基于树莓派的警用远程WiFi网络侦查取证系统及其方法与流程

本发明属于远距离控制领域，尤其涉及一种基于树莓派的警用远程WiFi网络侦查取证系统及其方法。

背景技术：

随着WiFi技术快速发展以及移动设备的广泛使用，移动社交网络的发展迅速。网络攻击、电信诈骗等网络犯罪的途径也不仅局限于使用有线网络实施，而是通过无线网络实施。实现监听并获取嫌疑人WiFi网络内部数据包，对于许多案件侦办具有重大意义。但是WiFi信号覆盖范围较小，加密程度高，进行犯罪记录取证非常困难。

网络取证是近年取证技术研究的热点，但是网络流量是易逝的，可转储修改的，侦查员的取证行为需要承担很大的风险。传统的无线网络取证硬件系统有着很大的局限性。2012年，深圳市安信为科技有限公司生产的“aseev无线网络取证系统”，这套系统要求侦查员必须处于嫌疑人WiFi覆盖范围内取证，不能远程控制和有效隐蔽，这给侦查员取证带来了极大风险。

技术实现要素：

为了解决信息犯罪中WiFi网络取证难和侦查员取证危险的问题，本发明提供一种基于树莓派的警用远程WiFi网络侦查取证系统及其方法。本发明的侦查取证系统可远程控制破解嫌疑人WiFi网络，将犯罪证据及时传回，还可作为跳板对犯罪嫌疑人的智能设备进一步渗透。当环境检测模块感应到本系统外壳遭到破坏时，系统自动删除关键技术文件和取证数据。

为实现上述目的，本发明采用以下技术方案：

一种基于树莓派的警用远程WiFi网络侦查取证系统，包括远程取证端，所述远程取证端包括树莓派控制器，所述树莓派控制器内存储有若干破解WiFi方案；

所述树莓派控制器与第一WiFi无线网卡相连；所述第一WiFi无线网卡用于在开启监听模式下，调取树莓派控制器中与嫌疑人WiFi网络相匹配的破解WiFi方案，破解嫌疑人WiFi网络和侦听WiFi网络内的数据包并形成取证数据，传送至树莓派控制器进行存储；

所述树莓派控制器还与环境检测模块相连，所述环境检测模块用于检测所述取证系统周围环境信息并传送至树莓派控制器，当树莓派控制器接收到的环境信息不在预设环境信息安全阈值范围内，树莓派控制器删除取证数据。

所述树莓派控制器还与第二WiFi无线网卡相连，所述第二WiFi无线网卡用于在侦查环境中搭建钓鱼WiFi、作为前期调试系统的备用方案或用于传回取证数据。

所述树莓派控制器通过远程通信模块与远程控制端相互通信。

所述环境检测模块包括光敏元件和红外探测元件。

本发明提供的基于树莓派的警用远程WiFi网络侦查取证系统实现了通过远程控制来破解嫌疑人WiFi网络，将犯罪证据及时传回。而且当环境检测模块感应到本系统外壳遭到破坏时，系统自动删除关键技术文件和取证数据。

所述远程通信模块为XBee无线通讯模块。

XBee无线通信模块能够在有效距离内控制树莓派，室外理论最远可达45千米，室内最远可达610米，并且能够达到节能低耗的效果。采用XBee无线通信模块进行远程控制，还极大方便排查差错。

一种基于所述的取证系统的侦查取证方法，包括：

树莓派控制器通过远程通信模块来接收远程控制端发送来的监听指令，然后开启第一WiFi无线网卡并使第一WiFi无线网卡处于监听模式；

第一WiFi无线网卡在监听模式下，调取树莓派控制器中与嫌疑人WiFi网络相匹配的破解WiFi方案，破解嫌疑人WiFi网络和侦听WiFi网络内的数据包并形成取证数据，传送至树莓派控制器进行存储；

树莓派控制器将接收的取证数据传回远程控制端，实现对嫌疑人WiFi网络的实时监听。

所述的侦查取证方法，还包括：

与树莓派控制器相连的环境检测模块检测所述取证系统周围环境信息，并传送至树莓派控制器：当树莓派控制器接收到的环境信息不在预设环境信息安全阈值范围内，树莓派控制器删除取证数据。

所述的侦查取证方法，还包括：

第二WiFi无线网卡在侦查环境中搭建钓鱼WiFi，接入嫌疑人WiFi网络，获取嫌疑人WiFi网络密码，实现侦查取证工作。

所述的侦查取证方法，还包括：

树莓派控制器支持花生壳内网映射服务，树莓派控制器使用第二WiFi无线网卡连入嫌疑人WiFi网络，获取树莓派控制器在嫌疑人WiFi内网中的IP地址，打开花生壳内网映射客户端，在花生壳官网填写内网映射IP地址和映射服务端口，树莓派控制器将接收的取证数据通过第二WiFi无线网卡连接花生壳内网映射服务发送至远程控制端中，控制端还可使用远程桌面直接连接在嫌疑人WiFi网络内部的树莓派控制器，进一步渗透嫌疑人其他智能设备。

本发明的有益效果为：

(1)本发明提供的该基于树莓派的警用远程WiFi网络侦查取证系统中的树莓派控制器内存储有若干破解WiFi方案，第一WiFi无线网卡在监听模式下，调取树莓派控制器中与嫌疑人WiFi网络相匹配的破解WiFi方案，来破解嫌疑人WiFi网络和侦听WiFi网络内的数据包并形成取证数据，传送至树莓派控制器进行存储，并由树莓派控制器回传至远程控制端；本发明实现了通过远程控制来破解嫌疑人WiFi网络，将犯罪证据及时传回。而且当树莓派控制器接收到的环境信息不在预设环境信息安全阈值范围内，系统自动删除关键技术文件和取证数据，本系统能够做到取证内容全面，有效保护侦查员的人身安全，为打击各类违法犯罪提供有力证据；

(2)XBee无线通信模块为远程WiFi环境取证系统提供了硬件基础，XBee无线通信模块能够在有效距离内控制树莓派，室外理论最远可达45千米，室内最远可达610米，并且达到节能低耗的效果；采用XBee无线通信模块进行远程控制，还极大方便排查差错。

附图说明

图1是本发明基于树莓派的警用远程WiFi网络侦查取证系统结构图；

图2是本发明树莓派控制器针脚与光敏传感器针脚接线图；

图3是本发明基于树莓派的警用远程WiFi网络侦查取证系统原理图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。

本发明中的远程控制端包括具有通信功能的PC机。本发明理论方法，如下：树莓派支持通过XBee无线通讯模块和3G网卡远距离传输控制指令；树莓派安装无线网卡并开启监听模式，可用于破解各类加密方式的WiFi网络，在嫌疑人WiFi网络覆盖范围内还可以捕获数据包；树莓派支持花生壳内网映射服务，侦查员可通过花生壳服务远程控制在嫌疑人内网中的取证系统；树莓派可接光敏元件，感知周围光线情况。

基于ZigBee协议的低耗通讯模块XBee-PRO HP900和微型计算机树莓派(Raspberry Pi)为设计远程WiFi环境取证系统提供了硬件基础。该远程取证系统最大优势为内置了多种远程破解WiFi密码的方式，可在2-3公里外远程控制设备进入嫌疑人WiFi内网，监听数据包并及时传出，也可作为渗透跳板，对嫌疑人其他智能设备渗透，对犯罪行为进一步取证。当系统感应到破坏时，可自动抹除关键数据，保证技术和取证行为的保密性。

远程控制树莓派方法有很多，具体实施方式以XBee为例：

参考图1基于树莓派的警用远程WiFi网络侦查取证系统的结构图，基于树莓派的警用远程WiFi网络侦查取证系统，包括远程取证端，所述远程取证端包括树莓派控制器，所述树莓派控制器内存储有若干破解WiFi方案；

所述树莓派控制器与第一WiFi无线网卡相连；所述第一WiFi无线网卡用于在开启监听模式下，调取树莓派控制器中与嫌疑人WiFi网络相匹配的破解WiFi方案，破解嫌疑人WiFi网络和侦听WiFi网络内的数据包并形成取证数据，传送至树莓派控制器进行存储；

所述树莓派控制器还与环境检测模块相连，所述环境检测模块用于检测所述取证系统周围环境信息并传送至树莓派控制器，当树莓派控制器接收到的环境信息不在预设环境信息安全阈值范围内，树莓派控制器删除关键技术文件和取证数据。

树莓派控制器还与第二WiFi无线网卡相连，所述第二WiFi无线网卡用于在侦查环境中搭建钓鱼WiFi、作为前期调试系统的备用方案或用于传回取证数据。

树莓派控制器通过远程通信模块与远程控制端相互通信。远程通信模块以XBee无线通讯模块为例：

其中，树莓派控制器与树莓派控制器XBee外扩板通过针脚相连接，XBee无线通讯模块置于树莓派控制器XBee外扩板上，将第一WiFi无线网卡和第二WiFi无线网卡插入树莓派控制器；侦查员控制端的PC机与XBee模块适配器相连，另一块XBee模块置于XBee模块适配器上；侦查员PC机上装有串口调试软件。

其中，环境检测模块包括光敏元件和红外探测元件。

以光敏元件采用光敏传感器为例：

参考图2树莓派控制器针脚与光敏传感器针脚接线图，将树莓派控制器与光敏传感器使用杜邦线连接。

给树莓派控制器通电后，树莓派控制器控制带天线的置于树莓派XBee外扩板上的XBee模块，接收计算机传来指令，将指令在终端中执行和把指令执行结果传回侦查员PC机上。

本发明的基于上述取证系统的侦查取证方法，包括：

树莓派控制器通过远程通信模块接收远程控制端发送的监听指令，然后开启第一WiFi无线网卡并使第一WiFi无线网卡处于监听模式；

第一WiFi无线网卡在监听模式下，调取树莓派控制器中与嫌疑人WiFi网络相匹配的破解WiFi方案，破解嫌疑人WiFi网络和侦听WiFi网络内的数据包并形成取证数据，传送至树莓派控制器进行存储；

树莓派控制器将接收的取证数据传回远程控制端，实现对嫌疑人WiFi网络的实时监听。

树莓派控制器支持多种破解WiFi方式，本实施例中以Aircrack-ng和Reaver为例：

树莓派控制器中安装Aircrack-ng(一种无线安全检测工具)、Reaver(一种无线安全检测工具)等工具，并将该取证系统送入嫌疑人WiFi环境。

远程控制树莓派控制器打开Aircrack-ng工具，使用第一WiFi无线网卡扫描目标嫌疑人WiFi网络。

侦查员远程控制树莓派控制器使用XBee无线通讯模块将扫描目标WiFi网络硬件物理地址传回。针对WPA/WPA2-PSK加密的WiFi网络使用Aircrack-ng抓取握手包，暴力破解握手包；针对有WPS加密的网络使用Reaver工具暴力猜解WPS码。

侦查取证方法，还包括：第二WiFi无线网卡在侦查环境中搭建钓鱼WiFi，接入嫌疑人WiFi网络，获取嫌疑人WiFi网络密码，实现侦查取证工作。

参考图3基于树莓派的警用远程WiFi网络侦查取证系统原理图，本取证系统中集成了Wirshark(一种网络封包分析软件)工具，远程控制树莓派打开Wirshark，使用第一WiFi无线网卡捕获内网中的流量包，并保存在树莓派中。

将流量包通过第二WiFi无线网卡上传到网盘或直接通过花生壳内网映射服务发送至侦查员PC机中。

由于取证工作具有非常大的不确定性，嫌疑人可能会发现和破坏取证系统，为了对技术和已取证内容保密，本发明通过下列技术手段实现感知危险并删除关键内容。

侦查取证方法，还包括：与树莓派控制器相连的环境检测模块检测所述取证系统周围环境信息，并传送至树莓派控制器：当树莓派控制器接收到的环境信息不在预设环境信息安全阈值范围内，树莓派控制器删除取证数据。

以环境检测模块为光敏传感器为例：

将本系统放入密封无光的外壳中，与树莓派控制器相连的光敏元件检测所述取证系统周围光线亮度信息，并传送至树莓派控制器：当树莓派控制器接收到的光线亮度值高于预设光线亮度阈值时，树莓派控制器删除取证数据。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random AccessMemory，RAM)等。

上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。