趙 露，康艷榮，郭麗莉，龍 源，王 博，張 倩，鮑夢湖，張耀國

（公安部鑒定中心，痕跡科學(xué)與技術(shù)公安部重點實驗室，北京 100038）

手機(jī)取證已是當(dāng)下電子取證領(lǐng)域較為成熟的技術(shù)，目前檢驗人員和偵查人員在利用手機(jī)數(shù)據(jù)辦案過程中[1]傾向于對手機(jī)內(nèi)用戶數(shù)據(jù)的分析[2-3]，比如聊天記錄內(nèi)容碰撞、人物關(guān)系[4]的梳理等。對于人員軌跡的分析也基本停留在通過手機(jī)內(nèi)GPS位置信息[5]、拍攝圖片記錄位置信息[6]，或通過配對智能可穿戴設(shè)備，如智能手表[7]中記錄的位置信息等方式進(jìn)行梳理。對手機(jī)中日志的利用通常也都是對操作系統(tǒng)日志進(jìn)行分析，但隨著手機(jī)操作系統(tǒng)權(quán)限管理越來越嚴(yán)格，現(xiàn)在已經(jīng)很難獲取到較為全面的系統(tǒng)日志。這種情況下可以考慮對常見應(yīng)用的日志進(jìn)行深度分析，通過對應(yīng)用日志中記錄的手機(jī)聯(lián)網(wǎng)軌跡、應(yīng)用運行軌跡等手機(jī)操作痕跡進(jìn)行刻畫，同樣可以為案件偵查提供重要線索，從而為案件偵辦指明方向。本文將通過一個實際案例對應(yīng)用日志的分析方法進(jìn)行描述。

1 案情簡介

2021年3月8日8時許，某市公安局接到警情：某縣某鎮(zhèn)某村一小賣部內(nèi)，一對老夫妻（經(jīng)營和居住者）被人殺死。偵查專家綜合現(xiàn)場調(diào)查情況推斷，案發(fā)時間在8日凌晨1時15分至1時30分之間，具體實施作案時間約2 min，系一人作案。嫌疑人尾隨受害人進(jìn)入，現(xiàn)場財物無翻動痕跡，作案時間短、殺人目的明確。因此判斷該案為仇殺，嫌疑人為本村人員，與受害人存在矛盾糾紛且具備一定時空條件。但是由于案發(fā)環(huán)境為農(nóng)村小賣部，出入人員復(fù)雜，監(jiān)控視頻角度無法直接查看小賣部人員出入情況，重點調(diào)查對象手機(jī)提取的數(shù)據(jù)中未發(fā)現(xiàn)直接線索。結(jié)合偵查調(diào)查獲取的相關(guān)線索，篩選出一名重點嫌疑人王某（男，20多歲），為本村人員，具有較強(qiáng)的作案動機(jī)（與死者有債務(wù)糾紛）、有利的作案時空條件，并且案發(fā)時間無不在場證明，各方面條件均符合前期刻畫的嫌疑人特征，但是沒有明確的證據(jù)或線索來進(jìn)一步確認(rèn)或排除該嫌疑人。

2 應(yīng)用日志分析

2.1 人員軌跡調(diào)查走訪情況

經(jīng)過前期調(diào)查，王某的相關(guān)軌跡為：

1）3月7日白天，王某與瞿某（死者孫子）相約到小賣部打麻將；

2）當(dāng)日晚8時40分左右，王某夫婦駕車到小賣部，與瞿某夫婦一直在小賣部打麻將，未離開過；

3）3月8日凌晨1時10分，瞿某夫婦和王某夫婦先后駕車離開，從監(jiān)控錄像中可以觀察到兩個車燈分別向兩個方向逐漸遠(yuǎn)去；

4）1時14分左右，通過監(jiān)控錄像可以查看到一人（經(jīng)現(xiàn)場勘查分析，此人為女死者）手持手電筒到后院廁所，后返回；

5）1時15分至30分之間，案發(fā)。

王某與死者生前存在債務(wù)糾紛，在3月8日凌晨1時10分離開小賣部之后無有力不在場證明，其住處到小賣部步行10 min內(nèi)可以到達(dá)，返回現(xiàn)場作案的時間非常充分，而且作為少數(shù)幾名明確知曉死者夫婦在凌晨1點多仍未鎖門睡覺的人員之一，具有重大作案嫌疑無法排除。

2.2 王某手機(jī)應(yīng)用日志分析思路

案發(fā)之后技術(shù)部門已經(jīng)第一時間對王某手機(jī)數(shù)據(jù)進(jìn)行了提取分析，未直接發(fā)現(xiàn)有價值的信息，因此嘗試從應(yīng)用日志入手，分析王某手機(jī)在案發(fā)時間段內(nèi)的操作情況。檢驗人員對王某手機(jī)數(shù)據(jù)中的日志文件[8-9]進(jìn)行了全面篩查，篩選出記錄了3月8日前后信息的手機(jī)操作日志，過濾掉加密存儲的日志文件，成功在QQ應(yīng)用相關(guān)日志中找到了有意義的信息。本案中分析到的日志文件列表見表1。

表1 本案中分析的日志文件列表Table 1 Log f iles analyzed in the case

根據(jù)這些日志文件中存儲內(nèi)容的特點，制定日志分析思路（圖1），本案中主要針對案發(fā)時段嫌疑人手機(jī)的聯(lián)網(wǎng)環(huán)境和操作行為進(jìn)行分析。首先分析手機(jī)聯(lián)網(wǎng)環(huán)境切換情況，是否曾經(jīng)接入案發(fā)地wif i，案發(fā)時段是否再次接入案發(fā)地wif i，如果案發(fā)時段嫌疑人手機(jī)接入案發(fā)地路由的wif i，則說明嫌疑人手機(jī)在案發(fā)時間出現(xiàn)在案發(fā)地周圍，嫌疑人作案嫌疑會顯著提高；如果接入的是其他網(wǎng)絡(luò)環(huán)境，由于還可能存在嫌疑人不攜帶手機(jī)作案的可能，還需要進(jìn)一步分析手機(jī)主動操作行為：如果這段時間手機(jī)一直在進(jìn)行主動操作，如打游戲、收發(fā)消息等，則可以考慮為嫌疑人在非案發(fā)地不斷使用手機(jī)，作案的可能極小；反之，如果手機(jī)只是被放置在某處，被動接收消息的話，則無法通過手機(jī)日志信息來推斷嫌疑人的行為。

圖1 嫌疑人手機(jī)日志分析思路Fig.1 Conceived route to analyze the logs in the suspect’s mobile phone

2.3 網(wǎng)絡(luò)環(huán)境切換記錄分析

2.3.1 log.txt文件分析

首先對storageemulated