2024年4月28日发(作者:)

中国司法鉴定

鉴定论坛

ForensicForum

圆园20年第2期渊总第109期冤

VIP视频解析APP的检验鉴定

吴玉强袁吴育宝袁韩硕

渊南京森林警察学院袁江苏南京210023冤

摘要院近年来袁一种开发手机APP侵入主流视频网站并盗播VIP视频资源从而非法牟利的犯罪也越来越多袁而业

内针对VIP视频解析APP的检验鉴定缺少相应技术标准袁为解决此问题以达到打击此类案件的目的遥从VIP视频解

析APP的基本概念和原理出发袁结合检验的所涉及的法律法规袁通过搭建检测环境袁对检材APP的视频数据获取行

为进行固定和检验袁并对检验过程中的一些具体问题及技术进行分析解读遥利用此方法可验证VIP视频解析APP能

够播放所抽选的视频袁同时有效获取视频板块播放所抽选的VIP视频内容来源的真实IP地址袁并确保了检验鉴定的

科学性尧严谨性遥利用以上的检验鉴定方法及标准可完成对非法VIP视频解析APP的检验鉴定袁此方法符合相关法律

法规遥通过对VIP视频解析APP的基本概念和原理出发袁结合检验的所涉及的法律法规袁通过一个检验鉴定实例并

对检验过程中的一些具体问题进行分析解读袁以期对同类案件的检验提供一个行之有效的检验分析过程和方法遥

关键词院网络黑产曰视频解析曰APP

中图分类号:DF794曰TP393文献标志码:Bdoi:10.3969/.1671-2072.2020.02.015

文章编号院1671-2072-渊2020冤02-0101-04

近年来随着网络通信的全面普及袁网络黑产犯

罪也越演越烈袁其中一种开发手机APP非法侵入主

流视频网站并盗播VIP视频资源从而非法牟利的

犯罪也越来越多遥由于整条黑色产业链包括了非法

解析视频服务提供商尧手机APP开发运营商尧实体

激活卡总代理及各地核心代理店等等复杂环节袁所

以对公安机关实现此类犯罪的全链条打击提出了

更高的要求袁而针对此类非法解析视频网站VIP资

源APP软件渊以下简称VIP视频解析APP冤的检验

鉴定在案件的侦办过程中就显得尤为重要遥

随着人们生活质量的提高袁很多人将大量时间

花在观看手机视频上袁而获取视频最快捷的方式就

是在手机上安装各种门户网站的视频APP软件袁常

见的有腾讯视频尧爱奇艺视频尧优酷视频尧乐视视

频尧芒果TV尧搜狐视频等遥这些视频APP所提供的

绝大部分视频是可以免费观看的袁但有越来越多的

用户愿意为获取更优质的视频内容及观影体验而

支付会员服务费以观看APP上的VIP视频遥通过付

费袁用户可以获得了更好的视频服务袁如免广告尧

观看最新电影尧电视资源等遥当前袁部分主力视频

网站平台付费用户数量已经达到千万级别遥以腾讯

视频和爱奇艺为例袁截至2018年6月30日袁腾讯

视频付费会员达7400万袁同比增长121%遥其中袁

2018年第二季度总收入近737亿元人民币袁同比增

长30%曰而爱奇艺会员规模达6710万袁其中付费

会员为6620万遥可以说视频平台发展VIP会员的

能力将成为促使其良性快速发展的关键遥

目前像爱奇艺VIP尧腾讯视频VIP尧优酷VIP尧

乐视视频VIP的年卡价格都是198元上下袁这个价

格对于一般消费者来说还是略高的袁于是在利益的

驱动下袁一些不法分子未经相关视频企业的授权袁

窑101窑

1VIP视频解析APP简介

APP袁全称Application袁主要是指安装在智能手

机上的软件应用遥目前主流的APP版本主要有基于

安卓渊Android冤的APK安装包和基于苹果渊IOS冤的

IPA安装包遥

收稿日期院2018-09-04

基金项目院江苏高校哲学社会研究项目渊2018SJA0575冤曰江苏

高校品牌专业建设工程资助项目渊PPZY2015A058冤

作者简介院吴玉强渊1988要冤袁男袁工程师袁硕士袁主要从事电子

数据取证和网络犯罪侦查遥E-mail院****************遥

ChineseJournalofForensicSciences熏

圆园20熏晕燥援2TotalNo.109

冶出

20

VIP

至更

APP

便可通过

进行售

袁用

观看

包括腾讯视频尧爱奇艺尧乐视等在内的国内十几家

视频网站的VIP会员资源的服务遥

在2018年6月袁江苏南通警方侦破的一起公

安部督办的特大提供侵入计算机信息系统工具案

件中袁犯罪团伙开发的此类非法VIP视频解析

APP

卡袁在

袁通过

全国

各地

理商

APP

家手

电子

机维修

卡密

尧网

实体

市场以及网店推广售卖遥仅短短1年时间袁已发展

销售代理近千人袁发行实体激活卡超过3千万张袁

APP

元袁涉

额逾

户总

亿

由于

360

广

告收

蔽袁

使得

逾百

包括

腾讯尧爱奇艺等多数权益受损企业直至案发仍毫无

所觉袁经济损失数额较大遥

2VIP视频解析APP的基本原理

这类VIP视频解析APP的开发者通常租用第

三方的解析源袁用户通过APP可直接跳转到相关视

频网站袁然后再点击想看的VIP视频资源后袁APP

会把视频地址发送给服务器袁再由服务器自动解

析袁解析成功后用户便可直接观看遥这样就相当于

用户借助这个APP解析视频真实地址对视频网站

进行了入侵袁实现用户在非会员的情况下也能观看

付费VIP视频资源遥这个解析其实就是模拟生成一

段会员密匙袁让视频官网误认为访问者就是会员遥

解析地址的提供者是这些非法手机APP得以

运行的关键袁在搜索引擎上搜索相关关键词可以看

到大量提供视频网站VIP资源解析服务的网站遥而

我国目前对此类第三方解析源网站尚未进行广泛打

击和集中整治袁导致了利用此类解析源开发非法解析

APP获取腾讯等视频资源行为屡禁不止遥

3VIP视频解析APP的检验鉴定

此类VIP视频解析APP具有避开或者突破计

算机信息系统安全保护措施袁未经授权或者超越授

权获取计算机信息系统数据的功能袁根据我国叶刑

法曳第二百八十五条及最高人民法院尧最高人民检

察院叶关于办理危害计算机信息系统安全刑事案件

应用法律若干问题的解释曳中第二条尧第三条的相

关规定袁提供此类APP的个人或单位情节严重的行

窑102窑

为涉嫌提供侵入计算机信息系统工具罪遥因此针对

VIP

中尤

重要

解析

袁而

APP

该检

鉴定在

点就在于

此类

案件

类非

APP

是否突破了腾讯尧爱奇艺等视频网站的计算机信息

系统安全验证机制袁未经授权获取了VIP视频资

源袁这就需要我们对APP的视频数据的获取行为进

行固定和检验遥

4VIP视频解析APP的检验鉴定实例

4.1

2017

简要

案情

野橙子视频冶野酷

8月

冶等

袁多

APP

人通过

视频会

野乐

进行

尚视

经查袁上述三款APP在未经腾讯视频尧爱奇艺等视

频播放平台许可的情况下具备提供其VIP视频播

放的功能遥

4.2鉴定要求

对检材APP的视频数据获取行为进行固定和

检验袁为方便论文袁我们暂且选取其中的一个APP

并以腾讯VIP视频为代表对视频数据获取行为进

行固定和检验遥

4.3执行标准

检验在叶电子数据法庭科学鉴定通用方法曳渊标

准编号院GA/T976-2012冤这一通用标准下进行遥

4.4检验实施环境

检验实施环境上袁和其他电子数据检验类似袁

我们需要检验鉴定工作站一台渊具体参数省去冤尧检

验用移动终端设备院小米手机一部渊具体参数省去冤尧

Wireshark

文件校验

HashTab

据包捕获

V6.0.0

析软件

冤曰

V2.4.5

缩包

以及

WinRAR

频采集

V5.5.0

备unis

冤尧录

Bandicam

仪等工具和

渊V4.1.1.1073

软件遥

冤尧

4.5检验方法

本次检验鉴定主要使用检验鉴定工作站和移

动终端两部设备遥

网络接

渊1

冤搭

环境

连接

鉴定

络袁使

工作

用操

的有

系统

线

提供的野移动热点冶功能模拟无线热点供被检验的

APP

热点

袁在

鉴定

网络

工作

接入使

站中

使

袁将

Wireshark

动终端连接至

对移

终端的网络行为进行捕获遥

渊2冤实施检测过程遥将APP检测用移动终端置

于视频采集设备下全程记录操作过程袁检验鉴定工

作站开启移动终端APP检测全程录像窗口和

APP

Wireshark

所提供

功能

口遥

进行

本次

袁将

随机

验的

选择两部腾讯视频的VIP电影进行试播袁整个操作

过程及移动终端APP的网络行为数据将在检验鉴

定工作站端进行录屏固定并对捕获的网络数据包

进行固定遥

4.6

检验

1冤启动

过程

Defender杀毒

进行

工作站袁使用Windows

2

3

鉴定

检验

工作

鉴定

工作

开启

录屏遥

淤启动野命令提示符冶窗口

理环境院

hosts

于执行moreC:Windowssystem32driversetc

示该检

命令

验鉴定

袁查看本

工作

站没

HOSTS

有域

通过

解析文

HOSTS

件袁结

行本地静态设置遥

定工作

ping

度网

的通达状态遥

命令袁测试检验鉴

鉴定工作

榆执

ping

新浪

网的通达状态遥

命令袁测试检验

鉴定工作

虞执

ping

配置

114.114.114.114

的DNS服务器的通

命令

试检

验鉴定

工作

执行

站与

tracert

DNS

114.114.114.114

服务器的路由状

命令

态遥

袁测试检

与百度

tracert

之间的

路由状态遥

命令袁测试本机

com

余通过浏览器打开百度网渊.

机系

冤袁

对进行

间冶关键

词获

间校

当前

网络时间并与本

能袁将

渊4

冤在

机作

鉴定

线接

工作

入点

袁供

野移

入使

冶功

移动

5冤

通过

配置

端手

复至

动终端院

功能

重置移动终端袁将

定工作

于配

站建立

置移动

线

局域

WLAN

网遥

连接袁接入由检验鉴

线局

网遥

验IP和MAC地址确保接入的是上述无

由于将手机恢复至出厂模式在操作中耗费时

中国司法鉴定

圆园20年第2期渊总第109期冤

间可能较长袁故在实际检验中可以将配置检验的移

动终端和之前两步同时进行遥如图1所示袁为结束

第渊3冤尧渊4冤尧渊5冤步之后手机上的IP和MAC地址和

检验鉴定工作站移动热点上连接的设备地址是一

致的遥

包捕获

渊6

冤在

袁抓

鉴定

用于

工作

检验

启动

动终端

Wireshark

的网络数

APP并

渊7

冤在

于检验的移动终端手机上下载待检

中随机

渊8冤

APP

叶绝

曳叶

频板

罗曼

VIP

克振

史曳作为试看视频袁选取了影片中前尧中尧后部分进

行试播袁结果显示选取的2部电影均可正常播放遥

机播

9冤

另选

述影

VIP

频官方

的情况

APP

对应的剧集均无法正常播出袁注意这个过程也应当

在视频采集设备下全场录像袁手机不限遥

数据包

渊10

件并

停止

Wireshark

算其MD5

获袁存储获取的

算其

MD5

11冤结

希值

Bandicam

录屏袁存储录屏文件并计

图1校验两边IP和MAC地址是否一致

4.7分析说明

在校验检验鉴定工作站物理环境中袁我们通过

上述渊3冤中淤~余八步操作袁可以认定检验鉴定工作

站上没有域名进行本地静态解析尧工作站访问互联

网状态正常尧DNS解析正常尧时间正常袁整个物理环

境没有问题的遥这是进行后续检验的基础袁是必不

可少的环节遥

在配置用于检验的移动终端中袁通过将移动终

端手机恢复至出厂模式袁尽可能排除其他手机APP

窑103窑

ChineseJournalofForensicSciences熏

圆园20熏晕燥援2TotalNo.109

在后台运行进行网络通讯袁在检验鉴定工作站中的

移动热点仅连接了一部安装了被检验APP的移动

终端袁保证所捕获的网络数据来自于该移动终端遥

在移动终端的VIP视频解析APP腾讯视频板

块中袁当点击VIP视频叶绝色霸王花曳叶罗曼蒂克振

兴史曳试播时在Wireshark窗口中有移动终端渊IP地

址院192.*.*.166冤与IP地址为183.*.*.153尧122.*.*.

147

交互

尧122.*.*.152

尧183.*.*.14的主机有大量网络数据

如图2显示手机在与IP地址为183.*.*.153的

主机进行网络数据交互遥

图2查看两边网络数据交互

窑104窑

4.8

检验

1

2

VIP

腾讯

频板

解析

APP

播放

能够

所抽

播放所抽选的

内容

频遥

来自于IP地址为183.*.*.153尧122.*.*.147

选的VIP视

尧122.*.*.

152尧183.*.*.14

包1

3冤

名称

如下

机遥

大小

MD5

获的

省去

端网

冤曰

程视频1份渊名称尧文件大小尧MD5哈希值省去冤遥

最后将生成的报告文件保存在光盘中遥

5结语

本文通过搭建检测环境袁主要以全程录像和

Wireshark

视频数据获

进行

数据

定和

的方

对整

材APP

个检

过程进行论证说明袁以确保检验鉴定的科学性尧严

谨性遥

参考文献院

[1]秦

中国

法鉴定

袁杨嵩袁

2017

世恒

渊3

.

Android

:53-55.

平台木马的检验鉴定[J].

[2]叶

度的

实践

袁徐明

.以

[J].

中国

判为中

司法鉴定

心的证人

袁2017

尧鉴定人

渊4冤:1-7.

出庭作证制

[3]南

渊2018

通警

-06

方斩

-22

[2018

盗播冶

-6

视频

-22].

网站

/

VIP资源黑产链[DB/OL].

c_.

渊本文编辑院卢启萌冤