基于手機社交軟件的重點人物分析方法

關鍵詞：手機取證；社交軟件；重點人物；自動化分析

0 引言

隨著智能手機的普及應用，使用智能手機作為載體和工具進行犯罪的非接觸類犯罪案件也在迅速增加，涉案手機內的社交應用軟件數據是犯罪事實認定重要證據之一[1]。

1 社交應用軟件的特點

大眾熟知且廣泛應用的社交應用軟件主要有微信、QQ、企業微信、釘釘、飛書等，除此之外涉案嫌疑人也可能會特意使用一些小眾社交軟件進行聯絡，如Potato、Enigma、蝙蝠等[2-3]。這些社交應用軟件為了實現消息傳遞和聊天功能，都存在相似的功能模塊如聯系人列表、群列表、聊天信息等[4]。除了這些基礎信息外，手機取證軟件同時也能解析出不同社交軟件自身獨有的一些信息，比如Potato、Enigma含有群邀請關系，而釘釘、企業微信和飛書包含了組織架構信息。

以群邀請關系特性為例，無論是邀請好友加入群聊，還是通過分享二維碼邀請人員加入群聊，社交應用軟件均會記錄邀請人與被邀請人的關系，記錄的形式有xml、json、數據庫等不同的數據格式。在一些案件中，涉案團體以各種形式發展用戶并構建用戶群，詐騙、涉黃、涉賭等類型的案件中新用戶人數也是涉案人員業績指標的一種體現，通過群邀請關系能分析出群的生長過程，如層級、特定人員邀請的人員數量等。

2 手機取證與自動化分析技術

手機取證是指通過收集、提取和分析手機中的數據，以獲取與調查、犯罪或司法程序相關的證據[5]。手機取證數據自動化分析是指利用自動化技術和工具對手機取證數據進行快速、高效和準確的分析[6-7]。這種自動化分析可以幫助取證專員快速找到關鍵信息、發現隱藏的線索，并生成可視化報告，以支持調查和司法程序。

手機取證數據自動化分析的流程通常包括以下幾個步驟。

數據提取：通過專業的取證工具，從手機中提取出各種類型的數據，例如通話記錄、短信、社交媒體信息、應用程序數據等。這些數據可能以原始格式或加密形式存在。

數據預處理：對提取的數據進行預處理，包括數據清洗、格式轉換、去重和解密等操作。預處理的目的是確保數據的準確性和一致性，以便后續的分析。

數據分析：利用數據分析工具和算法，對預處理后的數據進行深入挖掘和分析。這包括關鍵詞搜索、時間線分析、社交網絡分析、地理位置分析等。分析的目標是發現相關的信息和模式，如通信頻率、聯系人關系、活動軌跡等。

結果可視化：將分析結果可視化展示，以便用戶更好地理解和利用。可視化技術可以通過圖表、圖形、地圖等形式呈現數據的關聯性和趨勢[8]。

報告生成：根據分析結果生成詳細的報告，包括重要的發現、證據鏈、數據統計和可視化圖表。報告的生成通常是自動化的，并且可以根據需要進行定制化。

手機取證數據自動化分析提高了取證工作的效率和準確性，通過自動化處理，可以快速處理大量的數據，并在短時間內發現重要的信息和線索。而且，自動化分析還可以減少人為錯誤和主觀判斷，為案件偵辦提供客觀、可靠的證據支持。

如何將更多的自動化分析技術應用于電子數據取證，并通過自動化分析實現對大批量的不同的社交軟件進行數據還原和分析進而獲取到更多對犯罪事實認定有助力的線索，是當前取證人員亟須研究和解決重要問題。

本文接下來將探討兩種對社交應用軟件數據進行自動化分析鎖定涉案重點人員的方法。

3 基于關系的重點人物分析方法

群組是具有相同特征的某一類事務群體的組合，社交軟件中每個群組都會設定一定的主題，包含一定的社交關系鏈，比如提供服務、拓展人脈、銷售產品、打造品牌等[9]。可以通過技術手段對社交軟件記錄的數據進行還原和分析，獲取群聊中成員之間的邀請關系。

3.1 基于群主分析

9VfJG/3dYA69ZdoB5T+3ZxbH5OEQbjq6NZvN2hVc40I=通過對數據庫中數據表之間、表字段之間的邏輯關系進行分析，可以明確群組中的群主信息。涉案件團體內部群的群主往往都是犯罪團伙的核心或重點人員，一個成員擔任群主的群越多，說明他在組織中的重要性越大，可以通過分析群主信息，找到犯罪團伙的重點人員，如圖1所示。

3.2 基于群關系分析

群組中的成員集中在一起組成人員集合，那么群組之間的依賴關系可以類比分析集合之間的關系。

若集合B 的任一元素都在集合A 內，那么集合B 為集合A的子集。若集合A與集合B存在相交的部分，即存在元素既屬于集合A又屬于集合B，那么集合A與集合B所有元素的集合為集合A與集合B的并集，其中，既屬于集合A 又屬于集合B的元素的集合為集合A與集合B的交集。例如，某用戶手機中的“看片神器1群”“看片神器2群”一般會有相同的群主和群管理員，這兩個群的人員集合也必定存在交集。子集、并集、交集概念圖，如圖2所示。

分析其中一個嫌疑人的微信群關系圖，通過群與群之間的共同成員信息，判定出組織內部大群、組織領導層群和組織小組群。以“SNS軍團”為例，分析該群與其他群之間的關系時，發現其內部有兩個群：“4”和“SNS領導層”，說明SNS軍團為組織大群，而“4”和“SNS領導層”是組織內部小群，可能代表關系親密或具有某方面共同特性的小組群。以“SNS軍團”為主體的群關系圖，如圖3所示。

3.3 基于群邀請關系分析

微信、Potato、Enigma這些社交應用有群邀請關系這個特點，一般處于邀請關系第一級的人員往往是犯罪團伙的核心人員，處于第二級的人員很有可能是重點人群，圖4為某組織內部群的邀請關系圖，抓住群邀請關系這個特點，分析重點人員會事半功倍。

3.4 基于組織架構分析

釘釘、企業微信、飛書這些社交應用有組織架構這個特點，以釘釘為例，可分析出清晰的組織架構、企業管理員、部門負責人等，如圖5所示。

3.5 基于關系的分析方法面向實際的應用

在信息化時代，網絡社交應用無可避免地成為犯罪團伙利用的工具。基于關系的重點人物分析方法圍繞涉案群群關系和組織架構，快速定位涉案群聊中群主和核心成員，厘清涉案團伙的運作模式和內部結構，為打擊犯罪活動提供重要線索和指導。

4 基于消息內容的重點人物分析方法

隨著互聯網和大數據的快速發展，大數據處理技術在手機取證中也發揮著重要的作用[10]。采用先進的分詞技術對社交App中的聊天記錄進行數據清洗后再重新入庫，然后基于文本分類展示出特定的高頻詞匯，從而可以快速預覽手機社交App信息中相關的案件線索。

4.1 詞云分析

犯罪團伙作案一般會有固定的話術，可以通過分析一個手機中所有社交軟件出現的高頻詞匯，得出犯罪團伙的話術。而在群里或是聊天里發送犯罪話術較為頻繁的很有可能是涉案重點人員，可以根據發送高頻詞匯的次數溯源到涉案重點人員，如圖6、圖7所示。

4.2 基于團伙內部群的詞云分析

在基于群關系分析中，可以分析出一個組織的內部群，進而對內部群做詞云分析，得到群內的高頻詞匯，如圖8所示。

4.3 基于群活躍成員的詞云分析

通常情況下，群內發言較多的成員可能是涉案重點人員，其發言的內容與案情有很大的關聯性。通過對發言內容進行詞云分析，能識別出該活躍成員的重點發言內容，如圖9、圖10所示。

4.4 基于消息內容的分析方法面向實際的應用

基于消息內容的分析方法面向實際應用，對涉案團伙群聊進行詞云分析，得出犯罪團伙常用話術，定位團伙的重要成員和涉案信息，為執法機構快速梳理案情提供依據。

5 結束語

由于互聯網和全球化的發展，犯罪形式多樣化，電子數據取證工作在司法偵查的不同分支中不斷發展，已成為全球執法活動中非常重要的組成部分[11]。執法人員通過自動化的取證工具，準確、快速地獲取違法證據是將網絡犯罪分子繩之以法的關鍵。

本文從取證工作實際出發，結合手機取證中的社交軟件和自動化分析技術，從通聯關系和消息內容兩個角度，較為全面說明了通過分析手機社交軟件鎖定重點涉案人群的方法，可以自動、快捷地從涉案手機中得到重點人員的分析結果，為案件偵查提供更多的線索。