魏 馳 黃君燦 陳兆煙

?

兩種基于Windows系統(tǒng)的QQ聊天記錄刪除恢復(fù)方法比較

魏 馳1,2黃君燦1,2陳兆煙1,2

1.福建省公安廳刑事技術(shù)總隊 2.福建省刑事科學(xué)技術(shù)重點實驗室

目的：比較兩種恢復(fù)QQ聊天記錄方法的優(yōu)缺點，探索不同恢復(fù)方法的最佳適用條件。方法：以實際案件為例，對兩種QQ聊天記錄進行數(shù)據(jù)恢復(fù)的方法——基于文件恢復(fù)的QQ聊天記錄刪除恢復(fù)與基于關(guān)鍵字搜索的QQ聊天記錄刪除恢復(fù)進行比較。結(jié)果：兩種方法均能有效地恢復(fù)QQ聊天記錄，但不同條件下的恢復(fù)結(jié)果彼此有差異。結(jié)論：基于文件恢復(fù)的QQ聊天記錄刪除恢復(fù)方法能完整恢復(fù)聊天記錄并有很好的可讀性，但是對檢驗條件的要求苛刻，成功實現(xiàn)的難度大；基于關(guān)鍵字搜索的QQ聊天記錄刪除恢復(fù)方法操作簡單，易于實現(xiàn)，缺點在于信息不完整，需要對恢復(fù)的結(jié)果做進一步分析判斷。

QQ聊天記錄 數(shù)據(jù)恢復(fù) 關(guān)鍵字

隨著我國網(wǎng)絡(luò)的普及，即時聊天工具已成為人們生活中不可或缺的東西，根據(jù)《第35次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》，即時通信作為第一大上網(wǎng)應(yīng)用，在網(wǎng)民中的使用率達(dá)到90.6%[1]，諸如QQ、微信、陌陌等聊天工具充斥著人們生活的各個角落。正因為如此，即時通訊聊天記錄極可能在刑事案件偵破過程中扮演著舉足輕重的作用。本文從文件恢復(fù)與關(guān)鍵字搜索兩個方面提出對刪除QQ聊天記錄的恢復(fù)方法。

1 基于文件恢復(fù)的QQ聊天記錄刪除恢復(fù)

1.1 QQ聊天記錄解析前提

通過對取證大師（V4.2）使用及分析得知，要成功解析聊天記錄，需要完整的聊天記錄文件Msg3.0.db、密鑰信息文件Registry.db以及好友信息文件Info.db三個數(shù)據(jù)庫文件（見圖1）。在Windows操作系統(tǒng)中，這些QQ聊天記錄數(shù)據(jù)文件默認(rèn)存放于C:UsersUsernameDocumentsTencent Files文件目錄相應(yīng)的QQ賬號文件夾中。

圖1 解析QQ聊天記錄所需文件以及路徑

1.2 文件刪除恢復(fù)

在Windows操作系統(tǒng)中，被刪除的文件只是被標(biāo)記為刪除，而事實上文件的數(shù)據(jù)部分并沒有發(fā)生改變，這為恢復(fù)被刪除的QQ應(yīng)用程序文件提供了可能。因此在案件的取證過程中，諸如嫌疑人刪除了QQ聊天記錄數(shù)據(jù)文件、存儲介質(zhì)被格式化或者是重裝操作系統(tǒng)等情況，可通過數(shù)據(jù)恢復(fù)軟件恢復(fù)相關(guān)QQ聊天記錄數(shù)據(jù)文件，進而解析獲得有價值的聊天記錄。

1.3 基于文件恢復(fù)的QQ聊天記錄刪除恢復(fù)

本文以一臺重裝Windows操作系統(tǒng)的計算機為例，介紹基于文件恢復(fù)提取刪除的QQ聊天記錄。本例中，QQ賬號為86691123的聊天記錄因重裝系統(tǒng)而被刪除。

1.3.1文件恢復(fù)

運行FINAL Forensics（V3.1）數(shù)據(jù)恢復(fù)軟件，經(jīng)精確掃描，獲取相關(guān)恢復(fù)文件[2]。根據(jù)QQ聊天記錄數(shù)據(jù)文件均為*.DB文件，因此過濾篩選出所有DB文件，按路徑導(dǎo)出。經(jīng)查，在默認(rèn)路徑下找到目標(biāo)QQ賬號86691123的聊天記錄數(shù)據(jù)文件，如圖2所示。

圖2 恢復(fù)的數(shù)據(jù)庫文件列表

1.3.2解析QQ聊天記錄數(shù)據(jù)文件

在連接互聯(lián)網(wǎng)的工作站中運行取證大師（V4.2），加載目標(biāo)QQ賬號86691123聊天記錄數(shù)據(jù)文件，經(jīng)自動取證功能未成功解析QQ賬號為86691123的聊天記錄，經(jīng)了解確認(rèn)由于registry.db文件未保存QQ登陸密鑰（即在登陸QQ軟件時未勾選“記住密碼”），無法自動獲取QQ聊天記錄。為成功獲取QQ聊天記錄，筆者通過QQ信息解密的方式手工輸入QQ密碼，成功獲取到QQ賬號為86691123的聊天記錄。經(jīng)過篩選獲得涉案的與QQ賬號為12008349、770428187的聊天記錄，如圖3所示。

圖3 恢復(fù)的QQ聊天記錄內(nèi)容

2 基于關(guān)鍵字搜索的QQ聊天記錄刪除恢復(fù)

2.1 關(guān)鍵字搜索

關(guān)鍵字搜索是在選定關(guān)鍵字內(nèi)容后按照一定的編碼規(guī)則通過關(guān)鍵字匹配算法對二進制流數(shù)據(jù)進行分析查找。在電子物證檢驗過程中，關(guān)鍵字是與案件相關(guān)的重要信息，可通過邏輯或物理方式對檢驗對象進行搜索，查找包含該關(guān)鍵字的信息，這樣可以準(zhǔn)確快速地獲得有價值的數(shù)據(jù)。通常犯罪嫌疑人在使用QQ聊天記錄聊天時，會在計算機中緩存操作信息，QQ的聊天記錄涉及賬號、時間、聊天內(nèi)容等信息會被記錄到計算機中，通過QQ賬號、具體聊天內(nèi)容等關(guān)鍵字搜索會在未分配簇或者虛擬內(nèi)存文件中找到聊天記錄內(nèi)容[3]。

2.2 基于關(guān)鍵字搜索的QQ聊天記錄刪除恢復(fù)

本文以未能成功解析出目標(biāo)QQ賬號的聊天記錄的計算機為例，介紹基于關(guān)鍵字搜索方法恢復(fù)QQ聊天記錄。本例檢驗要求恢復(fù)涉及的目標(biāo)QQ賬號為454831451，聊天內(nèi)容涉及到考試作弊、作弊工具等內(nèi)容聊天記錄。

2.2.1關(guān)鍵字搜索

運行取證大師（V4.2），新建案例，加載鏡像文件，通過對案件的了解與分析，設(shè)置關(guān)鍵字為“454831451”“考試作弊”“考中答案”等，選擇編碼為常見的漢字編碼GB2312、UTF-8、Unicode等，選擇的搜索范圍為全盤搜索，見圖4。

2.2.2搜索結(jié)果分析與固定

根據(jù)搜索結(jié)果，經(jīng)過搜索我們找到與檢驗要求相關(guān)的內(nèi)容，在未分配簇偏移位置為10066857982處發(fā)現(xiàn)部分聊天記錄，有明確的昵稱、賬號、時間以及聊天天內(nèi)容等詳細(xì)信息，內(nèi)容詳見圖5。在未分配簇偏移位置為34307491020處同樣發(fā)現(xiàn)QQ聊天記錄，同樣有明確的昵稱、時間以及聊天內(nèi)容，但缺少Q(mào)Q賬號，內(nèi)容詳見圖6。

圖4 關(guān)鍵字設(shè)置

圖5 搜索QQ聊天記錄結(jié)果截圖1

圖6 搜索QQ聊天記錄結(jié)果截圖2

3 結(jié)論

本文結(jié)合案例分析，介紹了基于Windows操作系統(tǒng)的兩種刪除QQ聊天記錄的恢復(fù)方法——基于文件恢復(fù)的QQ聊天記錄刪除恢復(fù)與基于關(guān)鍵字搜索的QQ聊天記錄刪除恢復(fù)。這兩種方法都有其各自的優(yōu)缺點，前者的優(yōu)點在于能完整恢復(fù)聊天記錄并有很好的可讀性，但是缺點在于要求的條件苛刻，成功實現(xiàn)的難度大；后者正好相反，優(yōu)點在于操作簡單，易于實現(xiàn)，缺點在于信息不完整，需要分析判斷。因此，在日常檢驗工作中，可將這兩種方法結(jié)合使用，取長補短，提高QQ聊天記錄恢復(fù)的成功率。

[1] 中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC).第35次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告[R]. 2015:42.

[2] 薛琴.基于FinalData的數(shù)據(jù)恢復(fù)技術(shù)在計算機取證中的應(yīng)用[J].警察技術(shù)，2008(4)：44-47.

[3] 李子川.關(guān)于對QQ聊天記錄數(shù)據(jù)恢復(fù)方法的研究[J].黑龍江科技信息，2009(11)：62.