提供侵入计算机信息系统工具案件中,犯罪团伙开发的此类非法VIP视频解析APP,通过代理商将APP电子卡密制作成实体激活卡,在全国各地的多家手机维修店、网络终端销售市场以及网店推广售卖。仅短短1年时间,已发展销售代理近千人,发行实体激活卡超过3千万张, APP活跃用户总数达到360余万,广告收益逾百万元,涉案金额逾亿元。由于作案手段隐蔽,使得包括腾讯、爱奇艺等多数权益受损企业直至案发仍毫无所觉,经济损失数额较大。
2VIP视频解析APP的基本原理
这类VIP视频解析APP的开发者通常租用第三方的解析源,用户通过APP可直接跳转到相关视频网站,然后再点击想看的VIP视频资源后,APP 会把视频地址发送给服务器,再由服务器自动解析,解析成功后用户便可直接观看。这样就相当于用户借助这个APP解析视频真实地址对视频网站进行了入侵,实现用户在非会员的情况下也能观看付费VIP视频资源。这个解析其实就是模拟生成一段会员密匙,让视频误认为访问者就是会员。
解析地址的提供者是这些非法手机APP得以运行的关键,在搜索引擎上搜索相关关键词可以看到大量提供视频网站VIP资源解析服务的网站。而我国目前对此类第三方解析源网站尚未进行广泛打击和集中整治,导致了利用此类解析源开发非法解析APP获取腾讯等视频资源行为屡禁不止。
3VIP视频解析APP的检验鉴定
此类VIP视频解析APP具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能,根据我国《刑法》第二百八十五条及、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中第二条、第三条的相关规定,提供此类APP的个人或单位情节严重的行为涉嫌提供侵入计算机信息系统工具罪。因此针对VIP视频解析APP的检验鉴定在此类案件的侦办中尤为重要,而该检验的焦点就在于此类非法APP 是否突破了腾讯、爱奇艺等视频网站的计算机信息系统安全验证机制,未经授权获取了VIP视频资源,这就需要我们对APP的视频数据的获取行为进行固定和检验。
4VIP视频解析APP的检验鉴定实例
4.1简要案情
2017年8月开始,多人通过出售“乐尚视界”“橙子视频”“酷视界”等APP视频会员卡进行获利。经查,上述三款APP在未经腾讯视频、爱奇艺等视频播放平台许可的情况下具备提供其VIP视频播放的功能。
4.2鉴定要求
对检材APP的视频数据获取行为进行固定和检验,为方便论文,我们暂且选取其中的一个APP 并以腾讯VIP视频为代表对视频数据获取行为进行固定和检验。
4.3执行标准
检验在《电子数据法庭科学鉴定通用方法》(标准编号:GA/T976-2012)这一通用标准下进行。4.4检验实施环境
检验实施环境上,和其他电子数据检验类似,我们需要检验鉴定工作站一台(具体参数省去)、检验用移动终端设备:小米手机一部(具体参数省去)、Wireshark网络数据包捕获分析软件(V2.4.5)以及文件校验工具HashTab(V6.0.0);压缩包软件WinRAR(V5.5.0)、录屏软件Bandicam(V4.1.1.1073)、视频采集设备unis紫光高拍仪等工具和软件。4.5检验方法
本次检验鉴定主要使用检验鉴定工作站和移动终端两部设备。
(1)搭建检测环境。将检验鉴定工作站的有线网络接入有互联网连接的局域网络,使用操作系统提供的“移动热点”功能模拟无线热点供被检验的APP移动终端网络接入使用,将移动终端连接至该热点,在检验鉴定工作站中使用Wireshark对移动终端的网络行为进行捕获。
(2)实施检测过程。将APP检测用移动终端置
102··
于视频采集设备下全程记录操作过程,检验鉴定工作站开启移动终端APP检测全程录像窗口和
Wireshark网络数据包捕获窗口。本次对被检验的APP所提供的腾讯视频播放功能进行检验,将随机选择两部腾讯视频的VIP电影进行试播,整个操作过程及移动终端APP的网络行为数据将在检验鉴定工作站端进行录屏固定并对捕获的网络数据包进行固定。
4.6检验过程
(1)启动移动终端检验工作站,使用Windows Defender杀毒软件进行杀毒。
(2)检验鉴定工作站开启录屏。
(3)校验检验鉴定工作站物理环境:
①启动“命令提示符”窗口。
②执行more C:\Windows\system32\drivers\etc\ hosts命令,查看本机HOSTS域名解析文件,结果显示
该检验鉴定工作站没有域名通过HOSTS文件进行本地静态设置。
③执行ping www.baidu命令,测试检验鉴定工作站到百度网的通达状态。
④执行ping www.sina命令,测试检验鉴定工作站到新浪网的通达状态。
⑤执行ping114.114.114.114命令,测试检验鉴定工作站到配置的DNS服务器的通达状态。⑥执行tracert114.114.114.114命令,测试检验鉴定工作站与DNS服务器的路由状态。
⑦执行tracert www.baidu命令,测试本机与百度服务器之间的路由状态。
⑧通过浏览器打开百度网(www.baidu. com),搜索“时间”关键词获取当前网络时间并与本机系统时间比对进行时间校验。
(4)在检验鉴定工作站上打开“移动热点”功能,将本机作为无线接入点,供移动终端接入使用。
(5)配置用于检验的移动终端:
①通过移动终端的重置功能重置移动终端,将移动终端手机恢复至出厂模式。
②配置移动终端的WLAN连接,接入由检验鉴定工作站建立的无线局域网。
③校验IP和MAC地址确保接入的是上述无线局域网。
由于将手机恢复至出厂模式在操作中耗费时间可能较长,故在实际检验中可以将配置检验的移动终端和之前两步同时进行。如图1所示,为结束第(3)、(4)、(5)步之后手机上的IP和MAC地址和检验鉴定工作站移动热点上连接的设备地址是一致的。
(6)在检验鉴定工作站中启动Wireshark数据包捕获软件,抓取用于检验的移动终端的网络数据。
(7)在用于检验的移动终端手机上下载待检APP并登录。
(8)进入检验APP,在腾讯视频板块VIP电影中随机选择了电影《绝霸王花》《罗曼蒂克振兴史》作为试看视频,选取了影片中前、中、后部分进行试播,结果显示选取的2部电影均可正常播放。
(9)另选取一部安装有腾讯视频官方APP的手机播放上述影片,显示在未购买VIP的情况下,所对应的剧集均无法正常播出,注意这个过程也应当在视频采集设备下全场录像,手机不限。(10)停止Wireshark数据包捕获,存储获取的数据包文件并计算其MD5哈希值。(11)结束Bandicam录屏,存储录屏文件并计算其MD5哈希值。
4.7分析说明
在校验检验鉴定工作站物理环境中,我们通过上述(3)中①~⑧八步操作,可以认定检验鉴定工作站上没有域名进行本地静态解析、工作站访问互联网状态正常、DNS解析正常、时间正常,整个物理环境没有问题的。这是进行后续检验的基础,是必不可少的环节。
在配置用于检验的移动终端中,通过将移动终端手机恢复至出厂模式,尽可能排除其他手机
APP 图1校验两边IP和MAC地址是否一致
103··
在后台运行进行网络通讯,在检验鉴定工作站中的
移动热点仅连接了一部安装了被检验APP的移动app开发实例
终端,保证所捕获的网络数据来自于该移动终端。
在移动终端的VIP视频解析APP腾讯视频板
块中,当点击VIP视频《绝霸王花》《罗曼蒂克振
兴史》试播时在Wireshark窗口中有移动终端(IP地
址:192.*.*.166)与IP地址为183.*.*.153、122.*.*. 147、122.*.*.152、183.*.*.14的主机有大量网络数据交互。
如图2显示手机在与IP地址为183.*.*.153的
主机进行网络数据交互。4.8检验结论
(1)VIP视频解析APP能够播放所抽选的视频。
(2)腾讯视频板块播放所抽选的VIP视频内容来自于IP地址为183.*.*.153、122.*.*.147、122.*.*. 152、183.*.*.14的主机。
(3)固定数据如下:捕获的移动终端网络数据包1个(名称、文件大小、MD5哈希值省去);检验过程视频1
份(名称、文件大小、MD5哈希值省去)。
最后将生成的报告文件保存在光盘中。
5结语
本文通过搭建检测环境,主要以全程录像和Wireshark捕获网络数据包的方式,对检材APP的视频数据获取行为进行固定和检验,并对整个检验过程进行论证说明,以确保检验鉴定的科学性、严谨性。
参考文献院
[1]秦玉海,杨嵩,候世恒.Android平台木马的检验鉴定[J].
中国司法鉴定,2017(3):53-55.
[2]叶青,徐明敏.以审判为中心的证人、鉴定人出庭作证制
度的实践思考[J].中国司法鉴定,2017(4):1-7. [3]南通警方斩断“盗播”视频网站VIP资源黑产链[DB/OL]. (2018-06-22)[2018-6-22].www.js.xinhuanet/ c_1123023196.htm.
(本文编辑:卢启萌
)图2查看两边网络数据交互
104··