王佳慧 刘继红
摘 要:随着互联网技术的高速发展,即时通信技术应运而生。即时通信技术的产生为人们生活提供了便利,但同时也成为犯罪分子越来越看重的技术,他们利用即时通信技术进行犯罪,对社会造成极大的危害。QQ作为使用最频繁的即时通信软件之一,被犯罪分子作为常用的交流工具进行犯罪活动。因此,QQ软件取证已成为公安电子取证的重点。文章以QQ软件为着眼点,提出了对即时通信软件中的文件记录进行关键信息分析的思路,实现了即时通信技术在犯罪侦查取证工作中的实际应用。
关键词:即时通信;侦查取证;QQ软件
1 即时通信软件研究背景
随着即时通信技术和相关软件技术的不断提升,相关网络配套设施的不断更新完善,即时通信软件的功能日益丰富,除了基本通信功能以外,逐渐集成了电子邮件、音乐、电视、游戏和搜索等多种功能[1]。即时通信的广泛应用,引起了犯罪分子的注意。许多犯罪分子开始把即时通信软件作为违法犯罪的工具。因此,在犯罪侦查取证中对即时通信工具的应用记录进行研究具有重要意义。
2 即时通信技术与相关犯罪
即时通信是一种基于互联网的能够进行即时信息交流的业务。即时通信最基本的功能就是能够实时传输的信息,完成在线传输信息的服务,从而提高用户交互性。即时通信完全基于传输控制协议/互联网协议地址(Transmission Control Protocol/Internet Protocol Address,TCP/IP)网络协议来实现。TCP/IP协议是以数据流的形式,将传输数据分割、打包后,通过两台机器之间建立起的虚电路,进行连续的、双向的、严格保证数据正确性的文件传输协议[2]。即时通信作为一种基于网络的通信技术,在高速发展过程中衍生出各种不同的即时通信软件,如QQ,飞信,手机微信,微博私信,MSN,Google Talk等。尽管它们的运行界面不尽相同,功能有所差异,但是作为一种即时通信工具,它们大多是基于同样的原理。随着即时通信用户呈几何级增长,利用即时通信软件犯罪,已经成为当今犯罪的新趋势。犯罪分子开始利用QQ、手机微信、微博等不易监管、难以监控的即时通信方式进行犯罪,这种犯罪行为对社会造成了极大的危害,并且增大了公安机关的监控管理难度。当前,利用即时通信进行犯罪活动突出表现在以下几个方面。
(1)利用即时通信技术非法入侵重要的信息系统,同时破坏相关网络功能或是修改相关数据信息,从而造成网络彻底瘫痪或相关数据信息丢失。以制作、贩卖、传播淫秽物品犯罪为例,犯罪者建立在网站上开辟隐藏的色情板块,仅给老成员访问,其他会员不可见,有些甚至只有通过二层、三层网络代理才可以访问,甚至有人通过VPN做加密通道,放置色情信息。
(2)利用即时通信软件向用户的联系人自动发送相关恶意信息或者自身文件来达到传播目的的蠕虫、木马等病毒,从而导致计算机系统和通信网络受到严重损害,同时,危害计算机信息系统安全。
(3)利用即时通信进行侮辱诽谤他人,传播谣言。随着即时通信软件不断更新换代,微博应运而生。微博的产生,却让侮辱诽谤他人,传播谣言的行为,找到了一片滋生地。为了严厉打击微博造谣,我国出台了“两高”并对其进行了司法解释,“同一诽谤信息实际被点击、浏览次数达到5 000次以上,或者被转发次数达到500以上的”,应当认定为诽谤行为。
(4)利用即时通信进行诈骗、敲诈等相关恶性犯罪活动。犯罪人利用即时通信软件从事诈骗和敲诈已经常态。
(5)利用即时通信技术传播淫秽信息。犯罪人通过QQ聊天室、微信群、微博账号等上传淫秽照片,发布淫秽视频,以达到传播淫秽信息的目的,这种行为严重地破坏了社会风气和社会正常秩序。
(6)利用即时通信软件作为犯罪团伙沟通联络的工具。许多犯罪人抓住即时通信软件方便、快捷的特点,将其作为物色犯罪目标和与同伙沟通的重要工具。犯罪团伙通过即时通信软件进行沟通联络,讨论犯罪方案和具体犯罪步骤,进行犯罪前的准备工作。
3 针对QQ软件的犯罪侦查取证
QQ是当代网民最常用的即时通信软件之一,也是犯罪人在犯罪过程中最常利用的犯罪工具。许多犯罪团伙利用QQ软件方便、快捷、可以进行群组多人联系的特点,把QQ软件作为犯罪过程中信息的交流工具,他们在QQ上聊天,确定犯罪时间、地点和方案。因此,QQ软件中存储着犯罪人和犯罪团伙进行犯罪的痕迹。大量的案件和司法鉴定都表明,即时通信软件,尤其是QQ软件所储存的资料,正是司法鉴定电子证据的仓库。QQ软件所储存的聊天记录和相关信息,包含着大量的电子证据,能够为案件的侦破起到关键性的作用。
QQ軟件主要使用的是用户数据报协议(User Datagram Protocol,UDP)通信协议,以TCP/IP协议作为辅助。当登录QQ时,能够从服务器上获取好友列表,完成点对点的连接。当犯罪嫌疑人登录自己的QQ号码进行犯罪活动时,就会在安装目录下一个以QQ号码命名的文件中留下活动的痕迹,通过对这些文件的分析和提取,可以获得许多犯罪嫌疑人犯罪的证据。QQ软件中关联的文件主要有以下几种。
3.1 MsgEx.db文件
MsgEx.db文件中存放的是QQ信息记录。信息记录包括系统信息、聊天记录、手机信息记录和群组记录。当犯罪嫌疑人和其他人进行交流时,此文件就会自动生成。此文件不易被破坏和更改,并且存放着犯罪嫌疑人和他人交流的信息,因此MsgEx.db中存放着对犯罪取证中最有利的证据。在QQ版本更新后,QQ信息记录存放的文件不再叫MsgEx.db,而是存放在名为Msg2.0 db的文件夹中,并且聊天记录的加密方式也进行了改变。这一行为,保护了许多QQ使用者的隐私安全,但是也加大了公安机关针对QQ软件进行侦查取证的难度。
3.2 Mail.dll文件
Mail.dll文件中存储着和QQ邮件相关的信息。相关信息包括发件箱、收件箱、废件箱、草稿箱和已发送信息。据统计,95%的QQ用户都曾使用过QQ邮箱。通过对该文件的分析,可以查看到犯罪嫌疑人是否利用过QQ邮箱,实施过犯罪行为或是和犯罪同伙商议犯罪方案。
3.3 FileRecv文件
FileRecv文件是默认接收文件。当犯罪嫌疑人登录QQ时,犯罪同伙给他发送文件,就会保存在这个文件夹中。但是此文件夹的位置可以改变。犯罪嫌疑人通过QQ软件的文件管理器,可以改变接收文件的默认地址。但是更改过的地址也很容易查到,只要输入犯罪嫌疑人的QQ号码在资源管理器中,就可以找到相关文件夹。
3.4 Image文件
Image文件保存着收发的表情、截图。通过查看此文件,我们可以直接查看到犯罪嫌疑人曾经和别人发过的所有截图和表情。
4 关键信息筛选
以上几个文件是公安机关在针对QQ软件侦查取证中,最常用的几个文件。利用这些文件信息,往往能找到案件的突破口,获得非常有利的电子证据。当公安机关获取了QQ软件中的大量信息,如果对信息进行一对一分析,那么工作量会非常大,分析难度也较高。针对这种现象,公安机关应采取关键信息分析法。通过对关键信息进行筛选和匹配,能够极大提高工作效率,理清侦查取证线索。当遇到类似案件,我们应对案件有一个大致的了解,从而获取一些关键的信息。例如在经济诈骗案中,关键的信息有支付宝、银行卡、发货、等待等。对这些关键词进行排序筛选,就能为侦查取证提供一个明确的方向。在这个过程中,匹配规则和筛选规则是实现的重难点。完成匹配和筛选工作主要可以分为以下3个方面。
4.1 关键词匹配
当获取了犯罪人的聊天记录后,一些比较敏感的、涉及案件信息的例如事发时间、事发地点等词语需要去进行匹配。了解案情后,按照人为定制的规则。依据犯罪要件的重要程度依次排序,然后按照排序的先后次序进行精确的匹配工作。在匹配过程中,关键词的匹配应该从点线面的思路出发,先匹配到一个精确的词语(点),然后根据一个个关键词语连成一个关键的信息(线),最终把这些关键语句进行整理,找出一个关键人(面)。这个人很有可能就是他曾经实施过犯罪的受害人,也有可能是和他一起从事犯罪活动的同伙。
4.2 时间段的匹配
在分析聊天记录文件时,常常会忽略貌似不太重要的时间段,从而错过有用的信息。因此,在进行关键信息匹配筛选时,对特殊时间段的筛选是非常重要的一个方面。例如,从事卖淫活动的犯罪嫌疑人一般都在晚上从事犯罪活动,因此,在傍晚时间点的信息要进行重点的匹配和核查。除此之外,还可以根据一个人经常使用QQ聊天的时间点来推断其平常的作息习惯。为案件的侦查取证,提供更有说服力的证据。对于时间段的筛选应该基于各个时间段的关键词语的出现频率来进行排序。从时间段出发,筛选出重要几个的时间点,具体到与之QQ好友交流的时间,从而在时间点上进行横向的关联,对同一时间点同时聊天的好友进行聊天记录的分析,配合关键词语的出现频度来确定需要调查的重点对象。在特殊时间段的匹配上不能光进行时间的单一匹配,而是要把握关键词和时间段两个因素的协调统一,在相互印证的基础上进行进一步的关联分析,准确地筛选出关键信息。
4.3 关键联系人的匹配
在进行关键信息分析的过程中,筛选出关键联系人是最终的目的,因为筛选出的關键人一般都是和案件有直接关系的。关键人可能是被害者,可能是犯罪嫌疑人的犯罪同伙,也可能是一个犯罪团伙的上线组织者。因此,筛选出关键人,才是核心。因此,关键联系人的匹配筛选不能依靠一个单方面的条件,而应该综合考虑,在几个关键信息点和重点时间段的共同匹配下,选择出权重最高的联系人。这个联系人的筛选应该符合大多数匹配筛选规则下的共性。当筛选出多个重要联系人的时候,应该对这些联系人之间进行关联分析,在时间点和关键词语上进行匹配,分析出他们之间的关系网络,还原案件场景,为侦查取证指明方向。
5 结语
本文在深入研究即时通信在犯罪取证中的应用后,提出了对即时通信软件中的文件记录进行关键信息分析的思路。通过最后的分析和研究,得出了利用该思路可以解决即时通信中取证的相关问题,为即时通信技术在犯罪侦查取证中的应用研究提供了一个新的视角。
[参考文献]
[1]方蓓.基于FMS的校园即时通讯系统设计与实现[D].苏州:苏州大学,2011.
[2]蒋燕.利用即时通讯软件促进教师资源城乡均衡发展研究[D].金华:浙江师范大学,2007.
[3]谢永恒,王国威,火一莽,等.一种基于行为分析的即时通信网络诈骗预警方法[J].信息网络安全,2017(9):119-121.
[4]马庆杰,李炳龙,位丽娜.跨即时通信平台的社交网络取证研究[J].信息工程大学学报,2017(2):231-235.
Research on the application of instant communication technology
in criminal investigation and evidence collection
Wang Jiahui, Liu Jihong
(Department of Information Security Engineering, Xinjiang Police College, Urumqi 830000, China)
Abstract:With the rapid development of Internet technology, instant communication technology is applied. The emergence of instant communication technology provides convenience for peoples life. But at the same time, instant communication technology has become a technology that criminals rely more and more on. They use instant communication technology to commit crimes, causing great social harm. As one of the most frequently used instant messaging software, QQ is often used by criminals as a communication tool for criminal activities. Therefore, QQ software forensics has become the focus of public security electronic forensics. From the perspective of QQ software, this paper puts forward the idea of analyzing the key information of the file records in instant messaging software, and realizes the practical application of instant messaging technology in crime investigation and evidence collection.
Key words:instant communication; criminal investigation and evidence collection; QQ software