隆 波，肖 揚，麥永浩，3，4

（1.武漢大學 計算機學院，湖北 武漢430072；2.湖北省公安廳 刑偵總隊，湖北 武漢430070；3.湖北警官學院，湖北 武漢430034；4.新疆警官高等?？茖W校，新疆 烏魯木齊830011）

隨著網(wǎng)絡逐步進入我們的工作和生活，人們對信息實時性的要求越來越高，與外界的聯(lián)系，也不再僅僅局限于電子郵件和電話，而是需要網(wǎng)絡信息的實時傳遞。

QQ是騰訊公司1999年推出的即時通信軟件，目前也是國內最流行的聊天工具之一。其不僅能傳遞文字消息，還集成了文件傳輸、語音聊天、視頻會議、電子郵件、用戶群、新聞瀏覽、短信發(fā)送、微博等諸多功能。越來越多的用戶通過QQ軟件進行語音視頻聊天、資源共享、發(fā)送電子郵件或者組建用戶群。

隨著QQ的廣泛應用，利用QQ軟件進行惡性犯罪的案例也成逐年上升趨勢。如發(fā)布虛假中獎信息及釣魚網(wǎng)站，侵犯他人財產(chǎn)安全；聯(lián)絡、煽動組織成員進行打砸搶燒，危害公共安全；泄露國家秘密、情報或軍事秘密，危害國家安全等。自2005年以來，隨著國家司法鑒定制度的逐步推進，QQ取證及其司法鑒定是打擊此類犯罪活動的主動手段，是震懾此類犯罪活動國家意志的具體體現(xiàn)。因此，開展QQ取證與司法鑒定方法研究具有迫切的現(xiàn)實意義。

1 QQ取證及其司法鑒定的發(fā)展現(xiàn)狀

QQ取證目前沒有明確而統(tǒng)一的定義，筆者認為：針對QQ取證的司法鑒定行為是電子數(shù)據(jù)司法鑒定實務的具體化，針對利用QQ犯罪活動進行的證據(jù)獲取、保存、分析和出示都屬于QQ取證及其司法鑒定的范疇。當前，針對QQ取證的技術和工具發(fā)展出現(xiàn)了斷層，相關研究成果止步于QQ2008版本，對改變加密方式更新推出的QQ2009、QQ2010、QQ2011數(shù)據(jù)庫文件Msg2.0.db中聊天記錄的獲取，無論是理論研究還是工具研發(fā)都突破有限。

1.1 技術路線

QQ軟件的活動痕跡往往保存在不同文件里，或分散在網(wǎng)絡的不同節(jié)點之中。從信源-信道-信宿①傳播學概念。信源就是信息的來源，可以是人、機器、自然界的物體等；信道就是信息傳遞的通道，是將信號進行傳輸、存儲和處理的媒介；信宿就是信息的接受者，可以是人也可以是機器等。的角度來看，信源的痕跡文件分布在QQ客戶端電腦中，信道的痕跡文件分布在中間節(jié)點的路由器、交換機和邊界安全設備中，信宿的痕跡則在QQ服務器中。而從網(wǎng)絡取證的角度來看，對捕獲的QQ網(wǎng)絡數(shù)據(jù)進行分析、取證的技術已有研究，但限于對加密數(shù)據(jù)的破解致使取證難度較大。目前，QQ取證鑒定的重點主要集中在對QQ聊天記錄和接收圖片或文件的提取上，而對信道或信宿痕跡的提取只在非常必要的情況下進行，對QQ網(wǎng)絡通信數(shù)據(jù)進行分析取證也不常見。

1.2 取證工具

目前QQ取證工具的發(fā)展可以概括為“一點兩段”。一點，即關注的著眼點，就是圍繞聊天記錄的提取開發(fā)取證工具；兩段，即兩個階段，就是圍繞QQ2006-QQ2008版本數(shù)據(jù)庫文件為MsgEx.db的工具研究階段和QQ2009及其以后版本數(shù)據(jù)庫文件為Msg2.0.db的工具研究階段。從當前研究取得的成果來看，針對數(shù)據(jù)庫文件MsgEx.db的破解分析技術已經(jīng)非常成熟，相應的取證工具也比較多，既有QQ專用聊天記錄查看器，也有包含QQ等多種即時聊天記錄查看軟件。但是針對數(shù)據(jù)庫文件Msg2.0.db的取證還沒有取得實質性進展，相應的工具產(chǎn)品更是寥寥無幾，僅有極少的幾款取證工具軟件能在特定條件下對其進行查看提取，如俄羅斯Belkasoft公司的Belkasoft Forensic IM Analyzer專業(yè)版在用戶登陸QQ時選擇“記住密碼”且接入互聯(lián)網(wǎng)的情況下可以提取到聊天記錄信息。

2 QQ取證司法鑒定的技術基礎

QQ軟件既使用TCP協(xié)議又使用UDP協(xié)議進行通信，主要基于TCPF（Text chatting Protocol Family）協(xié)議族進行。用戶首先從QQ服務器上獲取好友列表，以建立點對點的連接，在默認情況下，QQ消息傳輸使用UDP協(xié)議并通過各種驗證機制來保證信息的可靠發(fā)送，但當UDP協(xié)議不能正常轉發(fā)時就會采用TCP協(xié)議進行發(fā)送。如果無法直接點對點聯(lián)系，即消息的接收方網(wǎng)絡未鏈接或故障，則消息通過服務器中轉的方式完成。同時，消息服務器會在一段時間內對客服端發(fā)送的數(shù)據(jù)信息進行備份保存，這使得對信宿進行取證成為可能。

QQ軟件安裝后會把大量的信息記錄在以QQ號碼命名的文件夾中，比如該QQ號碼的聊天記錄和好友列表，而留存在注冊表中的信息相對較少，僅有一些安裝的路徑信息。了解這些文件的功能和作用對QQ取證具有一定的幫助，通過對這些安裝文件或文件夾進行分析我們可以得到一些有用的信息（如表1所示）。

3 QQ取證技術及其鑒定方法介紹

3.1 聊天記錄提取

表1 不同版本QQ重要文件（夾）功能表

對于本地QQ聊天記錄的提取因QQ軟件的版本不同而有所差異。QQ2008及以前版本的聊天記錄保存在安裝目錄以QQ號碼命名的文件夾里，聊天記錄的內容保存在MsgEx.db文件中，MsgEx.db文件采用復合文檔②復合文檔（Compound Document）是一種不僅包含文本而且包括圖形、電子表格數(shù)據(jù)、聲音、視頻圖像以及其他信息的文檔。結構（如圖1所示），消息內容都存儲在QQ號碼下面的Data.msj結構中，通過Index.msj索引。消息內容是經(jīng)過加密處理的，加密密鑰與QQ號碼相關，可以通過QQ號碼計算得到加密密鑰，進而解密查看或提取聊天記錄信息。QQ2009及以后版本的聊天記錄同樣保存在復合文檔結構Msg2.0.db文件中，消息內容加密后存儲于content.dat中，但是密鑰的產(chǎn)生機制以及與QQ服務器之間的驗證機制都發(fā)生了改變，使得我們對QQ2009及以后版本的取證工作變得更加困難。就目前的研究及實驗情況推測：QQ消息內容的加密并非采用公鑰加密機制，而是在本地隨機生成一個初始密鑰，然后發(fā)送給QQ服務器，服務器加密之后返回給本地客戶端，存放在Msg2.0.db文件的matrix.dat結構中，以后登陸時，客戶端就把這個加密的內容發(fā)送給QQ服務器，服務器會通過QQ號碼對matrix.dat中相關字節(jié)信息進行驗證，待驗證通過后，服務器將解出的密鑰再次加密（兩次加密的算法和密鑰都不一樣，再次加密密鑰依賴于登陸口令）后返回給客戶端，然后客戶端用這個密鑰解密本地消息。

圖1 MsgEx.db和Msg2.0.db復合文件結構對比圖

新版QQ在沒有登陸口令的情況下想要獲取本地聊天記錄信息目前還很困難，但并不意味著我們針對QQ取證的工作不能進行。根據(jù)具體情況，以下三條思路值得我們進一步研究：一是針對QQ2009sp5之前的Msg2.0.db文件，可以采取替換info.dat和Matrix.dat結構中的部分關鍵二進制信息來打開文件，讀取聊天記錄，實踐證明這個方法是可行的。二是根據(jù)用戶登錄網(wǎng)站、論壇、郵箱的密碼推斷QQ密碼。據(jù)統(tǒng)計，人們通常使用的密碼數(shù)量有限，一般不會超過6個，可以通過查看注冊表等方式找出相應密碼來推斷QQ密碼。在鑒定過程中應避開原始檢材而在取證計算機上重建該QQ號碼的原有環(huán)境，并針對提取過程采取屏幕錄像等手段以確保檢材的原始性。三是通過嫌疑人手機QQ獲取登陸口令，進而用于計算機中QQ客服端聊天記錄獲取。筆者在研究手機取證時發(fā)現(xiàn)，手機上網(wǎng)用戶在使用手機QQ的過程中喜歡保存登陸口令以便隨時登陸，而多數(shù)手機系統(tǒng)平臺對保存QQ登陸口令的安全性重視不夠，這樣在有必要的情況下，可以將手機取證與QQ取證結合起來，獲取QQ聊天記錄信息。

3.2 QQ其他相關證據(jù)的取證鑒定

QQ是一款即時聊天軟件，對其取證，重點應放在對聊天記錄的獲取上，因為聊天記錄包含的證據(jù)信息量多，且可以反映嫌疑人網(wǎng)絡通信脈絡及過程。除此之外，在取證鑒定實踐中還有幾個位置我們不能忽略。例如QQ郵件信息，保存圖片或截圖的“Image”文件夾，默認存放接收文件的“FileRecv/My QQ file”文件夾等，同樣可以獲取到非常有價值的證據(jù)信息，且往往是聊天記錄的重要補充或佐證。如找到聊天記錄中談到的重要網(wǎng)銀轉賬的操作界面截圖，發(fā)現(xiàn)接收到的賬單文件等。

對QQ郵件信息的取證鑒定與登陸口令相關，郵件內容存儲在QQ服務器上，沒有登陸口令想要獲取郵件信息相對困難，但在取證實戰(zhàn)中，我們可以結合對瀏覽器緩存的取證，找到一些有用的郵件頭信息或郵件內容信息。如果一封郵件在本地打開過，就會在本機的瀏覽器緩存中留下一些郵件頭或內容信息。緩存中的QQ郵件因為窗口格式問題可能會使得復原郵件信息位置重疊，難于查看，但對于取證鑒定來說，或許僅僅提取到一個郵件頭信息就可能足以支撐起整個證據(jù)鏈。因此，即使沒有登錄口令，我們在對QQ取證的過程中也不能忽視郵件取證這個環(huán)節(jié)，最好在取證前就將其列入取證步驟計劃。

對“Image”和“FileRecv/My QQ file”文件夾下文件信息的勘驗和提取是取證鑒定實戰(zhàn)中的常用做法，因為每個QQ號碼的“Image”文件下保存著該號碼接收到的一些圖片、屏幕截圖或QQ表情圖片；而“FileRecv”文件夾（QQ2008版本為“My QQ file”文件夾）下保存著該號碼默認接收到的各種類型文件，包括圖片、文檔、可執(zhí)行文件、或是壓縮文件包等，只要是按“發(fā)送文件”方式默認接收都將保存在此文件夾中。

3.3 對信宿的取證鑒定

通過研究QQ服務器的消息轉發(fā)機制發(fā)現(xiàn)，除局域網(wǎng)網(wǎng)內QQ用戶間傳送文件外，客服端不管是發(fā)送離線消息或是即時消息，都會通過QQ消息服務器進行轉發(fā)，并在一定時限內留存轉發(fā)的消息。簡單地說，就是本地客服端和QQ服務器都保存有該號碼的聊天記錄信息。所以，在非常必要時我們可以通過一定的司法程序，在騰訊公司的協(xié)助配合下，獲取到QQ消息服務器中指定號碼的聊天記錄信息，在信宿中完成對QQ聊天記錄信息的取證鑒定。

4 QQ取證及其司法鑒定案例介紹

2010年8月，某司法機關對一起盜竊網(wǎng)絡游戲賬號案進行鑒定。受害人王某向公安機關報案稱自己花費3000元錢購買的一個“天龍八部”游戲賬號被人盜取，因嫌疑人趙某盜取游戲賬號后堂而皇之地在游戲中使用該賬號，相關部門對嫌疑人的電腦進行了扣押，連同受害人的電腦硬盤一起送檢，委托鑒定其中是否存在有盜竊該游戲賬號的電子證據(jù)。

根據(jù)案情介紹，我們首先懷疑為木馬植入與遠程控制的方式進行電腦入侵，盜取游戲賬號信息。按此思路，我們重點檢查了受害人電腦系統(tǒng)中病毒木馬及惡意代碼情況和嫌疑人電腦系統(tǒng)中是否有遠程控制程序代碼情況，盡管進行了全盤數(shù)據(jù)恢復、關鍵字搜索、特定類型文件查找等技術手段，但是勘驗結果出乎意料，沒有發(fā)現(xiàn)任何相關痕跡。同時，我們依據(jù)用戶行為司法鑒定的步驟方法，認真檢查了嫌疑人電腦的應用程序緩存、文件搜索記錄、經(jīng)常執(zhí)行的程序及快捷方式等系統(tǒng)運行痕跡；認真檢查了歷史訪問記錄、cookie文件、收藏夾記錄、URL緩存記錄等網(wǎng)絡行為痕跡；認真檢查了最近打開/保存的文檔記錄、應用程序最近選擇的文件夾記錄、資源管理器訪問記錄等文檔處理痕跡；并根據(jù)這些用戶行為痕跡，判讀其電腦使用的習慣，論證其實施遠程入侵控制的可能性。所有跡象表明，嫌疑人實施遠程入侵控制受害人電腦系統(tǒng)盜取游戲賬號的可能性微乎其微。

通過對嫌疑人電腦系統(tǒng)中即時聊天工具的勘驗，我們發(fā)現(xiàn)其安裝有QQ2010 SP3.1正式版聊天軟件，進一步查看各QQ號碼目錄下的 “Image”和“FileRecv”文件夾，我們發(fā)現(xiàn)并確認了嫌疑人的QQ號碼證據(jù)信息，并找到大量聊天記錄和“天龍八部”網(wǎng)絡游戲的屏幕截圖。分析這些零散的屏幕截圖可以證明嫌疑人有使用過該失竊網(wǎng)游賬號登陸游戲界面的行為，但沒有找到其他能證明其盜竊行為的電子證據(jù)信息。此時，只有能獲取到嫌疑人QQ的完整聊天記錄，才可能發(fā)現(xiàn)更多更關鍵的電子證據(jù)信息。

因為聊天軟件版本為QQ2010 SP3.1，加之嫌疑人使用QQ時沒有在本地終端保存密碼信息，使用工具軟件和替換復合文檔數(shù)據(jù)結構的方法都無法提取到聊天記錄。在與委托單位溝通后補充了檢材，嫌疑人使用的一部高仿真諾基亞N95山寨手機。結合手機取證鑒定工具進行勘驗后我們發(fā)現(xiàn)，該山寨手機系統(tǒng)為MTK平臺，芯片型號為MT6226BA，最重要的是手機內存中保存有手機QQ的登錄密碼（如圖2所示）。根據(jù)手機QQ中提取到的登錄密碼，我們完整地提取到了嫌疑人硬盤中QQ的聊天記錄，并從中發(fā)現(xiàn)了嫌疑人的朋友李某為該賬號的注冊人，該賬號幾經(jīng)輾轉出售到了受害人王某手里，其間賬號登錄密碼多次變更，但注冊認證的郵箱一直未變，李某就是通過該認證郵箱盜取了游戲賬號，并將其給嫌疑人使用以觀察風險情況。

該案件的司法鑒定不僅還原了犯罪真相，證明了嫌疑人趙某的知情人角色，找到了真正的盜竊犯罪實施者，還為QQ取證與手機取證相融合的全新鑒定方法提供了實踐檢驗機會，取得了寶貴的實戰(zhàn)經(jīng)驗。

5 結語

圖2 MTK手機平臺獲取到的QQ號碼及登陸口令截圖

大量的電子數(shù)據(jù)司法鑒定案件實踐經(jīng)驗表明，即時通信軟件特別是QQ軟件往往是電子數(shù)據(jù)司法鑒定的證據(jù)倉庫，其聊天記錄和相關文件夾中包含著大量的電子證據(jù)信息。一方面，QQ出于保護用戶信息安全的社會責任，會不斷地加強QQ反取證技術研究，完善防護措施；另一方面，隨著國家司法鑒定制度的穩(wěn)步推進，出于打擊犯罪的需要，針對QQ取證及其司法鑒定的需求與維護用戶隱私權益的責任之間的矛盾將日益顯現(xiàn)。QQ取證及其司法鑒定方法研究的發(fā)展需要借鑒新思路，融合新技術，需要QQ相關企業(yè)能夠積極參與到國家司法進程中來，主動研發(fā)QQ取證及其司法鑒定工具用于司法實踐，才能解決好相關矛盾，促進QQ取證及其司法鑒定的方法研究。

[1]麥永浩，孫國梓，許榕生，等.計算機取證與司法鑒定[M].北京：清華大學出版社，2009：6-9.

[2]李明.即時通信痕跡發(fā)現(xiàn)與線索綜合[D].同濟大學碩士學位論文，2006.

[3]看雪論壇dwenzo.QQ2010本地聊天記錄文件Msg2.0.db的進一步研究[EB/OL].http：//bbs.pediy.com/showthread.php，2010-8-5/2011-08-15.

[4]復合文檔[EB/OL].http：//baike.baidu.com/view/571675.htm，2010-6-30/2011-07-15.