2024年5月14日发(作者:yy安全中心网页版)
刑侦技术 HAl XIA KE XUE
两种基于Windows系统的QQ聊天记录删除
恢复方法比较
1.福建省公安厅刑事技术总队2.福建省刑事科学技术重点实验室魏驰 黄君灿 陈兆烟
[摘要] 目的:比较两种-恢复QQ聊天记录方法的优缺点,探索不同恢复方法的最佳适用条件。方法:以实际案件为例,对两
种QQ ̄JP天记录进行数据恢复的方法——基于文件・恢复的QQ聊天记录删除恢复与基于关键字搜索的QQ ̄JP天记录删除恢复进
行比较。结果:两种方法均能有效地恢复QQ] ̄P天记录,但不同条件下的恢复结果彼此有差异。结论:基于文件恢复的QQ聊
天记录删除恢复方法能完整恢复聊天记录并有很好的可读性,但是对检验条件的要求苛刻,成功实现的难度大;基于关键字
搜索的QQ聊天记录删除恢复方法操作简单,易于实现。缺点在于信息不完整,需要对恢复的结果做进一步分析判断。
[关键词] QQ聊天记录 数据恢复 关键字
随着我困网络的普及,即时聊天T具已成为人们生活中
相关QQI[ ̄II天记录数据文件,进而解析获得有价值的聊天i己
录。
不可或缺的东西,根据《第35次中国互联网络发展状况统计
报告》,即时通信作为第一大上网应用,在网民中的使用率
达 ̄1190.6%…,诸 ̄[1QQ、微信、陌陌等聊天] 具充斥着人们
生活的各个角落。正因为如此,即时通讯聊天记录极叮能存
刑事案件侦破过程中扮演着举足轻重的作用 本文从文件恢
复与关键字搜索两个方面提}}J对删除QQI( ̄p天记录的恢复方
法.
1-3基于文件恢复的QQ聊天记录删除恢复
本文以一台重装Windows操作系统的汁算机为例,介绍
基于文件恢复提取删除I ̄<jQQ聊天 录 本例中,QQ账号为
86691 l23的聊天记录因重装系统而被删除。
lI3.1文件恢复
运行TINAL Forensics(V3.1)数据恢复软件,经精确扫
描,获取相关恢复文件_2】?根据QQ聊天记录数据文件均为
.
1 基于文件恢复的QQ聊天记录删除恢复
1.1 QQ聊天记录解析前提
通过对取证大师(V4.2)使用及分析得知.要成功解析
聊天记录.需要完整的聊大记录文件Msg3.0.db、密钥信息文
件Registry.db以及好友信息文件lnfo.db三个数据库文件(见
图1) 在Windows!操作系统巾,这些QQI( ̄p天记录数据文件
默认存放于CflUsers\Username\Documents\Tencent Files文件
日录相应fl<jQQ账号文件夹中、
名称 内窖
DB文件, 此过滤筛选出所有DB文件,按路径导lLfI 经查,
在默认路径-F找到目标QQ账号86691 123的聊天记录数据史
件,如图2所示
状态 l文件名 l扩晨名I 划、l目录
J氍础 {件 ・ FM s l4E0041・O01\,DB(236 ̄\Unkmwn\86691123\ms92Adb
-】密锝信息文件 L删州 Ol4E0041-O01\.DB{236)\Unknc ̄vn\860gl1)3\TM\re9 db
j 件 D^FL・800\FM s l4吣1.O01 ̄DB(236)\Unk『loWn\嗍l12 .db
图1 解析QQ聊天记录所需文件以及路径
1.2文件删除恢复
图2恢复的数据库文件列表
1.3.2解析QQ聊天记录数据文件
在连接互联网的1 作站巾运行取证大师(V4.2),加载
目标QQ账号8669ll23聊天记录数据文件,经自动取证功能未
成功解析QQ账号为86691123的聊天记录,经了解确认由于
在Windows.操作系统中,被删除的文件只是被标记为删
除,而事实上文件的数据部分并没有发生改变,这为恢复被
删除的QQ应用程序文件提供了可能。因此在案件的取证过程
中,诸如嫌疑人删除了QQ聊天}己录数据文件、存储介质被格
registry.db文件未保存QQ登陆密钥(即在登陆QQ软件时未勾
选“记住密码”),无法自动获取QQ聊天记录。为成功获取
式化或者是重装操作系统等情况,可通过数据恢复软件恢复
QQI ̄[1天记录,笔者通过QQ信息解密的方式手丁输AQQ密
2016年第10期(总第118期) 61
两种基于Windows系统的QQ聊天记录删除恢复方法比较
码,成功获取 ̄IJQQ账号为86691 123的聊天记录。经过筛选获
得涉案的与QQ账号为12008349、770428187的聊天记录,如
图3所示。
一
鲤
膏生.
膏生.
丈人
捌嘲睁嘲}l|鼍豳嘲
!16691123
86吼125
770428187
864591123
I尊嘲啭辟 嘲 {哪
到了
口
固
目
5747
5748
5749
尢^
太^
-眭.
丈^
7704211187 2011-01—11 l5坤 ss巍
S66g1123
刀0伽
770428187 2011 ̄1-11 15“7:04我先■—母
2011-ol 11 15;47:08什么卡'
盯 2oll i-11 15;47:16捂厅懂掬I卡
2Ollfol—u 15:47:20
2011 l・11 1 ̄'47:40
目
目
日
瞄
口
5750■ .
5751j
57520太人
5753 ■生.
5754J_生.
770428187 膏生.
771 ̄428187■生.
8'3691123
86691123
B6秘n23
8/ ̄91123
太人
T/0A281盯
8669112.3
20ll'ol一11 15:47:50, I骚
2Oll—ol一11 15:48:o2叠打电话.
7704,78187 2011 ̄1—11 15:47: ̄2龋
口
四
口
日
5755lJ太^
5756 融.
T/04281 ̄
8 ̄91123
.
尢^
.
^
771)428187 2011<11 11 15:49:.14
瓣 -瞄E.嘲ll船
770428187
 ̄
 ̄
7"/0428187 2011"01-11 I. 瞄■E羊●-糌,
7.■五下牛.
5758J
5759■太^
5760
5761
770428187 lne.i
. 1123
1123
86691123 2011-Ol 11 15:5o ̄4斛
86691123 2011-ol-11 15:50:20只嘲蛀‘E翱爵匿生7l臣在
770428187 2011-01・11 1S 50;22好吣
?70428187 ∞l1—01-11 15:5C:.35三千
86691 ̄3
’
7 ∞OO拽I呐疽7
■±.
口57620 770428187 t .
2011-01-11 15:50 ̄0不鹄再塞●黼
图4关键字设置
菖
目5763: 0融.
丸~
86691123 M
T/04281B7鞋.
7704 ̄187 ̄O114/1.11 15:51:17
 ̄I123 2011-01.11 15:51:59蕾翻 々 一 目 57 ̄,4
图3恢复的QQ聊天记录内容
蘑
(4
2基于关键字搜索的QQ聊天记录删除恢复
2.1关键字搜索
图5搜索QQ聊天记录结果截图1
关键字搜索是在选定关键字内容后按照一定的编码规则
通过关键字匹配算法对二进制流数据进行分析查找。在电子
物证检验过程中,关键字是与案件相关的重要信息,可通过
逻辑或物理方式对检验对象进行搜索,查找包含该关键字的
信息,这样可以准确快速地获得有价值的数据。通常犯罪嫌
疑人在使用QQ聊天记录聊天时,会在计算机中缓存操作信
息,QQ的聊天记录涉及账号、时间、聊天内容等信息会被记
录到计算机中,通过QQ账号、具体聊天内容等关键字搜索会
在未分配簇或者虚拟内存文件中找到聊天记录内容f3】。
图6搜索QQ聊天记录结果截图2
3结论
本文结合案例分析,介绍了基于Windows操作系统的两
种删除QQ聊天记录的恢复方法——基于文件恢复的QQ聊天
2.2基于关键字搜索的QQ聊天记录删除恢复
本文以未能成功解析出目标QQ账号的聊天记录的计算
机为例,介绍基于关键字搜索方法恢复QQ聊天记录。本例检
验要求恢复涉及的目标QQ账号为45483 145 l,聊天内容涉及
到考试作弊、作弊工具等内容聊天记录。
2.2.1关键字搜索
运行取证大师(V4.2),新建案例,加载镜像文件,通
过对案件的了解与分析,设置关键字为“454831451”“考试作
记录删除恢复与基于关键字搜索的QQ聊天记录删除恢复。这
两种方法都有其各自的优缺点,前者的优点在于能完整恢复
聊天记录并有很好的可读性,但是缺点在于要求的条件苛刻,
成功实现的难度大;后者正好相反,优点在于操作简单,易
于实现,缺点在于信息不完整,需要分析判断。因此,在日
常检验工作中,可将这两种方法结合使用,取长补短,提高
QQ聊天记录恢复的成功率。
弊”“考中答案”等,选择编码为常见的汉字编码GB2312、
UTF.8、Unicode等,选择的搜索范围为全盘搜索,见图4。
2.2.2搜索结果分析与固定
根据搜索结果,经过搜索我们找到与检验要求相关的内
容,在未分配簇偏移位置为10066857982处发现部分聊天记
录,有明确的昵称、账号、时间以及聊天天内容等详细信息,
内容详见图5。在未分配簇偏移位置为34307491020处同样发
现QQ聊天记录,同样有明确的呢称、时间以及聊天内容,但
缺少QQ账号,内容详见图6。
参考文献:
[1]中国互联网络信息中 L,(cr,TN[c).第35次中国互联网络发展状况统计报告
[R].201 5:42.
【2】薛琴.基 ̄-FinalData的数据恢复技术在计算机取证中的应用[J].警察技术,
2008(4):44—47.
【3李子川.3]关于对QQ聊天记录数据恢复方法的研究[J].黑龙江科技信息,
2009(1 1):62.
62 2016年第10期(总第118期)
发布者:admin,转转请注明出处:http://www.yc00.com/xitong/1715691722a2657125.html
评论列表(0条)