座机电话是目前电信网络犯罪中嫌疑人广泛使用的犯罪工具之一，因此座机电话内存储的通话记录信息对前期案件的分析研判及后期诉讼的证据链补充均有着重要作用。本文采用芯片取证的方法，提取分析了座机电话内存储的通话记录信息。在对座机电话进行拆解后，制作存储芯片的物理镜像，并使用Winhex软件提取镜像内通话记录数据，编写Python程序对原始数据进行梳理并展示，深度挖掘了潜在的通话规律、通话时长等信息。在涉网新型案件的侦查和取证过程中，要注意座机电话的取证和固定，在线索缺失或证据不充分的情况下，其中提取的信息将会为案件的侦办提供重要助力。

为协助警方在侦破电信网络诈骗案件时实现对所获证据的有效聚合,得到多名涉案人员的嫌疑程度排序,提出了一种基于语言毕达哥拉斯模糊集的多属性决策方法。首先,根据已有线索确定相关涉案人员及属性信息;其次,基于语言毕达哥拉斯模糊集以定性的语言术语表示模糊信息,对不确定的属性信息进行统一描述;最后,在语言毕达哥拉斯模糊环境下,利用基于WOWA算子的软似然函数这一多属性决策方法对各属性值进行有效聚合,得到相关涉案人员综合得分值的结果排序。结果表明,相较于定量的评估形式,定性的语言术语评估形式更适用于实际电诈犯罪案件;同时实验结果表明,相较于基于OWA算子的软似然函数多属性决策方法,本文所采用的WOWA算子能在一定程度上避免极端数据带来的影响,并且能更好地软化权重值,使得软似然值的变化更趋于平缓。本文所提多属性决策方法可协助警方关联与案件有关的属性信息,在弱化决策者主观因素的前提下缩小人工甄别范围以获得涉案人员的嫌疑程度结果排序,本文首次将该技术应用于电信网络诈骗案例中,对电诈犯罪嫌疑人认定具有实际意义。

本文通过研究手机拍摄照片经微信传输分辨率的变化情况,总结其稳定的特征,为微信传输照片文件的溯源提供新的思路。本文收集市面上常用的18款手机所拍摄的照片进行研究,以原图发送、压缩发送、分享发送三种不同的方式通过微信传输,研究原图分辨率与手机镜头最高像素之间的关系,原图分辨率与压缩图分辨率之间的相关性,以及不同的传输方式得到照片分辨率的变化规律。研究结果表明,安卓或鸿蒙系统的手机以原图方式通过微信单次或多次发送的照片,照片文件没有变化,属性信息与原图保持一致,分辨率不变;iPhone手机以原图方式通过微信发送的照片,照片格式变化,但多次发送,照片的分辨率不变。以压缩、分享方式通过微信发送照片时,属性信息均不存在,分辨率按照一定的规律被压缩,但在实际的表现中会有细微的差别,且多次发送时,照片的分辨率不会改变。照片的分辨率特征可以为推断经过微信传输的照片传输方式、拍照手机的镜头像素及可能的手机品牌型号提供判断依据。

在对新型涉网犯罪的打击过程中,涉案网站的重建是取证的关键环节,而在实战中,网站的重建往往会遇到各种各样的问题,成为困扰基层刑事技术民警的技术瓶颈。如何能够快速、高效地重建涉案动态网站,成为公安刑事技术队伍面临的亟待解决的问题。本文所述的动态网站重建技术核心是把软件开发过程中的debug技术运用到刑事技术领域网站的重建和重构的过程中,快速找出网站重构过程中遇到的问题,定位到相关的源代码位置,从而通过修复或者更改源代码,跳过网站重建过程中遇到的障碍,快速高效地重建涉案动态网站。在网站程序运行到断点时,debug技术允许技术人员查看某些变量的值,包括全局变量及局部变量,能更快地掌握代码执行的逻辑和流程。该技术是计算机软件开发技术在公安刑事技术领域的创新性应用,能在实战中取得事半功倍的效果。

随着声学和光学传感器技术的快速发展及其在手机等移动智能设备上的广泛应用,传统的基于元数据分析、成像分析、处理痕迹分析、图像信号分析等技术手段的图像真实性鉴定已形成相对成熟的综合鉴定方案,然而,针对手机中个性化相机程序拍摄照片的真实性鉴定问题,仍缺乏系统的技术研究和方法指导。本文系统研究手机水印相机程序拍摄照片的图像数据特点,并以市面上流行的两款水印相机为例详细研究手机水印相机程序拍摄照片的真实性鉴定的检验内容和鉴定方法。研究结果表明,文件属性和元数据信息检验在解决上述问题中发挥着重要作用,但又与传统的检验内容存在差异。检验过程中,应充分关注手机操作系统特性以及水印相机程序特性以实现客观科学的个性化相机程序拍摄图像的真实性鉴定。

手机作为当今人手必备的电子产品,在给人们工作生活带来很多便利的同时也记录了大量数据信息,对嫌疑人手机内数据信息的分析利用正是电子物证检验的一项主要工作。目前对手机数据的分析主要基于手机中的通联记录、照片录像等可以直观查看的数据,而对各类手机应用生成的日志文件的分析在实际案件应用中鲜有尝试。本文通过一个案例介绍了应用日志分析的基本方法和思路,该案中检验人员通过对嫌疑人手机QQ应用记录的日志进行深入分析,提取到手机联网时间、网络环境切换信息、主动操作记录等信息,还原了其案发时间行为轨迹,为推断其作案嫌疑程度提供了重要依据,为案件的进一步侦办提供了有力线索。

当前,随着支付方式的转变,以扫码支付或者第三方平台转账的方式获取钱财的新型抢劫案并不鲜见。由于网络实名制的普及,此类案件较容易侦破。本文报道了一起使用他人手机、他人支付宝,并转入第三方赌博公司账户“洗钱”的抢劫案例,作案方式罕见,规避现有侦查手段,给案件侦破带来困难。刑事技术人员利用电子物证技术检验数名嫌疑对象手机,在一人手机中发现赌博网站登录历史,经审讯,该人供述了作案过程及案后丢弃的涉案手机。随后,在被丢弃的涉案手机中,发现受害人的银行卡信息和涉案资金信息,最终形成完整证据链,认定犯罪嫌疑人。

苹果手机的“语音备忘录”“微信”“文件”三种APP之间可以对音频文件进行转发及转储。在转发及转储的过程中,音频文件大小和所记录内容没有改变,但是音频文件的元数据信息及电子数据信息却会发生改变。因此,语音备忘录中所保存的音频文件的真实性鉴定除了对音频文件本身做常规的元数据分析、信号分析、语义分析、电子数据分析,还需要对音频文件的生成及流转的整个过程中系统及应用程序的日志文件进行溯源性分析。本文通过案例,介绍如何通过微信日志文件对音频的流转过程进行溯源,并对录音真实性进行综合判断。

目的 为送检手机通话录音质量的审查提供理论依据。方法 提出一种定量化的语音检材质量评价标准,并对不同手机及不同通信网络下的录音进行质量评价。该标准基于主流鉴定设备,涵盖了声学语谱图共振峰个数及数值、基频参数、区域平均频谱等分析方法以及声纹比对测试。结果 实验结果显示,不同条件下得到的通话录音质量存在一定的差异性,会对声纹图谱鉴定产生一定影响,但并不会造成本质性差异。结论 语音同一认定中,对基于移动通信网络获取的检材录音应考虑到通话语音质量的差异性对检验的影响,并在鉴定分析中加以评估和克服。

目的 探究iPhone或iPad的“语音备忘录”内保存的音频文件的生成方式。方法 对多款型iPhone或iPad设备的“语音备忘录”功能进行实验,通过对“语音备忘录”的录制、裁剪、分享、保存、替换、修改文件名等功能生成的音频文件的元数据信息和文件尾部信息进行对比检验,对其生成方式进行探究。通过对“语音备忘录”与“微信”APP及“文件”APP之间相互转发及转储后的音频文件的元数据信息和文件尾部信息进行对比检验,对其流转规律进行探究。结果 “语音备忘录”中不同功能生成的音频文件的元数据信息和文件尾部信息有规律性差异;经过“语音备忘录”与“微信”APP及“文件”APP之间相互转发及转储的音频文件的元数据信息和文件尾部信息也会发生规律性改变。结论 通过检验“语音备忘录”中的音频文件的元数据信息和文件尾部信息可以判断其生成方式。

目的 研究特斯拉线圈开启智能门锁前后,锁内芯片电子数据变化情况,提出现场勘查和检验鉴定工作建议。方法 将一款智能门锁进行拆解,研究其指纹和密码的存储芯片（微处理器〔MCU〕和电子抹除式可复写只读存储器〔EEPROM〕）及存储方式,反复演示特斯拉线圈开锁过程,分别读取干扰前后芯片内的数据,并比较数据变化情况。研究智能门锁硬件电路的通信方式,使用随机波形发生器模拟不同通信方式受干扰的情况,记录并比较特斯拉线圈开锁前后硬件电路通信方式变化、寻找受特斯拉线圈干扰的通信方式,研究特斯拉线圈开启智能门锁的机制。结果 智能门锁的指纹和密码数据存储在EEPROM上,其中密码以明文形式存储,特斯拉线圈干扰开锁后指纹和密码数据被全部擦除。智能门锁的键盘和MCU之间采用中断信号线（IRQ线）、控制线（SCL）、数据线（SDA）三种通信方式进行通信;特斯拉线圈干扰时通信信号发生变化,由于信号变化使IRQ中断程序未能完成,程序紊乱,致EEPROM上的指纹和密码数据被全部抹除,智能门锁被打开。结论 特斯拉线圈对智能门锁通信信号产生干扰,造成EEPROM上的密码和指纹存储数据全部被擦除,门锁自动打开。在实际案件中,能够通过检验智能门锁EEPROM上存储数据变化情况,推测是否被特斯拉线圈开启过。

近年来电信网络新型犯罪给人民群众的生命财产安全造成巨大危害,也给我国公安机关的执法办案带来了巨大挑战,严重影响了社会秩序的和谐稳定。本文着重介绍了一起典型的网络借贷平台侵犯公民个人信息案件的电子数据取证过程,主要采用的技术方法包括APP数据抓包、APP反编译、源代码分析、镜像文件转换和仿真、数据库备份还原等。该案数亿条电子数据为警方锁定犯罪嫌疑人和收集固定犯罪证据提供了关键支撑,也为日后电子物证专业在侦办此类新型网络犯罪案件中发挥作用提供了可靠的经验。

家用路由器是一种用于网络互联的设备,常用于当代家庭、公司、企业等小型场景。本文将探讨家用路由器电子数据取证方法,为传统案件和网络犯罪案件侦查提供线索。本文对家用路由器的定义、功能、厂商、硬件架构、软件以及在犯罪侦查中的作用进行了总结。在此基础上梳理了家用路由器的取证方法,包括动态取证和静态取证。动态取证介绍了运行状态下家用路由器的信息搜集、权限获取;静态取证介绍了被固定为证据的家用路由器的信息搜集、连接方式、数据提取和固件分析。

随着智能手机的日趋普及,智能手机数据提取问题成为目前电子取证领域中的重要课题。本文针对损坏SQLite数据库取证,提出了一种新的智能手机删除数据恢复方法。与传统基于SQLite数据库文件本身删除恢复操作方法不同,本方法是一种基于SQLite数据库底层数据存储结构的数据遍历方法。通过实际案例测试,此方法适用的对象并不局限于SQLite数据库,安卓机身镜像、损坏的数据库文件和分区碎片等都可以进行应用并得到完整的解析结果。本方法的提出是一种崭新的尝试与思路,将底层数据分析电子取证思想从计算机取证扩展到手机取证,为智能手机数据分析与删除数据恢复提供了新的思路与有效手段。

电子证据采集是电子取证的关键步骤,关系到取证的效率和结果。传统的电子证据采集方法为电子取证的蓬勃发展奠定了基础,然而,大数据时代的到来给电子证据采集带来了新的问题和挑战。本文从大数据的内在特质出发,剖析电子证据采集当下面临的主要问题：证据数量庞大,证据来源多样,证据类型复杂,证据一致性难于保持,证据内在关联关系薄弱,采集无效数据过多等。鉴于此,本文提出了一个二维电子证据采集框架。该框架首先利用案例推理（Case-based Reasoning,CBR）对待采集的电子证据定位,以过往类似案例为经验,限定电子证据采集的位置;然后通过基于本体（Ontology）的专家知识库,借助本体描述,解决证据源多样问题,借助知识库推理机,挖掘出证据间关联关系,同时划定电子证据采集的内容。二者结合,从电子证据采集的位置和内容双重维度,最大程度地剔除了无关数据,提高了采集效率,减少了采集时间,避免了证据冲突,为电子取证后续工作的开展提供了高效、可靠的分析基础。

以微信为代表的通信工具每天都在产生可以描述人物关系的海量数据,如何通过数据整合为侦查办案提供智力资源和知识服务已成为大数据环境下公安机关科研工作的研究重点和难点内容。本文以微信聊天记录的时间信息为研究对象,利用分层聚类和K-均值聚类分析技术,发现通信时间特征与人物关系之间的关联关系,将微信联系人按照“亲疏远近”的人物关系进行分类,从而为案件侦查过程中快速寻找犯罪团伙、重点嫌疑对象提供一种新的技术手段。

目前关于Android手机动态内存提取技术的研究是在LiME工具基础上,通过编译源内核进行提取。由于Android系统手机开放源代码的不完整性,实际取证工作中很难获取到与目标手机相匹配的内核源码。因此,本文提出一种通过解决未知符号错误实现基于相似内核提取Android手机动态内存的方法。该方法通过分析Linux下ELF格式与内核符号机制,在内核源码中找到未知符号函数定义并取消其在内核中的配置,编译内核时产生不具有指定的符号引用信息的模块,最后将相似内核成功加载至目标手机并提取到动态内存数据。

智能手表由于其体积小巧功能丰富的特点在近年来受到消费者的广泛欢迎,它存储着大量有重要取证价值的信息,如通话记录,即时消息,GPS记录,健康数据记录等。这些电子数据无疑会丰富电子物证数据资料,为侦查破案和立案诉讼提供重要线索和有力证据。本文首先对国内外智能手表取证研究和应用的现状进行了总结,然后通过对具有不同特点的智能手表进行数据提取和解析的实验,总结出了可被迅速投入实战的可行取证方法。研究发现,本文中提到的方法可以对市面上常见的智能手表进行电子数据取证。本文还通过对智能手表的硬件架构和软件数据结构进行的研究,分析了智能手表取证的难点,并在最后提出了未来智能手表取证研究的方向,为广大电子物证研究和技术人员提供参考。

本文介绍了一类工程机械设备GPS远程监控系统被破坏案件的取证检验方法,首先研究了工程机械设备GPS远程监控系统的结构和工作原理,然后对工程机械设备被非法“解锁”的犯罪手段进行分析,并对犯罪活动实施过程中涉及的设备及电子数据进行分析、提取和检验,最后对案件的取证要点进行了总结和讨论。

近年来“伪基站”在实际检验鉴定工作中给我国司法部门带来了巨大挑战。本文首先简要阐述了“伪基站”的工作原理、常用的取证方法及存在的问题,然后着重介绍了“伪基站”的后台数据库文件的数据存储结构,并通过实例分析,对数据库保存的发送记录在删除前后的数据变化进行了仔细比对,证明了数据库中删除文件恢复的可行性。最后笔者利用数据库文件成功恢复提取出“伪基站”中未覆盖的发送任务记录。这种方法和经验可以应用于绝大多数“伪基站”的取证。

目的阐述电子物证检验技术的专业内容和组成,以及开展电子物证检验的作用和重要意义;方法研究美国、欧洲和国内电子证据及其检验鉴定的数据资料,结合国内物证检验技术发展现状和需求,论证电子物证检验技术;结果提出了电子物证检验定义、检验对象、技术方法、特点作用以及尽快在国内建立电子物证检验专业等观点;结论电子物证检验是关于识别、发现、提取、保存、恢复、展示、分析和鉴定电子设备中存在的电子信息(电子证据)的科学技术,其检验结果可以作案件侦查线索或法庭证据。开展电子物证检验可以有效提高犯罪侦查效率。

构建和分析嫌疑人的社交网络结构有助于深入研究嫌疑人信息传播的规律,从而获取更多嫌疑人作案线索。现有的社交网络的相关度设计多忽略数据属性,本文将数据属性引入相关度中,并改进相关度数量值计算模型,提出了一种适用于手机实联系数据,通过数据属性与数据数量二维度相结合来描述手机拥有人与手机中存在的联系人间的相关程度的模型,我们将其定义为二维相关度模型。最后结合数据可视化技术分析嫌疑人社交网络。研究表明此方法能够有效的反映嫌疑人与联系人之间的相关程度,形象直观地呈现社交网络图,并能更有效的挖掘嫌疑人社交网络的隐含信息,更有利于工作人员后期工作的展开。该研究为分析嫌疑人社交网络提供了新思路,具有一定的现实意义。

随着先进的虚拟存储管理技术和其他互联网技术的发展,云存储和云计算技术正成为互联网发展的前沿并得到广泛的应用。在云计算环境中,接近无限的数据存储能力、超强的数据计算能力、广泛的数据共享、瞬息万变的数据环境、服务的按需自主性、规模的弹性化和接入的广泛性等特点与传统的单机、独立网络和小存储的数据处理方式有着根本性的差别。因此传统的电子取证方式在云计算环境下面临证据获取、固定和分析等方面的挑战。如何在拥有多用户、海量数据资源和分布式存储特点的云计算环境中获取需要的线索是摆在电子物证工作者面前的一个新课题。本文在分析电子取证的发展、传统电子取证的特点、云计算环境特点的基础上,讨论了电子取证在云计算环境下面临的挑战并结合中外学者的最新研究成果,综合论述了云计算环境下数字取证调查的对策。

近年来,国内电信、网络诈骗案件频发,诈骗手法多变;其中犯罪分子冒充国家公、检、法机关工作人员利用电话骗取受害人的信任,指使受害人登录指定网站、安装远程控制程序或木马,远程操作受害人的计算机,登录受害人的网银账户,盗取受害人资金的案件发案率较高。对此类案件的电子物证取证分析存在一定的难度,鉴定过程中易将此类案件归为计算机植入木马类案件进行分析,分析过程中会涉及到程序的反编译、程序代码的跟踪执行等多个检验环节,使案件分析变得复杂。本文报道一案例,在分析过程中首先采用动态仿真模拟出受害人的计算机,然后利用时间线技术分析案发时的计算机操作行为,通过电子物证取证分析,还原了案发时计算机的操作行为,为案件的侦查提供了有力支撑。最后本文就此类案件的电子物证取证分析方法进行探讨。

本文结合近几年案件中电子物证检验的状况，对电子数据的现场获取中可能影响检验结果的因素进行了分析探讨，并给出了解决这些问题的技术措施和建议。

本文综述了对于asp类型网站的电子取证知识及应用技术。分别从ASP网站结构、IIS信息及日志文件的获取、网站文件内容的取证、后台数据库信息的获取几个方面展开进行介绍。

探讨建立对电子数据司法鉴定工具进行科学性及可靠性的评估方法。在已有的国内外取证工具评测 方法的基础上，借鉴国家强制认证认可弄口可靠性工程等因素，对电子数据司法鉴定工具可靠性评估体系中的工 具基本认可和定性评估二阶段进行详细分析，为保证司法鉴定实践的科学性和准确性提供理论依据。

本文综述了网络电子证据的相关概念、特点、取证技术以及发展趋势。