如何判断手机中提取的QQ聊天记录是电脑端同步过来的？

奇特却又合理的应用场景

犯罪嫌疑人甲涉嫌通过QQ实施诈骗。有一天，甲在乙的手机上登陆自己的QQ账号，向他人发送诈骗信息。起获手机后，提取了手机中保存的聊天记录。乙辩称这些聊天记录是甲在电脑端登陆QQ后同步过来的信息，跟自己没有任何关系。

其实，手机QQ采用了远低于桌面QQ的弱安全机制，那么，案中提到的需求到底能不能满足呢？

因为案件还涉及到小编尚未掌握的其他线索信息，此处，仅针对其中可能的技术问题进行探究。

手机端QQ的日志信息在哪里？

以安卓系统为例，手机端QQ的历史日志都保存在下面这个目录：tencentmsflogscomtencentmobileqq。

在该目录下，存在很多log、qlog日志。不同名称的日志文件存储着不同方面的消息，下图中有详细标注，小编就不再细说了。以小编对鹅厂的了解，日志恐怕远不止这些。

从取证客观性以及消息可读性上，建议大家对此文件夹予以重视。文件名中的日期，表示这是今天生成的日志。

重要信息解读

打开手机qq日志（以com.tencent.mobileqq.18.08.03.19.log为例)。

1、判断几个号码可以在手机上成功登陆。

2、用户修改了手机QQ端某些功能。比如：下图中的日志表明，用户取消了手机与电脑QQ同步。

3、手机QQ是否需要与电脑端同步。

4、判断某一个时间点，手机登录QQ账户有多少条未读消息。

5、用户在某一个时间点登陆和退出QQ的日志，长什么样呢？

6、与某一个用户之间聊天的日志

这是一条聊天记录日志。需要解读的信息比较多：

（1）friendUin:9904——好友qq号码的后四位；

（2）senderuin:9904——这条消息的发送者；本机登陆号码是*2678，所以这条消息其实是一条接受消息。

（3）istroop:0——这条消息是一对一的；

（4）msgType:-1000——消息类型，小编也没搞明白1000指的是啥；

（5）time:1533303168——消息发送的时间2018-08-03 21:32:48，这个时间与这条日志的生成时间2018.8.3 21:32:49较为接近，符合时间逻辑；

（6）shmsgseq:20169——本条聊天记录的消息序号。对于一个qq账号而言，对外发送的消息、接收到的消息，各自递增序号。20169是接受消息序号。

7、与某一个用户之间聊天的日志

这是一条聊天记录日志。需要解读的信息比较多：

（1）friendUin:9904——好友qq号码的后四位；

（2）senderuin:2678——这条消息的发送者；本机登陆号码是*2678，所以这条消息其实是一条发送消息；

（3）istroop:0——这条消息是一对一的；

（4）msgType:-1000——消息类型，小编也没搞明白1000指的是啥；

（5）time:1533300015——消息发送的时间2018-08-03 20:40:15，这个时间与这条日志的生成时间2018.8.3 20:41:02相差47秒，不符合时间逻辑；推测：是QQ号码*2678登陆后同步而来的消息，考虑到这是一条发送消息，故应该是*2678在别处（如电脑）发给*9904用户的消息。——这似乎能回答涉案的问题；

（6）shmsgseq:5007——本条聊天记录的消息序号。对于一个qq账号而言，对外发送的消息、接收到的消息，各自递增序号。5007是发送消息序号。

8、一组聊天记录日志的解读

这是一组聊天记录日志。重点解读几则信息，部分解读可以参考前面的图。

（1）shourUin:7100——好友qq号码的后四位；

（2）type:0/1008分别表示一对一消息，还是群消息；

（3）lasteread:1533299231——最后一次读该群消息的时间为2018-08-03 20:27:11；

（4）unreadGiftCount:0——本群还有多少未读消息和礼物；

（5）unreadMark:0——还有没有未读标记。

9、删除了的聊天记录在日志中又是个一个什么样呢?

且听下回分解。

10、日志中还包含很多加密的命令字符串，小编能力和时间都很有限，目前无法进行解读。

11、小二又闹了，我得过去看看。

请长按选择识别图中的二维码并关注【信息时代的犯罪侦查】公众号，了解犯罪手段、侦查技术、办案心得，做到自我提升、自我救赎！

原文始发于微信公众号（信息时代的犯罪侦查）：如何判断手机中提取的QQ聊天记录是电脑端同步过来的？