|
案例 |
随笔 |
知识 |
声音 |
其他 |
编者按
有些日子不研究QQ聊天记录的取证了。昨天听说基层的同志们在实践中遇到了问题,逼得我从操旧业。时间紧急,这篇文章就当是抛钻引玉吧……
奇特却又合理的应用场景
犯罪嫌疑人甲涉嫌通过QQ实施诈骗。有一天,甲在乙的手机上登陆自己的QQ账号,向他人发送诈骗信息。起获手机后,提取了手机中保存的聊天记录。乙辩称这些聊天记录是甲在电脑端登陆QQ后同步过来的信息,跟自己没有任何关系。
其实,手机QQ采用了远低于桌面QQ的弱安全机制,那么,案中提到的需求到底能不能满足呢?
因为案件还涉及到小编尚未掌握的其他线索信息,此处,仅针对其中可能的技术问题进行探究。
手机端QQ的日志信息在哪里?
以安卓系统为例,手机端QQ的历史日志都保存在下面这个目录:tencentmsflogscomtencentmobileqq。
在该目录下,存在很多log、qlog日志。不同名称的日志文件存储着不同方面的消息,下图中有详细标注,小编就不再细说了。以小编对鹅厂的了解,日志恐怕远不止这些。
从取证客观性以及消息可读性上,建议大家对此文件夹予以重视。文件名中的日期,表示这是今天生成的日志。
重要信息解读
打开手机qq日志(以com.tencent.mobileqq.18.08.03.19.log为例)。
1、判断几个号码可以在手机上成功登陆。
2、用户修改了手机QQ端某些功能。比如:下图中的日志表明,用户取消了手机与电脑QQ同步。
3、手机QQ是否需要与电脑端同步。
4、判断某一个时间点,手机登录QQ账户有多少条未读消息。
5、用户在某一个时间点登陆和退出QQ的日志,长什么样呢?
6、与某一个用户之间聊天的日志
这是一条聊天记录日志。需要解读的信息比较多:
(1)friendUin:9904——好友qq号码的后四位;
(2)senderuin:9904——这条消息的发送者;本机登陆号码是*2678,所以这条消息其实是一条接受消息。
(3)istroop:0——这条消息是一对一的;
(4)msgType:-1000——消息类型,小编也没搞明白1000指的是啥;
(5)time:1533303168——消息发送的时间2018-08-03 21:32:48,这个时间与这条日志的生成时间2018.8.3 21:32:49较为接近,符合时间逻辑;
(6)shmsgseq:20169——本条聊天记录的消息序号。对于一个qq账号而言,对外发送的消息、接收到的消息,各自递增序号。20169是接受消息序号。
7、与某一个用户之间聊天的日志
这是一条聊天记录日志。需要解读的信息比较多:
(1)friendUin:9904——好友qq号码的后四位;
(2)senderuin:2678——这条消息的发送者;本机登陆号码是*2678,所以这条消息其实是一条发送消息;
(3)istroop:0——这条消息是一对一的;
(4)msgType:-1000——消息类型,小编也没搞明白1000指的是啥;
(5)time:1533300015——消息发送的时间2018-08-03 20:40:15,这个时间与这条日志的生成时间2018.8.3 20:41:02相差47秒,不符合时间逻辑;推测:是QQ号码*2678登陆后同步而来的消息,考虑到这是一条发送消息,故应该是*2678在别处(如电脑)发给*9904用户的消息。——这似乎能回答涉案的问题;
(6)shmsgseq:5007——本条聊天记录的消息序号。对于一个qq账号而言,对外发送的消息、接收到的消息,各自递增序号。5007是发送消息序号。
8、一组聊天记录日志的解读
这是一组聊天记录日志。重点解读几则信息,部分解读可以参考前面的图。
(1)shourUin:7100——好友qq号码的后四位;
(2)type:0/1008分别表示一对一消息,还是群消息;
(3)lasteread:1533299231——最后一次读该群消息的时间为2018-08-03 20:27:11;
(4)unreadGiftCount:0——本群还有多少未读消息和礼物;
(5)unreadMark:0——还有没有未读标记。
9、删除了的聊天记录在日志中又是个一个什么样呢?
且听下回分解。
10、日志中还包含很多加密的命令字符串,小编能力和时间都很有限,目前无法进行解读。
11、小二又闹了,我得过去看看。
请长按选择识别图中的二维码并关注【信息时代的犯罪侦查】公众号,了解犯罪手段、侦查技术、办案心得,做到自我提升、自我救赎!
原文始发于微信公众号(信息时代的犯罪侦查):如何判断手机中提取的QQ聊天记录是电脑端同步过来的?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论