浅谈智能手机通信软件取证分析
——以微信为例

◆吴家健 操丹妮 陈光宣

（浙江警察学院基于大数据架构的公安部信息化应用公安部重点实验室浙江 310053）

随着通信技术与移动网络技术的飞速发展，智能手机俨然成为人们工作生活中不可或缺的一个重要组成部分。截至2020年3月，我国手机即时通信用户规模已达8.9亿，即时通信使用率高达99.2%[1]。腾讯旗下的QQ、微信与阿里巴巴旗下的钉钉等软件成了绝大部分人生活中的必备品。根据腾讯2019年第四季度财报，旗下微信的月活跃账户数达到了11.648亿[2]。

但随着微信用户群体在网民中的比重不断增加，微信犯罪案件的数量日益上升，手法也越加繁复高明。嫌疑人既可以通过微信小程序实施犯罪，也可以通过摇一摇和附近的人添加好友实施犯罪，还可以通过扫描提供的二维码加群或进入网页进行犯罪。因此，对于不同形式微信犯罪的理解必须不断深入，相应取证手段也必须不断更新完善。《最高人民法院关于修改<关于民事诉讼证据的若干规定>的决定》、《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》等许多法律法规部门规章的逐步出台落地为有效打击新型网络犯罪提供了较为完备的法律支持。这些法律法规出台的同时也对取证人员的要求也变得越来越高：证据要充足到位，过程要记录可再现，检材要完整不可写入等。智能手机即时通信软件取证工作在手机取证中是非常重要的一个环节，对其研究有助于取证人员快速方便提取有效证据。

1 国内外研究进展

国内在微信证据获取等即时通信软件证据获取方面的研究颇为丰富。例如陈瑞君研究Android取证中对微信应用分身的取证及部分数据的恢复进行阐述，并指出了部分文件的存储地址[3]；罗建利则是介绍了在取证工具下的通讯数据取证与Android数据恢复[4]；明振亚针对微信小程序的数据库的取证开发取证工具且取证效果良好[5]；黄平等综合逻辑算法对微信语音聊天数据提取进行研究，并总结了相关算法[6]；裴洪卿在应用版本降级提取数据方法中设计实验证明了该方法在不同设备不同软件上的效果良好，且印证了数据原始性[7]；王伟兵等通过逆向手段对微信软件的安装包进行反编译，解得聊天记录数据库文件的密钥[8]，该方法在复杂环境下对Android版微信证据的密钥获取效果良好。

即时通信软件证据获取在法学方向上的研究非常丰富。郭鹏飞等指出收集微信电子证据是可能会出现重实体轻程序的现象且证据真实性存疑，并提出建构标准化收集程序[9]以实现程序上看得见的正义；张明智从证据资格和证明力出发，论证了聊天记录在民事诉讼中的作业[10]。

侦查方向上对即时通信软件证据获取的需求也十分迫切，吴跃文则在大数据背景下通过微信的功能将其与大数据侦查相融合[11]；王宁指出在利用微信等软件进行贩毒等行为的案件侦破需拓宽微信贩毒情报来源渠道、加强微信平台阵地控制、构建微信贩毒案件侦查协作格局与完善电子证据侦查取证技术手段[12]。

国外在手机即时通信软件取证方面做了大量的研究工作，针对WhatsApp和Skype等软件研究颇丰。微信证据获取中富有代表性的Chandrika Silla是从Android底层与电子取证原理开始针对但不限于微信软件进行讨论研究，并设计方法完整获取数据[13]。但由于研究时间较早，现在使用的微信软件是否仍能在该方法下实现仍待考证。WhatsApp取证研究方向中，与王伟兵等人的研究相似，Gudipaty LP等通过在未root的Andorid手机中解密加密的WhatsApp数据库。同时他们指出关注新版本加密数据库的手段对执法工作者极为重要[14]，这在现在看来也仍是如此。

2 常用手机取证方法与手段

2.1 可视化提取

可视化又称手工提取，是指使用直接的方式获取信息。这样的方式一般仅能获取可见文件与为被嫌疑人删除的信息，无法直接作为证据使用。可视化获取的手段一般适用于无数据接口、取证设备不支持的机型或简单取证。

2.2 逻辑提取

逻辑提取也称代理提取，从1997年美国Guidance Software公司研发出第一款专业取证工具Encase开始就是世界各国电子取证工作者的主要取证手段。根据电子取证的不损害原则，逻辑取证需要配合只读锁等工具开展取证工作。随着研究深入，分布式并行取证技术正在更新发展，为电子取证提供新的取证工具。Android手机在逻辑提取中一般会使用Android SDK自带的Android Debug Bridge（ADB）命令来获取备份，Apple手机则可以利用同步协议获取移动设备文件系统的一个备份或者逻辑拷贝。Android手机是否root权限与Apple手机是否越狱有关等相关因素会影响备份文件的大小。在Android版本高于4.0可以使用ADB命令时，一般的逻辑提取需要掌握检材的密码与root权限，且一般无法提取未分配簇中的内容。Recovery系统对于Android相似于Windows PE对于Windows XP，所以Android手机也可利用Recovery系统的刷入来获取数据。若使用Recovery环境数据获取，则不需要root权限、锁屏密码等。

2.3 备份提取

备份提取也称物理获取。包括硬件与终端实现连接的方法或者是物理上获取终端设备的方法，也包括将终端设备中的软件在具有root权限的条件下运行dd命令以获取分区镜像的拟物理获取技术，JTAG（Joint Test Action Group，联合测试工作组）以及根权限下的各种技术方法等。物理获取有时也可以是通过位对位（bit to bit）复制来获取完整物理镜像，其中就包括已被删除的数据。

2.4 芯片提取

芯片提取技术是将储存芯片用热风枪等工具将芯片与主板分开后加载到芯片编程器上。作为现在使用的最高级的技术手段，芯片提取技术一般适用于：被恶意损坏的手机；因进水、爆炸等原因无法开机的手机；数据接口无法使用的手机与有密码但无法破解的手机等。这种提取方式需要取证人员有一定的手机维护经验。

2.5 微读技术

微读技术是指在电子显微镜下对NAND或NOR芯片存储进行围观状态的观察，并根据Flash芯片均衡磨损原理等固态介质存储理论进行数据还原，这种技术已经上升到电子取证领域的最尖端领域，而且目前也没有商业微读技术设备。

3 微信取证技术

3.1 文字聊天数据提取

文字聊天的内容直接存储在微信开源数据库WCDB中，后缀名为.db。聊天内容存储的数据库在手机中的完整路径是/data/data/com.tencent.mm/MicroMsg/xxxxx/EnMicroMsg.db，其中xxxxx代表的是一串根据微信名加密得到的32位字符。但该路径需要root权限才可访问且加密，所以普通用户无法在手机中直接读取。通过zip解压工具解压微信apk安装包可得到若干文件夹与几个.dex文件。针对这几个.dex文件进行反汇编观察源码可获得EnMicroMsg.db的加密密钥。密钥由IMEI码和UIN码拼接后经MD5哈希计算获得。由于该数据库文件使用的是公开的AES-256对称加密算法，所以解密密钥正是加密密钥。通过软件输入密钥解密即可。

3.2 语音聊天数据提取

将微信数据进行相关提取后如图 1所示，语音聊天数据存储在Voice子文件夹中。

Android环境下，微信语音聊天内容一般使用以msg为文件名开头的.amr音频文件存储进行存储。使用播放器打开提示无法正常播放说明文件格式出错。通过WinHex可知其文件魔数（Magic Number）已被改并不是AMR文件的魔数。如图2所示。可通过魔数后两位数按低前高后排列得到一十进制数N，删去其后N个数后根据公开的Skype音频转换算法进行转换得到可播放的.mp3文件。

iOS环境下，微信语音聊天内容一般使用.aud格式文件存储。经十六进制观察与比对可知.aud格式是.amr的一种变形。由于其播放需要特殊工具，网络上有许多工具可将其转换为.mp3等格式。

图1 微信相关数据提取结果

图2 Android微信语音聊天文件.amr十六进制图

3.3 其他聊天数据提取

其他聊天数据包括聊天中发送的视频、图片、表情包等。在部分案件中，嫌疑人将一些犯罪证据通过图片或视频的形式发布，例如通过照片递比特币交易地址、通过视频中加入字幕发布“投资群”信息。当取证人员认为需要这些图片信息时可通过缩略图简单观察图片信息。当有需要细致观察时，取证人员可在image子文件夹、video子文件夹等中查看相关信息。这些信息一般未加密。

4 公安工作实际案例分析

4.1 可视化提取在公安工作的运用

手工提取作为一种便捷、直观、有效的电子取证方式，在派出所接警室与处警时较为常用。接警的民辅警在接到一些即时通信软件诈骗、电话恐吓骚扰等警情时会采用手工提取的方式，使用工作机直接将报案人的聊天记录、通话记录等拍摄。在涉及网络赌博、“裸聊”等黄赌毒案件时，抓捕现场直接使用工作手机进行拍摄的手工取证也是一种十分常见的手段，如图3所示。

图3 某地查处赌博时手工提取证据

4.2 逻辑提取在公安工作的运用

逻辑提取是一种十分高效的取证手段，通过取证软件或配置SDK环境手工导出指定文件来完成取证任务。审讯人员会通过讯问等方式获得手机的锁屏密码。在物证移交至相关技术单位进行取证时，取证技术人员在屏蔽电磁干扰的环境下进行逻辑提取。提取工作一般使用厦门美亚柏科公司的手机大师、上海弘联公司的火眼取证软件、上海磐石公司的取证软件等集成完成。若分析针对性强也可以手工提取分析。如图4所示，根据公开数据库推出微信数据库密码原理，即登录设备IMEI号加上微信UIN号的32位小写MD5值取前七位，并对分析对象的微信聊天记录进行浏览。

图4 计算密码与数据浏览

4.3 备份提取在公安工作的运用

在准备进行手机数据恢复时，根据电子取证的“避免使用原始证据”免原则，公安机关取证技术人员一般会进行数据完全物理镜像获取，即位对位物理备份提取。这种提取虽然速度较慢，但能对嫌疑人删除的数据恢复进行恢复，未被覆盖的未分配簇中的数据能被提取出，数据更完整可靠。

5 结束语

本文通过分析现有理论与实践研究成果，结合公安工作的实际需求，综合阐述了以微信为代表的智能手机即时通信软件取证分析方法。以当代人们广泛使用的两大类机型-Android和 Apple手机作为对比切入点进行研究，分析各提取技术的特点及其适用方向。并在此基础上进行实际操作完成了嫌疑人的部分犯罪电子数据证据获取，通过图文形式详细描述各形态数据实际提取过程、内容以及结果。以更形象易懂的方式表现取证技术在公安领域的重要性和广泛应用，取证技术的未来将更加清晰。