淺談智能手機(jī)通信軟件取證分析
——以微信為例

◆吳家健 操丹妮 陳光宣

（浙江警察學(xué)院基于大數(shù)據(jù)架構(gòu)的公安部信息化應(yīng)用公安部重點(diǎn)實(shí)驗(yàn)室浙江 310053）

隨著通信技術(shù)與移動網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，智能手機(jī)儼然成為人們工作生活中不可或缺的一個重要組成部分。截至2020年3月，我國手機(jī)即時通信用戶規(guī)模已達(dá)8.9億，即時通信使用率高達(dá)99.2%[1]。騰訊旗下的QQ、微信與阿里巴巴旗下的釘釘?shù)溶浖闪私^大部分人生活中的必備品。根據(jù)騰訊2019年第四季度財(cái)報，旗下微信的月活躍賬戶數(shù)達(dá)到了11.648億[2]。

但隨著微信用戶群體在網(wǎng)民中的比重不斷增加，微信犯罪案件的數(shù)量日益上升，手法也越加繁復(fù)高明。嫌疑人既可以通過微信小程序?qū)嵤┓缸?，也可以通過搖一搖和附近的人添加好友實(shí)施犯罪，還可以通過掃描提供的二維碼加群或進(jìn)入網(wǎng)頁進(jìn)行犯罪。因此，對于不同形式微信犯罪的理解必須不斷深入，相應(yīng)取證手段也必須不斷更新完善?！蹲罡呷嗣穹ㄔ宏P(guān)于修改<關(guān)于民事訴訟證據(jù)的若干規(guī)定>的決定》、《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》等許多法律法規(guī)部門規(guī)章的逐步出臺落地為有效打擊新型網(wǎng)絡(luò)犯罪提供了較為完備的法律支持。這些法律法規(guī)出臺的同時也對取證人員的要求也變得越來越高：證據(jù)要充足到位，過程要記錄可再現(xiàn)，檢材要完整不可寫入等。智能手機(jī)即時通信軟件取證工作在手機(jī)取證中是非常重要的一個環(huán)節(jié)，對其研究有助于取證人員快速方便提取有效證據(jù)。

1 國內(nèi)外研究進(jìn)展

國內(nèi)在微信證據(jù)獲取等即時通信軟件證據(jù)獲取方面的研究頗為豐富。例如陳瑞君研究Android取證中對微信應(yīng)用分身的取證及部分?jǐn)?shù)據(jù)的恢復(fù)進(jìn)行闡述，并指出了部分文件的存儲地址[3]；羅建利則是介紹了在取證工具下的通訊數(shù)據(jù)取證與Android數(shù)據(jù)恢復(fù)[4]；明振亞針對微信小程序的數(shù)據(jù)庫的取證開發(fā)取證工具且取證效果良好[5]；黃平等綜合邏輯算法對微信語音聊天數(shù)據(jù)提取進(jìn)行研究，并總結(jié)了相關(guān)算法[6]；裴洪卿在應(yīng)用版本降級提取數(shù)據(jù)方法中設(shè)計(jì)實(shí)驗(yàn)證明了該方法在不同設(shè)備不同軟件上的效果良好，且印證了數(shù)據(jù)原始性[7]；王偉兵等通過逆向手段對微信軟件的安裝包進(jìn)行反編譯，解得聊天記錄數(shù)據(jù)庫文件的密鑰[8]，該方法在復(fù)雜環(huán)境下對Android版微信證據(jù)的密鑰獲取效果良好。

即時通信軟件證據(jù)獲取在法學(xué)方向上的研究非常豐富。郭鵬飛等指出收集微信電子證據(jù)是可能會出現(xiàn)重實(shí)體輕程序的現(xiàn)象且證據(jù)真實(shí)性存疑，并提出建構(gòu)標(biāo)準(zhǔn)化收集程序[9]以實(shí)現(xiàn)程序上看得見的正義；張明智從證據(jù)資格和證明力出發(fā)，論證了聊天記錄在民事訴訟中的作業(yè)[10]。

偵查方向上對即時通信軟件證據(jù)獲取的需求也十分迫切，吳躍文則在大數(shù)據(jù)背景下通過微信的功能將其與大數(shù)據(jù)偵查相融合[11]；王寧指出在利用微信等軟件進(jìn)行販毒等行為的案件偵破需拓寬微信販毒情報來源渠道、加強(qiáng)微信平臺陣地控制、構(gòu)建微信販毒案件偵查協(xié)作格局與完善電子證據(jù)偵查取證技術(shù)手段[12]。

國外在手機(jī)即時通信軟件取證方面做了大量的研究工作，針對WhatsApp和Skype等軟件研究頗豐。微信證據(jù)獲取中富有代表性的Chandrika Silla是從Android底層與電子取證原理開始針對但不限于微信軟件進(jìn)行討論研究，并設(shè)計(jì)方法完整獲取數(shù)據(jù)[13]。但由于研究時間較早，現(xiàn)在使用的微信軟件是否仍能在該方法下實(shí)現(xiàn)仍待考證。WhatsApp取證研究方向中，與王偉兵等人的研究相似，Gudipaty LP等通過在未root的Andorid手機(jī)中解密加密的WhatsApp數(shù)據(jù)庫。同時他們指出關(guān)注新版本加密數(shù)據(jù)庫的手段對執(zhí)法工作者極為重要[14]，這在現(xiàn)在看來也仍是如此。

2 常用手機(jī)取證方法與手段

2.1 可視化提取

可視化又稱手工提取，是指使用直接的方式獲取信息。這樣的方式一般僅能獲取可見文件與為被嫌疑人刪除的信息，無法直接作為證據(jù)使用?？梢暬@取的手段一般適用于無數(shù)據(jù)接口、取證設(shè)備不支持的機(jī)型或簡單取證。

2.2 邏輯提取

邏輯提取也稱代理提取，從1997年美國Guidance Software公司研發(fā)出第一款專業(yè)取證工具Encase開始就是世界各國電子取證工作者的主要取證手段。根據(jù)電子取證的不損害原則，邏輯取證需要配合只讀鎖等工具開展取證工作。隨著研究深入，分布式并行取證技術(shù)正在更新發(fā)展，為電子取證提供新的取證工具。Android手機(jī)在邏輯提取中一般會使用Android SDK自帶的Android Debug Bridge（ADB）命令來獲取備份，Apple手機(jī)則可以利用同步協(xié)議獲取移動設(shè)備文件系統(tǒng)的一個備份或者邏輯拷貝。Android手機(jī)是否root權(quán)限與Apple手機(jī)是否越獄有關(guān)等相關(guān)因素會影響備份文件的大小。在Android版本高于4.0可以使用ADB命令時，一般的邏輯提取需要掌握檢材的密碼與root權(quán)限，且一般無法提取未分配簇中的內(nèi)容。Recovery系統(tǒng)對于Android相似于Windows PE對于Windows XP，所以Android手機(jī)也可利用Recovery系統(tǒng)的刷入來獲取數(shù)據(jù)。若使用Recovery環(huán)境數(shù)據(jù)獲取，則不需要root權(quán)限、鎖屏密碼等。

2.3 備份提取

備份提取也稱物理獲取。包括硬件與終端實(shí)現(xiàn)連接的方法或者是物理上獲取終端設(shè)備的方法，也包括將終端設(shè)備中的軟件在具有root權(quán)限的條件下運(yùn)行dd命令以獲取分區(qū)鏡像的擬物理獲取技術(shù)，JTAG（Joint Test Action Group，聯(lián)合測試工作組）以及根權(quán)限下的各種技術(shù)方法等。物理獲取有時也可以是通過位對位（bit to bit）復(fù)制來獲取完整物理鏡像，其中就包括已被刪除的數(shù)據(jù)。

2.4 芯片提取

芯片提取技術(shù)是將儲存芯片用熱風(fēng)槍等工具將芯片與主板分開后加載到芯片編程器上。作為現(xiàn)在使用的最高級的技術(shù)手段，芯片提取技術(shù)一般適用于：被惡意損壞的手機(jī)；因進(jìn)水、爆炸等原因無法開機(jī)的手機(jī)；數(shù)據(jù)接口無法使用的手機(jī)與有密碼但無法破解的手機(jī)等。這種提取方式需要取證人員有一定的手機(jī)維護(hù)經(jīng)驗(yàn)。

2.5 微讀技術(shù)

微讀技術(shù)是指在電子顯微鏡下對NAND或NOR芯片存儲進(jìn)行圍觀狀態(tài)的觀察，并根據(jù)Flash芯片均衡磨損原理等固態(tài)介質(zhì)存儲理論進(jìn)行數(shù)據(jù)還原，這種技術(shù)已經(jīng)上升到電子取證領(lǐng)域的最尖端領(lǐng)域，而且目前也沒有商業(yè)微讀技術(shù)設(shè)備。

3 微信取證技術(shù)

3.1 文字聊天數(shù)據(jù)提取

文字聊天的內(nèi)容直接存儲在微信開源數(shù)據(jù)庫WCDB中，后綴名為.db。聊天內(nèi)容存儲的數(shù)據(jù)庫在手機(jī)中的完整路徑是/data/data/com.tencent.mm/MicroMsg/xxxxx/EnMicroMsg.db，其中xxxxx代表的是一串根據(jù)微信名加密得到的32位字符。但該路徑需要root權(quán)限才可訪問且加密，所以普通用戶無法在手機(jī)中直接讀取。通過zip解壓工具解壓微信apk安裝包可得到若干文件夾與幾個.dex文件。針對這幾個.dex文件進(jìn)行反匯編觀察源碼可獲得EnMicroMsg.db的加密密鑰。密鑰由IMEI碼和UIN碼拼接后經(jīng)MD5哈希計(jì)算獲得。由于該數(shù)據(jù)庫文件使用的是公開的AES-256對稱加密算法，所以解密密鑰正是加密密鑰。通過軟件輸入密鑰解密即可。

3.2 語音聊天數(shù)據(jù)提取

將微信數(shù)據(jù)進(jìn)行相關(guān)提取后如圖 1所示，語音聊天數(shù)據(jù)存儲在Voice子文件夾中。

Android環(huán)境下，微信語音聊天內(nèi)容一般使用以msg為文件名開頭的.amr音頻文件存儲進(jìn)行存儲。使用播放器打開提示無法正常播放說明文件格式出錯。通過WinHex可知其文件魔數(shù)（Magic Number）已被改并不是AMR文件的魔數(shù)。如圖2所示?？赏ㄟ^魔數(shù)后兩位數(shù)按低前高后排列得到一十進(jìn)制數(shù)N，刪去其后N個數(shù)后根據(jù)公開的Skype音頻轉(zhuǎn)換算法進(jìn)行轉(zhuǎn)換得到可播放的.mp3文件。

iOS環(huán)境下，微信語音聊天內(nèi)容一般使用.aud格式文件存儲。經(jīng)十六進(jìn)制觀察與比對可知.aud格式是.amr的一種變形。由于其播放需要特殊工具，網(wǎng)絡(luò)上有許多工具可將其轉(zhuǎn)換為.mp3等格式。

圖1 微信相關(guān)數(shù)據(jù)提取結(jié)果

圖2 Android微信語音聊天文件.amr十六進(jìn)制圖

3.3 其他聊天數(shù)據(jù)提取

其他聊天數(shù)據(jù)包括聊天中發(fā)送的視頻、圖片、表情包等。在部分案件中，嫌疑人將一些犯罪證據(jù)通過圖片或視頻的形式發(fā)布，例如通過照片遞比特幣交易地址、通過視頻中加入字幕發(fā)布“投資群”信息。當(dāng)取證人員認(rèn)為需要這些圖片信息時可通過縮略圖簡單觀察圖片信息。當(dāng)有需要細(xì)致觀察時，取證人員可在image子文件夾、video子文件夾等中查看相關(guān)信息。這些信息一般未加密。

4 公安工作實(shí)際案例分析

4.1 可視化提取在公安工作的運(yùn)用

手工提取作為一種便捷、直觀、有效的電子取證方式，在派出所接警室與處警時較為常用。接警的民輔警在接到一些即時通信軟件詐騙、電話恐嚇騷擾等警情時會采用手工提取的方式，使用工作機(jī)直接將報案人的聊天記錄、通話記錄等拍攝。在涉及網(wǎng)絡(luò)賭博、“裸聊”等黃賭毒案件時，抓捕現(xiàn)場直接使用工作手機(jī)進(jìn)行拍攝的手工取證也是一種十分常見的手段，如圖3所示。

圖3 某地查處賭博時手工提取證據(jù)

4.2 邏輯提取在公安工作的運(yùn)用

邏輯提取是一種十分高效的取證手段，通過取證軟件或配置SDK環(huán)境手工導(dǎo)出指定文件來完成取證任務(wù)。審訊人員會通過訊問等方式獲得手機(jī)的鎖屏密碼。在物證移交至相關(guān)技術(shù)單位進(jìn)行取證時，取證技術(shù)人員在屏蔽電磁干擾的環(huán)境下進(jìn)行邏輯提取。提取工作一般使用廈門美亞柏科公司的手機(jī)大師、上海弘聯(lián)公司的火眼取證軟件、上海磐石公司的取證軟件等集成完成。若分析針對性強(qiáng)也可以手工提取分析。如圖4所示，根據(jù)公開數(shù)據(jù)庫推出微信數(shù)據(jù)庫密碼原理，即登錄設(shè)備IMEI號加上微信UIN號的32位小寫MD5值取前七位，并對分析對象的微信聊天記錄進(jìn)行瀏覽。

圖4 計(jì)算密碼與數(shù)據(jù)瀏覽

4.3 備份提取在公安工作的運(yùn)用

在準(zhǔn)備進(jìn)行手機(jī)數(shù)據(jù)恢復(fù)時，根據(jù)電子取證的“避免使用原始證據(jù)”免原則，公安機(jī)關(guān)取證技術(shù)人員一般會進(jìn)行數(shù)據(jù)完全物理鏡像獲取，即位對位物理備份提取。這種提取雖然速度較慢，但能對嫌疑人刪除的數(shù)據(jù)恢復(fù)進(jìn)行恢復(fù)，未被覆蓋的未分配簇中的數(shù)據(jù)能被提取出，數(shù)據(jù)更完整可靠。

5 結(jié)束語

本文通過分析現(xiàn)有理論與實(shí)踐研究成果，結(jié)合公安工作的實(shí)際需求，綜合闡述了以微信為代表的智能手機(jī)即時通信軟件取證分析方法。以當(dāng)代人們廣泛使用的兩大類機(jī)型-Android和 Apple手機(jī)作為對比切入點(diǎn)進(jìn)行研究，分析各提取技術(shù)的特點(diǎn)及其適用方向。并在此基礎(chǔ)上進(jìn)行實(shí)際操作完成了嫌疑人的部分犯罪電子數(shù)據(jù)證據(jù)獲取，通過圖文形式詳細(xì)描述各形態(tài)數(shù)據(jù)實(shí)際提取過程、內(nèi)容以及結(jié)果。以更形象易懂的方式表現(xiàn)取證技術(shù)在公安領(lǐng)域的重要性和廣泛應(yīng)用，取證技術(shù)的未來將更加清晰。