王李平 李天長(zhǎng) 王超 張江文

1. 重慶市公安局大渡口區(qū)分局 2. 重慶市公安局

引言

近期，在辦理的一起案件中，嫌疑人手機(jī)中安裝了境外即時(shí)通訊聊天工具Secret，軟件logo如圖1所示。該Secret社交APP以“去中心化”為主要特點(diǎn)，具有自己的獨(dú)特特點(diǎn)，其中最受用戶歡迎的是用戶隱私保護(hù)特點(diǎn)和群組功能，目前支持21種國(guó)家語(yǔ)言。該APP的群組成員最多可以達(dá)20萬(wàn)用戶，遠(yuǎn)遠(yuǎn)超過(guò)了國(guó)內(nèi)像微信、QQ之類的聊天工具的用戶限制；用戶之間的聊天內(nèi)容可以開(kāi)啟閱后即焚的功能，為私密消息設(shè)定生命周期，且隨時(shí)可以刪除本設(shè)備或所有設(shè)備接收的登錄用戶發(fā)送的消息內(nèi)容。

區(qū)塊鏈社交Secret即時(shí)通訊APP的數(shù)據(jù)存儲(chǔ)沒(méi)有存儲(chǔ)在本地，且發(fā)送的消息可以閱后即焚和隨時(shí)刪除，給執(zhí)法人員提取數(shù)據(jù)帶來(lái)了極大的困難。該類APP的數(shù)據(jù)提取方法不同于其它傳統(tǒng)的APP提取方法[1-5]。結(jié)合本文案例，首先介紹一下Secret軟件具有的特點(diǎn)[6]。

（一）Secret是一款免費(fèi)的加密聊天軟件

使用Secret時(shí)，所有聊天內(nèi)容都會(huì)進(jìn)行端到端的加密。每一條發(fā)送的信息都有自己的安全鎖和安全密鑰，而且所有的信息都會(huì)自動(dòng)進(jìn)行端到端的加密，可確保所有聊天信息的安全性和隱私性。

Secret的視頻通話也會(huì)進(jìn)行端到端的加密，這意味著Secret和第三方均無(wú)法聽(tīng)取通話內(nèi)容，端到端的對(duì)聊天、傳送文件、圖片、視頻進(jìn)行加密。據(jù)官方消息稱，服務(wù)器不會(huì)保存用戶的任何聊天記錄，保證用戶消息的絕對(duì)安全。

（二）快速建立群組

不同于微信、QQ等聊天軟件，受到群組成員人數(shù)的限制，Secret軟件可以快速建立上萬(wàn)人的群組?？梢耘c群組內(nèi)的多人聊天、對(duì)話、共享文件和共享視頻等，進(jìn)行便捷高效的多方溝通對(duì)話。100人以下群組使用非對(duì)稱超級(jí)加密技術(shù)，端到端發(fā)送非對(duì)稱加密。1000人以上的群組采用Telegram的群組加密技術(shù)。

（三）創(chuàng)建自己的社區(qū)

社區(qū)里面有我的好友朋友圈，可以分享生活圖片、文字信息，還有語(yǔ)音分享、在線電臺(tái)（在微社區(qū)和直播區(qū)與主播實(shí)時(shí)互動(dòng)）、短視頻分享、在線課程（可以在線分享自己的經(jīng)驗(yàn)）、萬(wàn)人在線會(huì)議、視頻會(huì)議等。自己也可以發(fā)布一些動(dòng)態(tài)信息，來(lái)分享自己的生活、經(jīng)歷、見(jiàn)聞等，也可以對(duì)朋友圈內(nèi)發(fā)布的內(nèi)容進(jìn)行點(diǎn)贊、分享和打賞。

（四）Secret是一個(gè)開(kāi)放的平臺(tái)

Secret基于萬(wàn)人群和社區(qū)，允許第三方接入各種Web應(yīng)用程序，包括游戲、購(gòu)物、信息等豐富多樣的內(nèi)容，力求全方位提升用戶體驗(yàn)，為眾多開(kāi)發(fā)者提供一個(gè)大舞臺(tái)。

（1）移動(dòng)平臺(tái)接入：接入開(kāi)放平臺(tái)，應(yīng)用支持分享、收藏和支付；

（2）支持用戶登錄：網(wǎng)站允許使用Secret帳號(hào)登錄；

（3）行業(yè)解決方案：成為開(kāi)放平臺(tái)的第三方，為企業(yè)級(jí)用戶提供運(yùn)營(yíng)服務(wù)和行業(yè)解決方案；

（4）IM服務(wù)：為第三方公司提供IM服務(wù)與合作。

一、Secret軟件功能介紹

Secret軟件具有iOS版本、Android版本、MAC版本、Windows版本及Web版本等。經(jīng)過(guò)多種方式測(cè)試Secret社交軟件，得到該軟件有諸多功能特征。最近，Secret軟件進(jìn)行了升級(jí)，升級(jí)后的功能比較如表1所示。

升級(jí)前的Secret軟件可以在移動(dòng)終端、PC端和Web端進(jìn)行注冊(cè)，目前僅允許移動(dòng)終端通過(guò)注冊(cè)信息登錄，而PC端和Web端取消了注冊(cè)功能；在PC端和Web端登錄也取消了手機(jī)號(hào)登錄的功能。移動(dòng)終端版Secret軟件對(duì)于本設(shè)備發(fā)送的消息可以設(shè)置銷毀時(shí)間，最短時(shí)間是5秒鐘，最長(zhǎng)時(shí)間為4周，Web端Secret和PC端的Secret同樣可以設(shè)置內(nèi)容銷毀時(shí)間，最短時(shí)間和移動(dòng)終端一樣是5秒鐘，最長(zhǎng)時(shí)間不一樣，是1天而不是4周。

Secret軟件的數(shù)據(jù)無(wú)法在登錄其他設(shè)備時(shí)同步到新登錄設(shè)備上，只有新發(fā)送或接收的數(shù)據(jù)才會(huì)在不同設(shè)備上同步顯示。也就是說(shuō)，早期登錄的設(shè)備上的數(shù)據(jù)在新登錄的設(shè)備上不會(huì)顯示。在登錄新設(shè)備后再發(fā)送或接收的消息所有設(shè)備都會(huì)顯示。

?

移動(dòng)終端退出后，不影響PC端和Web端的正常使用，即獨(dú)立運(yùn)行。不論為移動(dòng)終端還是電腦終端、Web端，Secret都可以獨(dú)立運(yùn)行。

4.3 社區(qū)上門(mén)輸液安全管理模式可以提高患者的滿意度 對(duì)家庭輸液患者開(kāi)展針對(duì)性的健康教育和用藥指導(dǎo)提高了上門(mén)輸液患者及家屬對(duì)相關(guān)輸液知識(shí)和藥物的知曉率，使家屬能掌握簡(jiǎn)單的輸液故障處置方法減少了護(hù)士上門(mén)輸液的重復(fù)率，減輕家庭輸液護(hù)士的工作壓力，提高了患者的滿意度。

二、提取數(shù)據(jù)的方式

由于該APP的數(shù)據(jù)不在本地存儲(chǔ)，所以通過(guò)連接手機(jī)取證設(shè)備直接提取數(shù)據(jù)已經(jīng)無(wú)法達(dá)到目的。結(jié)合上文中介紹的特點(diǎn)，分為幾種情況進(jìn)行了數(shù)據(jù)提取。

（一）禁止聯(lián)網(wǎng)，手機(jī)已默認(rèn)登錄Secret軟件，且掌握Secret通訊軟件的登錄密碼

在禁止嫌疑人手機(jī)聯(lián)網(wǎng)的情況下，對(duì)手機(jī)中Secret軟件中的數(shù)據(jù)進(jìn)行歸檔，將歸檔的數(shù)據(jù)導(dǎo)出到電腦中備份，然后在一部干凈的測(cè)試手機(jī)中導(dǎo)入歸檔數(shù)據(jù)，對(duì)測(cè)試手機(jī)聯(lián)網(wǎng)進(jìn)行下載音、視頻文件、圖片文件到手機(jī)中，然后利用常規(guī)的手機(jī)取證軟件對(duì)測(cè)試手機(jī)進(jìn)行取證。這種取證方式適合提取音視頻文件或者圖片，如果文字較多則不適合。

（二）禁止聯(lián)網(wǎng)，手機(jī)已默認(rèn)登錄Secret軟件，但未掌握Secret通訊軟件的登錄密碼

因?yàn)槲凑莆誗ecret軟件的登錄密碼，就無(wú)法通過(guò)歸檔數(shù)據(jù)，在其他終端設(shè)備上以恢復(fù)歸檔數(shù)據(jù)的方式來(lái)獲取數(shù)據(jù)。這種情況下，首先對(duì)手機(jī)提取鏡像文件，備份手機(jī)中的原始數(shù)據(jù)。接下來(lái)有三種方式提取：（1）查看手機(jī)中是否保存有Secret密碼，如果有則按照上一段介紹的方式進(jìn)行操作；（2）查看手機(jī)中Secret登錄帳號(hào)的郵箱地址，查看手機(jī)中是否有該郵箱的密碼，如果有則可以通過(guò)Secret密碼找回的方式，更改Secret密碼，然后按照上一段介紹的方式進(jìn)行提??；（3）使用傳統(tǒng)拍照方法進(jìn)行數(shù)據(jù)提取。

（三）禁止聯(lián)網(wǎng)，已掌握登錄帳號(hào)和密碼，但Secret軟件默認(rèn)退出

這種情況下，因?yàn)闊o(wú)法登錄帳號(hào)，且數(shù)據(jù)存儲(chǔ)在云端，即使在退出的時(shí)候沒(méi)有刪除數(shù)據(jù)，如果不聯(lián)網(wǎng)則無(wú)法提取數(shù)據(jù)。

（四）可以聯(lián)網(wǎng)，已掌握登錄帳號(hào)和密碼，但Secret軟件默認(rèn)退出

這種情況下，如果是Android版的移動(dòng)終端，則可以通過(guò)郵箱和密碼的方式登錄后再斷網(wǎng)，然后通過(guò)第（一）部分介紹的方法進(jìn)行數(shù)據(jù)提取。這種聯(lián)網(wǎng)提取數(shù)據(jù)的方法有可能造成被設(shè)備接收的數(shù)據(jù)被刪除。

上面介紹的四種提取方式，也可以使用流程圖表示，如圖2所示。

三、取證實(shí)例介紹

環(huán)境：測(cè)試手機(jī)品牌HUAWEI，測(cè)試手機(jī)型號(hào)Mate 20，操作系統(tǒng)Android 9。

由于該軟件的數(shù)據(jù)不存儲(chǔ)在本地，如果想提取該軟件上的數(shù)據(jù)，就需要人工參與進(jìn)行處理。

（1）該軟件可以通過(guò)歸檔的方式將軟件中的文字類型數(shù)據(jù)進(jìn)行備份，自動(dòng)保存在設(shè)備中的“Download”文件夾。歸檔的文件命名格式為“Secret+用戶名帳號(hào)+日期時(shí)間”，后綴名為“設(shè)備類型（Android or iOS）_wbu”，本例中數(shù)據(jù)歸檔的文件名為“Secret-zhangqiang6539-Backup_202109232125.android_wbu”。然后在其他同類型的設(shè)備上進(jìn)行數(shù)據(jù)恢復(fù)，如圖3、圖4所示。

（2）如果提取的是文字聊天記錄，只有通過(guò)截屏方式將聊天記錄進(jìn)行截圖，自動(dòng)保存到設(shè)備“Pictures/Screenshots”文件夾內(nèi)，命名格式為“Screenshot+日期+時(shí)間”，后綴名為“jsy_secret”，本文中其中一個(gè)截圖的命名為“Screenshot_20210930_094010_com.jsy.secret”，如圖5、圖6所示。

（3）如果是圖片、視頻或者語(yǔ)音數(shù)據(jù)，可以通過(guò)聯(lián)網(wǎng)進(jìn)行下載到本地手機(jī)中進(jìn)行提取。注意，通過(guò)下載數(shù)據(jù)的方式進(jìn)行提取，需要連接互聯(lián)網(wǎng)，前提是需要在原始嫌疑人手機(jī)中進(jìn)行歸檔，然后在測(cè)試手機(jī)中進(jìn)行操作。下載的文件保存在設(shè)備中的“Downloads”，如圖7、圖8所示。

四、結(jié)語(yǔ)

本文通過(guò)分析Secret軟件的特點(diǎn)和功能，介紹了四種提取數(shù)據(jù)的方式，此四種方法比較適合圖片、視頻、音頻等資料較多的案例。如果文字較多，則效果不顯著。前三種方式是在禁止移動(dòng)終端聯(lián)網(wǎng)的情況下提取數(shù)據(jù)，第四種是可以短暫聯(lián)網(wǎng)的情況下提取數(shù)據(jù)。本文中的案例進(jìn)行了脫密處理，方法過(guò)程和實(shí)際案例的提取方法、過(guò)程都一樣。由于Secret軟件的數(shù)據(jù)不存儲(chǔ)在本地，所有傳統(tǒng)的使用取證設(shè)備提取數(shù)據(jù)的方式是不適用的。在本文中提到的提取方式，只要Secret軟件處于登錄狀態(tài)，不管是否能聯(lián)網(wǎng)或者是否知道密碼，都可以通過(guò)相機(jī)拍照的方式提取數(shù)據(jù)。

該Secret軟件是境外的一種即時(shí)聊天軟件，在處理國(guó)家安全方面的案例中有時(shí)會(huì)遇到。通過(guò)本文介紹的數(shù)據(jù)提取方法，一線民警在遇到此類軟件時(shí)，希望能提供一些參考和幫助。