|
小编注:这篇文章是两年前看到的,时至今日,有些问题已经不比从前了。比如:其一,目前的聊天记录文件早已升级成msg3.0.db,其二,硬盘存储的小概率位错误,显然会造成Hash值的变化。但是关于取证的思路和做法,还是值得借鉴的。于律师而言,可以从中发现不当的瑕疵,便于抗辩;于侦查人员而言,可以不断完善自己的取证过程,减少瑕疵。大家姑且一看吧。
取硬盘、具体的实施操作过程录像。屏幕也录下像(用软件)。 公安如果有自己的程序,就按照他们自己的程序,比如在场人员和操作人员签个字之类的。 硬盘拿下来之后,可以先进行一次复制,或者制作镜像。然后对硬盘进行HASH值计算。 如果做了复制,或者镜像,那么就用复制的盘进行操作。 一定要将检材硬盘用只读接口连接上取证的机器,再进行分析。 给机器和硬盘编号、拍照。 最好有一个完整的记录链,用来说明,检材的状态、存放位置,始终处于可控状态。 操作现场也可以有个记录,或者有个报告,说明当时的环境,以及取证的计算机的一些设备、配置、系统等。 使用取证软件(如SA、取证大师等)对检材硬盘进行即时通信分析。 如果是QQ2008或更早版本,可以直接分析出来。 如果是QQ2009或更新版本,则先要在本地(也就是进行取证的机器上)登录要解析的QQ账号。然后在SA即时通信分析窗口中,勾选 ,在弹出的窗口中选择要解析的QQ号(也就是已经在本地机器上已经登录了的),获取KEY。获取成功后,就可以分析出该账号所有的聊天记录,包括被删除的。 QQ大致的加密原理:QQ对密码和聊天内容的保存,都不是明文的,是进行过加密的。在登录的时候,我们输入的会密码进行2次MD5运算,之后,发送到腾讯的服务器上,再生成一个KEY。这个KEY会发回给本地的QQ,用这个KEY进行登录的验证以及对聊天内容的解码。 通过了解加密原理,可以知道,QQ聊天记录的解析,关键在于,得到这个KEY。为了得到这个KEY,我们就需要成功登录上QQ,然后将腾讯服务器上的发回来的KEY截获,这样就可以解析该QQ号中所有的聊天记录了。 我们的操作步骤为什么能保证证据的合法性、完整性、原始性? 因为QQ将聊天记录,保存在安装目录下的“msg2.0.db”文件中。如果我们将检材硬盘接在只读接口上,那么,检材中的“msg2.0.db”是不会被修改的。而我们的SA虽然需要通过在本地登录上该QQ账号来获取KEY。但最终解析的是检材中的“msg.2.0.db”文件。所以,是不会出现证据遭到破坏的问题。这样就能保证证据的合法性、完整性、原始性。 做完所有操作之后,再对硬盘进行一次HASH运算,和一开始做的HASH值做对比。 如果有必要,写个说明什么的,解释下原理,说清楚操作步骤为啥能保证证据原始性。 因为是公安自己做,所以,我们并不知道这属于刑事证据中的哪一种。电子证据至今归为哪一类,还有争议。如果是我们鉴定出来的,那就算是鉴定结论,就有详细的标准可寻。但公安要将其分为哪一类证据,就需要根据他们的要求做调整。
以上只是作为一个参考,检察院会提出什么问题,我们也不知道。从技术角度上讲。已经能够保证证据的原始性、合法性了。
|
