魏 馳 黃君燦 陳兆煙

?

兩種基于Windows系統(tǒng)的QQ聊天記錄刪除恢復(fù)方法比較

魏 馳1,2黃君燦1,2陳兆煙1,2

1.福建省公安廳刑事技術(shù)總隊(duì) 2.福建省刑事科學(xué)技術(shù)重點(diǎn)實(shí)驗(yàn)室

目的：比較兩種恢復(fù)QQ聊天記錄方法的優(yōu)缺點(diǎn)，探索不同恢復(fù)方法的最佳適用條件。方法：以實(shí)際案件為例，對兩種QQ聊天記錄進(jìn)行數(shù)據(jù)恢復(fù)的方法——基于文件恢復(fù)的QQ聊天記錄刪除恢復(fù)與基于關(guān)鍵字搜索的QQ聊天記錄刪除恢復(fù)進(jìn)行比較。結(jié)果：兩種方法均能有效地恢復(fù)QQ聊天記錄，但不同條件下的恢復(fù)結(jié)果彼此有差異。結(jié)論：基于文件恢復(fù)的QQ聊天記錄刪除恢復(fù)方法能完整恢復(fù)聊天記錄并有很好的可讀性，但是對檢驗(yàn)條件的要求苛刻，成功實(shí)現(xiàn)的難度大；基于關(guān)鍵字搜索的QQ聊天記錄刪除恢復(fù)方法操作簡單，易于實(shí)現(xiàn)，缺點(diǎn)在于信息不完整，需要對恢復(fù)的結(jié)果做進(jìn)一步分析判斷。

QQ聊天記錄 數(shù)據(jù)恢復(fù) 關(guān)鍵字

隨著我國網(wǎng)絡(luò)的普及，即時聊天工具已成為人們生活中不可或缺的東西，根據(jù)《第35次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，即時通信作為第一大上網(wǎng)應(yīng)用，在網(wǎng)民中的使用率達(dá)到90.6%[1]，諸如QQ、微信、陌陌等聊天工具充斥著人們生活的各個角落。正因?yàn)槿绱耍磿r通訊聊天記錄極可能在刑事案件偵破過程中扮演著舉足輕重的作用。本文從文件恢復(fù)與關(guān)鍵字搜索兩個方面提出對刪除QQ聊天記錄的恢復(fù)方法。

1 基于文件恢復(fù)的QQ聊天記錄刪除恢復(fù)

1.1 QQ聊天記錄解析前提

通過對取證大師（V4.2）使用及分析得知，要成功解析聊天記錄，需要完整的聊天記錄文件Msg3.0.db、密鑰信息文件Registry.db以及好友信息文件Info.db三個數(shù)據(jù)庫文件（見圖1）。在Windows操作系統(tǒng)中，這些QQ聊天記錄數(shù)據(jù)文件默認(rèn)存放于C:UsersUsernameDocumentsTencent Files文件目錄相應(yīng)的QQ賬號文件夾中。

圖1 解析QQ聊天記錄所需文件以及路徑

1.2 文件刪除恢復(fù)

在Windows操作系統(tǒng)中，被刪除的文件只是被標(biāo)記為刪除，而事實(shí)上文件的數(shù)據(jù)部分并沒有發(fā)生改變，這為恢復(fù)被刪除的QQ應(yīng)用程序文件提供了可能。因此在案件的取證過程中，諸如嫌疑人刪除了QQ聊天記錄數(shù)據(jù)文件、存儲介質(zhì)被格式化或者是重裝操作系統(tǒng)等情況，可通過數(shù)據(jù)恢復(fù)軟件恢復(fù)相關(guān)QQ聊天記錄數(shù)據(jù)文件，進(jìn)而解析獲得有價值的聊天記錄。

1.3 基于文件恢復(fù)的QQ聊天記錄刪除恢復(fù)

本文以一臺重裝Windows操作系統(tǒng)的計(jì)算機(jī)為例，介紹基于文件恢復(fù)提取刪除的QQ聊天記錄。本例中，QQ賬號為86691123的聊天記錄因重裝系統(tǒng)而被刪除。

1.3.1文件恢復(fù)

運(yùn)行FINAL Forensics（V3.1）數(shù)據(jù)恢復(fù)軟件，經(jīng)精確掃描，獲取相關(guān)恢復(fù)文件[2]。根據(jù)QQ聊天記錄數(shù)據(jù)文件均為*.DB文件，因此過濾篩選出所有DB文件，按路徑導(dǎo)出。經(jīng)查，在默認(rèn)路徑下找到目標(biāo)QQ賬號86691123的聊天記錄數(shù)據(jù)文件，如圖2所示。

圖2 恢復(fù)的數(shù)據(jù)庫文件列表

1.3.2解析QQ聊天記錄數(shù)據(jù)文件

在連接互聯(lián)網(wǎng)的工作站中運(yùn)行取證大師（V4.2），加載目標(biāo)QQ賬號86691123聊天記錄數(shù)據(jù)文件，經(jīng)自動取證功能未成功解析QQ賬號為86691123的聊天記錄，經(jīng)了解確認(rèn)由于registry.db文件未保存QQ登陸密鑰（即在登陸QQ軟件時未勾選“記住密碼”），無法自動獲取QQ聊天記錄。為成功獲取QQ聊天記錄，筆者通過QQ信息解密的方式手工輸入QQ密碼，成功獲取到QQ賬號為86691123的聊天記錄。經(jīng)過篩選獲得涉案的與QQ賬號為12008349、770428187的聊天記錄，如圖3所示。

圖3 恢復(fù)的QQ聊天記錄內(nèi)容

2 基于關(guān)鍵字搜索的QQ聊天記錄刪除恢復(fù)

2.1 關(guān)鍵字搜索

關(guān)鍵字搜索是在選定關(guān)鍵字內(nèi)容后按照一定的編碼規(guī)則通過關(guān)鍵字匹配算法對二進(jìn)制流數(shù)據(jù)進(jìn)行分析查找。在電子物證檢驗(yàn)過程中，關(guān)鍵字是與案件相關(guān)的重要信息，可通過邏輯或物理方式對檢驗(yàn)對象進(jìn)行搜索，查找包含該關(guān)鍵字的信息，這樣可以準(zhǔn)確快速地獲得有價值的數(shù)據(jù)。通常犯罪嫌疑人在使用QQ聊天記錄聊天時，會在計(jì)算機(jī)中緩存操作信息，QQ的聊天記錄涉及賬號、時間、聊天內(nèi)容等信息會被記錄到計(jì)算機(jī)中，通過QQ賬號、具體聊天內(nèi)容等關(guān)鍵字搜索會在未分配簇或者虛擬內(nèi)存文件中找到聊天記錄內(nèi)容[3]。

2.2 基于關(guān)鍵字搜索的QQ聊天記錄刪除恢復(fù)

本文以未能成功解析出目標(biāo)QQ賬號的聊天記錄的計(jì)算機(jī)為例，介紹基于關(guān)鍵字搜索方法恢復(fù)QQ聊天記錄。本例檢驗(yàn)要求恢復(fù)涉及的目標(biāo)QQ賬號為454831451，聊天內(nèi)容涉及到考試作弊、作弊工具等內(nèi)容聊天記錄。

2.2.1關(guān)鍵字搜索

運(yùn)行取證大師（V4.2），新建案例，加載鏡像文件，通過對案件的了解與分析，設(shè)置關(guān)鍵字為“454831451”“考試作弊”“考中答案”等，選擇編碼為常見的漢字編碼GB2312、UTF-8、Unicode等，選擇的搜索范圍為全盤搜索，見圖4。

2.2.2搜索結(jié)果分析與固定

根據(jù)搜索結(jié)果，經(jīng)過搜索我們找到與檢驗(yàn)要求相關(guān)的內(nèi)容，在未分配簇偏移位置為10066857982處發(fā)現(xiàn)部分聊天記錄，有明確的昵稱、賬號、時間以及聊天天內(nèi)容等詳細(xì)信息，內(nèi)容詳見圖5。在未分配簇偏移位置為34307491020處同樣發(fā)現(xiàn)QQ聊天記錄，同樣有明確的昵稱、時間以及聊天內(nèi)容，但缺少Q(mào)Q賬號，內(nèi)容詳見圖6。

圖4 關(guān)鍵字設(shè)置

圖5 搜索QQ聊天記錄結(jié)果截圖1

圖6 搜索QQ聊天記錄結(jié)果截圖2

3 結(jié)論

本文結(jié)合案例分析，介紹了基于Windows操作系統(tǒng)的兩種刪除QQ聊天記錄的恢復(fù)方法——基于文件恢復(fù)的QQ聊天記錄刪除恢復(fù)與基于關(guān)鍵字搜索的QQ聊天記錄刪除恢復(fù)。這兩種方法都有其各自的優(yōu)缺點(diǎn)，前者的優(yōu)點(diǎn)在于能完整恢復(fù)聊天記錄并有很好的可讀性，但是缺點(diǎn)在于要求的條件苛刻，成功實(shí)現(xiàn)的難度大；后者正好相反，優(yōu)點(diǎn)在于操作簡單，易于實(shí)現(xiàn)，缺點(diǎn)在于信息不完整，需要分析判斷。因此，在日常檢驗(yàn)工作中，可將這兩種方法結(jié)合使用，取長補(bǔ)短，提高QQ聊天記錄恢復(fù)的成功率。

[1] 中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC).第35次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告[R]. 2015:42.

[2] 薛琴.基于FinalData的數(shù)據(jù)恢復(fù)技術(shù)在計(jì)算機(jī)取證中的應(yīng)用[J].警察技術(shù)，2008(4)：44-47.

[3] 李子川.關(guān)于對QQ聊天記錄數(shù)據(jù)恢復(fù)方法的研究[J].黑龍江科技信息，2009(11)：62.