微信数据恢复的「隐藏玩法」
这篇「攻略」必读!
【微信】作为电子数据取证工作关注的重点应用之一,除了机身和云端可以直接看到的数据,还有很多值得探索的地方。今天,航哥就给大家说道说道关于微信数据恢复的“隐藏玩法”!
“语音消息”恢复
01
「语音消息」是犯罪分子之间常用的信息传递形式,为了掩盖犯罪事实,他们会在了解完语音内容后,将信息进行撤回或删除。
此时,办案人员如果想要从被撤回或者删除的“语音消息”本身入手挖掘线索,就相对比较麻烦。但若涉案语音消息曾被转化成文字,那么数据恢复效率将大幅提升。
实战案例分享
某蓄意伤害类案件中,2名嫌疑人都删除了“双方谋划具体犯罪行为的微信语音聊天记录”。但其中1名嫌疑人在记录删除前曾将语音消息识别转化成文字,因此办案民警在使用平航手机多路取证分析软件PF5200对嫌疑人手机微信数据进行取证时,成功恢复出13条关键数据线索,为辅助案件定性及下步侦查方向起到关键作用。
“撤回消息”恢复
02
微信「消息撤回」功能解决了大部分因误发、错发的尴尬情况。但是对于犯罪分子来说,这个功能与“消息删除”如出一辙,都是为了隐藏犯罪行为。
但通过PF5200也能对嫌疑人本机账号的撤回文字消息进行恢复提取。
“微信草稿”提取与恢复
03
提到「微信草稿」,因为它没有一个特定功能入口,大家可能相对会比较陌生。
其实当我们在聊天对话框中输入信息,不点击发送或不删除内容,直接退出当前对话窗口,主界面上对应的聊天记录上就会显示出[草稿]二字,这就是“微信草稿”。
如果不主动删除对话框内容,草稿内容将长期保留,且不受账号退出影响。
因此在案件侦查过程中,“微信草稿”也能够成为线索挖掘的一个新方向。正如本节标题所述,PF5200除了能够直接提取即有「草稿」内容,对于那些发送后删除的草稿数据,也有机会被恢复。
实战案例分享
在某案件窝点打击过程中,办案人员对现场财务人员手机数据进行快速查验,但并未发现与“已掌握的上游涉案人员”聊天内容。后对该财务人员工作手机进行深度取证后,在草稿记录中获取到与上游嫌疑人交流信息,内容涉及关键交易账号。
除上述三个数据恢复维度,微信取证还有一些数据恢复可能,比如删除的图片的缩略图以及删除视频的首帧图。
平航手机取证系列产品自2016年以来,就持续关注微信数据恢复技术研究,实现从底层数据库恢复数据碎片,且具备更强上下文逻辑的数据恢复结果,为案件侦查提供不少帮助。
当然,微信里还有其他被“玩坏”的功能,也可以在案件侦查过程中发挥作用,其中最火的可能就属“拍一拍”和“微信状态”了。
“财神爷拍了拍你”
还让你别“EMO”了
04
“拍一拍”和“微信状态”都是为了增加好友之间的社交互动而开发的休闲功能,但这在犯罪分子眼中,好像成了官方给他们“开发的新漏洞”。
不少犯罪分子通过“拍一拍”设定特殊的交易暗号、诱导信息等,通过“微信状态”发布一些违法信息、虚假广告等等,他们不断地利用这些官方发布小功能,以达到实施违法犯罪行为的目的。
而对于这些特殊的小功能,平航手机取证也早已提出了解决方案,针对如拍一拍、微信状态等实现快速取证。
“魔高一尺,道高一丈”!
在微信数据恢复、取证时,除了上述提到的这些细节,还有很多其他“隐藏玩法”等着大家在实战过程中不断开发摸索!
原文始发于微信公众号(平航科技):微信取证-原来这些数据也能被恢复
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论