2024年4月11日发(作者：电脑截屏按键盘上的哪个键)

EXCHANGE OF EXPERIENCE

经验交流

家用路由器取证方法研究

◆

朱 拓 徐志超

摘要：随着全球经济的发展，网络已经成为不可忽视的生产生活辅助工具，家用路由器的普及给大众一个

了解万物并发现社会信息的途径，但是家用路由器也是网络信息泄露的重要方面。在近年来，大众经常会遇到

一些http劫持或者网络犯罪的问题，路由器就是跟踪并找寻真凶的重要途径。论文分析了路由器的取证方法，旨

在捍卫信息安全，保卫信息环境的稳定和纯净。

关键词：家用路由器；网络犯罪取证；方法研究

一、网络犯罪取证原理

犯罪的过程实际上是物质交换的过程。如果犯罪

者与各种物质实体接触和交换，肯定会交换物质并在

另一方留下痕迹。这是一条不依赖于人的意志的规则。

根据卡德物质交换（Edmond Locard，法国）原理，犯

罪始终坚持哲学唯物主义的观点，即“从一般到特殊”

的演绎逻辑。当两个特定的对象接触时，犯罪人可以与

特定的时间、地点、证据和被害人联系起来，物质交

换过程的逆向演绎也可以与特定的行为联系起来。取

证是通过技术手段发现证据，形成证据链后进行分析

和识别，以解决安全问题。网络罪犯也会留下“指纹”，

网络取证是利用多种数据源留下的日志等电子证据来

调查和解决网络犯罪。在技术不断发展的推动下，形

成了两种方法：传统的计算机模型取证和OSSIM集成

分析平台大数据取证

[1]

。

种方式，可以跟踪和追踪连接到互联网设备的MAC控制

地址，从而实现网络取证。

三、家用路由器的取证方法

家用路由器是用于网络互连的计算机专用设备，其

工作于OIS层，并具有非常重要的网络取证价值。

（一） 家用路由器的取证对象

家用路由器的取证包括终端、设备和数据等三方面，

其基本的取证工作对象、内容和设备见表1。

取证对象

无线网路

终端

无线网络

设备

无线网络

数据

表1 无线网络取证

取证内容具体设备

无线网络的连接记录、

笔记本、智能手机、

无线网络的配置内容、

台式机、PDA等

Hacking工具使用

无线网络节点设备、

登录日志、无线配置网络管理设备。如：

项目无线AP、无线路由器、

无线AC

无线数据包、无线注

入攻击报文、无线/

DOS报文

二、家用路由器取证的可行性

家庭路由器将记录关键的IP信息并识别媒体访问控

制地址。路由器工作在网络层，路由器的设计基于IP地

址转换。一旦在接口上配置了IP地址和子网掩码，即意

味着已经在家用路由器的接口上启动IP协议。如果路由

接口处于正常状态，则可以使用此接口进行数据包的转

发。IP数据包的转发基础是目的网络地址，路由表中必

须有匹配这个目标网络地址的路由条目，才能转发数据

包。当将数据包转发到目标网络并成功接收时，家用路

由器就将记录要发送的端口和转发的下一跳地址。普通

路由器无法查看对方的互联网记录，但是，在第三方软

件的帮助下，它可以监控局域网中任何计算机的互联网

行为，包括访问了哪些网站以及是否使用了无线设备。

在路由器中，某个IP地址与计算机绑定，以确保计算机

(或手机)每次都能从路由器获得相同的IP地址。通过这

（二）无线数字取证基本流程

家用路由器取证过程中一般都需要经过以下流程：

1. 数据收集。例行收集物证的警察可能会在不知情

的情况下改变关键证据，由于电子证据具有特殊性，病毒、

删除和覆盖等都会导致电子数据发生变化和造成数据的

丢失。因此需要专业取证人员必须在现场，并为取证提

供指导和协助。

（1）动态取证。动态取证就是在家庭路由器不脱离

正常运行的状态下，对路由器本身和路由器内部的数据

进行取证的过程，动态取证中远程操作取证是重点，另

外还有物理接触取证，但是后者的取证方式更像是静态

取证，因此暂不进行分析，以动态远程取证为例，动态

远程取证是一种较为复杂的取证方式，其基本流程如下：

100

分析路由器连接的网络环境，如果通过公网访问就

可以直接连接IP，如果是通过局域网连接则需要破解密

码后再操作，一般密码破解的方式为WIFi万能钥匙或者

是Aircrack-ng。通常，在windows系统下，可以在命令

行上使用ipconfig命令，查看家用路由器的网关IP地址。

局域网中家庭路由器的公共IP地址为192.168.1.1，通过

扫描可以获得端口开放信息、系统信息等关键信息。例如，

Routerscan可以获取有价值的信息，如开放端口、无线连

接密码、无线信号名称（SSID）、内联网IP等。使用其

他大型扫描仪（如nessus和AWV）扫描甚至发现路由器

的漏洞。 

（2）静态取证。静态取证就是对家用路由器进行直

接的信息提取，静态取证需要收集的信息为：第一，家

用路由器的型号。利用这些信息，我们可以通过搜索引

擎或制造商的用户手册直接获得路由器web配置页面的

运行模式和引导模式。通过专门的网站，可以查询各类

路由器的硬件信息和物理连接方式。第二，家用路由器

的热点名称。一般是通过距离路由器的信号强弱进行区

分判定。第三，获取路由器的密码。无线网络经过万能

WiFi钥匙处理，在WiFi名称后带有钥匙符号，说明可以

直接连接。连接成功后，可以访问/data/misc/wifi/直接在

手机上查看密码，但是前提是所使用的设备已经root。在

WiFi密码共享软件中共享WiFi时，应特别注意路由器中

是否存在“蹭网”的问题。如果是电脑连接可以通过键

入netsh wlan show profiles命令，就能获取计算机连接的

无线的密码。

2.数据获取。数据采集是从有形的无线路由器设备

中获取无形的电子证据，并将其存储在不同的位置。在

数据采集中，需要引入“镜像”和“写保护”两个概念，

以证明在转储过程中没有数据被更改。此外还需要保证

不会改变原始设备上的原始数据，从而保证电子证据具

有法律效力。一般情况下路由器的数据获取途径有以下

四种：

（1）厂商web界面处理。web管理端登录后，可

以获取大部分的信息，登录地址以厂商提供的为准。

（2）shell固件和日志的提取。连接远程登录或SSH

服务，使用安全的阴极射线管和其他软件进行串口通

信。成功连接后，可以获得路由器的shell并执行shell

命令：首先，进入busybox，然后可以使用ftpput命令获

取文件。其次，配置一个文件传输协议服务器。最后，

提取路由器闪存芯片的内容，找到mtdblock0等文件，这

是路由器的镜像。使用FTP put命令将mtdblock0上载到

本地服务器的FTP目录。（3）BootLoader，提取。进入

恢复控制台时，使用第三方引导加载程序BootLoader，引

导期间按电源按钮5秒，系统将自动进入引导加载程序（需

要根据情况分析不同的路由器）。Bootloader的命令行界

EXCHANGE OF EXPERIENCE

经验交流

面只能访问部分内存区域，flash固件可以在固件备份选

项卡中进行备份。（4）物理提取，用热风枪将闪存芯片

取出，用xtw100编程器读取并保存闪存芯片的内容，用

xtw100软件读取芯片，读取闪存芯片非常方便，但是需

要人员对技术进行有效的控制，避免芯片的损坏。

3. 数据分析。分析是找到犯罪证据的关键。从各种

信息数据中发现犯罪嫌疑人与犯罪事实之间联系，数据

分析中的技术要点是取证的重中之重。其中涉及更多专

业技术和证据收集工具，并需要取证人员的专业素质打

底。一般情况下需要对固件的环境配置进行分析，并对

路由器的固件进行解压处理，最后在/etc/shadow中搜索

关键文件，并对固件的漏洞进行追踪，以跟踪嫌疑人的

动态，这需要分析人员具有一定的二进制程序工作经验。

四、结语

总而言之，随着经济社会和科学技术的进步，家用

路由器迅速进入了千家万户，极大的便利了公众的日常

生活，但由于一些漏洞的存在使得路由器成为了不法分

子偷盗用户个人信息的常见地点。鉴于此，相关人员必

须要重视对家用路由器取证过程及取证方法的研究，不

断提高安全防御能力，在更方便取证的同时，更有效地

保护公众的信息安全。

参考文献

[1]赵建华. 家用无线路由器密码的破解及安全防御[J]. 长春

师范大学学报,2018(12):54-59.

（作者单位：牡丹江市公安局网络安全保卫支队）

101