來源：資料安全與取證（ID：Cflab_net）

原創：Wendy

案情簡介

本次案件是電信詐騙，嫌疑人通過一個網路平臺實施詐騙，線上交易短線外匯。

分析過程

在得到嫌疑人的阿里雲賬號後，通過分析該網路平臺的程式碼，發現其應用程式的核心資料都存在阿里雲MongoDB資料庫上。

通過mongo shell連線資料庫後，發現只有一個庫有資料，其他關鍵的資料庫均已被刪除，沒有我們要找的資料庫。

用mongo shell檢視，我們會發現資料庫的大小為0

資料庫的大小為0！

取證難點

阿里雲有自動備份的功能，通常在知道資料庫被刪除後，我們首先會去檢視備份。

但是，該備份7天為一個週期，然後會迴圈覆蓋，此案難點就在於資料庫被刪除之日距離分析早已超過7天。

以下圖為例說明，假設資料庫的內容是A。

第5天資料庫被刪除

由於每次備份都是針對當前的狀態備份，當第5天嫌疑人刪除了資料庫，那麼從第5天開始，以後的每次備份都將是0。

只要第1天至第4天的資料還在備份裡，我們就是可以提取出來的。

七天的備份裡有第4天的資料

也就是說，我們至少要在第10天之前拿到並分析這個資料庫。

但事實是，我們拿到資料庫時早就已經超過第10天了。

七天的備份均為0

一般情況下，到了這一步，都視為無法繼續。

但必哥另闢蹊徑，他從備份中發現留有一些原始檔。

他將這些原始檔下載下來，發現被刪除的資料庫所指向的原始檔還佔有一定的空間，也就是資料還可能存在，通過分析MongoDB資料儲存方式，配合已有的檔案，成功提取出了多達百萬條刪除的資料庫資料。

成果展示

還佔有一定空間的原始檔提取出來後如圖：

最後，看看我們提取到的交易資訊和會員資訊！（部分敏感資訊我們隱藏了顯示欄）

必哥給圖片打碼也很隨性……

研究總結

本次突破的重要思路就在於資料庫備份中的那些原始檔。

長按下方二維碼，關注“資料安全與取證”察看更多精彩內容。

推薦閱讀：