官網熱線:400-100-0298
(本文轉自子公司上海臻相)
在現場辦案的過程中,經常會遇到正在工作而未關閉的電腦,在這種情況下對于一些易失數據的提取顯得尤為重要,會為后面的數據分析帶來極大的便捷性,若不及時提取甚至會由于某些易失性數據的滅失,造成后續取證分析無法進行。
今天,我們就介紹一下利用博智安全科技股份有限公司(以下簡稱“博智安全”)的電子證據固定工具-冰人,在線提取登錄中QQ密鑰的方法。眾所周知,目前QQ采用了強加密機制,在未獲取密碼的情況下幾乎無法對聊天內容等相關文件進行解析。在辦案過程中,一般都是寄希望于對象交代密碼來登錄QQ或對象計算機保存QQ登錄密碼的情況下,進行QQ數據的提取。而在現實情況中,登錄提取的方式還會受到很多條件的約束,例如異地登錄驗證、手機短信驗證等,都可能會造成提取失敗,甚至可能會由于登錄問題導致案件的打草驚蛇,帶來很多不利的后果。因此,開機登錄情況下的密鑰提取,是目前最為安全、操作難度最低、成功率最高的方法。
1.首先,我們要確保開機的電腦中,存在正在運行中的QQ實例
2.在電腦上連接冰人的移動硬盤并打開應用程序ice.exe,根據需要選擇是否“校準網絡時間”和“屏幕錄像”
3.點擊“易失數據”-“高級設置”選項
4.勾選“QQ密鑰在線提取”,點擊“確定”,工具會自動采集電腦里登錄中QQ的密鑰并生成密鑰文件
5.在對應的案件目錄下,會生成以QQ號命名的.key文件,即為對應QQ號的密鑰文件,此文件包含了針對聊天記錄文件msg3.0.db和好友列表文件info.db的密鑰。若此電腦登錄了多個QQ,則對應的目錄下,會生成多個QQ號命名的.key文件
6.回到實驗室后,我們運用博智安全計算機取證分析系統,對涉案電腦的硬盤、鏡像或者QQ文件夾進行QQ數據取證。首先,打開博智安全計算機取證分析軟件,輸入相關的案件信息,選擇存儲案件的路徑,點擊確定
7.點擊“添加證據”,選擇本地設備(接到只讀口上的案件硬盤)或鏡像文件或目錄文件,點擊確定后進行文件解析
8.解析完成后,點擊“取證”-“自定義取證”,勾選“騰訊QQ”,點擊開始
9.根據軟件提示,導入對應的密鑰文件
10.導入密鑰文件之后,軟件就可以正常對QQ相關信息進行提取
11.提取完成之后,可查詢到QQ的聯系人、群、聊天記錄等相關信息
目前此方法可以支持到最新版QQ軟件進行操作,此次測試的QQ軟件就為最新的9.2.3版本
該產品是一款免拆機、內置2T固態存儲的計算機現場數據提取和固定工具,支持Windows、Linux和MacOS的在線/離線取證。支持一鍵提取如系統、中間件、數據庫日志,硬盤鏡像及內存端口等易失性數據。支持提取特定類型的文件、文件列表,自動全程屏幕錄像,支持QQ最新版本內存密鑰的提取。新版本采用的固態硬盤存儲速度可達500MB/秒。可靠、快捷、簡單、便攜的特點非常適合計算機現場勘驗和電子證據固定等場景。
已有冰人設備的客戶,可以通過下面的鏈接:
https://pan.baidu.com/s/1_NH2rUsthI5nE7g1EEdlGg(提取碼:7k3y)
下載最新軟件的zip包,解壓到冰人程序主目錄下,即可使用最新版本軟件(老版本的zip包和文件夾可以直接刪除)
感興趣的客戶可免費申請冰人試用,詳情請通過郵件與elef@elextec.com進行聯系。
