QQ取證及其司法鑒定方法研究

隆 波，肖 揚(yáng)，麥永浩，3，4

（1.武漢大學(xué) 計算機(jī)學(xué)院，湖北 武漢430072；2.湖北省公安廳 刑偵總隊，湖北 武漢430070；3.湖北警官學(xué)院，湖北 武漢430034；4.新疆警官高等?？茖W(xué)校，新疆 烏魯木齊830011）

隨著網(wǎng)絡(luò)逐步進(jìn)入我們的工作和生活，人們對信息實時性的要求越來越高，與外界的聯(lián)系，也不再僅僅局限于電子郵件和電話，而是需要網(wǎng)絡(luò)信息的實時傳遞。

QQ是騰訊公司1999年推出的即時通信軟件，目前也是國內(nèi)最流行的聊天工具之一。其不僅能傳遞文字消息，還集成了文件傳輸、語音聊天、視頻會議、電子郵件、用戶群、新聞瀏覽、短信發(fā)送、微博等諸多功能。越來越多的用戶通過QQ軟件進(jìn)行語音視頻聊天、資源共享、發(fā)送電子郵件或者組建用戶群。

隨著QQ的廣泛應(yīng)用，利用QQ軟件進(jìn)行惡性犯罪的案例也成逐年上升趨勢。如發(fā)布虛假中獎信息及釣魚網(wǎng)站，侵犯他人財產(chǎn)安全；聯(lián)絡(luò)、煽動組織成員進(jìn)行打砸搶燒，危害公共安全；泄露國家秘密、情報或軍事秘密，危害國家安全等。自2005年以來，隨著國家司法鑒定制度的逐步推進(jìn)，QQ取證及其司法鑒定是打擊此類犯罪活動的主動手段，是震懾此類犯罪活動國家意志的具體體現(xiàn)。因此，開展QQ取證與司法鑒定方法研究具有迫切的現(xiàn)實意義。

1 QQ取證及其司法鑒定的發(fā)展現(xiàn)狀

QQ取證目前沒有明確而統(tǒng)一的定義，筆者認(rèn)為：針對QQ取證的司法鑒定行為是電子數(shù)據(jù)司法鑒定實務(wù)的具體化，針對利用QQ犯罪活動進(jìn)行的證據(jù)獲取、保存、分析和出示都屬于QQ取證及其司法鑒定的范疇。當(dāng)前，針對QQ取證的技術(shù)和工具發(fā)展出現(xiàn)了斷層，相關(guān)研究成果止步于QQ2008版本，對改變加密方式更新推出的QQ2009、QQ2010、QQ2011數(shù)據(jù)庫文件Msg2.0.db中聊天記錄的獲取，無論是理論研究還是工具研發(fā)都突破有限。

1.1 技術(shù)路線

QQ軟件的活動痕跡往往保存在不同文件里，或分散在網(wǎng)絡(luò)的不同節(jié)點(diǎn)之中。從信源-信道-信宿①傳播學(xué)概念。信源就是信息的來源，可以是人、機(jī)器、自然界的物體等；信道就是信息傳遞的通道，是將信號進(jìn)行傳輸、存儲和處理的媒介；信宿就是信息的接受者，可以是人也可以是機(jī)器等。的角度來看，信源的痕跡文件分布在QQ客戶端電腦中，信道的痕跡文件分布在中間節(jié)點(diǎn)的路由器、交換機(jī)和邊界安全設(shè)備中，信宿的痕跡則在QQ服務(wù)器中。而從網(wǎng)絡(luò)取證的角度來看，對捕獲的QQ網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析、取證的技術(shù)已有研究，但限于對加密數(shù)據(jù)的破解致使取證難度較大。目前，QQ取證鑒定的重點(diǎn)主要集中在對QQ聊天記錄和接收圖片或文件的提取上，而對信道或信宿痕跡的提取只在非常必要的情況下進(jìn)行，對QQ網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行分析取證也不常見。

1.2 取證工具

目前QQ取證工具的發(fā)展可以概括為“一點(diǎn)兩段”。一點(diǎn)，即關(guān)注的著眼點(diǎn)，就是圍繞聊天記錄的提取開發(fā)取證工具；兩段，即兩個階段，就是圍繞QQ2006-QQ2008版本數(shù)據(jù)庫文件為MsgEx.db的工具研究階段和QQ2009及其以后版本數(shù)據(jù)庫文件為Msg2.0.db的工具研究階段。從當(dāng)前研究取得的成果來看，針對數(shù)據(jù)庫文件MsgEx.db的破解分析技術(shù)已經(jīng)非常成熟，相應(yīng)的取證工具也比較多，既有QQ專用聊天記錄查看器，也有包含QQ等多種即時聊天記錄查看軟件。但是針對數(shù)據(jù)庫文件Msg2.0.db的取證還沒有取得實質(zhì)性進(jìn)展，相應(yīng)的工具產(chǎn)品更是寥寥無幾，僅有極少的幾款取證工具軟件能在特定條件下對其進(jìn)行查看提取，如俄羅斯Belkasoft公司的Belkasoft Forensic IM Analyzer專業(yè)版在用戶登陸QQ時選擇“記住密碼”且接入互聯(lián)網(wǎng)的情況下可以提取到聊天記錄信息。

2 QQ取證司法鑒定的技術(shù)基礎(chǔ)

QQ軟件既使用TCP協(xié)議又使用UDP協(xié)議進(jìn)行通信，主要基于TCPF（Text chatting Protocol Family）協(xié)議族進(jìn)行。用戶首先從QQ服務(wù)器上獲取好友列表，以建立點(diǎn)對點(diǎn)的連接，在默認(rèn)情況下，QQ消息傳輸使用UDP協(xié)議并通過各種驗證機(jī)制來保證信息的可靠發(fā)送，但當(dāng)UDP協(xié)議不能正常轉(zhuǎn)發(fā)時就會采用TCP協(xié)議進(jìn)行發(fā)送。如果無法直接點(diǎn)對點(diǎn)聯(lián)系，即消息的接收方網(wǎng)絡(luò)未鏈接或故障，則消息通過服務(wù)器中轉(zhuǎn)的方式完成。同時，消息服務(wù)器會在一段時間內(nèi)對客服端發(fā)送的數(shù)據(jù)信息進(jìn)行備份保存，這使得對信宿進(jìn)行取證成為可能。

QQ軟件安裝后會把大量的信息記錄在以QQ號碼命名的文件夾中，比如該QQ號碼的聊天記錄和好友列表，而留存在注冊表中的信息相對較少，僅有一些安裝的路徑信息。了解這些文件的功能和作用對QQ取證具有一定的幫助，通過對這些安裝文件或文件夾進(jìn)行分析我們可以得到一些有用的信息（如表1所示）。

3 QQ取證技術(shù)及其鑒定方法介紹

3.1 聊天記錄提取

表1 不同版本QQ重要文件（夾）功能表

對于本地QQ聊天記錄的提取因QQ軟件的版本不同而有所差異。QQ2008及以前版本的聊天記錄保存在安裝目錄以QQ號碼命名的文件夾里，聊天記錄的內(nèi)容保存在MsgEx.db文件中，MsgEx.db文件采用復(fù)合文檔②復(fù)合文檔（Compound Document）是一種不僅包含文本而且包括圖形、電子表格數(shù)據(jù)、聲音、視頻圖像以及其他信息的文檔。結(jié)構(gòu)（如圖1所示），消息內(nèi)容都存儲在QQ號碼下面的Data.msj結(jié)構(gòu)中，通過Index.msj索引。消息內(nèi)容是經(jīng)過加密處理的，加密密鑰與QQ號碼相關(guān)，可以通過QQ號碼計算得到加密密鑰，進(jìn)而解密查看或提取聊天記錄信息。QQ2009及以后版本的聊天記錄同樣保存在復(fù)合文檔結(jié)構(gòu)Msg2.0.db文件中，消息內(nèi)容加密后存儲于content.dat中，但是密鑰的產(chǎn)生機(jī)制以及與QQ服務(wù)器之間的驗證機(jī)制都發(fā)生了改變，使得我們對QQ2009及以后版本的取證工作變得更加困難。就目前的研究及實驗情況推測：QQ消息內(nèi)容的加密并非采用公鑰加密機(jī)制，而是在本地隨機(jī)生成一個初始密鑰，然后發(fā)送給QQ服務(wù)器，服務(wù)器加密之后返回給本地客戶端，存放在Msg2.0.db文件的matrix.dat結(jié)構(gòu)中，以后登陸時，客戶端就把這個加密的內(nèi)容發(fā)送給QQ服務(wù)器，服務(wù)器會通過QQ號碼對matrix.dat中相關(guān)字節(jié)信息進(jìn)行驗證，待驗證通過后，服務(wù)器將解出的密鑰再次加密（兩次加密的算法和密鑰都不一樣，再次加密密鑰依賴于登陸口令）后返回給客戶端，然后客戶端用這個密鑰解密本地消息。

圖1 MsgEx.db和Msg2.0.db復(fù)合文件結(jié)構(gòu)對比圖

新版QQ在沒有登陸口令的情況下想要獲取本地聊天記錄信息目前還很困難，但并不意味著我們針對QQ取證的工作不能進(jìn)行。根據(jù)具體情況，以下三條思路值得我們進(jìn)一步研究：一是針對QQ2009sp5之前的Msg2.0.db文件，可以采取替換info.dat和Matrix.dat結(jié)構(gòu)中的部分關(guān)鍵二進(jìn)制信息來打開文件，讀取聊天記錄，實踐證明這個方法是可行的。二是根據(jù)用戶登錄網(wǎng)站、論壇、郵箱的密碼推斷QQ密碼。據(jù)統(tǒng)計，人們通常使用的密碼數(shù)量有限，一般不會超過6個，可以通過查看注冊表等方式找出相應(yīng)密碼來推斷QQ密碼。在鑒定過程中應(yīng)避開原始檢材而在取證計算機(jī)上重建該QQ號碼的原有環(huán)境，并針對提取過程采取屏幕錄像等手段以確保檢材的原始性。三是通過嫌疑人手機(jī)QQ獲取登陸口令，進(jìn)而用于計算機(jī)中QQ客服端聊天記錄獲取。筆者在研究手機(jī)取證時發(fā)現(xiàn)，手機(jī)上網(wǎng)用戶在使用手機(jī)QQ的過程中喜歡保存登陸口令以便隨時登陸，而多數(shù)手機(jī)系統(tǒng)平臺對保存QQ登陸口令的安全性重視不夠，這樣在有必要的情況下，可以將手機(jī)取證與QQ取證結(jié)合起來，獲取QQ聊天記錄信息。

3.2 QQ其他相關(guān)證據(jù)的取證鑒定

QQ是一款即時聊天軟件，對其取證，重點(diǎn)應(yīng)放在對聊天記錄的獲取上，因為聊天記錄包含的證據(jù)信息量多，且可以反映嫌疑人網(wǎng)絡(luò)通信脈絡(luò)及過程。除此之外，在取證鑒定實踐中還有幾個位置我們不能忽略。例如QQ郵件信息，保存圖片或截圖的“Image”文件夾，默認(rèn)存放接收文件的“FileRecv/My QQ file”文件夾等，同樣可以獲取到非常有價值的證據(jù)信息，且往往是聊天記錄的重要補(bǔ)充或佐證。如找到聊天記錄中談到的重要網(wǎng)銀轉(zhuǎn)賬的操作界面截圖，發(fā)現(xiàn)接收到的賬單文件等。

對QQ郵件信息的取證鑒定與登陸口令相關(guān)，郵件內(nèi)容存儲在QQ服務(wù)器上，沒有登陸口令想要獲取郵件信息相對困難，但在取證實戰(zhàn)中，我們可以結(jié)合對瀏覽器緩存的取證，找到一些有用的郵件頭信息或郵件內(nèi)容信息。如果一封郵件在本地打開過，就會在本機(jī)的瀏覽器緩存中留下一些郵件頭或內(nèi)容信息。緩存中的QQ郵件因為窗口格式問題可能會使得復(fù)原郵件信息位置重疊，難于查看，但對于取證鑒定來說，或許僅僅提取到一個郵件頭信息就可能足以支撐起整個證據(jù)鏈。因此，即使沒有登錄口令，我們在對QQ取證的過程中也不能忽視郵件取證這個環(huán)節(jié)，最好在取證前就將其列入取證步驟計劃。

對“Image”和“FileRecv/My QQ file”文件夾下文件信息的勘驗和提取是取證鑒定實戰(zhàn)中的常用做法，因為每個QQ號碼的“Image”文件下保存著該號碼接收到的一些圖片、屏幕截圖或QQ表情圖片；而“FileRecv”文件夾（QQ2008版本為“My QQ file”文件夾）下保存著該號碼默認(rèn)接收到的各種類型文件，包括圖片、文檔、可執(zhí)行文件、或是壓縮文件包等，只要是按“發(fā)送文件”方式默認(rèn)接收都將保存在此文件夾中。

3.3 對信宿的取證鑒定

通過研究QQ服務(wù)器的消息轉(zhuǎn)發(fā)機(jī)制發(fā)現(xiàn)，除局域網(wǎng)網(wǎng)內(nèi)QQ用戶間傳送文件外，客服端不管是發(fā)送離線消息或是即時消息，都會通過QQ消息服務(wù)器進(jìn)行轉(zhuǎn)發(fā)，并在一定時限內(nèi)留存轉(zhuǎn)發(fā)的消息。簡單地說，就是本地客服端和QQ服務(wù)器都保存有該號碼的聊天記錄信息。所以，在非常必要時我們可以通過一定的司法程序，在騰訊公司的協(xié)助配合下，獲取到QQ消息服務(wù)器中指定號碼的聊天記錄信息，在信宿中完成對QQ聊天記錄信息的取證鑒定。

4 QQ取證及其司法鑒定案例介紹

2010年8月，某司法機(jī)關(guān)對一起盜竊網(wǎng)絡(luò)游戲賬號案進(jìn)行鑒定。受害人王某向公安機(jī)關(guān)報案稱自己花費(fèi)3000元錢購買的一個“天龍八部”游戲賬號被人盜取，因嫌疑人趙某盜取游戲賬號后堂而皇之地在游戲中使用該賬號，相關(guān)部門對嫌疑人的電腦進(jìn)行了扣押，連同受害人的電腦硬盤一起送檢，委托鑒定其中是否存在有盜竊該游戲賬號的電子證據(jù)。

根據(jù)案情介紹，我們首先懷疑為木馬植入與遠(yuǎn)程控制的方式進(jìn)行電腦入侵，盜取游戲賬號信息。按此思路，我們重點(diǎn)檢查了受害人電腦系統(tǒng)中病毒木馬及惡意代碼情況和嫌疑人電腦系統(tǒng)中是否有遠(yuǎn)程控制程序代碼情況，盡管進(jìn)行了全盤數(shù)據(jù)恢復(fù)、關(guān)鍵字搜索、特定類型文件查找等技術(shù)手段，但是勘驗結(jié)果出乎意料，沒有發(fā)現(xiàn)任何相關(guān)痕跡。同時，我們依據(jù)用戶行為司法鑒定的步驟方法，認(rèn)真檢查了嫌疑人電腦的應(yīng)用程序緩存、文件搜索記錄、經(jīng)常執(zhí)行的程序及快捷方式等系統(tǒng)運(yùn)行痕跡；認(rèn)真檢查了歷史訪問記錄、cookie文件、收藏夾記錄、URL緩存記錄等網(wǎng)絡(luò)行為痕跡；認(rèn)真檢查了最近打開/保存的文檔記錄、應(yīng)用程序最近選擇的文件夾記錄、資源管理器訪問記錄等文檔處理痕跡；并根據(jù)這些用戶行為痕跡，判讀其電腦使用的習(xí)慣，論證其實施遠(yuǎn)程入侵控制的可能性。所有跡象表明，嫌疑人實施遠(yuǎn)程入侵控制受害人電腦系統(tǒng)盜取游戲賬號的可能性微乎其微。

通過對嫌疑人電腦系統(tǒng)中即時聊天工具的勘驗，我們發(fā)現(xiàn)其安裝有QQ2010 SP3.1正式版聊天軟件，進(jìn)一步查看各QQ號碼目錄下的 “Image”和“FileRecv”文件夾，我們發(fā)現(xiàn)并確認(rèn)了嫌疑人的QQ號碼證據(jù)信息，并找到大量聊天記錄和“天龍八部”網(wǎng)絡(luò)游戲的屏幕截圖。分析這些零散的屏幕截圖可以證明嫌疑人有使用過該失竊網(wǎng)游賬號登陸游戲界面的行為，但沒有找到其他能證明其盜竊行為的電子證據(jù)信息。此時，只有能獲取到嫌疑人QQ的完整聊天記錄，才可能發(fā)現(xiàn)更多更關(guān)鍵的電子證據(jù)信息。

因為聊天軟件版本為QQ2010 SP3.1，加之嫌疑人使用QQ時沒有在本地終端保存密碼信息，使用工具軟件和替換復(fù)合文檔數(shù)據(jù)結(jié)構(gòu)的方法都無法提取到聊天記錄。在與委托單位溝通后補(bǔ)充了檢材，嫌疑人使用的一部高仿真諾基亞N95山寨手機(jī)。結(jié)合手機(jī)取證鑒定工具進(jìn)行勘驗后我們發(fā)現(xiàn)，該山寨手機(jī)系統(tǒng)為MTK平臺，芯片型號為MT6226BA，最重要的是手機(jī)內(nèi)存中保存有手機(jī)QQ的登錄密碼（如圖2所示）。根據(jù)手機(jī)QQ中提取到的登錄密碼，我們完整地提取到了嫌疑人硬盤中QQ的聊天記錄，并從中發(fā)現(xiàn)了嫌疑人的朋友李某為該賬號的注冊人，該賬號幾經(jīng)輾轉(zhuǎn)出售到了受害人王某手里，其間賬號登錄密碼多次變更，但注冊認(rèn)證的郵箱一直未變，李某就是通過該認(rèn)證郵箱盜取了游戲賬號，并將其給嫌疑人使用以觀察風(fēng)險情況。

該案件的司法鑒定不僅還原了犯罪真相，證明了嫌疑人趙某的知情人角色，找到了真正的盜竊犯罪實施者，還為QQ取證與手機(jī)取證相融合的全新鑒定方法提供了實踐檢驗機(jī)會，取得了寶貴的實戰(zhàn)經(jīng)驗。

5 結(jié)語

圖2 MTK手機(jī)平臺獲取到的QQ號碼及登陸口令截圖

大量的電子數(shù)據(jù)司法鑒定案件實踐經(jīng)驗表明，即時通信軟件特別是QQ軟件往往是電子數(shù)據(jù)司法鑒定的證據(jù)倉庫，其聊天記錄和相關(guān)文件夾中包含著大量的電子證據(jù)信息。一方面，QQ出于保護(hù)用戶信息安全的社會責(zé)任，會不斷地加強(qiáng)QQ反取證技術(shù)研究，完善防護(hù)措施；另一方面，隨著國家司法鑒定制度的穩(wěn)步推進(jìn)，出于打擊犯罪的需要，針對QQ取證及其司法鑒定的需求與維護(hù)用戶隱私權(quán)益的責(zé)任之間的矛盾將日益顯現(xiàn)。QQ取證及其司法鑒定方法研究的發(fā)展需要借鑒新思路，融合新技術(shù)，需要QQ相關(guān)企業(yè)能夠積極參與到國家司法進(jìn)程中來，主動研發(fā)QQ取證及其司法鑒定工具用于司法實踐，才能解決好相關(guān)矛盾，促進(jìn)QQ取證及其司法鑒定的方法研究。

[1]麥永浩，孫國梓，許榕生，等.計算機(jī)取證與司法鑒定[M].北京：清華大學(xué)出版社，2009：6-9.

[2]李明.即時通信痕跡發(fā)現(xiàn)與線索綜合[D].同濟(jì)大學(xué)碩士學(xué)位論文，2006.

[3]看雪論壇dwenzo.QQ2010本地聊天記錄文件Msg2.0.db的進(jìn)一步研究[EB/OL].http：//bbs.pediy.com/showthread.php，2010-8-5/2011-08-15.

[4]復(fù)合文檔[EB/OL].http：//baike.baidu.com/view/571675.htm，2010-6-30/2011-07-15.