周 娟，王 俊，易 爽，袁紅照

（西南政法大學(xué)刑事偵查學(xué)院，西南政法大學(xué)司法鑒定中心，重慶 400120）

1 研究基礎(chǔ)

錄音真實性鑒定是指對錄音資料是否經(jīng)過后期加工處理進(jìn)行專業(yè)判斷[1]，現(xiàn)有的鑒定技術(shù)手段包括聽辨、元數(shù)據(jù)、聲譜及電子數(shù)據(jù)分析等。

蘋果手機(jī)經(jīng)過多年的研發(fā)，擁有十幾種不同型號產(chǎn)品，且迭代更新了二十幾次系統(tǒng)版本號[2]。從iPhone 7開始，蘋果手機(jī)系統(tǒng)的“語音備忘錄”APP、“微信”APP、“文件”APP可以進(jìn)行交互的文件轉(zhuǎn)發(fā)和轉(zhuǎn)儲。這些操作雖然不改變語音內(nèi)容，但是文件的元數(shù)據(jù)、文件頭部和尾部的電子數(shù)據(jù)、文件的MD5值等會發(fā)生改變，僅根據(jù)這幾項檢驗結(jié)果的差異就否定錄音的真實性，顯然與事實不符合。因此，語音備忘錄中音頻文件的真實性檢驗會變得更加復(fù)雜，其流轉(zhuǎn)過程的溯源性分析變得尤為重要[3]。

前期研究結(jié)果[4]表明：蘋果手機(jī)的“語音備忘錄”“微信”“文件”三者之間的文件轉(zhuǎn)發(fā)和轉(zhuǎn)儲操作對音頻文件元數(shù)據(jù)和文件尾部的電子數(shù)據(jù)會產(chǎn)生不同影響。

1.1 元數(shù)據(jù)及文件尾部信息無變化的情況

以下4種操作，音頻文件和原來的音頻文件相同，錄音內(nèi)容、文件大小、元數(shù)據(jù)、文件尾部電子數(shù)據(jù)、MD5值均不發(fā)生變化：

1）通過語音備忘錄分享至微信好友，并由微信好友接收及收藏；

2）通過微信轉(zhuǎn)發(fā)給好友，并由微信好友接收及收藏；

3）微信將接收或收藏的音頻轉(zhuǎn)儲至“文件”；

4）通過“文件”轉(zhuǎn)發(fā)給微信好友，并由微信好友接收及收藏。

1.2 元數(shù)據(jù)及文件尾部信息發(fā)生變化的情況

以下2種操作，雖然不改變音頻文件的錄音內(nèi)容和文件大小，但是會導(dǎo)致音頻文件的元數(shù)據(jù)和文件尾部電子數(shù)據(jù)、MD5值發(fā)生變化：

1）微信將接收或收藏的音頻文件通過語音備忘錄打開并保存：文件名稱（手機(jī)中顯示的名稱）重新標(biāo)記，文件重新編碼，其在語音備忘錄存儲路徑下的文件名變成重新編碼的時間+.m4a。文件尾部的編碼時間變?yōu)橹匦戮幋a時間，文件尾部會在原UUID+原系統(tǒng)版本號之前寫入新UUID+新系統(tǒng)版本號。元數(shù)據(jù)的編碼日期不變，標(biāo)記日期及系統(tǒng)版本號則是文件重新標(biāo)記文件名稱后轉(zhuǎn)儲保存的時間及相應(yīng)的系統(tǒng)版本號，元數(shù)據(jù)中增加“音軌”信息（即手機(jī)中錄音的名稱=重新標(biāo)記的文件名稱）。

2）“文件”將接收或保存的音頻文件通過語音備忘錄打開并保存：文件名稱（手機(jī)中顯示的名稱）重新標(biāo)記，文件不重新編碼，其在語音備忘錄存儲路徑下的文件名不變，以文件的編碼時間+.m4a命名，文件尾部的編碼時間不變。文件尾部UUID不變，原系統(tǒng)版本號之前寫入新系統(tǒng)版本號。元數(shù)據(jù)的編碼日期不變，標(biāo)記日期則是文件重新標(biāo)記文件名稱后轉(zhuǎn)儲保存的時間，元數(shù)據(jù)中增加“音軌”信息（即手機(jī)中錄音的名稱=重新標(biāo)記的文件名稱）。

2 案例

某法院審理“原告A與被告B加油站及C貿(mào)易有限公司合同糾紛”一案，原告A舉證期間提交了iPhone手機(jī)一部，其內(nèi)語音備忘錄中存儲了2段錄音，該兩段錄音為原告A與被告B就相關(guān)事宜商談的內(nèi)容，涉及了重要的案件信息。但是由于該2段錄音所顯示的時間與實際商談的時間不吻合，被告方不認(rèn)可其真實性。而原告反映其有多部蘋果手機(jī)，且與家人混用，不排除語音文件已經(jīng)經(jīng)過了微信轉(zhuǎn)發(fā)及多次導(dǎo)入導(dǎo)出，而原文件可能已經(jīng)刪除的情況。于是，申請對這2段錄音的真實性、完整性以及2段錄音與所提交的iPhone手機(jī)設(shè)備同源性進(jìn)行鑒定。

2.1 初步檢驗

原告送檢的iPhone XS Max數(shù)字移動電話機(jī)一部，系統(tǒng)版本號為“iOS 13.7”（截至送檢日期），設(shè)備名稱為“iPhone (3)”。其手機(jī)備忘錄中顯示的音頻名稱分別為“2019.12.19.”和“2019.10.13”2段音頻即為原告舉證的2段錄音，通過iToos軟件將手機(jī)連接電腦，發(fā)現(xiàn)二者存儲于“private/var/mo-bile/Media/Recordings/”目錄下，其文件名如表1所示。

表1 需檢音頻文件信息簡表Table 1 The audio files to be checked and relevant indications

其中檢材音頻1系三男聲在一開放環(huán)境下討論有關(guān)“某公司與加油站租賃協(xié)議”相關(guān)事宜的現(xiàn)場談話錄音，語音信號信噪比較高。經(jīng)多次審聽發(fā)現(xiàn)：除其尾部一男聲說“手續(xù)”中的“續(xù)”字音節(jié)不完整外，其余位置三人的對話語音內(nèi)容前后銜接過渡正常，語音聽感自然，語義、邏輯未檢出異常，語音及背景聲亦未見異常中斷、跳變現(xiàn)象；檢材音頻2系兩男聲在一相對安靜環(huán)境下，主要討論“協(xié)議”“出資”事宜的現(xiàn)場談話錄音，語音信號信噪比高。經(jīng)多次審聽發(fā)現(xiàn)：二人對話語音內(nèi)容前后銜接過渡正常，語音聽感自然，語義、邏輯未檢出異常，語音及背景聲亦未見異常中斷、跳變現(xiàn)象[5-6]。

使用送檢手機(jī)的“語音備忘錄”錄制一段實驗樣本音頻，并用iToos軟件導(dǎo)出（其在存儲路徑下的文件名為20201118151422.m4a，手機(jī)內(nèi)默認(rèn)的文件名為“新錄音+數(shù)字”），將檢材音頻1、2與實驗樣本音頻的元數(shù)據(jù)及文件尾部進(jìn)行對比，發(fā)現(xiàn)：二者在音頻的編碼格式、采樣率、聲道數(shù)、碼率模式等方面完全一致，另外，經(jīng)過圖譜分析，檢材音頻1、2音頻信號波形未檢見異常，頻譜未發(fā)現(xiàn)剪輯、拼接等可能形成的語音片段重復(fù)或能量跳變、異常中斷痕跡，背景聲也未檢出異常；二者與實驗樣本音頻的本底噪聲也較為符合。但是二者在元數(shù)據(jù)時間戳及文件尾部的電子數(shù)據(jù)信息上卻有不同的表現(xiàn)，如圖1、圖2所示。由圖1可見：該款手機(jī)語音備忘錄原始錄制的音頻，元數(shù)據(jù)中沒有“音軌”信息，且編碼日期與文件名稱一致，標(biāo)記日期=編碼日期+持續(xù)時長，編碼程序后面標(biāo)注的是手機(jī)名稱。檢材音頻1、2的元數(shù)據(jù)信息與該手機(jī)語音備忘錄原始錄制音頻文件的信息均存在明顯差異。由圖2可見：實驗樣本音頻的文件尾部寫入的是1個UUID+手機(jī)名稱，檢材音頻1、2文件尾部寫入的有多個UUID+系統(tǒng)版本號。經(jīng)過進(jìn)一步測試發(fā)現(xiàn)：如果機(jī)主有兩部蘋果手機(jī)，第一次在蘋果手機(jī)A或蘋果手機(jī)B上使用SIM卡，手機(jī)的語音備忘錄錄制的音頻文件的元數(shù)據(jù)和文件尾部均會顯示系統(tǒng)版本號；但是，如果將SIM卡從蘋果手機(jī)A中取出插到蘋果手機(jī)B中使用，再從蘋果手機(jī)B中取出插入蘋果手機(jī)A中使用，其語音備忘錄錄制的音頻文件的元數(shù)據(jù)及文件尾部就會顯示A手機(jī)名稱，而不會顯示系統(tǒng)版本號。因此，文件尾部寫入系統(tǒng)版本號或者手機(jī)名稱，均為蘋果手機(jī)語音備忘錄錄制的音頻文件正常保存方式。但是檢材音頻1、2文件尾部寫入多個UUID+系統(tǒng)版本號，顯然與該手機(jī)語音備忘錄原始錄制音頻文件的信息不一致。

2.2 對比檢驗與分析

根據(jù)前述研究基礎(chǔ)，對檢材音頻1、2的生成及流轉(zhuǎn)方式進(jìn)行分析。

2.2.1 對檢材音頻11的檢驗分析

檢材音頻1的元數(shù)據(jù)及文件尾部發(fā)生變化的原因?qū)儆?.2描述中第2種情況，編碼日期=文件名標(biāo)注的時間（UTC2019-12-19 07:12:01=北京時間2019-12-19 15:12:01），系統(tǒng)版本號為ios13.3，其標(biāo)記日期應(yīng)該是從“文件”導(dǎo)出到語音備忘錄的過程中重新標(biāo)記了名稱為“2019.12.19”，且標(biāo)記文件名稱并保存的時間=標(biāo)記日期=UTC2019-12-21 13:48:04，重新標(biāo)記的系統(tǒng)版本號也為ios13.3，且文件的UUID沒有變化。

綜合上述分析，檢材音頻1的元數(shù)據(jù)和文件尾部發(fā)生的變化完全符合1.2描述中的第2種情況，即“文件”將接收或保存的音頻文件通過語音備忘錄打開并保存，且編碼日期與重新標(biāo)記日期相隔2 d，手機(jī)的系統(tǒng)版本號相同。另外，不排除1.1小節(jié)所述元數(shù)據(jù)和文件尾部信息無變化的4種操作可能。

2.2.2 對檢材音頻2的檢驗分析

檢材音頻2的元數(shù)據(jù)及文件尾部一共有3個不同的時間戳，且文件尾部有2個不同的系統(tǒng)版本號（ios13.7和ios12.4.1）。根據(jù)前期研究結(jié)果[4]，ios12.4.1的語音備忘錄錄制的音頻文件，其元數(shù)據(jù)和文件尾部均不寫入UUID，因此文件尾部只有1個UUID（對應(yīng)ios13.7）。

結(jié)合上述1.2的兩種情況的對比分析，檢材音頻2的元數(shù)據(jù)和文件尾部的變化規(guī)律如下：

1）編碼日期=UTC2019-10-13 09:59:57，系統(tǒng)版本號為ios12.4.1。

2）微信將接收或收藏的音頻文件通過語音備忘錄打開并保存，重新編碼日期=文件名標(biāo)注的時間（UTC2020-03-09 09:20:54=北京時間2020-03-09 17:20:54），文件尾部在原系統(tǒng)版本號之前寫入新UUID+新系統(tǒng)版本號。

3）“文件”將接收或保存的音頻文件通過語音備忘錄打開并保存，重新標(biāo)記了文件名稱為“2019.10.13”，且重新標(biāo)記日期=UTC2020-09-12 02:45:26，此時，文件尾部UUID不變，原系統(tǒng)版本號之前寫入新的系統(tǒng)版本號ios13.7，覆蓋掉2）中的新系統(tǒng)版本號（相關(guān)實驗已驗證[4]）。

綜合上述分析，檢材音頻2的元數(shù)據(jù)和文件尾部在上述1）-2）-3）的順序操作中發(fā)生了變化。此外，不排除1.1小節(jié)所述元數(shù)據(jù)和文件尾部信息無變化的4種操作可能。

2.3 手機(jī)系統(tǒng)更新記錄檢驗

雖然前述2.2可以確定檢材音頻1、2的元數(shù)據(jù)及文件尾部電子數(shù)據(jù)發(fā)生改變的原因，但是仍然不能判斷檢材音頻1、2的錄音內(nèi)容是否為所提交手機(jī)錄制。由于該手機(jī)的系統(tǒng)版本已經(jīng)升級，因此需要進(jìn)一步對系統(tǒng)數(shù)據(jù)進(jìn)行檢驗。

使用Itunes制作送檢手機(jī)的邏輯備份?；趥浞輸?shù)據(jù)，依次解析其中的“com.apple.VoiceMemos.plist”“Recordings.db”“CloudRecordings.db”等文件，未發(fā)現(xiàn)任何系統(tǒng)升級信息。對用戶的微信應(yīng)用日志進(jìn)行檢驗，發(fā)現(xiàn)266個微信應(yīng)用日志文件。

經(jīng)過檢驗發(fā)現(xiàn)：自2019年7月18日至2020年10月10日， iPhone(3) 手機(jī)的操作系統(tǒng)歷經(jīng)10個版本的迭代，依次是：“iOS 12.3.1”“iOS 12.4.1”“iOS 13.1.3”“iOS 13.3”“iOS 13.3.1”“iOS 13.4.1”“iOS 13.5.1”“iOS 13.6”“iOS 13.6.1”“iOS 13.7”。

2.3.1 檢材音頻1中涉及的關(guān)鍵日期檢驗

1）2019年12月19日的日志中，如圖3所示，用戶使用系統(tǒng)版本號為“iOS 13.3”、手機(jī)名“iPhone (3)”的iPhone 手機(jī)，通過微信于“2019-12-19 15:18:19.412”時刻，進(jìn)行過音頻文件的分享操作，所分享的文件的文件名為“新錄音.m4a”、大小為2 321 892字節(jié)（與檢材音頻1相同）、MD5哈希值為“005b8779ba188 b7347c130f2 ca3c74a3”。

2）2019年12月21日的日志中，如圖4所示，用戶使用系統(tǒng)版本號為“iOS 13.3”、手機(jī)名“iPhone(3)”的iPhone手機(jī)，通過微信于“2019-12-21 21:48:40.468”時刻，進(jìn)行過音頻文件的分享操作，所分享的文件的文件名為“2019.12.19。.m4a”（與檢材音頻1相同）、大小為2 321 892字節(jié)（與檢材音頻1相同）、MD5哈希值為“f331911587571ee2 b6861e4e383140fe”（與檢材音頻1相同）。

2.3.2 檢材音頻2中涉及的關(guān)鍵日期檢驗

1）2019年10月13日的日志中，如圖5所示，用戶使用系統(tǒng)版本號為“iOS 12.4.1”、手機(jī)名為“iPhone (3)”的iPhone 手機(jī)，通過微信于“2019-10- 13 18:10:40.527”時刻，進(jìn)行過音頻文件的微信分享操作，所分享的文件文件名為“新錄音.m4a”、大小4 083 502字節(jié)（與檢材音頻2相同）、MD5哈希值為“ee43e7d7a565f308e0c3411c92d03c6f”。

2）2020年9月12日的日志中，如圖6所示，檢見通知消息，該消息顯示的iOS系統(tǒng)版本號為“iOS 13.7”。

2.4 綜合分析及結(jié)果

綜合前述2.1～2.3節(jié)的檢驗及分析結(jié)果：

1） 檢材音頻1的音頻內(nèi)容為蘋果手機(jī)iPhone(3)于編碼日期（UTC2019-12-19 07:12:01=北京時間2019-12-19 15:12:01）錄制形成（系統(tǒng)版本為ios13.3），時長4 min 37 s，于“2019-12-19 15:18:19.412”通過微信應(yīng)用分享給好友；經(jīng)過好友轉(zhuǎn)發(fā)并存儲于“文件”中，于標(biāo)記日期（2019-12-21 13:48:04）通過“文件”重新轉(zhuǎn)儲“語音備忘錄”（系統(tǒng)版本為ios13.3）并標(biāo)記文件名為“2019.12.19。”，此時MD5值改變；于“2019-12-21 21:48:40.468”通過微信應(yīng)用將該文件進(jìn)行過分享。由此可見，檢材音頻1的音頻內(nèi)容為iPhone(3)錄制形成，但經(jīng)過了一系列轉(zhuǎn)發(fā)和一次改變其MD5值的轉(zhuǎn)儲，文件大小不變；另外，其與實驗樣本音頻的本底噪聲較為符合，且聽覺檢驗、聲譜分析均未發(fā)現(xiàn)異常，故具備真實性。

2）檢材音頻2的音頻內(nèi)容為蘋果手機(jī)iPhone(3)于編碼日期（UTC2019-10-13 09:59:57=北京時間2019-10-13 17:59:57）錄制形成(系統(tǒng)版本號為 ios12.4.1)， 時 長 8 min 16 s， 于“2019-10-13 18:10:40.527”時刻通過微信應(yīng)用分享給好友；之后又經(jīng)過“語音備忘錄”打開后重新編碼保存，其重新編碼日期=文件名標(biāo)注的時間（UTC2020-03-09 09:20:54= 北 京 時 間 2020-03-09 17:20:54）， 此時MD5值改變；之后經(jīng)過iPhone(3)的“文件”于標(biāo)記日期（UTC2020-09-12 02:45:26）重新轉(zhuǎn)儲至其語音備忘錄（系統(tǒng)版本號為ios13.7），此時MD5值再次改變。由此可見，檢材音頻2的音頻內(nèi)容為iPhone(3)錄制形成，但經(jīng)過了一系列轉(zhuǎn)發(fā)和兩次改變其MD5值的轉(zhuǎn)儲，文件大小不變；另外，其與實驗樣本音頻的本底噪聲較為符合，且聽覺檢驗、聲譜分析均未發(fā)現(xiàn)異常，故具備真實性。

3 結(jié)論

隨著智能終端的普及應(yīng)用，越來越多的人會使用手機(jī)或平板電腦自帶的具有錄音功能的程序如iPhone或iPad的語音備忘錄、華為手機(jī)或平板電腦的錄音機(jī)等來錄制語音。其中，語音備忘錄與微信、QQ、文件等APP具備交互轉(zhuǎn)發(fā)文件、保存文件以及重新編碼轉(zhuǎn)儲文件的功能，蘋果手機(jī)在使用的過程中會不斷升級迭代。因此，語音備忘錄中保存的音頻文件的真實性檢驗會變得更加復(fù)雜，其生成方式及其流轉(zhuǎn)過程的溯源分析尤為重要。

本文通過案例，對蘋果手機(jī)語音備忘錄中的音頻文件的元數(shù)據(jù)、文件尾部電子數(shù)據(jù)的變化規(guī)律進(jìn)行分析比較后，利用微信的日志文件，確定了手機(jī)系統(tǒng)的升級時序信息，再對照待檢音頻文件的關(guān)鍵日期戳信息進(jìn)行深入探尋，對其生成方式及流轉(zhuǎn)規(guī)律進(jìn)行溯源，并進(jìn)行綜合分析，最終確認(rèn)了其真實性。