四川效率源电子数据司法鉴定所对文件相似性进行电子数据司法鉴定案例
深圳市某信息技术有限公司在2017年8月底发现一款名为《大XX》的手游与其研发的《XX麻将》(又名“XX棋牌”)手游软件极度相似。通过《大XX》官网下载到“大XX.apk”安装包,现需对其做相似度鉴定。
案例内容
【案情简介】
深圳市某信息技术有限公司在2017年8月底发现一款名为《大XX》的手游与其研发的《XX麻将》(又名“XX棋牌”)手游软件极度相似。通过《大XX》官网下载到“大XX.apk”安装包,现需对其做相似度鉴定。
【鉴定过程】
(一)技术规范
1. GB/T 29361-2012 电子物证文件一致性检验规程;
2. GB/T 29362-2012 电子物证数据搜索检验规程。
(二)鉴定工具
设备:鉴定工作站(ED-SP9203)
软件:WinHex V19.1(64位,以下简称WinHex)
Beyond Compare V4.1.3
Notepad++ V7.4.1(64位,以下简称Notepad)
WinRAR V5.20(64位)
(三)鉴定步骤
1.检材编号
对检材进行唯一性编号:2017-0131
2.准备鉴定环境
使用360杀毒软件对工作站进行全盘扫描,未发现病毒。
杀毒软件版本:8.8.0.1043
病毒库日期:2017年9月17日
同时对检验工作站及周边环境进行了防磁、防水、防静电和防震保护。
3.数据固定
委托方提供的检材情况说明如下:
从封装袋中取出送检的U盘,并以只读模式接到鉴定工作站。U盘中保存有名为“美X.rar”的压缩文件,大小为306MB(320522163字节)。使用WinHex软件加载U盘内的文件“美X.rar”,并对其计算MD5校验值为2D4C46F04A5F27E148F78D77C88917AE。将文件“美X.rar”拷贝至鉴定专用硬盘生成副本文件,并使用软件WinHex对该副本文件进行MD5校验,计算得到的校验值为2D4C46F04A5F27E148F78D77C88917AE,其值与U盘内文件“美X.rar”的MD5校验值一致,后续的检验分析将使用鉴定专用盘中的副本文件“美X.rar”进行。
使用软件WinRAR解压“美X.rar”后得到名为“XX棋牌.rar”和“大XX.rar”的两个压缩文件。
(1)文件“XX棋牌.rar”的大小为88.7MB(93017092字节),使用软件WinHex对其进行MD5校验,得到的校验值为:0E51FEF54266CF32F59FD0B69C72BA97。
(2)文件“大XX.rar”的大小为28.4MB(29826269字节),使用软件WinHex对其进行MD5校验,得到的校验值为:85FCFD4F1304E76D91C1A5BF5C3AA122。
经对比分析发现,文件“大XX.rar”与委托方在“检材情况说明”中描述的检材名称及其对应的MD5校验值一致;文件“XX棋牌.rar”与委托方在“检材情况说明”中描述的样本名称及其对应的MD5校验值一致。在检验分析操作过程中将上述两个文件视作委托的样本和检材文件。
操作完成后取出U盘,放回封装袋封存。
4.检验分析
(1)提取样本和检材数据
运行WinRAR软件将样本文件“XX棋牌.rar”解压后得到“XX棋牌.apk”,大小为97.8MB(102646974字节);再使用WinRAR解压“XX棋牌.apk”后得到6个文件夹,3个文件,存储于鉴定专用盘的路径“2017-01313-检材镜像样本XX棋牌”下。
同理,由检材文件“大XX.rar”解压得到6个文件夹,3个文件,存储于鉴定专用盘的路径“2017-01313-检材镜像检材dyjqp”下。
(2)文件夹比较
使用Beyond Compare软件的“文件夹比较”功能,分别加载保存样本和检材提取数据的文件夹,选择全部数据并进行CRC比较,如图4-2-1所示。
图4-2-1 检材样本文件夹比较
文件夹比较结果:51个相同文件,165个差异文件,2011个样本独有文件,360个检材独有文件,Beyond Compare软件生成的对比报告如下图4-2-2所示。
图4-2-2检材样本文件夹比较结果
(3)核心文件代码解密
使用WinHex软件查看样本提取数据存储位置“样本XX棋牌assetssrc”下后缀为luac的文件后,发现其文件进行了加密处理,样本文件加密标记为“xsdjfO_4ds3s”,如图4-3-1-1中红框所示。
图4-3-1-1样本加密标记
经相同分析,发现在检材提取数据的存储路径“检材dyjqpassetssrc”下后缀为luac的文件对应的加密标记为“zhongxsdjfO_4ds3s”,如图4-3-1-2中红框所示。
图4-3-1-2 检材加密标记
依据委托方提供的“核心算法说明”,解密样本和检材提取数据中的加密文件。
a.在委托方提供的核心算法代码中嵌入样本加密标记“xsdjfO_4ds3s”,编译生成程序“解密.bat”,执行该程序对样本提取数据中后缀为luac文件进行解密,得到54个后缀为lua的样本解密文件,存入“解密程序XX棋牌解密程序解密”路径下,如图4-3-2-1-2所示。
图4-3-2-1-2解密后的样本文件
b.在委托单位提供的核心算法代码中嵌入检材加密标记“zhongxsdjfO_4ds3s”,编译生成程序“解密.bat”,执行该程序对检材提取数据中后缀为luac文件进行解密,得到56个后缀为lua的检材解密文件,存入“解密程序大XX解密程序解密”路径下。
解密前后的样本和检材文件详细信息如下表4-3-2-1所示。
表4-3-2-1 解密前后的样本和检材文件详细信列表
(4)核心文件代码比较
使用Beyond Compare软件的“文件夹比较”功能,分别加载解密后的样本核心文件和检材核心文件,并进行CRC比较,分析结果如图4-4-1-1所示。
比较结果:24对相同文件(名称和文本完全相同),21对差异文件(名称相同,文本有差异),9个文件名独有的样本文件,11个文件名独有的检材文件,并生成对比报告。比较结果信息如图4-4-1-2所示。
图4-4-1-1 解密文件比较结果的局部截图
(不显示相同文件;红色为差异文件;紫色为独有文件)
图4-4-1-2 解密文件比较的统计结果
使用Beyond Compare软件的“文本比较”功能,分别对24对相同的样本和检材核心文件,按代码行逐一进行对比,分析结果显示24对文件中代码内容的相似度为100%。对比统计结果见表4-4-3所示。
表4-4-3 比较结果相同的核心文件代码对比统计表
使用Beyond Compare软件的“文本比较”功能,将21对文件名相同、文本内容有差异的样本和检材文件按代码行进行逐一对比,对比结果的详细信息如表4-4-5所示。
表4-4-5有差异的核心文件对比结果统计表
经分析发现,在11个文件名独有的检材文件中有9个文件,其容量大小分别与9个文件名独有的样本文件容量大小高度相近。使用Beyond Compare软件的“文本比较”功能,对这两组文件名独有的文件逐一进行对比,对比结果的详细信息如表4-4-7所示。
表4-4-7独有的核心文件对比结果统计表
【分析说明】
1. 将样本文件“XX棋牌.apk”和检材文件“dyjqp.apk”分别解压到不同文件夹。
2. 使用Beyond Compare软件对两个文件夹进行比较分析,对比结果为:51个相同文件,165个差异文件,2011个样本独有文件,360个检材独有文件。
3. 分别对样本文件夹路径“assetssrc”下核心文件中54个、检材文件夹路径“assetssrc”下核心文件中56个、后缀为luac的加密文件进行解密,结果分别存入各自的加密程序文件夹。
4. 使用Beyond Compare软件对两个加密程序文件夹进行比对分析,比对结果为24个相同文件(文件名和文本内容都完全相同),21个差异文件(文件名相同,文本内容有差异), 9个文件名独有的样本文件,11个文件名独有的检材文件。
5. 文件名和文本内容相同的24个样本和检材的核心代码文件比对结果为:24对文件的相似度均为100%。
6. 文件名相同、文本内容有差异的21个样本和检材的核心代码文件中,代码相同的行数在各自文件中占比均在相同百分比范围(相似度)的统计结果如下:
7. 独有的9个样本和11个检材核心代码文件中,代码相同的行数在各自文件中占比均在相同百分比范围(相似度)的统计结果如下:
【鉴定意见】
使用效率源鉴定工作站(ED-SP9203)、Notepad++ V7.4.1(64位)、WinHex V19.1(64位)、Beyond Compare V4.1.3、WinRAR V5.20(64位)等工具和软件,对编号为“2017-0131-YB”的样本和“2017-0131-JC”的检材进行了技术检验和比对,鉴定意见如下:
1.对样本文件中54个核心文件和检材文件中56个核心文件进行了比对,其结果为:在两组文件中有24个相同文件(文件名和文本内容都完全相同),21个差异文件(文件名相同,文本内容有差异),9个文件名独有的样本文件,11个文件名独有的检材文件。
2.文件名和文本内容相同的24对核心代码文件比对结果为:24对文件的相似度均为100%。
3.在文件名相同、文本内容有差异的21对核心代码文件的比对中,代码相同的行数在各自文件中占比均在相同百分比范围(相似度)的统计结果如下:
4. 独有的9个样本和11个检材核心代码文件比对中,代码相同的行数在各自文件中占比均在相同百分比范围(相似度)的统计结果如下:
提取的数据存储在数据光盘的压缩文件“2017-0131.rar”内,存储路径详见表5-1。
表5-1光盘内容存储路径
光盘唯一性编号为:2017-0131,光盘内压缩文件“2017-0131.rar”的MD5(128bit)校验值为:
F576C916D8BDC1BAC3458649E80E2193