案例内容
【案情简介】
2019年06月26日08是02分许,某地公安局接到州局指挥中心110指令称,其农行卡中的钱款被人盗取走7000余元,请出警。经查,被害人到某景区旅游时在一台组装的伪造的农业银行ATM机取钱,插入银行卡后,系统提示取不出钱,之后发现银行卡的钱被人转走。后经进一步调查发现,嫌疑人用在该ATM机插入银行卡取款后,银行卡的信息被远程操控的“向日葵”软件读取并复制,嫌疑人将复制得的银行卡信息资料写入磁条介质并到境外将多个受害人银行卡内的金额取走。警方迅速对案件展开调查,将涉案的硬盘送至我中心,进行鉴定。
【鉴定过程】
1.使用电子数据仿真取证系统对送检硬盘进行系统仿真运行,检出读卡软件“CRT-310”。部分内容如图1至图3所示。 图1 文件“CRT-310-004产品说明书.pdf”部分内容 图2 软件“CRT-310”界面 图3 软件“CRT-310”读卡器界面 2.在送检硬盘“E:ReleaseRelease”路径下检出中国农业银行ATM机仿真登录界面文件“AutoMachine.exe”,部分内容如图4所示。 图4 文件“AutoMachine.exe”部分内容 3.在送检硬盘中检出委托方指定的包含被复制银行卡加密信息的文件63个。部分内容如图5、图6所示。 图5 文件“20120101012713406.txt”部分内容 图6 文件“20190605213625552.txt”部分内容 4.在送检硬盘“E:ReleaseRelease”路径下检出已删除软件“DecryptTool.exe”,文件已损坏。使用取证大师搜索“DecryptTool.exe”,在已删除文件夹“Release”中恢复出软件“DecryptTool.exe”,导出该软件。部分内容如图7、图8所示。 图7 检出解密软件部分内容 图8 解密软件“DecryptTool.exe”解密 5.经分析,软件“DecryptTool.exe”为银行卡加密信息解密软件,使用软件“DecryptTool.exe”解密银行卡加密信息的文件获取明文银行卡账户信息,部分内容如图9、图10所示。 图9 文件“20190606105749081.txt”解密后的明文信息 图10 文件“20190607123136321.txt”解密后的明文信息
【分析说明】
1.使用电子数据仿真取证系统对硬盘镜像文件进行仿真运行,在系统桌面发现银行卡信息读取软件“CRT-310”。通过文件“CRT-310-004产品说明书.pdf”了解银行卡信息获取方式。在“E:ReleaseRelease”路径下检出中国农业银行ATM机仿真登录界面文件“AutoMachine.exe”,使用该文件伪造中国农业银行ATM机登录界面。 2.通过取证大师在路径“E:ReleaseRelease”下检出包含被复制银行卡加密信息的文件63个,并在该路径下检出已删除解密软件“DecryptTool.exe”,恢复该软件并使用该软件解密银行卡加密信息的文件获取明文银行卡账户信息。
【鉴定意见】
在送检硬盘中检出读卡软件“CRT-310”、中国农业银行ATM机仿真登录界面文件“AutoMachine.exe”;检出委托方指定的包含被复制银行卡加密信息的文件63个;使用检出的软件“DecryptTool.exe”解密银行卡加密信息的文件获取明文银行卡账户信息。
