淺談智能手機通信軟件取證分析
——以微信為例

◆吳家健 操丹妮 陳光宣

（浙江警察學院基于大數據架構的公安部信息化應用公安部重點實驗室浙江 310053）

隨著通信技術與移動網絡技術的飛速發展，智能手機儼然成為人們工作生活中不可或缺的一個重要組成部分。截至2020年3月，我國手機即時通信用戶規模已達8.9億，即時通信使用率高達99.2%[1]。騰訊旗下的QQ、微信與阿里巴巴旗下的釘釘等軟件成了絕大部分人生活中的必備品。根據騰訊2019年第四季度財報，旗下微信的月活躍賬戶數達到了11.648億[2]。

但隨著微信用戶群體在網民中的比重不斷增加，微信犯罪案件的數量日益上升，手法也越加繁復高明。嫌疑人既可以通過微信小程序實施犯罪，也可以通過搖一搖和附近的人添加好友實施犯罪，還可以通過掃描提供的二維碼加群或進入網頁進行犯罪。因此，對于不同形式微信犯罪的理解必須不斷深入，相應取證手段也必須不斷更新完善。《最高人民法院關于修改<關于民事訴訟證據的若干規定>的決定》、《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》等許多法律法規部門規章的逐步出臺落地為有效打擊新型網絡犯罪提供了較為完備的法律支持。這些法律法規出臺的同時也對取證人員的要求也變得越來越高：證據要充足到位，過程要記錄可再現，檢材要完整不可寫入等。智能手機即時通信軟件取證工作在手機取證中是非常重要的一個環節，對其研究有助于取證人員快速方便提取有效證據。

1 國內外研究進展

國內在微信證據獲取等即時通信軟件證據獲取方面的研究頗為豐富。例如陳瑞君研究Android取證中對微信應用分身的取證及部分數據的恢復進行闡述，并指出了部分文件的存儲地址[3]；羅建利則是介紹了在取證工具下的通訊數據取證與Android數據恢復[4]；明振亞針對微信小程序的數據庫的取證開發取證工具且取證效果良好[5]；黃平等綜合邏輯算法對微信語音聊天數據提取進行研究，并總結了相關算法[6]；裴洪卿在應用版本降級提取數據方法中設計實驗證明了該方法在不同設備不同軟件上的效果良好，且印證了數據原始性[7]；王偉兵等通過逆向手段對微信軟件的安裝包進行反編譯，解得聊天記錄數據庫文件的密鑰[8]，該方法在復雜環境下對Android版微信證據的密鑰獲取效果良好。

即時通信軟件證據獲取在法學方向上的研究非常豐富。郭鵬飛等指出收集微信電子證據是可能會出現重實體輕程序的現象且證據真實性存疑，并提出建構標準化收集程序[9]以實現程序上看得見的正義；張明智從證據資格和證明力出發，論證了聊天記錄在民事訴訟中的作業[10]。

偵查方向上對即時通信軟件證據獲取的需求也十分迫切，吳躍文則在大數據背景下通過微信的功能將其與大數據偵查相融合[11]；王寧指出在利用微信等軟件進行販毒等行為的案件偵破需拓寬微信販毒情報來源渠道、加強微信平臺陣地控制、構建微信販毒案件偵查協作格局與完善電子證據偵查取證技術手段[12]。

國外在手機即時通信軟件取證方面做了大量的研究工作，針對WhatsApp和Skype等軟件研究頗豐。微信證據獲取中富有代表性的Chandrika Silla是從Android底層與電子取證原理開始針對但不限于微信軟件進行討論研究，并設計方法完整獲取數據[13]。但由于研究時間較早，現在使用的微信軟件是否仍能在該方法下實現仍待考證。WhatsApp取證研究方向中，與王偉兵等人的研究相似，Gudipaty LP等通過在未root的Andorid手機中解密加密的WhatsApp數據庫。同時他們指出關注新版本加密數據庫的手段對執法工作者極為重要[14]，這在現在看來也仍是如此。

2 常用手機取證方法與手段

2.1 可視化提取

可視化又稱手工提取，是指使用直接的方式獲取信息。這樣的方式一般僅能獲取可見文件與為被嫌疑人刪除的信息，無法直接作為證據使用。可視化獲取的手段一般適用于無數據接口、取證設備不支持的機型或簡單取證。

2.2 邏輯提取

邏輯提取也稱代理提取，從1997年美國Guidance Software公司研發出第一款專業取證工具Encase開始就是世界各國電子取證工作者的主要取證手段。根據電子取證的不損害原則，邏輯取證需要配合只讀鎖等工具開展取證工作。隨著研究深入，分布式并行取證技術正在更新發展，為電子取證提供新的取證工具。Android手機在邏輯提取中一般會使用Android SDK自帶的Android Debug Bridge（ADB）命令來獲取備份，Apple手機則可以利用同步協議獲取移動設備文件系統的一個備份或者邏輯拷貝。Android手機是否root權限與Apple手機是否越獄有關等相關因素會影響備份文件的大小。在Android版本高于4.0可以使用ADB命令時，一般的邏輯提取需要掌握檢材的密碼與root權限，且一般無法提取未分配簇中的內容。Recovery系統對于Android相似于Windows PE對于Windows XP，所以Android手機也可利用Recovery系統的刷入來獲取數據。若使用Recovery環境數據獲取，則不需要root權限、鎖屏密碼等。

2.3 備份提取

備份提取也稱物理獲取。包括硬件與終端實現連接的方法或者是物理上獲取終端設備的方法，也包括將終端設備中的軟件在具有root權限的條件下運行dd命令以獲取分區鏡像的擬物理獲取技術，JTAG（Joint Test Action Group，聯合測試工作組）以及根權限下的各種技術方法等。物理獲取有時也可以是通過位對位（bit to bit）復制來獲取完整物理鏡像，其中就包括已被刪除的數據。

2.4 芯片提取

芯片提取技術是將儲存芯片用熱風槍等工具將芯片與主板分開后加載到芯片編程器上。作為現在使用的最高級的技術手段，芯片提取技術一般適用于：被惡意損壞的手機；因進水、爆炸等原因無法開機的手機；數據接口無法使用的手機與有密碼但無法破解的手機等。這種提取方式需要取證人員有一定的手機維護經驗。

2.5 微讀技術

微讀技術是指在電子顯微鏡下對NAND或NOR芯片存儲進行圍觀狀態的觀察，并根據Flash芯片均衡磨損原理等固態介質存儲理論進行數據還原，這種技術已經上升到電子取證領域的最尖端領域，而且目前也沒有商業微讀技術設備。

3 微信取證技術

3.1 文字聊天數據提取

文字聊天的內容直接存儲在微信開源數據庫WCDB中，后綴名為.db。聊天內容存儲的數據庫在手機中的完整路徑是/data/data/com.tencent.mm/MicroMsg/xxxxx/EnMicroMsg.db，其中xxxxx代表的是一串根據微信名加密得到的32位字符。但該路徑需要root權限才可訪問且加密，所以普通用戶無法在手機中直接讀取。通過zip解壓工具解壓微信apk安裝包可得到若干文件夾與幾個.dex文件。針對這幾個.dex文件進行反匯編觀察源碼可獲得EnMicroMsg.db的加密密鑰。密鑰由IMEI碼和UIN碼拼接后經MD5哈希計算獲得。由于該數據庫文件使用的是公開的AES-256對稱加密算法，所以解密密鑰正是加密密鑰。通過軟件輸入密鑰解密即可。

3.2 語音聊天數據提取

將微信數據進行相關提取后如圖 1所示，語音聊天數據存儲在Voice子文件夾中。

Android環境下，微信語音聊天內容一般使用以msg為文件名開頭的.amr音頻文件存儲進行存儲。使用播放器打開提示無法正常播放說明文件格式出錯。通過WinHex可知其文件魔數（Magic Number）已被改并不是AMR文件的魔數。如圖2所示。可通過魔數后兩位數按低前高后排列得到一十進制數N，刪去其后N個數后根據公開的Skype音頻轉換算法進行轉換得到可播放的.mp3文件。

iOS環境下，微信語音聊天內容一般使用.aud格式文件存儲。經十六進制觀察與比對可知.aud格式是.amr的一種變形。由于其播放需要特殊工具，網絡上有許多工具可將其轉換為.mp3等格式。

圖1 微信相關數據提取結果

圖2 Android微信語音聊天文件.amr十六進制圖

3.3 其他聊天數據提取

其他聊天數據包括聊天中發送的視頻、圖片、表情包等。在部分案件中，嫌疑人將一些犯罪證據通過圖片或視頻的形式發布，例如通過照片遞比特幣交易地址、通過視頻中加入字幕發布“投資群”信息。當取證人員認為需要這些圖片信息時可通過縮略圖簡單觀察圖片信息。當有需要細致觀察時，取證人員可在image子文件夾、video子文件夾等中查看相關信息。這些信息一般未加密。

4 公安工作實際案例分析

4.1 可視化提取在公安工作的運用

手工提取作為一種便捷、直觀、有效的電子取證方式，在派出所接警室與處警時較為常用。接警的民輔警在接到一些即時通信軟件詐騙、電話恐嚇騷擾等警情時會采用手工提取的方式，使用工作機直接將報案人的聊天記錄、通話記錄等拍攝。在涉及網絡賭博、“裸聊”等黃賭毒案件時，抓捕現場直接使用工作手機進行拍攝的手工取證也是一種十分常見的手段，如圖3所示。

圖3 某地查處賭博時手工提取證據

4.2 邏輯提取在公安工作的運用

邏輯提取是一種十分高效的取證手段，通過取證軟件或配置SDK環境手工導出指定文件來完成取證任務。審訊人員會通過訊問等方式獲得手機的鎖屏密碼。在物證移交至相關技術單位進行取證時，取證技術人員在屏蔽電磁干擾的環境下進行邏輯提取。提取工作一般使用廈門美亞柏科公司的手機大師、上海弘聯公司的火眼取證軟件、上海磐石公司的取證軟件等集成完成。若分析針對性強也可以手工提取分析。如圖4所示，根據公開數據庫推出微信數據庫密碼原理，即登錄設備IMEI號加上微信UIN號的32位小寫MD5值取前七位，并對分析對象的微信聊天記錄進行瀏覽。

圖4 計算密碼與數據瀏覽

4.3 備份提取在公安工作的運用

在準備進行手機數據恢復時，根據電子取證的“避免使用原始證據”免原則，公安機關取證技術人員一般會進行數據完全物理鏡像獲取，即位對位物理備份提取。這種提取雖然速度較慢，但能對嫌疑人刪除的數據恢復進行恢復，未被覆蓋的未分配簇中的數據能被提取出，數據更完整可靠。

5 結束語

本文通過分析現有理論與實踐研究成果，結合公安工作的實際需求，綜合闡述了以微信為代表的智能手機即時通信軟件取證分析方法。以當代人們廣泛使用的兩大類機型-Android和 Apple手機作為對比切入點進行研究，分析各提取技術的特點及其適用方向。并在此基礎上進行實際操作完成了嫌疑人的部分犯罪電子數據證據獲取，通過圖文形式詳細描述各形態數據實際提取過程、內容以及結果。以更形象易懂的方式表現取證技術在公安領域的重要性和廣泛應用，取證技術的未來將更加清晰。