国产及山寨手机中QQ聊天记录恢复、提取的探讨
引用本文
贾永生, 姚波. 国产及山寨手机中QQ聊天记录恢复、提取的探讨[J]. 刑事技术,2013,38(1): 46-48
JIA Yong-sheng, YAO Bo. Recovery and collection of QQ chatting records on domestic and knockoff phones[J]. Forensic Science and Technology,2013,38(1): 46-48
Permissions
JIA Yong-sheng, YAO Bo. Recovery and collection of QQ chatting records on domestic and knockoff phones[J]. Forensic Science and Technology,2013,38(1): 46-48
Copyright©2013, 《刑事技术》编辑部
《刑事技术》编辑部
国产及山寨手机中QQ聊天记录恢复、提取的探讨
作者简介:贾永生(1977—),男,北京人,大专,工程师,从事电子物证的检验鉴定工作。Tel:010-83996730
关键词:
国产手机; 山寨手机; 手机QQ; 恢复提取
中图分类号:DF793.2
文献标志码:A
文章编号:1008-3650(2013)01-0046-03
Recovery and collection of QQ chatting records on domestic and knockoff phones
Abstract
Based on analysis of software structure and the storage rule of QQ data on domestic and knockoff phones, the method and procedure for recovery and collection of QQ data were introduced.
Keyword:
domestic phones; knockoff phone; phone QQ; recovery; collection
随着无线通讯技术的发展, 手机QQ逐渐成为大众进行即时通讯交流的一种主要工具。因此, 从手机中提取QQ聊天记录的案例在电子物证检验领域也在逐渐增多并成为一个新的研究课题。
目前, 国内应用的主流手机取证系统主要是针对市场占有率高的国际主流品牌手机进行数据获取, 而对国内市场上充斥的主要以MTK平台为基础的国产品牌手机和山寨手机的检验却显得力不从心。在QQ数据的读取和解析方面, 由于国外主流品牌手机软件系统的不开放性和较高的安全性特点, 导致其在电子物证检验方面要更为复杂(作者将就该问题另文探讨, 此处不再赘述)。而大量的国产品牌及山寨手机多采用MTK操作平台, 其结构简单、技术落后, 因而对这类手机的取证要相对容易。另外由于QQ软件的本土性特色, 其主要用户群集中在中国, 导致国外的取证软件也未对QQ数据的提取方法进行研究开发。
基于以上原因, 在对手机中的QQ聊天记录恢复、提取方面, 没有成熟的取证系统可以应用。通过实践和研究, 笔者发现以MTK平台为基础的国产和山寨手机上的QQ数据在其存储和解析等方面具有自身的特点, 并具有普遍性, 检验中可以依靠存储介质的取证分析工具进行恢复、解析和提取。本文结合实际案例对MTK平台下的国产和山寨手机中QQ数据的特征及其恢复、解析和提取的方法、步骤进行介绍(国产的智能手机将不在本次讨论的范围之内)。
1 QQ数据在手机中的存储特征
国产手机的机身存储器容量很小, 一般依赖于扩展存储器(Mini SD、micro SD存储卡等)存储第三方应用程序和相关数据[1] , 故在这类手机中, QQ数据被存储在扩展存储器中, 且其存储的文件夹结构和路径相对固定。基于这一特点, 作者选用EnCase存储介质分析软件对手机的扩展存储器进行数据分析。
通常情况下, QQ文件夹存储在扩展存储卡的“ mythroad” 路径下, 在该路径下的QQ文件夹的命名会因为手机的品牌不同而有所差别, 但都会包含“ QQ” 字样, 如malata MG619-A型手机的QQ文件夹为\mythroad\QQ2008(QQ2009)文件夹, 而山寨机或高仿机的QQ文件夹为\mythroad\MTKQQ, 如Gocgle G5型手机。在QQ文件夹下会以本地登录的QQ号码为名称创建各个QQ号码的数据存储文件夹, 用于存储该号码的全部用户信息和聊天记录。
“ 图1” 所示为malata MG619-A型手机上的QQ软件目录结构。从图1中左侧对话框可以看出, 在\mythroad目录下包含有QQ2008和QQ2009两个文件夹, 分别为2008版和2009版两个版本的QQ, 其中QQ2008下包含有3个以数字命名的文件夹, 均为从本地登录的QQ号码, 其中存储该号码的全部数据内容。从右侧对话框中可以看到在QQ号码251359257下存储的文件及文件夹内容, 其功能分别为:
 | 图1 QQ软件目录结构 |
“ GROUP” 、“ QUN” 、“ qunmember” 3个文件用于存储群及群成员、群聊天记录等信息;
“ stranglist” 文件中存储陌生人列表;
“ NEARLIST” 文件中存储最近联系人信息;
“ USERDATA” 文件中存储好友信息, 包含昵称等内容;
“ CHATDATA” 文件夹用于存储聊天记录文件。
在每个本地登录的QQ用户文件夹下均有一个 “ CHATDATA” 文件夹, 其中存储的文件即为该用户的聊天对象数据, 它以聊天对象的QQ号码命名, 无文件扩展名, 本地登录用户与每个聊天对象的聊天记录均记录在相应的聊天对象文件中。如“ 图2” 所示为malata MG619-A型手机上本地登录的QQ号码251359257的聊天对象文件。在图2中右侧对话框中显示的以数字命名的文件名即为各聊天对象文件。如“ 10000” 这个文件中存储的即为系统消息; “ 1002156918” 这个文件中存储的即为本地登录的QQ号码251359257与QQ号码1002156918之间的聊天记录。从这个目录下可以提取与QQ号码251359257进行聊天的对象的QQ号码。
 | 图2 本地登录QQ号码的聊天对象 |
2 被删除的QQ数据的恢复
通常在EnCase软件中使用“ 恢复文件夹” 功能对手机扩展存储器进行文件恢复, 在手机上安装了QQ软件且数据未被完全覆盖的情况下, 使用该功能可以恢复出一个名为“ _HATDATA” 的文件夹, 该文件夹的完整名称应为“ CHATDATA” , 即用于存储聊天对象数据的文件夹。
“ 图3” 所示为在malata MG619-A型手机的扩展存储器中恢复的“ CHATDATA” 文件夹。从图3可以看出, 恢复的聊天对象文件与未删除的文件具有相同的属性特征, 并且包含文件的创建时间等信息。在数据恢复完成后, 选择提取已删除但未被覆盖的文件, 进行解析并查看其聊天记录等内容。
 | 图3 恢复的“ CHATDATA” 文件夹数据 |
实践中, 可能存在使用EnCase无法恢复出相关数据的情形, 这是因为该软件的自动数据恢复能力较差导致的。在这种情况下, 应该尝试使用其它较专业的数据恢复软件对存储卡进行恢复, 并依据以上介绍的数据特征查找到需要的文件再进行解析[2]。
3 QQ数据的提取及聊天记录的解析
因检出的QQ聊天记录文件为未知文件类型, 没有对应的应用程序进行直接查看, 检验中可以采用以下两种方法对此类文件进行解析、查看。
3.1 EnCase中直接解析、查看
因国产手机中的QQ软件文本记录方式通常使用Unicode(Big-Endian)编码, 在检验中只要选择这个编码对聊天记录文件进行解析就可以查看其文本内容。
具体方法是, 在EnCase软件中选择“ 文本样式” 对话框, 添加Unicode(Big-Endian)编码, 再选中聊天对象文件, 使用该编码进行查看, 即可在“ 文本” 对话框内显示出相应的聊天记录内容。之后可对文本内容添加书签并导出。图4所示为在EnCase软件中查看QQ聊天记录的文本。
 | 图4 通过EnCase软件解析QQ聊天记录文本 |
3.2 使用Microsoft Office Word软件解析、查看
使用EnCase软件导出选中的聊天对象文件, 使用Microsoft Office Word软件打开, 在弹出的“ 文件转换” 对话框中选择Unicode(Big-Endian)编码并点击确定按钮打开, 即可查看相应文件的聊天记录内容(见图5)。
 | 图5 在Microsoft Office Word中查看QQ聊天记录文本 |
在实际检验鉴定工作中, 除了依据上述方法提取手机QQ聊天记录外, 还应注意遵循对QQ取证的一般标准, 即先提取QQ原始文件(保持原始属性不变), 再解析并导出相应的聊天记录内容, 从而保证证据的原始性和检验过程的可重复性。
4 讨 论
因国产手机和山寨手机的操作系统相对单一, 很少更新和升级, 致使QQ软件在这类手机中的存储结构和数据特征相对固定, 以上介绍的数据恢复、提取方法对之也具有很强的通用性。实践中, 笔者发现手机QQ软件的数据结构特征除了在国产手机和山寨手机中存在共性外, 在Nokia等国外品牌的手机中, 也存在相类似的特征, 本文介绍的方法对这类手机的检验也具有一定的借鉴意义。
The authors have declared that no competing interests exist.
参考文献
| [1] |
|
| [2] |
|