MSN通信痕迹的数据挖掘

孟庆博 英瑞刚

（中国刑警学院 辽宁 沈阳 110035）

MSN通信痕迹的数据挖掘

孟庆博 英瑞刚

（中国刑警学院 辽宁 沈阳 110035）

即时通信工具重要信息的提取已成为公安机关数据挖掘的重要工作之一。在对MSN的数据挖掘方法做以研究的基础上，又对数据挖掘过程中应该注意的问题做出归纳和总结，以期为我国公安实战部门在实际办案过程中对MSN数据的提取提供一些借鉴。

即时通信 MSN 聊天记录 数据挖掘

随着互联网通信技术的迅猛发展，一些即时通信软件逐渐成为人与人之间除了手机通信之外的最主要的信息交流工具。随着它应用范围的越发广泛，特别是在一些伴有低龄化、智能化的高科技犯罪案件中，即时通信软件经常作为犯罪嫌疑人在贯穿整个犯罪过程中所进行通联的通信工具。虽然针对国内最流行的QQ聊天工具的数据挖掘技术已趋于成熟，但对于使用率一直靠前的MSN Messenger数据挖掘技术的发展却仍不容乐观。

1 MSN的使用情况和发展趋势

随着网络逐步进入人们的工作和日常生活，人们对信息的需求越来越强，实时性要求也越来越高。对于与外界的联系，人们已不仅仅局限于电子邮件和电话，而需要更快的信息传递方式—即时通信，所以即时通信软件的出现迅速地风靡全球。其中，MSN以其独特的通信性能，己经成为目前公司白领使用率最高的软件之一。

随着IM软件的广泛应用，几乎在每个涉网案件中都能遇到即时通信工具，利用MSN等即时通信工具进行恶性犯罪的案例也成逐年上升的趋势。由于IM应用形态的多样性，使得犯罪形式也呈现多样化的特点。对MSN等即时通信软件重要数据的挖掘就成为计算机犯罪侦查的一个新的课题，为计算机数据挖掘带来了新的挑战。

2 研究MSN数据挖掘的必要性

犯罪分子通过网络犯罪的手段日趋隐蔽，它们由原来的通过网站、邮件等方式转为QQ、MSN等监管难度较大的即时通信方式，给公安机关的监控带来极大的难度。

当前，利用MSN等即时通信软件进行犯罪活动突出表现在：利用MSN等即时通信软件进行侮辱、诽谤他人及进行盗窃、诈骗、敲诈等犯罪活动；编造并传播扰乱金融秩序的虚假信息；传播淫秽网站、网页，提供淫秽站点链接服务，或者传播淫秽书刊、影片、音像、图片等破坏社会主义市场经济秩序和社会管理秩序；泄露国家秘密、情报或军事秘密；组织邪教组织、联络邪教组织成员，破坏国家法律、行政法规实施等危害国家安全和社会稳定等。

因此，对MSN通信痕迹的数据挖掘进行深入研究，必然会为我们侦办利用MSN进行犯罪的案件提供更多线索和证据，对公安实战部门的实际工作起到一定的促进作用。

3 MSN通信痕迹的数据挖掘技战法

MSN的数据挖掘从存储位置上可以分为本地机PC端、互联网和手机客户端数据挖掘。从数据挖掘的手段上可以分为路径法、软件法等。从挖掘内容上主要包括MSN数据的存储路径、用户账户、聊天记录（文字型）以及接收的图片等对公安侦查工作具有重要价值的数据。

3.1 本地机PC端MSN通信痕迹的数据挖掘

3.1.1 本地机PC端路径法数据挖掘

（1）默认路径法挖掘数据。MSN聊天记录等信息的保存路径是用户可以更改的，而系统默认的保存路径为系统默认的存放地址为C：Documents and Settings[WINDOWS登陆用户名]My Documents我接收到的文件账号代码历史记录。

（2）修改路径法挖掘数据。如果犯罪嫌疑人对MSN聊天记录等信息的保存路径进行修改，在未知账号、密码的前提下，必须找到被修改的保存路径才能挖掘数据。可以通过用事先注册过的账号进行登陆，通过选择“工具”-“选项”-“消息”-“在此文件夹中保存我的对话”栏中挖掘保存路径或者通过搜索功能直接查找“历史记录”文件夹，以“账号+代码”命名的文件夹往往就是MSN数据的保存路径。

3.1.2 本地机PC端软件法数据挖掘

对于犯罪嫌疑人修改系统默认的MSN聊天记录路径时，可以采取利用特殊软件或插件进行聊天记录的数据挖掘工作。例如利用PLUS插件中事件查看器显示用户的所有联系人（如图1所示）和聊天记录（如图2所示）。其中，“事件查看器”会记录登录了Windows Live Messenger之后所发生的一切事情，包括谁在什么时候登录、什么时候退出、什么时候更改名字以及何时改变了状态。“桌面上的联系人”可以将联系人拉到桌面上，联机状态一目了然。“历史消息查看器”使用户查看历史消息将会变得非常地简单，除了显示方式上的改进之外，还可以按对话时间来进行分类。

图1 所有联系人

图2 MSN的聊天记录

3.1.3 本地机PC端可以挖掘到的痕迹

（1）PC端MSN账号的挖掘。通过上述的路径法可以挖掘犯罪嫌疑人的账户名，表现在“我接收到的文件”中的“账号+代码”文件夹。通过自己账号进行登陆，查找该账号，就可以查看号码持有人在网上注册的用户资料，例如用户名、住址、邮箱、联系方式、主页、爱好等。虽然这些资料大多都是网络虚拟信息，但它从一定程度上反映出犯罪嫌疑人的行为特征和心理特征。例如用户信息里包含的输入特征、方言特征、技术特征等都会为我们缩小侦查范围，指引侦查方向。例如账号为“老马1985”，犯罪嫌疑人很可能姓马，1985年出生。

（2）PC端聊天记录的挖掘。聊天记录是最重要的即时通信信息，它不仅可以为侦查破案提供最直接最有用的线索，而且还可作为证据，在诉讼中起到认定犯罪的作用。因此，在侦查破案中不仅要注意对聊天记录的寻找、获取，而且要注意对其保全、固定。

MSN的聊天记录是以.xml文件进行存储的，如图3所示，文件的名字为“账号+代码.xml”这里的账号是会话对方的账号，如记录中有“Name_123+账号代码.xml”的聊天记录，如图4所示。同时，聊天记录还记录有用户接受到的文件的信息，在“消息”一栏中记录着用户接收到的文件的名字和保存路径。

图3 MSN聊天记录文件

图4 MSN聊天记录

（3）PC端其他文件的挖掘。有些犯罪嫌疑人把自己的个性照片或标志性的照片作为MSN头像，直接指向了我们的侦查对象，我们可以在具有隐藏属性的“C:Documents and Settings[WINDOWS登陆用户名]Local SettingsTempMessengerCache”中找到。而对于在聊天中所接收的图片可以在“历史记录”文件夹里找到，例如网络色情犯罪传送的色情图片、网络涉枪案件的枪支图片、网络诈骗案件的虚假信息图片等。

3.2 互联网端MSN数据的挖掘

互联网服务器可以位于境内或境外。境外办案成本过高，而且目前暂无涉网案件国际合作先例，难以实现。境内服务器在条件允许时，可利用以上方法进行数据挖掘。而对于已挖掘的MSN数据，还可以通过互联网搜索引擎进行扩线。上网者的行为规律是进行关联扩线的重要依据。

例如用户ID往往具有很强的一致性。从获取的MSN账号可以关联其他账号，如QQ、电子邮件、聊天室、论坛、微博、空间、网游等。以MSN账号或聊天记录为核心，按照常识和规律做辐射扩线，可以获得更多线索。例如MSN账号是“sunny1983@hotm ail.com”，其QQ、电子邮件、聊天室、论坛、微博、空间、网游等可能使用同一账号或类似特征账号。

3.3 移动客户端MSN数据挖掘

目前，我们不仅可以登陆手机QQ，还可以登陆手机MSN，对于手机MSN数据挖掘和手机QQ的数据挖掘类似。当使用手机MSN聊天以后，便可在手机中自动生成扩展名为“.rms”残留文件记录，我们可以通过写字板将其打开，查看其中的痕迹。

3.3.1 登录信息痕迹挖掘

通过对扩展名为“.rms”残留文件的分析，可以先找到带有“@”邮件标记的记录行,再经过深度分析认定,嫌疑人登陆过的账号痕迹是可以看到的，如图5所示，当前的登陆账号为ccpcjcb@hotmai.com。

图5 手机MSN用户账号

3.3.2 好友信息痕迹挖掘

同理，我们还能看到嫌疑人的一些好友账号，如图6所示。在侦查过程中，我们也可以通过得知的嫌疑人MSN好友来查找犯罪嫌疑人。

图6 手机MSN账号好友痕迹

3.3.3 聊天记录痕迹挖掘

手机MSN对于聊天记录的残留文件是进行加密处理过的，通过IE浏览器、UltraEdit、写字板、取证软件Encase等都无法查看其具体内容。

但我们可以通过查看保存聊天记录的文件属性来大致查看嫌疑人的聊天时间，如图7所示。例如方框中嫌疑人的聊天时间是2009年6月1日，16:16:26。

图7 手机MSN的聊天时间

目前，对于手机MSN聊天记录的数据挖掘我们做得还不够成熟，应在今后的实践工作中不断总结与完善，以期日后能有效地实现用手机MSN挖掘犯罪嫌疑人的更多犯罪信息。

4 数据挖掘中需要注意的问题

对MSN数据挖掘的目的就是要将存储在计算机、手机及相关设备中反映犯罪嫌疑人犯罪的信息转化为有效的诉讼证据提供给法庭。而对于在调查提取中获得的信息，如果要将其作为证明犯罪事实的证据来使用，就要在获得这些信息时依照特定的、合法的程序来操作，以保证电子证据的证明力和证据力。下面就介绍一下在对MSN通信痕迹数据挖掘中需要注意的几点问题。

4.1 非法获取的电子聊天记录不能作为证据使用

非法获取的电子聊天记录主要是指未经合法授权，秘密侵入他人计算机系统所获取的聊天记录。如对所获证据不进行排除，不仅会造成整个社会的信任危机，也难保恶意“捏造”证据事情的发生。

4.2 通过非法搜查、扣押等方式取得的电子聊天记录不能作为证据使用

搜查和扣押方式经常用于刑事侦查中，但必须经过一定的法定程序才得以实施。在民事诉讼中，当事人不得行使搜查和扣押手段获取证据。当事人只能申请人民法院调取证据，人民法院才有权使用搜查扣押等手段。而根据《最高人民法院关于民事诉讼证据的若干规定》的规定，当事人可申请人民法院调查收集的证据有：申请调查的证据属于国家有关部门保存并须人民法院依职权调取的档案资料；涉及国家秘密、商业秘密、个人隐私的材料；当事人及其诉讼代理人确因客观原因不能自行收集的其他材料。

如果电子聊天记录在一方已经灭失，而另一方不予提供，或双方都灭失的情况下只能由一方当事人向另一方当事人或网络服务商调取，这样就会造成对当事人的不公平现象，造成的损害也得不到司法保障。

4.3 存在诱惑侦查的电子聊天中，涉及“诱发犯罪意图”的电子聊天记录，不能作为证据使用

诱惑侦查是侦查人员主动参与到犯罪的进行过程中，然后主动地查获、制止犯罪的发生或者是使即将发生的犯罪暴露出来。诱惑侦查可能出现两种情况：“提供机会型”和“犯罪意图诱发型”。前者是本人已有犯罪意图，侦查人员只是提供机会；后者是本人并没有犯罪意图，而是在侦查人员的诱惑下才产生的犯罪意图。这种诱惑侦查是应该禁止的，所以涉及的电子聊天记录也应排除在法庭证据之外。

5 总结

鉴于MSN自身的特点，使得针对MSN通信痕迹的相关数据挖掘的工作比较冷门。本文从方便快捷、便于掌握的实用角度出发，主要介绍、归纳了如何利用一些简单易用、便于获得的软件来完成对MSN信息的提取方法。但由于方法、软件较多，这里不能逐一阐述剖析，只选择了其中操作简单易用的方法做以介绍，希望文中介绍的取证方法和思路能为公安实战部门在办理实际案件中提供一定的参考与帮助。

米佳.计算机取证技术[M].北京：群众出版社，2007