官网热线:400-100-0298
(本文转自子公司上海臻相)
在现场办案的过程中,经常会遇到正在工作而未关闭的电脑,在这种情况下对于一些易失数据的提取显得尤为重要,会为后面的数据分析带来极大的便捷性,若不及时提取甚至会由于某些易失性数据的灭失,造成后续取证分析无法进行。
今天,我们就介绍一下利用博智安全科技股份有限公司(以下简称“博智安全”)的电子证据固定工具-冰人,在线提取登录中QQ密钥的方法。众所周知,目前QQ采用了强加密机制,在未获取密码的情况下几乎无法对聊天内容等相关文件进行解析。在办案过程中,一般都是寄希望于对象交代密码来登录QQ或对象计算机保存QQ登录密码的情况下,进行QQ数据的提取。而在现实情况中,登录提取的方式还会受到很多条件的约束,例如异地登录验证、手机短信验证等,都可能会造成提取失败,甚至可能会由于登录问题导致案件的打草惊蛇,带来很多不利的后果。因此,开机登录情况下的密钥提取,是目前最为安全、操作难度最低、成功率最高的方法。
1.首先,我们要确保开机的电脑中,存在正在运行中的QQ实例
2.在电脑上连接冰人的移动硬盘并打开应用程序ice.exe,根据需要选择是否“校准网络时间”和“屏幕录像”
3.点击“易失数据”-“高级设置”选项
4.勾选“QQ密钥在线提取”,点击“确定”,工具会自动采集电脑里登录中QQ的密钥并生成密钥文件
5.在对应的案件目录下,会生成以QQ号命名的.key文件,即为对应QQ号的密钥文件,此文件包含了针对聊天记录文件msg3.0.db和好友列表文件info.db的密钥。若此电脑登录了多个QQ,则对应的目录下,会生成多个QQ号命名的.key文件
6.回到实验室后,我们运用博智安全计算机取证分析系统,对涉案电脑的硬盘、镜像或者QQ文件夹进行QQ数据取证。首先,打开博智安全计算机取证分析软件,输入相关的案件信息,选择存储案件的路径,点击确定
7.点击“添加证据”,选择本地设备(接到只读口上的案件硬盘)或镜像文件或目录文件,点击确定后进行文件解析
8.解析完成后,点击“取证”-“自定义取证”,勾选“腾讯QQ”,点击开始
9.根据软件提示,导入对应的密钥文件
10.导入密钥文件之后,软件就可以正常对QQ相关信息进行提取
11.提取完成之后,可查询到QQ的联系人、群、聊天记录等相关信息
目前此方法可以支持到最新版QQ软件进行操作,此次测试的QQ软件就为最新的9.2.3版本
该产品是一款免拆机、内置2T固态存储的计算机现场数据提取和固定工具,支持Windows、Linux和MacOS的在线/离线取证。支持一键提取如系统、中间件、数据库日志,硬盘镜像及内存端口等易失性数据。支持提取特定类型的文件、文件列表,自动全程屏幕录像,支持QQ最新版本内存密钥的提取。新版本采用的固态硬盘存储速度可达500MB/秒。可靠、快捷、简单、便携的特点非常适合计算机现场勘验和电子证据固定等场景。
已有冰人设备的客户,可以通过下面的链接:
https://pan.baidu.com/s/1_NH2rUsthI5nE7g1EEdlGg(提取码:7k3y)
下载最新软件的zip包,解压到冰人程序主目录下,即可使用最新版本软件(老版本的zip包和文件夹可以直接删除)
感兴趣的客户可免费申请冰人试用,详情请通过邮件与elef@elextec.com进行联系。
