基于Android系統的微信語音數據司法取證研究

劉繼瑩 譚振江

摘要：當下互聯網技術發展迅速，各項工作均在邁向信息化道路。2017年年末全國各地逐步地展開了監察體制改革工作，改革以來，通過對手機信息的提取、分析、整理，對案件的審查調查有著十分重要的作用。本文通過對Android手機中微信語音取證的研究探討來推進案件的審查調查進度，提高案件辦理效率。

關鍵詞： Android系統; 微信語音取證; 司法取證

【Abstract】 The current Internet technology is developing rapidly， and all work is on the road to informatization.At the end of 2017， the supervision system reform work was gradually carried out across the country.Since the reform， through the extraction， analysis and sorting of mobile phone information， it has played a very important role in the investigation and investigation of cases.This article promotes the progress of the case investigation and investigation through the research and discussion of WeChat voice forensics in Android phones， and improves the efficiency of the case inspection and supervision.

【Key words】 ?Android system; WeChat voice forensics; judicial forensics

0 引 言

2019年8月30日，CNNIC發布了第44次《中國互聯網絡發展狀況統計報告》。報告中指出，截至到2019年6月，中國通過手機上網的民眾數量已經達到8.47億，占比高達99.1%，較去年年底上升0.5個百分點[1]。2019年上半年，手機上網用戶使用的App中，即時通信類App的使用時間最長，其中微信則已成為備受大眾青睞的最常用的通訊工具。因此，對于手機取證來說，微信取證具有極大的現實意義。微信可以實現文字、語音通信、文件傳輸、資金支付等功能，現已成為人們生活中不可缺少的通信工具。多數情況下，手機中存儲了包括微信記錄在內的大量信息[2-3]，在案件審查調查中手機微信取證工作起著不可或缺的作用。其一通過手機取證獲取的信息可以直接作為證據;其二通過獲取到的信息，特別是微信交互信息，可以提高案件破獲效率。

1 手機數據取證基本理論

1.1 手機數據取證定義

Android手機數據取證就是通過對被調查人使用過的手機中存儲的數據進行技術提取，再將提取出的數據進行整合分析，既可為案件提供證據支持[4]，也可通過在手機中獲取的信息找到案件的突破點。

1.2 手機數據取證內容

手機取證包含2部分內容，分別是：基本的數據信息;使用者在各類App程序中產生的數據記錄信息，如微信語音記錄、通話記錄、瀏覽器搜索及瀏覽網頁內容、各類支付軟件中的資金交易信息等[5]。

1.3 手機數據取證步驟

步驟1 獲取到被調查人的手機是整個取證工作的基礎，這個過程要嚴格履行相應的程序手續，同時要申請對被調查人手機取證的權限[6]。

步驟2 保證電量，同時在開機后要將手機的網絡斷開或者將手機調至飛行模式，防止新數據的寫入破壞原有記錄[7]。

步驟3 準備工作做好后，要按照規定的步驟對手機進行數據提取。

步驟4 對提取出的數據進行分析研判，在其中尋找與案件相關的線索，最終形成取證報告[8]。具體流程如圖1所示。

2 Android系統數據存儲

研究可知，考慮到Android系統的開源性，即使得Android系統現已廣泛應用于便攜設備中。Android系統有5種存儲方式來存儲不同類型的數據，具體闡述如下。

（1）SharedPreferences：存儲應用程序的配置信息。

（2）Files：存儲大容量數據。

（3）SQLite DataBase：存儲用戶的所有個人數據。

（4）ConteneProvider：實現各程序間的數據共享。

（5）網絡：通過連接網絡來獲取應用程序所需要的數據。

3 微信語音取證工作

3.1 微信語音數據的存放路徑

在內部存儲下有一個Tencent目錄[9]，Tencent是騰訊手機App數據存放目錄。Tencent下的MicroMsg目錄中存儲著微信用戶的多媒體文件，如圖2所示，包括接收的圖片、語音、視頻等信息。有時候，會用手機登錄不同的微信賬號，每登錄一個賬號，”/Tencent/MicroMsg/”路徑下就會創建一個登錄賬號對應的文件[10]。文件下有一個voice2目錄，目錄中就存儲著人們要找的微信語音記錄。找到其下第三層中的.amr文件，這就是微信語音存儲文件，如圖3所示。

3.2 微信語音文件播放

通過存儲路徑，很容易就找到了微信語音文件，將其拷貝后，但卻會發現并不能直接將拷貝得到的.amr文件順利播放出來。在語音聊天信息存儲時，微信對其文件格式做了特別的處理，此時如果想要播放語音文件，就要對獲取到的.amr文件進行還原解碼。大部分.amr文件以SILK_V3開頭，若要還原成可正常播放的文件，就要將微信做出的處理加以還原。總地來說，就是要跳過.amr文件的前10個字節，再把第11、12字節的值組成的十進制整數記作N，真正的Silk數據是從第13字節數N個字節后開始的，而此前的字節在將其刪除后，獲取到Silk數據，通過調用Skype公開算法對數據進行解碼，將其轉成MP3格式，就可以正常播放了。

操作過程如下：用WinHex工具來修改.amr文件的文件頭信息，如圖4所示。首先刪掉開頭的前10個字節”0x02 0x23 0x21 0x53 0x49 0x4C 0x4B 0x5F 0x56 0x33”。找到第11、12字節，從圖4中看即為”0x0C”和”0x00”，組成十進制整數13，13就是數據偏移量，因此從”0xA7”開始的13個字節”0xA7 0x2B 0x74 0xF7 0xA8 0xEE 0x49 0xE5 0xE0 0x23 0x70 0x43 0x0B”后才是音頻文件真正的開始位置。經修改文件頭信息后，再通過音頻轉換算法將文件轉換成MP3格式。

3.3 .amr文件與微信語音關聯

voice2目錄下的每一個.amr文件都是一條微信語音記錄[11]，但為了將.amr文件同聊天消息關聯上，通過研究發現在每個.amr文件上有2層目錄，如圖5所示。”d0”、”fe”，是十六進制字符，這兩個字符是與語音消息相關聯的重要標識，通過此標識就可以將.amr文件與對應聊天消息關聯上[12]。

在微信數據庫文件中，找到名為message的數據表，這個數據表中就記錄了語音消息的相應信息。在message數據表中有type字段和imgPath字段。當type字段的值為34時，此條記錄為語音記錄;imgPath中的內容的MD5值是16字節編碼，該編碼前2個字節就是上述路徑中的標識，以此實現.amr文件同消息的關聯[13]。

3.4 EnMicroMsg.db數據庫文件

3.4.1 微信數據庫文件

Android手機中的數據庫文件存放在/data/data/com.tencent.mm中，名為EnMicroMsg.db。要想找到并拷貝出EnMicroMsg.db文件，就要將手機ROOT得到最高權限[14]。在ROOT過的手機中將EnMicroMsg.db文件拷貝出來，該文件是經過嚴格加密保存的，要將其打開還需要得到EnMicroMsg.db數據庫文件密碼[15]，獲得密碼的前提是先獲取IMEI和UIN。

3.4.2 獲取IMEI

IMEI是識別碼。IMEI獲取方式有2種方式。第一種，通過系統的配置文件Compatible.cfg中獲取IMEI碼。第二種，手機開機后跳轉至撥號頁面，鍵入”* # 06 #”后，就可以查看到IMEI碼。

3.4.3 獲取UIN

UIN是user information。在”/data/data/com.tencent.mm”下的shared_prefs目錄中存儲著system_config_prefs.xml、app_brand_global_sp.xml文件，從中就可以獲取到UIN。

UIN 碼是計算密鑰的關鍵元素，而多個微信賬號登錄同一個Android 手機時，在配置文件system_config_ prefs.xml 中只保存最后一個登錄的UIN碼。獲取其他賬戶的信息，必須利用保留在手機中的每個賬號的 32 位緩存文件名，udir_name =MD5（mm+uin）。依據已知的 32位文件名得到對應的UIN。

3.4.4 EnMicroMsg.db文件密碼

要想破解EnMicroMsg.db文件的密碼，就要知道[CM）][LL]其密碼的算法，算法為把IMEI與UIN拼接后計算32位MD5值，在此基礎上選取前7位，如圖6所示。

4 結束語

本文通過對Android手機中的微信語音數據文件進行提取、并與微信聊天消息相關聯、最后對.amr文件還原解碼播放，來達到微信語音數據成功取證，以此實現通過對微信語音數據取證工作來推進案件的審查調查進度，提高辦案效率。本文研究具有重要的現實意義。

參考文獻

[1] 于朝暉. CNNIC發布第44次《中國互聯網絡發展狀況統計報告》[J]. 網情軍民融合，2019（9）：30.

[2]潘其凡. 現行監察體制下職務犯罪調查權問題研究[D]. 上海：華東政法大學，2018.

[3]黃鑫. 國家監察體制改革法治化構建之維—兼論“社會中心主義”與反腐“理性構建”[J]. 時代法學，2018，16（5）：64.

[4]李佳. 微信語音鑒定意見的審查[J]. 人民檢察，2018（2）：12.

[5]羅建利. Android手機數據取證在案件偵破中的應用研究[D]. ?廣州：華南理工大學，2016.

[6]王弈. 手機取證規范化研究[J]. 電信科學，2010，26（S2）：65.

[7]楊雪. Android手機取證技術研究綜述[J]. 計算機時代，2015（6）：7.

[8]孫波，孫玉芳，張相鋒，等. 電子數據取證研究概述[J]. 計算機科學，2005，32（2）：13.

[9]PEREIRA M T. Forensic analysis of the Firefox 3 Internet history and recovery of deleted SQLite records[J]. Digital Investigation，2009，5（3-4）：93.

[10]張艷姣，曾光裕，馮培均，等. 一種基于Android平臺的微信取證分析方法[J]. 信息工程大學學報，2018，19（6）：719.

[11]王偉兵，文伯聰，吳琪. 復雜條件下的Android版微信取證方法研究[J]. 網絡安全技術與應用，2017（8）：170.

[12]SANGJUN J， JEWAN B，KEUNDUCK B，et al. A recovery method of deleted record for SQLite database[J]. Personal and Ubiquitous Computing，2012，16（6）：707.

[13]黃平，周俊峰，陶遠輝. Android手機微信語音聊天數據提取研究[J]. 警察技術，2017（2）：64.

[14]陳丹. 基于Android平臺的手機取證技術[J]. 信息與電腦（理論版），2019（5）：186.

[15]金波，吳松洋，熊雄，等. 新型智能終端取證技術研究[J]. 信息安全學報，2016，1（3）：37.