两种基于Windows系统的QQ聊天记录删除恢复方法比较

魏 驰 黄君灿 陈兆烟



两种基于Windows系统的QQ聊天记录删除恢复方法比较

魏 驰1,2黄君灿1,2陈兆烟1,2

1.福建省公安厅刑事技术总队 2.福建省刑事科学技术重点实验室

目的：比较两种恢复QQ聊天记录方法的优缺点，探索不同恢复方法的最佳适用条件。方法：以实际案件为例，对两种QQ聊天记录进行数据恢复的方法——基于文件恢复的QQ聊天记录删除恢复与基于关键字搜索的QQ聊天记录删除恢复进行比较。结果：两种方法均能有效地恢复QQ聊天记录，但不同条件下的恢复结果彼此有差异。结论：基于文件恢复的QQ聊天记录删除恢复方法能完整恢复聊天记录并有很好的可读性，但是对检验条件的要求苛刻，成功实现的难度大；基于关键字搜索的QQ聊天记录删除恢复方法操作简单，易于实现，缺点在于信息不完整，需要对恢复的结果做进一步分析判断。

QQ聊天记录 数据恢复 关键字

随着我国网络的普及，即时聊天工具已成为人们生活中不可或缺的东西，根据《第35次中国互联网络发展状况统计报告》，即时通信作为第一大上网应用，在网民中的使用率达到90.6%[1]，诸如QQ、微信、陌陌等聊天工具充斥着人们生活的各个角落。正因为如此，即时通讯聊天记录极可能在刑事案件侦破过程中扮演着举足轻重的作用。本文从文件恢复与关键字搜索两个方面提出对删除QQ聊天记录的恢复方法。

1 基于文件恢复的QQ聊天记录删除恢复

1.1 QQ聊天记录解析前提

通过对取证大师（V4.2）使用及分析得知，要成功解析聊天记录，需要完整的聊天记录文件Msg3.0.db、密钥信息文件Registry.db以及好友信息文件Info.db三个数据库文件（见图1）。在Windows操作系统中，这些QQ聊天记录数据文件默认存放于C:UsersUsernameDocumentsTencent Files文件目录相应的QQ账号文件夹中。

图1 解析QQ聊天记录所需文件以及路径

1.2 文件删除恢复

在Windows操作系统中，被删除的文件只是被标记为删除，而事实上文件的数据部分并没有发生改变，这为恢复被删除的QQ应用程序文件提供了可能。因此在案件的取证过程中，诸如嫌疑人删除了QQ聊天记录数据文件、存储介质被格式化或者是重装操作系统等情况，可通过数据恢复软件恢复相关QQ聊天记录数据文件，进而解析获得有价值的聊天记录。

1.3 基于文件恢复的QQ聊天记录删除恢复

本文以一台重装Windows操作系统的计算机为例，介绍基于文件恢复提取删除的QQ聊天记录。本例中，QQ账号为86691123的聊天记录因重装系统而被删除。

1.3.1文件恢复

运行FINAL Forensics（V3.1）数据恢复软件，经精确扫描，获取相关恢复文件[2]。根据QQ聊天记录数据文件均为*.DB文件，因此过滤筛选出所有DB文件，按路径导出。经查，在默认路径下找到目标QQ账号86691123的聊天记录数据文件，如图2所示。

图2 恢复的数据库文件列表

1.3.2解析QQ聊天记录数据文件

在连接互联网的工作站中运行取证大师（V4.2），加载目标QQ账号86691123聊天记录数据文件，经自动取证功能未成功解析QQ账号为86691123的聊天记录，经了解确认由于registry.db文件未保存QQ登陆密钥（即在登陆QQ软件时未勾选“记住密码”），无法自动获取QQ聊天记录。为成功获取QQ聊天记录，笔者通过QQ信息解密的方式手工输入QQ密码，成功获取到QQ账号为86691123的聊天记录。经过筛选获得涉案的与QQ账号为12008349、770428187的聊天记录，如图3所示。

图3 恢复的QQ聊天记录内容

2 基于关键字搜索的QQ聊天记录删除恢复

2.1 关键字搜索

关键字搜索是在选定关键字内容后按照一定的编码规则通过关键字匹配算法对二进制流数据进行分析查找。在电子物证检验过程中，关键字是与案件相关的重要信息，可通过逻辑或物理方式对检验对象进行搜索，查找包含该关键字的信息，这样可以准确快速地获得有价值的数据。通常犯罪嫌疑人在使用QQ聊天记录聊天时，会在计算机中缓存操作信息，QQ的聊天记录涉及账号、时间、聊天内容等信息会被记录到计算机中，通过QQ账号、具体聊天内容等关键字搜索会在未分配簇或者虚拟内存文件中找到聊天记录内容[3]。

2.2 基于关键字搜索的QQ聊天记录删除恢复

本文以未能成功解析出目标QQ账号的聊天记录的计算机为例，介绍基于关键字搜索方法恢复QQ聊天记录。本例检验要求恢复涉及的目标QQ账号为454831451，聊天内容涉及到考试作弊、作弊工具等内容聊天记录。

2.2.1关键字搜索

运行取证大师（V4.2），新建案例，加载镜像文件，通过对案件的了解与分析，设置关键字为“454831451”“考试作弊”“考中答案”等，选择编码为常见的汉字编码GB2312、UTF-8、Unicode等，选择的搜索范围为全盘搜索，见图4。

2.2.2搜索结果分析与固定

根据搜索结果，经过搜索我们找到与检验要求相关的内容，在未分配簇偏移位置为10066857982处发现部分聊天记录，有明确的昵称、账号、时间以及聊天天内容等详细信息，内容详见图5。在未分配簇偏移位置为34307491020处同样发现QQ聊天记录，同样有明确的昵称、时间以及聊天内容，但缺少QQ账号，内容详见图6。

图4 关键字设置

图5 搜索QQ聊天记录结果截图1

图6 搜索QQ聊天记录结果截图2

3 结论

本文结合案例分析，介绍了基于Windows操作系统的两种删除QQ聊天记录的恢复方法——基于文件恢复的QQ聊天记录删除恢复与基于关键字搜索的QQ聊天记录删除恢复。这两种方法都有其各自的优缺点，前者的优点在于能完整恢复聊天记录并有很好的可读性，但是缺点在于要求的条件苛刻，成功实现的难度大；后者正好相反，优点在于操作简单，易于实现，缺点在于信息不完整，需要分析判断。因此，在日常检验工作中，可将这两种方法结合使用，取长补短，提高QQ聊天记录恢复的成功率。

[1] 中国互联网络信息中心(CNNIC).第35次中国互联网络发展状况统计报告[R]. 2015:42.

[2] 薛琴.基于FinalData的数据恢复技术在计算机取证中的应用[J].警察技术，2008(4)：44-47.

[3] 李子川.关于对QQ聊天记录数据恢复方法的研究[J].黑龙江科技信息，2009(11)：62.