王李平 李天長 王超 張江文

1. 重慶市公安局大渡口區(qū)分局 2. 重慶市公安局

引言

近期，在辦理的一起案件中，嫌疑人手機(jī)中安裝了境外即時(shí)通訊聊天工具Secret，軟件logo如圖1所示。該Secret社交APP以“去中心化”為主要特點(diǎn)，具有自己的獨(dú)特特點(diǎn)，其中最受用戶歡迎的是用戶隱私保護(hù)特點(diǎn)和群組功能，目前支持21種國家語言。該APP的群組成員最多可以達(dá)20萬用戶，遠(yuǎn)遠(yuǎn)超過了國內(nèi)像微信、QQ之類的聊天工具的用戶限制；用戶之間的聊天內(nèi)容可以開啟閱后即焚的功能，為私密消息設(shè)定生命周期，且隨時(shí)可以刪除本設(shè)備或所有設(shè)備接收的登錄用戶發(fā)送的消息內(nèi)容。

區(qū)塊鏈社交Secret即時(shí)通訊APP的數(shù)據(jù)存儲沒有存儲在本地，且發(fā)送的消息可以閱后即焚和隨時(shí)刪除，給執(zhí)法人員提取數(shù)據(jù)帶來了極大的困難。該類APP的數(shù)據(jù)提取方法不同于其它傳統(tǒng)的APP提取方法[1-5]。結(jié)合本文案例，首先介紹一下Secret軟件具有的特點(diǎn)[6]。

（一）Secret是一款免費(fèi)的加密聊天軟件

使用Secret時(shí)，所有聊天內(nèi)容都會進(jìn)行端到端的加密。每一條發(fā)送的信息都有自己的安全鎖和安全密鑰，而且所有的信息都會自動(dòng)進(jìn)行端到端的加密，可確保所有聊天信息的安全性和隱私性。

Secret的視頻通話也會進(jìn)行端到端的加密，這意味著Secret和第三方均無法聽取通話內(nèi)容，端到端的對聊天、傳送文件、圖片、視頻進(jìn)行加密。據(jù)官方消息稱，服務(wù)器不會保存用戶的任何聊天記錄，保證用戶消息的絕對安全。

（二）快速建立群組

不同于微信、QQ等聊天軟件，受到群組成員人數(shù)的限制，Secret軟件可以快速建立上萬人的群組?？梢耘c群組內(nèi)的多人聊天、對話、共享文件和共享視頻等，進(jìn)行便捷高效的多方溝通對話。100人以下群組使用非對稱超級加密技術(shù)，端到端發(fā)送非對稱加密。1000人以上的群組采用Telegram的群組加密技術(shù)。

（三）創(chuàng)建自己的社區(qū)

社區(qū)里面有我的好友朋友圈，可以分享生活圖片、文字信息，還有語音分享、在線電臺（在微社區(qū)和直播區(qū)與主播實(shí)時(shí)互動(dòng)）、短視頻分享、在線課程（可以在線分享自己的經(jīng)驗(yàn)）、萬人在線會議、視頻會議等。自己也可以發(fā)布一些動(dòng)態(tài)信息，來分享自己的生活、經(jīng)歷、見聞等，也可以對朋友圈內(nèi)發(fā)布的內(nèi)容進(jìn)行點(diǎn)贊、分享和打賞。

（四）Secret是一個(gè)開放的平臺

Secret基于萬人群和社區(qū)，允許第三方接入各種Web應(yīng)用程序，包括游戲、購物、信息等豐富多樣的內(nèi)容，力求全方位提升用戶體驗(yàn)，為眾多開發(fā)者提供一個(gè)大舞臺。

（1）移動(dòng)平臺接入：接入開放平臺，應(yīng)用支持分享、收藏和支付；

（2）支持用戶登錄：網(wǎng)站允許使用Secret帳號登錄；

（3）行業(yè)解決方案：成為開放平臺的第三方，為企業(yè)級用戶提供運(yùn)營服務(wù)和行業(yè)解決方案；

（4）IM服務(wù)：為第三方公司提供IM服務(wù)與合作。

一、Secret軟件功能介紹

Secret軟件具有iOS版本、Android版本、MAC版本、Windows版本及Web版本等。經(jīng)過多種方式測試Secret社交軟件，得到該軟件有諸多功能特征。最近，Secret軟件進(jìn)行了升級，升級后的功能比較如表1所示。

升級前的Secret軟件可以在移動(dòng)終端、PC端和Web端進(jìn)行注冊，目前僅允許移動(dòng)終端通過注冊信息登錄，而PC端和Web端取消了注冊功能；在PC端和Web端登錄也取消了手機(jī)號登錄的功能。移動(dòng)終端版Secret軟件對于本設(shè)備發(fā)送的消息可以設(shè)置銷毀時(shí)間，最短時(shí)間是5秒鐘，最長時(shí)間為4周，Web端Secret和PC端的Secret同樣可以設(shè)置內(nèi)容銷毀時(shí)間，最短時(shí)間和移動(dòng)終端一樣是5秒鐘，最長時(shí)間不一樣，是1天而不是4周。

Secret軟件的數(shù)據(jù)無法在登錄其他設(shè)備時(shí)同步到新登錄設(shè)備上，只有新發(fā)送或接收的數(shù)據(jù)才會在不同設(shè)備上同步顯示。也就是說，早期登錄的設(shè)備上的數(shù)據(jù)在新登錄的設(shè)備上不會顯示。在登錄新設(shè)備后再發(fā)送或接收的消息所有設(shè)備都會顯示。

?

移動(dòng)終端退出后，不影響PC端和Web端的正常使用，即獨(dú)立運(yùn)行。不論為移動(dòng)終端還是電腦終端、Web端，Secret都可以獨(dú)立運(yùn)行。

4.3 社區(qū)上門輸液安全管理模式可以提高患者的滿意度 對家庭輸液患者開展針對性的健康教育和用藥指導(dǎo)提高了上門輸液患者及家屬對相關(guān)輸液知識和藥物的知曉率，使家屬能掌握簡單的輸液故障處置方法減少了護(hù)士上門輸液的重復(fù)率，減輕家庭輸液護(hù)士的工作壓力，提高了患者的滿意度。

二、提取數(shù)據(jù)的方式

由于該APP的數(shù)據(jù)不在本地存儲，所以通過連接手機(jī)取證設(shè)備直接提取數(shù)據(jù)已經(jīng)無法達(dá)到目的。結(jié)合上文中介紹的特點(diǎn)，分為幾種情況進(jìn)行了數(shù)據(jù)提取。

（一）禁止聯(lián)網(wǎng)，手機(jī)已默認(rèn)登錄Secret軟件，且掌握Secret通訊軟件的登錄密碼

在禁止嫌疑人手機(jī)聯(lián)網(wǎng)的情況下，對手機(jī)中Secret軟件中的數(shù)據(jù)進(jìn)行歸檔，將歸檔的數(shù)據(jù)導(dǎo)出到電腦中備份，然后在一部干凈的測試手機(jī)中導(dǎo)入歸檔數(shù)據(jù)，對測試手機(jī)聯(lián)網(wǎng)進(jìn)行下載音、視頻文件、圖片文件到手機(jī)中，然后利用常規(guī)的手機(jī)取證軟件對測試手機(jī)進(jìn)行取證。這種取證方式適合提取音視頻文件或者圖片，如果文字較多則不適合。

（二）禁止聯(lián)網(wǎng)，手機(jī)已默認(rèn)登錄Secret軟件，但未掌握Secret通訊軟件的登錄密碼

因?yàn)槲凑莆誗ecret軟件的登錄密碼，就無法通過歸檔數(shù)據(jù)，在其他終端設(shè)備上以恢復(fù)歸檔數(shù)據(jù)的方式來獲取數(shù)據(jù)。這種情況下，首先對手機(jī)提取鏡像文件，備份手機(jī)中的原始數(shù)據(jù)。接下來有三種方式提?。海?）查看手機(jī)中是否保存有Secret密碼，如果有則按照上一段介紹的方式進(jìn)行操作；（2）查看手機(jī)中Secret登錄帳號的郵箱地址，查看手機(jī)中是否有該郵箱的密碼，如果有則可以通過Secret密碼找回的方式，更改Secret密碼，然后按照上一段介紹的方式進(jìn)行提??；（3）使用傳統(tǒng)拍照方法進(jìn)行數(shù)據(jù)提取。

（三）禁止聯(lián)網(wǎng)，已掌握登錄帳號和密碼，但Secret軟件默認(rèn)退出

這種情況下，因?yàn)闊o法登錄帳號，且數(shù)據(jù)存儲在云端，即使在退出的時(shí)候沒有刪除數(shù)據(jù)，如果不聯(lián)網(wǎng)則無法提取數(shù)據(jù)。

（四）可以聯(lián)網(wǎng)，已掌握登錄帳號和密碼，但Secret軟件默認(rèn)退出

這種情況下，如果是Android版的移動(dòng)終端，則可以通過郵箱和密碼的方式登錄后再斷網(wǎng)，然后通過第（一）部分介紹的方法進(jìn)行數(shù)據(jù)提取。這種聯(lián)網(wǎng)提取數(shù)據(jù)的方法有可能造成被設(shè)備接收的數(shù)據(jù)被刪除。

上面介紹的四種提取方式，也可以使用流程圖表示，如圖2所示。

三、取證實(shí)例介紹

環(huán)境：測試手機(jī)品牌HUAWEI，測試手機(jī)型號Mate 20，操作系統(tǒng)Android 9。

由于該軟件的數(shù)據(jù)不存儲在本地，如果想提取該軟件上的數(shù)據(jù)，就需要人工參與進(jìn)行處理。

（1）該軟件可以通過歸檔的方式將軟件中的文字類型數(shù)據(jù)進(jìn)行備份，自動(dòng)保存在設(shè)備中的“Download”文件夾。歸檔的文件命名格式為“Secret+用戶名帳號+日期時(shí)間”，后綴名為“設(shè)備類型（Android or iOS）_wbu”，本例中數(shù)據(jù)歸檔的文件名為“Secret-zhangqiang6539-Backup_202109232125.android_wbu”。然后在其他同類型的設(shè)備上進(jìn)行數(shù)據(jù)恢復(fù)，如圖3、圖4所示。

（2）如果提取的是文字聊天記錄，只有通過截屏方式將聊天記錄進(jìn)行截圖，自動(dòng)保存到設(shè)備“Pictures/Screenshots”文件夾內(nèi)，命名格式為“Screenshot+日期+時(shí)間”，后綴名為“jsy_secret”，本文中其中一個(gè)截圖的命名為“Screenshot_20210930_094010_com.jsy.secret”，如圖5、圖6所示。

（3）如果是圖片、視頻或者語音數(shù)據(jù)，可以通過聯(lián)網(wǎng)進(jìn)行下載到本地手機(jī)中進(jìn)行提取。注意，通過下載數(shù)據(jù)的方式進(jìn)行提取，需要連接互聯(lián)網(wǎng)，前提是需要在原始嫌疑人手機(jī)中進(jìn)行歸檔，然后在測試手機(jī)中進(jìn)行操作。下載的文件保存在設(shè)備中的“Downloads”，如圖7、圖8所示。

四、結(jié)語

本文通過分析Secret軟件的特點(diǎn)和功能，介紹了四種提取數(shù)據(jù)的方式，此四種方法比較適合圖片、視頻、音頻等資料較多的案例。如果文字較多，則效果不顯著。前三種方式是在禁止移動(dòng)終端聯(lián)網(wǎng)的情況下提取數(shù)據(jù)，第四種是可以短暫聯(lián)網(wǎng)的情況下提取數(shù)據(jù)。本文中的案例進(jìn)行了脫密處理，方法過程和實(shí)際案例的提取方法、過程都一樣。由于Secret軟件的數(shù)據(jù)不存儲在本地，所有傳統(tǒng)的使用取證設(shè)備提取數(shù)據(jù)的方式是不適用的。在本文中提到的提取方式，只要Secret軟件處于登錄狀態(tài)，不管是否能聯(lián)網(wǎng)或者是否知道密碼，都可以通過相機(jī)拍照的方式提取數(shù)據(jù)。

該Secret軟件是境外的一種即時(shí)聊天軟件，在處理國家安全方面的案例中有時(shí)會遇到。通過本文介紹的數(shù)據(jù)提取方法，一線民警在遇到此類軟件時(shí)，希望能提供一些參考和幫助。