时至今日,即时通讯已经成为我们日常生活的重要组成部分。在这个领域,Telegram 是一个不可忽视的重要玩家。Telegram 起源自俄罗斯,它最初被设计为一款快速、安全的通讯工具。这款应用可免费下载,唯一的注册要求就是填写电话号码。Telegram 的用户基础自推出以来迅速增长,截止2024年2月,Telegram 的月活跃用户突破 1 亿人,它有苹果手机 iOS系统和安卓系统两种版本,每天的新增用户为 35 万。由于加密通讯和“频道”特性,以及它还提供“阅后即焚”的定时设置,即一定时间后,私密消息便会自动消失,这些为犯罪分子销毁犯罪证据提供了便利,已经使Telegram成为不法分子的“御用”交流工具,风靡全球。而且与其他通信平台相比,在Telegram上使用假电话号码会更容易。因此,俄罗斯、伊朗、中国等国家先后封杀了Telegram。尽管Telegram在中国大陆受到网络监管的限制,但它仍然在特定领域和用户群体中非常受欢迎。本文旨在介绍现场不同情况下Telegram如何取证。
首先在进行取证前,我们需要根据现场取证条件选择合适的取证方法。根据不同情况可以分为以下三种:
现场可以获取到对象手机,并且判断所需数据还存在的情况下,对象手机可以直连银河手机取证分析系统对Telegram应用数据进行提取分析。
部分手机因机型限制原因,在现场无法使用直连手机提取的方式时,我们可以选择对象手机登录Telegram,用对象手机扫描登录电脑版Telegram,在设置→高级→导出Telegram数据,勾选所需数据进行导出。
三、现场对象手机Telegram卸载、恢复出现设置等情况下
如果现场对象手机出现已经卸载了Telegram、恢复出厂设置等情况时,手机端无法提取,可以使用银河手机取证分析系统的云取证功能。
操作步骤:
1、在银河手机取证分析系统主界面选择云数据,在弹出的界面找到Telegram并选择。
2、输入代理地址
3、输入要提取的Telegram手机号码,需要包括国际区号+86
原文始发于微信公众号(网络安全与取证研究):技术分享|Telegram取证分享
评论