暗网深藏犯罪根源 洋葱取证并不神秘

根据 洛卡德交换原理 ，凡走过必留下痕迹，洋葱浏览器自然也不会例外。因此，越来越多的研究者尝试对Tor的残留痕迹进行分析，进而达到去匿名化的调查目的。

其实，笔者使用的工具也非常简单，做过电子取证的人无人不识：FTK Imager 、HxD。

一、工具软件介绍

1、FTK Imager 是一款专门用于创建电子证据文件、计算哈希值等功能的简易工具，再加上其支持各种操作系统和文件系统，并采取全文检索式的信息搜索技术，让取证人员可以快速地找到所需的电子证据。属免费软件。

2、 HxD是一个可以浏览文件十六进制的软件，除此之外，也可以利用此工具直接进行文件或者介质的修改，并具有数据导出的功能，使用上十分便利。也是免费软件。

二、实验介绍

本文实验主要分为两大部分，第一部分针对“ Tor具有隐匿痕迹 ”的特性，进行实际验证。

第二部分着重在Tor Browser的取证上，运用电子取证工具， 还原使用者曾利用Tor Browser所浏览过的网页 。

1、验证 “ Tor具有隐匿痕迹 ”的特性

在Windows10操作系统下使用Tor Browser浏览页面，并且利用“WHOIS”来查询其IP Address，以佐证“Tor具隐匿痕迹”的特性，完整的实验步骤如下：

首先，开启Tor Browser浏览器，并浏览Facebook页面，如图1所示。

▲图1 onion型态的Facebook页面

接下来，复制网址至WHOIS查询其IP位置， WHOIS显示此为无效的域名， 如图2所示。

▲图2 WHOIS查询IP位置

2、 还原使用者曾利用Tor Browser浏览过的网页

使用Tor Browser，并浏览Facebook页面，如图1所示。

利用FTK Imager获取当前的系统内存，得到memdump.mem文件，如图3～4所示。

图3 获得memdump.mem（当前内存镜像）

将所得的memdump.mem文件导入HxD，得到此文件的十六进制情况，如图4所示。

▲图4 memdump.mem文件的十六进制情况

然后输入字串“onion”进行搜索，获得浏览网址，如图5所示。

▲图5 搜索字符串“onion”，命中浏览网址

最后，使用还原使用者所浏览的页面，当然，还原浏览页面还得使用洋葱浏览器进行访问。

▲图6还原的访问页面

三、实例演练

甲君是一位以比特币在网络上进行不法交易的大佬，并将所得的比特币兑换成现金供自身日常使用。为使自己通过虚拟货币进行交易的行踪不被暴露，因此特别喜欢使用Tor，以躲开调查人员追查金钱流向，避免暴露行踪。

尽管交易规模庞大，甲君仍保持其低调的作风，相关交易物品的运送均交由其合伙乙君处理。

在一宗毒品买卖交易中，甲、乙因为利益分配而起冲突，乙欲揭发甲的罪状，玉石俱焚，故匿名向调查人员举报：甲使用Tor Browser，并以比特币的方式进行毒品买卖。

调查人员开始追查甲的行踪及财务状况，发现甲并无固定工作，但家中却有数辆保时捷跑车，且具有多个帐户，每个帐户均不定时会有大笔数额的金钱流转，凭借这个疑点以及乙的匿名举报内容，调查人员遂寻求司法单位的合作，传唤甲到场说明。

然而，甲君到案后却矢口否认自己有使用过Tor Browser来浏览贩卖毒品的网站，以及毒品交易的犯罪行为。于是调查人员通过电子取证工具，对甲的个人电脑（Windows 10笔记本电脑）资料进行取证及资料还原，以获得其使用过洋葱浏览器的犯罪痕迹，整个取证流程如下：