王佳慧 劉繼紅

摘? ?要：隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，即時通信技術(shù)應運而生。即時通信技術(shù)的產(chǎn)生為人們生活提供了便利，但同時也成為犯罪分子越來越看重的技術(shù)，他們利用即時通信技術(shù)進行犯罪，對社會造成極大的危害。QQ作為使用最頻繁的即時通信軟件之一，被犯罪分子作為常用的交流工具進行犯罪活動。因此，QQ軟件取證已成為公安電子取證的重點。文章以QQ軟件為著眼點，提出了對即時通信軟件中的文件記錄進行關(guān)鍵信息分析的思路，實現(xiàn)了即時通信技術(shù)在犯罪偵查取證工作中的實際應用。

關(guān)鍵詞：即時通信;偵查取證;QQ軟件

1? ? 即時通信軟件研究背景

隨著即時通信技術(shù)和相關(guān)軟件技術(shù)的不斷提升，相關(guān)網(wǎng)絡配套設施的不斷更新完善，即時通信軟件的功能日益豐富，除了基本通信功能以外，逐漸集成了電子郵件、音樂、電視、游戲和搜索等多種功能[1]。即時通信的廣泛應用，引起了犯罪分子的注意。許多犯罪分子開始把即時通信軟件作為違法犯罪的工具。因此，在犯罪偵查取證中對即時通信工具的應用記錄進行研究具有重要意義。

2? ? 即時通信技術(shù)與相關(guān)犯罪

即時通信是一種基于互聯(lián)網(wǎng)的能夠進行即時信息交流的業(yè)務。即時通信最基本的功能就是能夠?qū)崟r傳輸?shù)男畔?，完成在線傳輸信息的服務，從而提高用戶交互性。即時通信完全基于傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議地址（Transmission Control Protocol/Internet Protocol Address，TCP/IP）網(wǎng)絡協(xié)議來實現(xiàn)。TCP/IP協(xié)議是以數(shù)據(jù)流的形式，將傳輸數(shù)據(jù)分割、打包后，通過兩臺機器之間建立起的虛電路，進行連續(xù)的、雙向的、嚴格保證數(shù)據(jù)正確性的文件傳輸協(xié)議[2]。即時通信作為一種基于網(wǎng)絡的通信技術(shù)，在高速發(fā)展過程中衍生出各種不同的即時通信軟件，如QQ，飛信，手機微信，微博私信，MSN，Google Talk等。盡管它們的運行界面不盡相同，功能有所差異，但是作為一種即時通信工具，它們大多是基于同樣的原理。隨著即時通信用戶呈幾何級增長，利用即時通信軟件犯罪，已經(jīng)成為當今犯罪的新趨勢。犯罪分子開始利用QQ、手機微信、微博等不易監(jiān)管、難以監(jiān)控的即時通信方式進行犯罪，這種犯罪行為對社會造成了極大的危害，并且增大了公安機關(guān)的監(jiān)控管理難度。當前，利用即時通信進行犯罪活動突出表現(xiàn)在以下幾個方面。

（1）利用即時通信技術(shù)非法入侵重要的信息系統(tǒng)，同時破壞相關(guān)網(wǎng)絡功能或是修改相關(guān)數(shù)據(jù)信息，從而造成網(wǎng)絡徹底癱瘓或相關(guān)數(shù)據(jù)信息丟失。以制作、販賣、傳播淫穢物品犯罪為例，犯罪者建立在網(wǎng)站上開辟隱藏的色情板塊，僅給老成員訪問，其他會員不可見，有些甚至只有通過二層、三層網(wǎng)絡代理才可以訪問，甚至有人通過VPN做加密通道，放置色情信息。

（2）利用即時通信軟件向用戶的聯(lián)系人自動發(fā)送相關(guān)惡意信息或者自身文件來達到傳播目的的蠕蟲、木馬等病毒，從而導致計算機系統(tǒng)和通信網(wǎng)絡受到嚴重損害，同時，危害計算機信息系統(tǒng)安全。

（3）利用即時通信進行侮辱誹謗他人，傳播謠言。隨著即時通信軟件不斷更新?lián)Q代，微博應運而生。微博的產(chǎn)生，卻讓侮辱誹謗他人，傳播謠言的行為，找到了一片滋生地。為了嚴厲打擊微博造謠，我國出臺了“兩高”并對其進行了司法解釋，“同一誹謗信息實際被點擊、瀏覽次數(shù)達到5 000次以上，或者被轉(zhuǎn)發(fā)次數(shù)達到500以上的”，應當認定為誹謗行為。

（4）利用即時通信進行詐騙、敲詐等相關(guān)惡性犯罪活動。犯罪人利用即時通信軟件從事詐騙和敲詐已經(jīng)常態(tài)。

（5）利用即時通信技術(shù)傳播淫穢信息。犯罪人通過QQ聊天室、微信群、微博賬號等上傳淫穢照片，發(fā)布淫穢視頻，以達到傳播淫穢信息的目的，這種行為嚴重地破壞了社會風氣和社會正常秩序。

（6）利用即時通信軟件作為犯罪團伙溝通聯(lián)絡的工具。許多犯罪人抓住即時通信軟件方便、快捷的特點，將其作為物色犯罪目標和與同伙溝通的重要工具。犯罪團伙通過即時通信軟件進行溝通聯(lián)絡，討論犯罪方案和具體犯罪步驟，進行犯罪前的準備工作。

3? ? 針對QQ軟件的犯罪偵查取證

QQ是當代網(wǎng)民最常用的即時通信軟件之一，也是犯罪人在犯罪過程中最常利用的犯罪工具。許多犯罪團伙利用QQ軟件方便、快捷、可以進行群組多人聯(lián)系的特點，把QQ軟件作為犯罪過程中信息的交流工具，他們在QQ上聊天，確定犯罪時間、地點和方案。因此，QQ軟件中存儲著犯罪人和犯罪團伙進行犯罪的痕跡。大量的案件和司法鑒定都表明，即時通信軟件，尤其是QQ軟件所儲存的資料，正是司法鑒定電子證據(jù)的倉庫。QQ軟件所儲存的聊天記錄和相關(guān)信息，包含著大量的電子證據(jù)，能夠為案件的偵破起到關(guān)鍵性的作用。

QQ軟件主要使用的是用戶數(shù)據(jù)報協(xié)議（User Datagram Protocol，UDP）通信協(xié)議，以TCP/IP協(xié)議作為輔助。當?shù)卿決Q時，能夠從服務器上獲取好友列表，完成點對點的連接。當犯罪嫌疑人登錄自己的QQ號碼進行犯罪活動時，就會在安裝目錄下一個以QQ號碼命名的文件中留下活動的痕跡，通過對這些文件的分析和提取，可以獲得許多犯罪嫌疑人犯罪的證據(jù)。QQ軟件中關(guān)聯(lián)的文件主要有以下幾種。

3.1? MsgEx.db文件

MsgEx.db文件中存放的是QQ信息記錄。信息記錄包括系統(tǒng)信息、聊天記錄、手機信息記錄和群組記錄。當犯罪嫌疑人和其他人進行交流時，此文件就會自動生成。此文件不易被破壞和更改，并且存放著犯罪嫌疑人和他人交流的信息，因此MsgEx.db中存放著對犯罪取證中最有利的證據(jù)。在QQ版本更新后，QQ信息記錄存放的文件不再叫MsgEx.db，而是存放在名為Msg2.0 db的文件夾中，并且聊天記錄的加密方式也進行了改變。這一行為，保護了許多QQ使用者的隱私安全，但是也加大了公安機關(guān)針對QQ軟件進行偵查取證的難度。

3.2? Mail.dll文件

Mail.dll文件中存儲著和QQ郵件相關(guān)的信息。相關(guān)信息包括發(fā)件箱、收件箱、廢件箱、草稿箱和已發(fā)送信息。據(jù)統(tǒng)計，95%的QQ用戶都曾使用過QQ郵箱。通過對該文件的分析，可以查看到犯罪嫌疑人是否利用過QQ郵箱，實施過犯罪行為或是和犯罪同伙商議犯罪方案。

3.3? FileRecv文件

FileRecv文件是默認接收文件。當犯罪嫌疑人登錄QQ時，犯罪同伙給他發(fā)送文件，就會保存在這個文件夾中。但是此文件夾的位置可以改變。犯罪嫌疑人通過QQ軟件的文件管理器，可以改變接收文件的默認地址。但是更改過的地址也很容易查到，只要輸入犯罪嫌疑人的QQ號碼在資源管理器中，就可以找到相關(guān)文件夾。

3.4? Image文件

Image文件保存著收發(fā)的表情、截圖。通過查看此文件，我們可以直接查看到犯罪嫌疑人曾經(jīng)和別人發(fā)過的所有截圖和表情。

4? ? 關(guān)鍵信息篩選

以上幾個文件是公安機關(guān)在針對QQ軟件偵查取證中，最常用的幾個文件。利用這些文件信息，往往能找到案件的突破口，獲得非常有利的電子證據(jù)。當公安機關(guān)獲取了QQ軟件中的大量信息，如果對信息進行一對一分析，那么工作量會非常大，分析難度也較高。針對這種現(xiàn)象，公安機關(guān)應采取關(guān)鍵信息分析法。通過對關(guān)鍵信息進行篩選和匹配，能夠極大提高工作效率，理清偵查取證線索。當遇到類似案件，我們應對案件有一個大致的了解，從而獲取一些關(guān)鍵的信息。例如在經(jīng)濟詐騙案中，關(guān)鍵的信息有支付寶、銀行卡、發(fā)貨、等待等。對這些關(guān)鍵詞進行排序篩選，就能為偵查取證提供一個明確的方向。在這個過程中，匹配規(guī)則和篩選規(guī)則是實現(xiàn)的重難點。完成匹配和篩選工作主要可以分為以下3個方面。

4.1? 關(guān)鍵詞匹配

當獲取了犯罪人的聊天記錄后，一些比較敏感的、涉及案件信息的例如事發(fā)時間、事發(fā)地點等詞語需要去進行匹配。了解案情后，按照人為定制的規(guī)則。依據(jù)犯罪要件的重要程度依次排序，然后按照排序的先后次序進行精確的匹配工作。在匹配過程中，關(guān)鍵詞的匹配應該從點線面的思路出發(fā)，先匹配到一個精確的詞語（點），然后根據(jù)一個個關(guān)鍵詞語連成一個關(guān)鍵的信息（線），最終把這些關(guān)鍵語句進行整理，找出一個關(guān)鍵人（面）。這個人很有可能就是他曾經(jīng)實施過犯罪的受害人，也有可能是和他一起從事犯罪活動的同伙。

4.2? 時間段的匹配

在分析聊天記錄文件時，常常會忽略貌似不太重要的時間段，從而錯過有用的信息。因此，在進行關(guān)鍵信息匹配篩選時，對特殊時間段的篩選是非常重要的一個方面。例如，從事賣淫活動的犯罪嫌疑人一般都在晚上從事犯罪活動，因此，在傍晚時間點的信息要進行重點的匹配和核查。除此之外，還可以根據(jù)一個人經(jīng)常使用QQ聊天的時間點來推斷其平常的作息習慣。為案件的偵查取證，提供更有說服力的證據(jù)。對于時間段的篩選應該基于各個時間段的關(guān)鍵詞語的出現(xiàn)頻率來進行排序。從時間段出發(fā)，篩選出重要幾個的時間點，具體到與之QQ好友交流的時間，從而在時間點上進行橫向的關(guān)聯(lián)，對同一時間點同時聊天的好友進行聊天記錄的分析，配合關(guān)鍵詞語的出現(xiàn)頻度來確定需要調(diào)查的重點對象。在特殊時間段的匹配上不能光進行時間的單一匹配，而是要把握關(guān)鍵詞和時間段兩個因素的協(xié)調(diào)統(tǒng)一，在相互印證的基礎上進行進一步的關(guān)聯(lián)分析，準確地篩選出關(guān)鍵信息。

4.3? 關(guān)鍵聯(lián)系人的匹配

在進行關(guān)鍵信息分析的過程中，篩選出關(guān)鍵聯(lián)系人是最終的目的，因為篩選出的關(guān)鍵人一般都是和案件有直接關(guān)系的。關(guān)鍵人可能是被害者，可能是犯罪嫌疑人的犯罪同伙，也可能是一個犯罪團伙的上線組織者。因此，篩選出關(guān)鍵人，才是核心。因此，關(guān)鍵聯(lián)系人的匹配篩選不能依靠一個單方面的條件，而應該綜合考慮，在幾個關(guān)鍵信息點和重點時間段的共同匹配下，選擇出權(quán)重最高的聯(lián)系人。這個聯(lián)系人的篩選應該符合大多數(shù)匹配篩選規(guī)則下的共性。當篩選出多個重要聯(lián)系人的時候，應該對這些聯(lián)系人之間進行關(guān)聯(lián)分析，在時間點和關(guān)鍵詞語上進行匹配，分析出他們之間的關(guān)系網(wǎng)絡，還原案件場景，為偵查取證指明方向。

5? ? 結(jié)語

本文在深入研究即時通信在犯罪取證中的應用后，提出了對即時通信軟件中的文件記錄進行關(guān)鍵信息分析的思路。通過最后的分析和研究，得出了利用該思路可以解決即時通信中取證的相關(guān)問題，為即時通信技術(shù)在犯罪偵查取證中的應用研究提供了一個新的視角。

[參考文獻]

[1]方蓓.基于FMS的校園即時通訊系統(tǒng)設計與實現(xiàn)[D].蘇州：蘇州大學，2011.

[2]蔣燕.利用即時通訊軟件促進教師資源城鄉(xiāng)均衡發(fā)展研究[D].金華：浙江師范大學，2007.

[3]謝永恒，王國威，火一莽，等.一種基于行為分析的即時通信網(wǎng)絡詐騙預警方法[J].信息網(wǎng)絡安全，2017（9）：119-121.

[4]馬慶杰，李炳龍，位麗娜.跨即時通信平臺的社交網(wǎng)絡取證研究[J].信息工程大學學報，2017（2）：231-235.

Research on the application of instant communication technology

in criminal investigation and evidence collection

Wang Jiahui， Liu Jihong

（Department of Information Security Engineering， Xinjiang Police College， Urumqi 830000， China）

Abstract：With the rapid development of Internet technology， instant communication technology is applied. The emergence of instant communication technology provides convenience for peoples life. But at the same time， instant communication technology has become a technology that criminals rely more and more on. They use instant communication technology to commit crimes， causing great social harm. As one of the most frequently used instant messaging software， QQ is often used by criminals as a communication tool for criminal activities. Therefore， QQ software forensics has become the focus of public security electronic forensics. From the perspective of QQ software， this paper puts forward the idea of analyzing the key information of the file records in instant messaging software， and realizes the practical application of instant messaging technology in crime investigation and evidence collection.

Key words：instant communication; criminal investigation and evidence collection; QQ software