致命冲突恶意软件攻击引发的商业纠纷能否得到公正裁决？

2025-06-17 5802

【全文总结】

致命冲突恶意软件攻击引发的商业纠纷能否得到公正裁决？案件发生于2022年1月，地点为上海市某公司。该公司指控“电脑端安装包_20211226a.exe”软件及某网站内“XXXXX群控”软件导致其“向日葵”软件无法正常运行。为查明真相，该公司委托专业机构进行软件固定和功能测试，以判断是否存在恶意干扰行为，并确认“XXXXX群控”软件安装过程中是否有针对“向日葵”软件的弹窗提示。目前，案件仍在调查中，责任认定和赔偿金额尚未确定，双方尚未达成一致意见。

【案情简介】

2022年1月份，上海市某公司“向日葵”软件突然无法正常运行，该公司怀疑“电脑端安装包_20211226a.exe”软件及某网站内“XXXXX群控”软件的安装，造成“向日葵”软件无法正常使用。为查明真相，该公司委托我院先对某网站内的“XXXXX群控群控”软件进行固定，再分别对“电脑端安装包_20211226a.exe”软件及“XXXXX群控群控”软件进行功能测试，判断其是否会造成“向日葵”软件无法正常运行；并确定再安装“XXXXX群控群控”软件过程中是否有针对“向日葵”软件的弹窗提示。

【鉴定过程】

本鉴定依据GB/T 29362-2012电子物证数据搜索检验规程、GA/T 756-2008数字化设备证据数据发现提取固定方法、GA/T 828-2009 电子物证软件功能检验技术规范进行。

本鉴定使用电子数据检验工作站、光盘复制机、X-Ways Forensics 20.0 SR-5 x64、FastStone Capture 9.3、VMware Workstation 16 Pro、Beyond Compare 4、Hash检验工具1.4.7等设备和工具进行检验。

对检材1拆封后进行唯一性编号并拍照固定。检材1是有“电脑端安装包_20211226a.exe”软件的光盘一张。

制作检材1光盘的复制件，并校验哈希值。检材光盘数据分区、检材光盘复制件数据分区的SHA256哈希值均为“3536101CCAA6A4F4B7665703B799CFDAB06CB5A4D10F6F97C84E79EC374748B4”。之后的检验使用检材光盘复制件进行。

（一）检材2某网站“XXXXX群控”软件的固定保全

2022年1月29日11：31，登录站长之家固定保全检材2某网站的域名信息，导出结果详见附件光盘中的文件“某网站的备案信息 - 站长工具.pdf”，其SHA256哈希值为“61F7649A791C9C9F63D957B934B8E5AFCD6AF341ABB5577070DDCFCA7840D03B”。在该网站打开“安卓群控系统”选项，点击“免费下载”，获取到“androids20220104a.zip”文件，详见附件光盘中的文件“androids20220104a.zip”，其SHA256哈希值为“B18EA45F634749676011256F7CE256C429420751FD64B070BB40141602F439CD”。固定保全过程全程录像，详见附件光盘中的文件“软件固定保全录像.mkv”，其SHA256哈希值为“DA493300F078C2F24512518F3F338F7F1B027D33E6778AE2CB0BAE13B5DCCBDC”。

（二）“电脑端安装包_20211226a.exe”软件的功能测试

在检材1复制件的“androids20211226a”目录下检出委托人指定的文件“电脑端安装包_20211226a.exe”，大小为26,101,640字节，SHA256哈希值为“15E17CA641AC7330C2DE0A5CBABC88DD19273CD3DC196BC30648C3EBD3917B08”。根目录下检出“SunloginClient_12.5.0.43486_x64.exe”，大小为32,775,728字节，SHA256哈希值为“A0EE511D6F0D87F55F4A27F0E2F989B6ABD8CEF91A4B19903D791186CAE09E2C”。

查看系统“hosts”文件的内容和文件属性，见图1，文件修改时间为2019年12月7日17点12分44秒，计算其SHA256哈希值为“2D6BDFB341BE3A6234B24742377F93AA7C7CFB0D9FD64EFA9282C87852E57085”。

图1：初始“hosts”文件内容和文件属性

2022年2月9日14：31，运行“SunloginClient_12.5.0.43486_x64.exe”进行安装，安装完成后打开“向日葵”软件，可正常运行。“hosts”文件的内容与初始系统“hosts”文件相比未发生变化。

2022年2月9日14：44，运行“电脑端安装包_20211226a.exe”安装“XXXXX群控”，安装完成后“hosts”文件内容及修改时间发生改变，见图2。其中文件修改时间为2022年02月09日14点44分38秒。

图2：安装“向日葵”后“hosts”文件的内容和文件属性

“电脑端安装包_20211226a.exe”安装完成后的“hosts”文件与初始“host”文件的内容比对，发现前者的“hosts”文件中出现“slapi.oray.net”。计算安装“电脑端安装包_20211226a.exe”后“hosts”文件的SHA256哈希值为“E52361F42B519D56B9BA07F8C914B8BC4A3A0C353E27406D3F8827D4AB2A0CEF”。

对“电脑端安装包_20211226a.exe”安装过程进行监控，发现进程“电脑端安装包_20211226a.exe”对“hosts”文件进行了修改，动作时间为14点44分38秒，见图3，与图2中“hosts”文件的修改时间一致。

图3：“电脑端安装包_20211226a.exe”对“hosts”操作记录

“电脑端安装包_20211226a.exe”安装完成后打开“向日葵”软件，“向日葵”软件无法正常运行，显示“被控服务器连接失败”。

将“hosts”文件修改为初始“hosts”文件，运行“XXXXX群控”和“向日葵”软件，两者均能正常运行。

上述鉴定过程全程录像，详见附件光盘中的文件“软件测试录像-1.wmv”，其SHA256哈希值为“AB079A31E7834404343AC8E1A64E43B5A76A5462B6702D56F12DE025330E8AEC”。

（三）某网站固定的“XXXXX群控”软件的功能测试

对鉴定工作站的系统还原至初始状态，查看初始系统hosts内容和文件属性，见图4，文件修改时间为2019年12月7日17点12分44秒，计算其SHA256哈希值为“2D6BDFB341BE3A6234B24742377F93AA7C7CFB0D9FD64EFA9282C87852E57085”。

图4：初始“hosts”文件的内容和文件属性

2022年2月9日15：20，运行“SunloginClient_12.5.0.43486_x64.exe”进行安装，安装完成后打开“向日葵”软件，可正常运行。“hosts”文件的内容，与初始系统“hosts”文件相比未发生变化。

2022年2月9日15：24，运行“群控安装包20220121.exe”进行安装，安装过程中弹出针对“向日葵”软件的弹窗提示，见图5。选择确定进行安装，安装结束后发现“hosts”文件内容及修改时间发生改变，见图6，其中文件修改时间为2022年02月09日15点24分54秒，暨为“群控安装包20220121.exe”的安装时间。

图5：“群控安装包20220121.exe”文件安装过程弹出提示

图6：安装“群控安装包20220121.exe”后“hosts”文件属性

“群控安装包20220121.exe”安装完成后的“hosts”文件与初始“host”文件的内容比对，发现前者的“hosts”文件中出现“slapi.oray.net”。计算安装“群控安装包20220121.exe”后“hosts”文件的SHA256哈希值为“E52361F42B519D56B9BA07F8C914B8BC4A3A0C353E27406D3F8827D4AB2A0CEF”。

对“群控安装包20220121.exe”安装过程进行监控，发现进程“群控安装包20220121.exe”对“hosts”文件进行了修改，动作时间为15点24分54秒，见图7，与图6中“hosts”文件的修改时间一致。

图7：“群控安装包20220121.exe”对“hosts”操作记录

“群控安装包20220121.exe”安装完成后打开“向日葵”软件，“向日葵”软件无法正常运行，显示“被控服务器连接失败”。

将“hosts”文件修改为初始“hosts”文件，运行“掘金网安卓群控”和“向日葵”软件，两者均能正常运行。

上述鉴定过程全程录像，详见附件光盘中的文件“软件测试录像-2.wmv”，其SHA256哈希值为“A6A21884D6C081641C74AF37B90235BA64240D37C24E795CA6D60BB1CC53BF7C”。