趙 露，康艷榮，郭麗莉，龍 源，王 博，張 倩，鮑夢(mèng)湖，張耀國(guó)

（公安部鑒定中心，痕跡科學(xué)與技術(shù)公安部重點(diǎn)實(shí)驗(yàn)室，北京 100038）

手機(jī)取證已是當(dāng)下電子取證領(lǐng)域較為成熟的技術(shù)，目前檢驗(yàn)人員和偵查人員在利用手機(jī)數(shù)據(jù)辦案過(guò)程中[1]傾向于對(duì)手機(jī)內(nèi)用戶(hù)數(shù)據(jù)的分析[2-3]，比如聊天記錄內(nèi)容碰撞、人物關(guān)系[4]的梳理等。對(duì)于人員軌跡的分析也基本停留在通過(guò)手機(jī)內(nèi)GPS位置信息[5]、拍攝圖片記錄位置信息[6]，或通過(guò)配對(duì)智能可穿戴設(shè)備，如智能手表[7]中記錄的位置信息等方式進(jìn)行梳理。對(duì)手機(jī)中日志的利用通常也都是對(duì)操作系統(tǒng)日志進(jìn)行分析，但隨著手機(jī)操作系統(tǒng)權(quán)限管理越來(lái)越嚴(yán)格，現(xiàn)在已經(jīng)很難獲取到較為全面的系統(tǒng)日志。這種情況下可以考慮對(duì)常見(jiàn)應(yīng)用的日志進(jìn)行深度分析，通過(guò)對(duì)應(yīng)用日志中記錄的手機(jī)聯(lián)網(wǎng)軌跡、應(yīng)用運(yùn)行軌跡等手機(jī)操作痕跡進(jìn)行刻畫(huà)，同樣可以為案件偵查提供重要線(xiàn)索，從而為案件偵辦指明方向。本文將通過(guò)一個(gè)實(shí)際案例對(duì)應(yīng)用日志的分析方法進(jìn)行描述。

1 案情簡(jiǎn)介

2021年3月8日8時(shí)許，某市公安局接到警情：某縣某鎮(zhèn)某村一小賣(mài)部?jī)?nèi)，一對(duì)老夫妻（經(jīng)營(yíng)和居住者）被人殺死。偵查專(zhuān)家綜合現(xiàn)場(chǎng)調(diào)查情況推斷，案發(fā)時(shí)間在8日凌晨1時(shí)15分至1時(shí)30分之間，具體實(shí)施作案時(shí)間約2 min，系一人作案。嫌疑人尾隨受害人進(jìn)入，現(xiàn)場(chǎng)財(cái)物無(wú)翻動(dòng)痕跡，作案時(shí)間短、殺人目的明確。因此判斷該案為仇殺，嫌疑人為本村人員，與受害人存在矛盾糾紛且具備一定時(shí)空條件。但是由于案發(fā)環(huán)境為農(nóng)村小賣(mài)部，出入人員復(fù)雜，監(jiān)控視頻角度無(wú)法直接查看小賣(mài)部人員出入情況，重點(diǎn)調(diào)查對(duì)象手機(jī)提取的數(shù)據(jù)中未發(fā)現(xiàn)直接線(xiàn)索。結(jié)合偵查調(diào)查獲取的相關(guān)線(xiàn)索，篩選出一名重點(diǎn)嫌疑人王某（男，20多歲），為本村人員，具有較強(qiáng)的作案動(dòng)機(jī)（與死者有債務(wù)糾紛）、有利的作案時(shí)空條件，并且案發(fā)時(shí)間無(wú)不在場(chǎng)證明，各方面條件均符合前期刻畫(huà)的嫌疑人特征，但是沒(méi)有明確的證據(jù)或線(xiàn)索來(lái)進(jìn)一步確認(rèn)或排除該嫌疑人。

2 應(yīng)用日志分析

2.1 人員軌跡調(diào)查走訪(fǎng)情況

經(jīng)過(guò)前期調(diào)查，王某的相關(guān)軌跡為：

1）3月7日白天，王某與瞿某（死者孫子）相約到小賣(mài)部打麻將；

2）當(dāng)日晚8時(shí)40分左右，王某夫婦駕車(chē)到小賣(mài)部，與瞿某夫婦一直在小賣(mài)部打麻將，未離開(kāi)過(guò)；

3）3月8日凌晨1時(shí)10分，瞿某夫婦和王某夫婦先后駕車(chē)離開(kāi)，從監(jiān)控錄像中可以觀察到兩個(gè)車(chē)燈分別向兩個(gè)方向逐漸遠(yuǎn)去；

4）1時(shí)14分左右，通過(guò)監(jiān)控錄像可以查看到一人（經(jīng)現(xiàn)場(chǎng)勘查分析，此人為女死者）手持手電筒到后院廁所，后返回；

5）1時(shí)15分至30分之間，案發(fā)。

王某與死者生前存在債務(wù)糾紛，在3月8日凌晨1時(shí)10分離開(kāi)小賣(mài)部之后無(wú)有力不在場(chǎng)證明，其住處到小賣(mài)部步行10 min內(nèi)可以到達(dá)，返回現(xiàn)場(chǎng)作案的時(shí)間非常充分，而且作為少數(shù)幾名明確知曉死者夫婦在凌晨1點(diǎn)多仍未鎖門(mén)睡覺(jué)的人員之一，具有重大作案嫌疑無(wú)法排除。

2.2 王某手機(jī)應(yīng)用日志分析思路

案發(fā)之后技術(shù)部門(mén)已經(jīng)第一時(shí)間對(duì)王某手機(jī)數(shù)據(jù)進(jìn)行了提取分析，未直接發(fā)現(xiàn)有價(jià)值的信息，因此嘗試從應(yīng)用日志入手，分析王某手機(jī)在案發(fā)時(shí)間段內(nèi)的操作情況。檢驗(yàn)人員對(duì)王某手機(jī)數(shù)據(jù)中的日志文件[8-9]進(jìn)行了全面篩查，篩選出記錄了3月8日前后信息的手機(jī)操作日志，過(guò)濾掉加密存儲(chǔ)的日志文件，成功在QQ應(yīng)用相關(guān)日志中找到了有意義的信息。本案中分析到的日志文件列表見(jiàn)表1。

表1 本案中分析的日志文件列表Table 1 Log f iles analyzed in the case

根據(jù)這些日志文件中存儲(chǔ)內(nèi)容的特點(diǎn)，制定日志分析思路（圖1），本案中主要針對(duì)案發(fā)時(shí)段嫌疑人手機(jī)的聯(lián)網(wǎng)環(huán)境和操作行為進(jìn)行分析。首先分析手機(jī)聯(lián)網(wǎng)環(huán)境切換情況，是否曾經(jīng)接入案發(fā)地wif i，案發(fā)時(shí)段是否再次接入案發(fā)地wif i，如果案發(fā)時(shí)段嫌疑人手機(jī)接入案發(fā)地路由的wif i，則說(shuō)明嫌疑人手機(jī)在案發(fā)時(shí)間出現(xiàn)在案發(fā)地周?chē)?，嫌疑人作案嫌疑?huì)顯著提高；如果接入的是其他網(wǎng)絡(luò)環(huán)境，由于還可能存在嫌疑人不攜帶手機(jī)作案的可能，還需要進(jìn)一步分析手機(jī)主動(dòng)操作行為：如果這段時(shí)間手機(jī)一直在進(jìn)行主動(dòng)操作，如打游戲、收發(fā)消息等，則可以考慮為嫌疑人在非案發(fā)地不斷使用手機(jī)，作案的可能極?。环粗?，如果手機(jī)只是被放置在某處，被動(dòng)接收消息的話(huà)，則無(wú)法通過(guò)手機(jī)日志信息來(lái)推斷嫌疑人的行為。

圖1 嫌疑人手機(jī)日志分析思路Fig.1 Conceived route to analyze the logs in the suspect’s mobile phone

2.3 網(wǎng)絡(luò)環(huán)境切換記錄分析

2.3.1 log.txt文件分析

首先對(duì)storageemulated