揭秘色情APP取证：最全视频固定技巧指南

随着智能手机的广泛普及，色情APP的种类显著增加，与之相关的违法犯罪行为也层出不穷。因此，对色情行业的严厉打击显得尤为重要。特别是针对色情APP的精准鉴定，已成为打击此类案件的关键环节。

色情APP的鉴定过程大致包括APK的获取及安装、对APP中指定账号发布视频的固定、视频相关点击量和点赞量的固定以及获利情况的统计。其中，视频固定是此类案件鉴定过程中的重要环节。常见的固定方式包括视频录屏、APP内直接下载以及借助专业工具进行下载。本文将重点介绍在安卓手机中固定色情APP视频的几种常见方法。

01

常见视频固定方法

视频录屏固定是一种最简易而且通用的方法，适用于委托方要求紧急固定而且视频时长较短的情况，不过这种固定方式在后期需要进行视频的截取，而且固定结束后需要对视频的信息进行统计，会产生比较大的手工工作量。

APP直接下载有两种情形:

m3u8文件是一种文本格式的索引文件，它记录了视频流中各个ts文件片段的顺序和位置。每个ts文件片段包含了视频的某一部分内容，可以理解为一个小的视频片段。

合成视频的原理是通过读取m3u8文件中的索引信息，按顺序读取各个ts文件片段，并将它们组合起来，生成一个完整的视频流。这个过程通常需要使用视频处理软件或工具，如ffmpeg（ffmpeg是一个开源的程序，具有非常强大的视频采集、视频格式转换、视频抓图和视频加水印功能）。

在合成过程中，m3u8文件起到的作用就像一个播放列表，指示了如何按顺序播放各个ts文件片段。而ts文件则是实际包含视频内容的数据文件。通过按顺序读取m3u8文件中的索引信息，找到对应的ts文件片段，并将它们连接起来，就可以生成一个完整的视频文件。

将ts文件和m3u8文件放于同一目录下，使用“ffmpeg -i  -c copy <输出视频文件名>”命令将ts文件合成为最终的完整视频。如果需要key进行解密的时候，加上“-allowed_extensions ALL”参数。

m3u8文件内容如下图，发现该视频的ts流存在AES-128加密，并指出了其密钥文件是“key.key”。

如果直接使用命令“ffmpeg.exe  -i index.m3u8 -c copy output.mp4”进行合成，会发现由于扩展名原因，ffmpeg无法打开密钥文件。

故需要在命令中加上指定的参数来读取密钥文件从而实现合成。过程如下图：

但这只是针对单个视频的合成，一般来说下载的都是多段视频，需要将多个文件夹中的ts流分别合成，可以借助批处理脚本调用ffmpeg.exe程序实现。

对于市场上较为常见的APP，可以使用专业取证工具进行固定下载，如盘古石云取证系统。

在某些情况下，色情视频APP并未直接提供视频的下载功能，此时需要通过抓包分析，以获取m3u8链接。后续下载过程与前述下载m3u8视频情况一致。

02

视频固定样例

一名居民向公安部门报案，称其在家中浏览网页时加入了一个微信群，群内多名用户在“XX”APP上发布含有淫秽物品的视频，并留下联系方式，企图组织聚众淫乱活动，社会影响恶劣。公安部门随后委托我们固定该APP中指定账号的若干视频。

1.环境配置

在系统中安装Charles证书。配置过程如下：

配置OpenSSL：OpenSSL用于证书格式转换并计算证书的哈希值，去OpenSSL官网下载并安装，添加OpenSSL的路径到系统变量中的path。配置如下：

为了使抓取的HTTPS包能够正常解析，需要在模拟器中安装Charles系统证书。首先，在Charles中将证书下载至本地，然后使用OpenSSL命令将证书格式进行转换并输出证书的哈希值。接着，将转换后的pem格式证书重命名为“<哈希值>.0”的格式。

将重命名后的文件推送至模拟器中系统证书所在的目录，但该目录默认是只读的，所以需要将其挂载为可读写模式。

启动目标设备上的远程shell后，使用“mount -o remount,rw /system”命令将“/system”目录重新挂载为读写模式。选项中，“-o ”指定挂载操作的选项，“remount”表示重新挂载已经挂载的文件系统，“rw”设置为读写模式。

读取“/proc/mounts”文件来检查 “/system”目录的当前挂载状态，确保是以“rw”权限挂载的。

最后将证书文件推送到“/system/etc/security/cacerts”目录下。

证书安装完成后，配置WLAN代理，以使Charles对模拟器中的APP流量进行抓包。

配置完成后在模拟器中打开APP，发现该APP有抓包检测。APP代理检测如下：

这表明该APP对WiFi代理进行了检测。通过反编译该APK，可以看到代码中调用了“mo3529”方法。

该方法的接口被类“Impl”实现，并重写了“mo3529”方法。

在“mo3529”方法中发现“ host = System.getProperty("http.proxyHost");”、“String property = System.getProperty("http.proxyPort");”和“return (TextUtils.isEmpty(host) || port == -1) ? false : true;”，这段代码可以检测到是否配置了HTTP代理，包括通过WiFi配置的HTTP代理抓包，并不能检测到所有类型的抓包活动。因此转用VPN抓包的方式尝试获取该APP的数据包，相较于WiFi代理抓包的办法，VPN检测相对较少，而且一次配置终生受益。

在模拟器上安装代理工具Postern，并配置将APP的流量转发到Postern。

配置代理规则，添加一个规则。匹配类型是“匹配所有地址”，动作是“通过代理连接”，代理组选择刚配置好的代理即可。

2.APP抓包

打开模拟器中的APP，开始播放视频。在Charles中观察抓到的数据包，找到m3u8文件的请求。m3u8文件包含视频片段的索引信息，如下图所示：

从数据包中可以发现有多个m3u8文件，查看其内容发现首个m3u8文件并非直接指向ts文件，而是嵌套其他的m3u8文件，再由其他的m3u8文件指向对应的ts文件。

3.下载m3u8文件和ts文件进行合成

使用浏览器或其他工具，根据复制的m3u8文件URL下载m3u8文件到本地。

打开m3u8文件，查看其中记录的ts文件片段的URL。

如果m3u8文件嵌套其他m3u8文件，需要递归下载嵌套的m3u8文件。

根据m3u8文件中的URL，下载所有ts文件片段到本地。

将所有ts文件片段和m3u8文件放在同一个文件夹中，使用ffmpeg工具，根据m3u8文件中的索引信息，合成完整的视频文件。

 4.脚本自动固定

编写python脚本执行3（下载m3u8文件和ts文件合成）过程，获取首个m3u8的链接并解析，递归下载所需要的ts文件，最后将ts文件合成为mp4文件。

部分python代码如下图所示：

5.验证视频

为了验证合成的视频文件是否完整和正确，使用视频播放器打开合成的视频文件，确保视频播放正常。

其他注意事项：

03

小结