admin管理员组

文章数量:1624351

2024年6月30日发(作者:)

刑侦技术 HAl XIA KE XUE 

两种基于Windows系统的QQ聊天记录删除 

恢复方法比较 

1.福建省公安厅刑事技术总队2.福建省刑事科学技术重点实验室魏驰 黄君灿 陈兆烟 

[摘要] 目的:比较两种-恢复QQ聊天记录方法的优缺点,探索不同恢复方法的最佳适用条件。方法:以实际案件为例,对两 

种QQ ̄JP天记录进行数据恢复的方法——基于文件・恢复的QQ聊天记录删除恢复与基于关键字搜索的QQ ̄JP天记录删除恢复进 

行比较。结果:两种方法均能有效地恢复QQ] ̄P天记录,但不同条件下的恢复结果彼此有差异。结论:基于文件恢复的QQ聊 

天记录删除恢复方法能完整恢复聊天记录并有很好的可读性,但是对检验条件的要求苛刻,成功实现的难度大;基于关键字 

搜索的QQ聊天记录删除恢复方法操作简单,易于实现。缺点在于信息不完整,需要对恢复的结果做进一步分析判断。 

[关键词] QQ聊天记录 数据恢复 关键字 

随着我困网络的普及,即时聊天T具已成为人们生活中 

相关QQI[ ̄II天记录数据文件,进而解析获得有价值的聊天i己 

录。 

不可或缺的东西,根据《第35次中国互联网络发展状况统计 

报告》,即时通信作为第一大上网应用,在网民中的使用率 

达 ̄1190.6%…,诸 ̄[1QQ、微信、陌陌等聊天] 具充斥着人们 

生活的各个角落。正因为如此,即时通讯聊天记录极叮能存 

刑事案件侦破过程中扮演着举足轻重的作用 本文从文件恢 

复与关键字搜索两个方面提}}J对删除QQI( ̄p天记录的恢复方 

法. 

1-3基于文件恢复的QQ聊天记录删除恢复 

本文以一台重装Windows操作系统的汁算机为例,介绍 

基于文件恢复提取删除I ̄<jQQ聊天 录 本例中,QQ账号为 

86691 l23的聊天记录因重装系统而被删除。 

lI3.1文件恢复 

运行TINAL Forensics(V3.1)数据恢复软件,经精确扫 

描,获取相关恢复文件_2】?根据QQ聊天记录数据文件均为 

1 基于文件恢复的QQ聊天记录删除恢复 

1.1 QQ聊天记录解析前提 

通过对取证大师(V4.2)使用及分析得知.要成功解析 

聊天记录.需要完整的聊大记录文件Msg3.0.db、密钥信息文 

件Registry.db以及好友信息文件lnfo.db三个数据库文件(见 

图1) 在Windows!操作系统巾,这些QQI( ̄p天记录数据文件 

默认存放于CflUsers\Username\Documents\Tencent Files文件 

日录相应fl<jQQ账号文件夹中、 

名称 内窖 

DB文件, 此过滤筛选出所有DB文件,按路径导lLfI 经查, 

在默认路径-F找到目标QQ账号86691 123的聊天记录数据史 

件,如图2所示 

状态 l文件名 l扩晨名I 划、l目录 

J氍础 {件 ・ FM s l4E0041・O01\,DB(236 ̄\Unkmwn\86691123\ms92Adb 

-】密锝信息文件 L删州 Ol4E0041-O01\.DB{236)\Unknc ̄vn\860gl1)3\TM\re9 db 

j 件 D^FL・800\FM s l4吣1.O01 ̄DB(236)\Unk『loWn\嗍l12 .db 

图1 解析QQ聊天记录所需文件以及路径 

1.2文件删除恢复 

图2恢复的数据库文件列表 

1.3.2解析QQ聊天记录数据文件 

在连接互联网的1 作站巾运行取证大师(V4.2),加载 

目标QQ账号8669ll23聊天记录数据文件,经自动取证功能未 

成功解析QQ账号为86691123的聊天记录,经了解确认由于 

在Windows.操作系统中,被删除的文件只是被标记为删 

除,而事实上文件的数据部分并没有发生改变,这为恢复被 

删除的QQ应用程序文件提供了可能。因此在案件的取证过程 

中,诸如嫌疑人删除了QQ聊天}己录数据文件、存储介质被格 

registry.db文件未保存QQ登陆密钥(即在登陆QQ软件时未勾 

选“记住密码”),无法自动获取QQ聊天记录。为成功获取 

式化或者是重装操作系统等情况,可通过数据恢复软件恢复 

QQI ̄[1天记录,笔者通过QQ信息解密的方式手丁输AQQ密 

2016年第10期(总第118期) 61 

两种基于Windows系统的QQ聊天记录删除恢复方法比较 

码,成功获取 ̄IJQQ账号为86691 123的聊天记录。经过筛选获 

得涉案的与QQ账号为12008349、770428187的聊天记录,如 

图3所示。 

一 

鲤 

膏生. 

膏生. 

丈人 

捌嘲睁嘲}l|鼍豳嘲 

!16691123

86吼125 

770428187

864591123

I尊嘲啭辟 嘲 {哪 

到了 

5747 

5748 

5749 

尢^ 

太^ 

-眭. 

丈^

7704211187 2011-01—11 l5坤 ss巍 

S66g1123 

刀0伽

770428187 2011 ̄1-11 15“7:04我先■—母 

2011-ol 11 15;47:08什么卡' 

盯 2oll i-11 15;47:16捂厅懂掬I卡 

2Ollfol—u 15:47:20 

2011 l・11 1 ̄'47:40 

5750■ . 

5751j 

57520太人 

5753 ■生.

5754J_生.

770428187 膏生.

771 ̄428187■生.

8'3691123 

86691123 

B6秘n23

8/ ̄91123 

太人 

T/0A281盯

8669112.3 

20ll'ol一11 15:47:50, I骚 

 

2Oll—ol一11 15:48:o2叠打电话. 

7704,78187 2011 ̄1—11 15:47: ̄2龋

5755lJ太^

5756 融.

T/04281 ̄ 

8 ̄91123 

. 

尢^ 

. 

^ 

771)428187 2011<11 11 15:49:.14 

瓣 -瞄E.嘲ll船

770428187 

7"/0428187 2011"01-11 I. 瞄■E羊●-糌, 

7.■五下牛. 

5758J 

5759■太^ 

5760 

5761 

770428187 lne.i 

. 1123 

1123 

86691123 2011-Ol 11 15:5o ̄4斛

86691123 2011-ol-11 15:50:20只嘲蛀‘E翱爵匿生7l臣在 

770428187 2011-01・11 1S 50;22好吣 

?70428187 ∞l1—01-11 15:5C:.35三千 

86691 ̄3 

’ 

7 ∞OO拽I呐疽7 

■±. 

口57620 770428187 t . 

2011-01-11 15:50 ̄0不鹄再塞●黼

图4关键字设置 

菖 

目5763: 0融.

丸~

86691123 M 

T/04281B7鞋. 

7704 ̄187 ̄O114/1.11 15:51:17 

 ̄I123 2011-01.11 15:51:59蕾翻 々 一 目 57 ̄,4 

图3恢复的QQ聊天记录内容 

蘑 

(4 

2基于关键字搜索的QQ聊天记录删除恢复 

2.1关键字搜索 

图5搜索QQ聊天记录结果截图1 

关键字搜索是在选定关键字内容后按照一定的编码规则 

通过关键字匹配算法对二进制流数据进行分析查找。在电子 

物证检验过程中,关键字是与案件相关的重要信息,可通过 

逻辑或物理方式对检验对象进行搜索,查找包含该关键字的 

信息,这样可以准确快速地获得有价值的数据。通常犯罪嫌 

疑人在使用QQ聊天记录聊天时,会在计算机中缓存操作信 

息,QQ的聊天记录涉及账号、时间、聊天内容等信息会被记 

录到计算机中,通过QQ账号、具体聊天内容等关键字搜索会 

在未分配簇或者虚拟内存文件中找到聊天记录内容f3】。 

图6搜索QQ聊天记录结果截图2 

3结论 

本文结合案例分析,介绍了基于Windows操作系统的两 

种删除QQ聊天记录的恢复方法——基于文件恢复的QQ聊天 

2.2基于关键字搜索的QQ聊天记录删除恢复 

本文以未能成功解析出目标QQ账号的聊天记录的计算 

机为例,介绍基于关键字搜索方法恢复QQ聊天记录。本例检 

验要求恢复涉及的目标QQ账号为45483 145 l,聊天内容涉及 

到考试作弊、作弊工具等内容聊天记录。 

2.2.1关键字搜索 

运行取证大师(V4.2),新建案例,加载镜像文件,通 

过对案件的了解与分析,设置关键字为“454831451”“考试作 

记录删除恢复与基于关键字搜索的QQ聊天记录删除恢复。这 

两种方法都有其各自的优缺点,前者的优点在于能完整恢复 

聊天记录并有很好的可读性,但是缺点在于要求的条件苛刻, 

成功实现的难度大;后者正好相反,优点在于操作简单,易 

于实现,缺点在于信息不完整,需要分析判断。因此,在日 

常检验工作中,可将这两种方法结合使用,取长补短,提高 

QQ聊天记录恢复的成功率。 

弊”“考中答案”等,选择编码为常见的汉字编码GB2312、 

UTF.8、Unicode等,选择的搜索范围为全盘搜索,见图4。 

2.2.2搜索结果分析与固定 

根据搜索结果,经过搜索我们找到与检验要求相关的内 

容,在未分配簇偏移位置为10066857982处发现部分聊天记 

录,有明确的昵称、账号、时间以及聊天天内容等详细信息, 

内容详见图5。在未分配簇偏移位置为34307491020处同样发 

现QQ聊天记录,同样有明确的呢称、时间以及聊天内容,但 

缺少QQ账号,内容详见图6。 

参考文献: 

[1]中国互联网络信息中 L,(cr,TN[c).第35次中国互联网络发展状况统计报告 

[R].201 5:42. 

【2】薛琴.基 ̄-FinalData的数据恢复技术在计算机取证中的应用[J].警察技术, 

2008(4):44—47. 

【3李子川.3]关于对QQ聊天记录数据恢复方法的研究[J].黑龙江科技信息, 

2009(1 1):62. 

62 2016年第10期(总第118期) 

本文标签: 恢复文件搜索方法关键字

版权声明:本文标题:两种基于Windows系统的QQ聊天记录删除恢复方法比较 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1719748961a794824.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。