基于家用智能摄像机日志文件取证案例分析

王琦　徐杨军

摘  要：由于目前家用智能摄像机技术不够完善，设备存在缺陷以及黑客攻击手段的多样化等，使得智能摄像机的使用会给犯罪分子以可乘之机，导致智能摄像机成为犯罪分子非法利用的工具，给人们的生活带来危害。文章通过对目前市面上常见的智能摄像机进行剖析研究，对智能摄像机中的视频文件、日志文件进行取证分析，获取相关的侦查线索和犯罪痕迹并进行分析，查找犯罪嫌疑人留下的犯罪痕迹，同时对日志文件进行取证固定，以形成电子数据证据在法庭起诉阶段呈现。

关键词：智能摄像机；日志文件；电子数据证据

中图分类号：TP393  文献标识码：A  文章编号：2096-4706（2023）12-0018-05

Analysis of Forensic Cases Based on Home Smart Camera Log Files

WANG Qi， XU Yangjun

（Anhui Vocational College of Police Officers， Hefei  230031， China）

Abstract： Due to the current inadequate technology of home smart cameras， equipment defects， and diverse hacker attack means， the use of smart cameras can provide criminals with opportunities to exploit them， causing smart cameras to become tools illegally used by criminals and posing a threat to people's lives. Through the analysis and research of the common smart cameras on the market at present， this paper conducts forensics analysis on the video files and log files in the smart cameras， obtains and analyzes the relevant investigation clues and criminal traces， finds the criminal traces left by the suspect， and at the same time， conducts forensics fixation on the log files to form electronic data evidence presented in the court prosecution stage.

Keywords： smart camera; log file; electronic data evidence

0  引  言

眾所周知，智能摄像机在开启录像后会默认在储存卡或者网络云端生成记录两类信息，一是摄像机所拍摄的视频文件，二是摄像机在进行开启、设置、登录、传输、关闭等一系列操作后的日志信息。

视频文件作为一种重要的电子证据，在许多重特大案件中的作用越来越凸显。智能摄像机由于其独特的功能性，更加要求侦查人员对视频文件内容进行细致的分析。虽然智能摄像机由于生产厂家不同，视频存储位置、文件类型可能不同，但视频文件都在存储卡或者网络云端中有所保存，文件系统、存储方式等方面具有共性，研究这类视频文件的取证具有重要的实际意义。

日志文件是开发者和系统管理者维护系统以及应用程序的两个常用并且有效的方法。Android系统在运行时会产生很多、各种各样的日志文件，以方便开发人员调试。Logcat日志是保存在系统内存中，也有的日志被以文件的形式存储在设备的硬盘或者存储卡中。

1  智能摄像机日志文件分析

本文将以Ithink手立视Q1智能摄像机为例，通过对其日志文件进行分析，获取相关电子数据证据。

将工作一段时间的摄像机存储卡取出，以只读方式接入电脑中，在摄像机在根目录自动生成的文件夹中，日志文件以.log文件类型存储于本地，其日志文件存储目录为：H：＼video＼.log，截图如图1所示。

在智能摄像机所记录的日志文件中可以发现许多在视频文件中可能无法发现的问题，尤其是针对黑客入侵相关的案件，或者因为撞库、购买信息等其他恶意行为所导致的用户的隐私泄露等案件，更需要日志文件中的内容为侦查人员和办案人员提供线索。摄像机日志文件信息如图2所示。这些数据非常细致并且在底层，数据信息冗杂宽泛，然而，这些数据可以提供重要的有关时间戳、活动以及终端设备开启时间等丰富的信息。

图2中所示的日志信息为logcat日志文件，可以用于显示某个时刻被更新的系统和应用程序的调试信息列表。通过快速浏览以上简短的日志信息，可以看到服务器端的设备版本号、IP地址、本地日期/时间信息，以及应用程序的相关细节。

日志非常详细，以上给出的日志文件只不过是日志文件中的很小的一部分，每一个日志信息都以一个信息类型指示符开头，具体含义如表1所示。

从Ithink手立视Q1所记录的日志文件入手，分析和查看在其日志文件中所记录的信息内容，查看是否存在对案件侦查起到关键作用的重要信息。

本次实验利用Notepad++文本编辑器对该日志文件进行查看，并对信息内容进行分析判断，选取其中对侦查线索有所帮助的信息，同时进行记录，针对智能摄像机的一些共性问题，在后期开发一款能够一键查找分析的工具软件，减轻现场办案的侦查人员的因为对计算机的不了解导致的侦查工作的停滞或者破案的难度。由于日志文件细节丰富，很多都是记录设备本身调试信息，不具备侦查取证意义，为提取涉案信息，下文将利用截图的形式将在Ithink手立视Q1中发现的有关案件线索的代码列举出来并对其加以分析。

1.1  手立视登录Wi-Fi信息

如图3所示，这条日志信息记录的是客户端APP在注册阶段将无线网络账号、密码通过声波传输的方式发送给手立视设备，手立视在自己的日志文件中将无线网络账号密码记录了下来，从图3可以看出无线网络账号为202，密码为131415926。从这一点也可发现智能摄像机设备在安全防范方面的不足之处，作为账号、密码等隐私信息应当在代码编写过程中加密或者隐藏，而不应该以明文的方式记录的系统日志当中，一旦遭遇黑客攻击，对方将轻而易举地获取该用户家庭无线网络密码，进而侵入家庭无线网络，对连入家庭无线网络中的其他设备，尤其是智能手机、笔记本电脑登数据信息抓包分析等其他行为，盗取用户的网银账号、密码、手机内短信验证码等，可能引发更深更严重的网络犯罪。

1.2  手立视基本信息

如图4所示，这两段日志信息是在Wi-Fi连接成功后对手立视设备基本信息的获取，从截图中可以发现其中记录了该手立视设备为：dev_q1_3，本机所对应的局域网无线网络IP地址为192.168.1.111，手立视设备Mac地址为cc：79：cf：ac：9b：25，连入无线网络名称为202，手立视设备系统版本号为1.25等。

这段信息记录的是手立视设备本身的一些基本信息，尤其注意的是手立视设备连入无线网络给分配的IP地址和自己本身的Mac地址，这些信息在侦查人员看来可能并没有什么作用，既不能从中找寻犯罪嫌疑人的个人信息，又不能追查犯罪嫌疑人的行为轨迹。但是，这些基本信息从取证的角度来说却是意义重大，在了解设备本身的基本信息后，在抓获犯罪嫌疑人，可以从犯罪嫌疑人的手机客户端或者PC端查看是否连入过我的智能摄像机设备，由于每一台设备的Mac地址是唯一的，具有唯一性，所以，一旦当犯罪嫌疑人手机中记录了我这台设备的Mac地址信息，即可作为同一认定，认定犯罪嫌疑人曾经非法连入该智能摄像机设备。

1.3  时间戳属性

如图5所示，由于电子证据在2012年《刑事诉讼法》修订之后，在原有的物证、书证、证人证言中等传统物证的基础上增加了“电子数据”一新的证据形式，电子数据证据的法庭证明力也大大增加，其中在电子数据证明力上最重要的一点也就是电子数据的时间属性，其是否符合案件发生的过程，是否有篡改等、时间属性的不吻合很有可能会使得该证据证明力的灭失。

而在这条日志记录中我们可以发现这是由手立视设备在连入互联网后从默认的初始时间重定向为当前时区时间的过程，同时在之后的日志记录中以当前时区互联网时间为基准，保证了日志文件时间属性的准确性。

1.4  远程登录用户信息

如图6所示，用戶的登录访问信息是我们在侦查取证过程中需要着重注意的一点，同时也是犯罪嫌疑人在作案后留下痕迹的地方。在这段日志信息中我们可以发现，在clt-umac中，摄像机记录了每一个登录用户的用户名，即登录用户的手机号码，如图中所示的账户130XXXX2161，其登录时设备的Mac地址9ca9e43defb4，如果是手机APP客户端登录则是手机的无线局域网地址，如果是利用笔记本电脑、台式机等PC端登录查看的。则是笔记本或台式机的无线网卡地址。在ctl-innerip中，摄像机日志文件记录了登录用户使用的IP地址信息192.168.1.110，侦查人员可以根据这一信息可以去确定犯罪嫌疑人所处的地理位置。

由于摄像机允许用户设立15个子账户进行远程登录，实时观看视频，于是在同一个智能摄像机设备中可能同时存在几个不同的账户登录的信息。如图7所示，在主账户130XXXX2161的设备的日志文件信息中我们发现了子账户180XXXX8011的登录信息以及它的Mac地址和IP地址。再加上相关时间信息，我们就可以确实何人在何时何地对该摄像机设备进行了远程访问和查看。

登录账户等信息的重要性在于不仅可以作为案件定罪量刑时的证据提供给法庭，更可以直接为侦查人员提供犯罪嫌疑人的相关信息，例如手机号码、移动设备的Mac地址，IP地址等，根据这些信息又可以锁定到犯罪嫌疑人自身的信息。对案件的侦破有着极大的帮助。

2  智能摄像机安全防范措施

智能摄像机之所以能够被网络黑客远程破解、控制其主要原因在于目前存在的网络智能设备普遍存在两点问题：首先是大多数的智能硬件设备包括本文所说的智能摄像机都是通过无线Wi-Fi与互联网相连，而目前无线Wi-Fi的安全性，尤其是家用的无线路由器，无论从硬件配置还是密码设置上，均相对较低。其次是智能硬件系统本身存在安全漏洞，网络黑客通过后台数据库安全漏洞，使得攻击者能够获得完整的后台数据库信息，由此黑客便可以利用安全漏洞夺取智能硬件设备控制权，随时通过网络摄像机观察用户生活起居情况，窥探用户隐私。

作为以家庭安全防范为初心的网络安全智能摄像机，购买和使用过程中需要做到以下几点，以确保不被不法分子利用，真正地做到家庭安全、父母交流、孩子看管等提高生活品质，保障安全的作用。

2.1  购买品牌摄像机

在选购智能摄像机时，要购买安全系数高的大品牌生产的摄像机，千万不能图便宜购买市场上的一些杂牌甚至冒牌的摄像机。

2.2  注意摄像机摆放位置

在购买智能摄像机后，在家中的摆放位置也是十分重要的，一般不要安装在卫生间或卧室这些私密空间，如果摄像机带旋转功能，在旋转后的可视角度内也不能够看到涉及隐私部分的画面。

2.3  安全的网络连接

无线网络犯罪已然成为现在犯罪的一种新形势，无论是如今泛滥的电信诈骗案件还是用户信息泄露案件，无处不体现了无线网络尤其是Wi-Fi网络安全性低的问题，在使用网络安全智能摄像机时也需要保证连入安全的网络，不要随意连接陌生Wi-Fi，以防止信息被盗。

2.4  设置安全密码

用户在设置密码时尽量使用强密码，密码要使用数字、特殊符号和大小写字母组合，这样即便是黑客想要破解密码信息也会耗费大量的时间。其次在路由器、摄像机等管理平台上拒绝使用默认账户密码登录，更改成为自己独立的登录账户信息，避免给犯罪分子可乘之机。

2.5  随时升级更新固件

每一个软件的编写总会出现各式各样的安全漏洞，有的是编写之初为了后期维护的方便，程序员主动留有的后门，有的是程序之间引发的冲突导致的安全漏洞，在用户使用期间，一旦发现安全问题，摄像机生产研发公司会根据漏洞原因编写相对应的补丁软件，这时候就要求用户随时更新摄像机固件信息，将已经出现的安全漏洞补上。降低用户已经出现的可能风险。

2.6  其他安全措施

除了上文所述的常规的安全保障措施之外，在使用智能摄像机的同时，也要注意自身的一些可能泄露隐私或者安全的行为，例如长时间不使用，或者家中长期有人无需监控时可以关闭摄像机（断电），不要在摄像机前拍摄过于隐私的画面等。一旦发现在摄像机使用过程中出现异常情况，要及时停止使用，并联系相关专业人士进行检修，以防止更严重的危害发生。

3  结  论

通过对上述家用智能摄像机日志文件的分析，可以看出市面上的很多产品仍然存在各式各样的漏洞后门，给予不法分子可乘之机。作为消费者，在选取品牌摄像机的同时，也要加强自身的保护意识，避免任何可能的信息泄露。也希望国内的生产厂家除了在产品外观，性能等方面不断提升之外，更要在产品安全性上多下功夫，从源头上杜绝信息泄露的可能。

参考文献：

[1] 汤艳君，高洪涛，罗文华.电子物证检验与分析 [M].北京：清华大学出版社，2014.

[2] 谢希仁.计算机网络：第8版 [M].北京：电子工业出版社，2021.

[3] 王珊，萨师煊.数据库系统概论：第5版 [M].北京：高等教育出版社，2014.

[4]曾建伟，黄奕维，林伟坚.防火墙日志分析的关键技术 [J].教育信息技术，2018（Z1）：97-98.

[5]王春兰，张小英.Windows系统日志取证分析简述 [J].电子世界，2020（24）：21-22.

作者簡介：王琦（1991—），女，汉族，安徽合肥人，助教，硕士研究生，研究方向：刑法、民商法；徐杨军（1991—），男，

汉族，安徽合肥人，讲师，硕士研究生，研究方向：网络安全与技术。

收稿日期：2023-01-11

基金项目：2022年度安徽省高校哲学社会科学研究项目“互联网视听节目版权监管法律制度研究”（2022skxm009）