基于手机社交软件的重点人物分析方法

关键词：手机取证；社交软件；重点人物；自动化分析

0 引言

随着智能手机的普及应用，使用智能手机作为载体和工具进行犯罪的非接触类犯罪案件也在迅速增加，涉案手机内的社交应用软件数据是犯罪事实认定重要证据之一[1]。

1 社交应用软件的特点

大众熟知且广泛应用的社交应用软件主要有微信、QQ、企业微信、钉钉、飞书等，除此之外涉案嫌疑人也可能会特意使用一些小众社交软件进行联络，如Potato、Enigma、蝙蝠等[2-3]。这些社交应用软件为了实现消息传递和聊天功能，都存在相似的功能模块如联系人列表、群列表、聊天信息等[4]。除了这些基础信息外，手机取证软件同时也能解析出不同社交软件自身独有的一些信息，比如Potato、Enigma含有群邀请关系，而钉钉、企业微信和飞书包含了组织架构信息。

以群邀请关系特性为例，无论是邀请好友加入群聊，还是通过分享二维码邀请人员加入群聊，社交应用软件均会记录邀请人与被邀请人的关系，记录的形式有xml、json、数据库等不同的数据格式。在一些案件中，涉案团体以各种形式发展用户并构建用户群，诈骗、涉黄、涉赌等类型的案件中新用户人数也是涉案人员业绩指标的一种体现，通过群邀请关系能分析出群的生长过程，如层级、特定人员邀请的人员数量等。

2 手机取证与自动化分析技术

手机取证是指通过收集、提取和分析手机中的数据，以获取与调查、犯罪或司法程序相关的证据[5]。手机取证数据自动化分析是指利用自动化技术和工具对手机取证数据进行快速、高效和准确的分析[6-7]。这种自动化分析可以帮助取证专员快速找到关键信息、发现隐藏的线索，并生成可视化报告，以支持调查和司法程序。

手机取证数据自动化分析的流程通常包括以下几个步骤。

数据提取：通过专业的取证工具，从手机中提取出各种类型的数据，例如通话记录、短信、社交媒体信息、应用程序数据等。这些数据可能以原始格式或加密形式存在。

数据预处理：对提取的数据进行预处理，包括数据清洗、格式转换、去重和解密等操作。预处理的目的是确保数据的准确性和一致性，以便后续的分析。

数据分析：利用数据分析工具和算法，对预处理后的数据进行深入挖掘和分析。这包括关键词搜索、时间线分析、社交网络分析、地理位置分析等。分析的目标是发现相关的信息和模式，如通信频率、联系人关系、活动轨迹等。

结果可视化：将分析结果可视化展示，以便用户更好地理解和利用。可视化技术可以通过图表、图形、地图等形式呈现数据的关联性和趋势[8]。

报告生成：根据分析结果生成详细的报告，包括重要的发现、证据链、数据统计和可视化图表。报告的生成通常是自动化的，并且可以根据需要进行定制化。

手机取证数据自动化分析提高了取证工作的效率和准确性，通过自动化处理，可以快速处理大量的数据，并在短时间内发现重要的信息和线索。而且，自动化分析还可以减少人为错误和主观判断，为案件侦办提供客观、可靠的证据支持。

如何将更多的自动化分析技术应用于电子数据取证，并通过自动化分析实现对大批量的不同的社交软件进行数据还原和分析进而获取到更多对犯罪事实认定有助力的线索，是当前取证人员亟须研究和解决重要问题。

本文接下来将探讨两种对社交应用软件数据进行自动化分析锁定涉案重点人员的方法。

3 基于关系的重点人物分析方法

群组是具有相同特征的某一类事务群体的组合，社交软件中每个群组都会设定一定的主题，包含一定的社交关系链，比如提供服务、拓展人脉、销售产品、打造品牌等[9]。可以通过技术手段对社交软件记录的数据进行还原和分析，获取群聊中成员之间的邀请关系。

3.1 基于群主分析

9VfJG/3dYA69ZdoB5T+3ZxbH5OEQbjq6NZvN2hVc40I=通过对数据库中数据表之间、表字段之间的逻辑关系进行分析，可以明确群组中的群主信息。涉案件团体内部群的群主往往都是犯罪团伙的核心或重点人员，一个成员担任群主的群越多，说明他在组织中的重要性越大，可以通过分析群主信息，找到犯罪团伙的重点人员，如图1所示。

3.2 基于群关系分析

群组中的成员集中在一起组成人员集合，那么群组之间的依赖关系可以类比分析集合之间的关系。

若集合B 的任一元素都在集合A 内，那么集合B 为集合A的子集。若集合A与集合B存在相交的部分，即存在元素既属于集合A又属于集合B，那么集合A与集合B所有元素的集合为集合A与集合B的并集，其中，既属于集合A 又属于集合B的元素的集合为集合A与集合B的交集。例如，某用户手机中的“看片神器1群”“看片神器2群”一般会有相同的群主和群管理员，这两个群的人员集合也必定存在交集。子集、并集、交集概念图，如图2所示。

分析其中一个嫌疑人的微信群关系图，通过群与群之间的共同成员信息，判定出组织内部大群、组织领导层群和组织小组群。以“SNS军团”为例，分析该群与其他群之间的关系时，发现其内部有两个群：“4”和“SNS领导层”，说明SNS军团为组织大群，而“4”和“SNS领导层”是组织内部小群，可能代表关系亲密或具有某方面共同特性的小组群。以“SNS军团”为主体的群关系图，如图3所示。

3.3 基于群邀请关系分析

微信、Potato、Enigma这些社交应用有群邀请关系这个特点，一般处于邀请关系第一级的人员往往是犯罪团伙的核心人员，处于第二级的人员很有可能是重点人群，图4为某组织内部群的邀请关系图，抓住群邀请关系这个特点，分析重点人员会事半功倍。

3.4 基于组织架构分析

钉钉、企业微信、飞书这些社交应用有组织架构这个特点，以钉钉为例，可分析出清晰的组织架构、企业管理员、部门负责人等，如图5所示。

3.5 基于关系的分析方法面向实际的应用

在信息化时代，网络社交应用无可避免地成为犯罪团伙利用的工具。基于关系的重点人物分析方法围绕涉案群群关系和组织架构，快速定位涉案群聊中群主和核心成员，厘清涉案团伙的运作模式和内部结构，为打击犯罪活动提供重要线索和指导。

4 基于消息内容的重点人物分析方法

随着互联网和大数据的快速发展，大数据处理技术在手机取证中也发挥着重要的作用[10]。采用先进的分词技术对社交App中的聊天记录进行数据清洗后再重新入库，然后基于文本分类展示出特定的高频词汇，从而可以快速预览手机社交App信息中相关的案件线索。

4.1 词云分析

犯罪团伙作案一般会有固定的话术，可以通过分析一个手机中所有社交软件出现的高频词汇，得出犯罪团伙的话术。而在群里或是聊天里发送犯罪话术较为频繁的很有可能是涉案重点人员，可以根据发送高频词汇的次数溯源到涉案重点人员，如图6、图7所示。

4.2 基于团伙内部群的词云分析

在基于群关系分析中，可以分析出一个组织的内部群，进而对内部群做词云分析，得到群内的高频词汇，如图8所示。

4.3 基于群活跃成员的词云分析

通常情况下，群内发言较多的成员可能是涉案重点人员，其发言的内容与案情有很大的关联性。通过对发言内容进行词云分析，能识别出该活跃成员的重点发言内容，如图9、图10所示。

4.4 基于消息内容的分析方法面向实际的应用

基于消息内容的分析方法面向实际应用，对涉案团伙群聊进行词云分析，得出犯罪团伙常用话术，定位团伙的重要成员和涉案信息，为执法机构快速梳理案情提供依据。

5 结束语

由于互联网和全球化的发展，犯罪形式多样化，电子数据取证工作在司法侦查的不同分支中不断发展，已成为全球执法活动中非常重要的组成部分[11]。执法人员通过自动化的取证工具，准确、快速地获取违法证据是将网络犯罪分子绳之以法的关键。

本文从取证工作实际出发，结合手机取证中的社交软件和自动化分析技术，从通联关系和消息内容两个角度，较为全面说明了通过分析手机社交软件锁定重点涉案人群的方法，可以自动、快捷地从涉案手机中得到重点人员的分析结果，为案件侦查提供更多的线索。