MSN通信痕跡的數(shù)據(jù)挖掘

孟慶博 英瑞剛

（中國(guó)刑警學(xué)院 遼寧 沈陽(yáng) 110035）

MSN通信痕跡的數(shù)據(jù)挖掘

孟慶博 英瑞剛

（中國(guó)刑警學(xué)院 遼寧 沈陽(yáng) 110035）

即時(shí)通信工具重要信息的提取已成為公安機(jī)關(guān)數(shù)據(jù)挖掘的重要工作之一。在對(duì)MSN的數(shù)據(jù)挖掘方法做以研究的基礎(chǔ)上，又對(duì)數(shù)據(jù)挖掘過(guò)程中應(yīng)該注意的問(wèn)題做出歸納和總結(jié)，以期為我國(guó)公安實(shí)戰(zhàn)部門(mén)在實(shí)際辦案過(guò)程中對(duì)MSN數(shù)據(jù)的提取提供一些借鑒。

即時(shí)通信 MSN 聊天記錄 數(shù)據(jù)挖掘

隨著互聯(lián)網(wǎng)通信技術(shù)的迅猛發(fā)展，一些即時(shí)通信軟件逐漸成為人與人之間除了手機(jī)通信之外的最主要的信息交流工具。隨著它應(yīng)用范圍的越發(fā)廣泛，特別是在一些伴有低齡化、智能化的高科技犯罪案件中，即時(shí)通信軟件經(jīng)常作為犯罪嫌疑人在貫穿整個(gè)犯罪過(guò)程中所進(jìn)行通聯(lián)的通信工具。雖然針對(duì)國(guó)內(nèi)最流行的QQ聊天工具的數(shù)據(jù)挖掘技術(shù)已趨于成熟，但對(duì)于使用率一直靠前的MSN Messenger數(shù)據(jù)挖掘技術(shù)的發(fā)展卻仍不容樂(lè)觀。

1 MSN的使用情況和發(fā)展趨勢(shì)

隨著網(wǎng)絡(luò)逐步進(jìn)入人們的工作和日常生活，人們對(duì)信息的需求越來(lái)越強(qiáng)，實(shí)時(shí)性要求也越來(lái)越高。對(duì)于與外界的聯(lián)系，人們已不僅僅局限于電子郵件和電話，而需要更快的信息傳遞方式—即時(shí)通信，所以即時(shí)通信軟件的出現(xiàn)迅速地風(fēng)靡全球。其中，MSN以其獨(dú)特的通信性能，己經(jīng)成為目前公司白領(lǐng)使用率最高的軟件之一。

隨著IM軟件的廣泛應(yīng)用，幾乎在每個(gè)涉網(wǎng)案件中都能遇到即時(shí)通信工具，利用MSN等即時(shí)通信工具進(jìn)行惡性犯罪的案例也成逐年上升的趨勢(shì)。由于IM應(yīng)用形態(tài)的多樣性，使得犯罪形式也呈現(xiàn)多樣化的特點(diǎn)。對(duì)MSN等即時(shí)通信軟件重要數(shù)據(jù)的挖掘就成為計(jì)算機(jī)犯罪偵查的一個(gè)新的課題，為計(jì)算機(jī)數(shù)據(jù)挖掘帶來(lái)了新的挑戰(zhàn)。

2 研究MSN數(shù)據(jù)挖掘的必要性

犯罪分子通過(guò)網(wǎng)絡(luò)犯罪的手段日趨隱蔽，它們由原來(lái)的通過(guò)網(wǎng)站、郵件等方式轉(zhuǎn)為QQ、MSN等監(jiān)管難度較大的即時(shí)通信方式，給公安機(jī)關(guān)的監(jiān)控帶來(lái)極大的難度。

當(dāng)前，利用MSN等即時(shí)通信軟件進(jìn)行犯罪活動(dòng)突出表現(xiàn)在：利用MSN等即時(shí)通信軟件進(jìn)行侮辱、誹謗他人及進(jìn)行盜竊、詐騙、敲詐等犯罪活動(dòng)；編造并傳播擾亂金融秩序的虛假信息；傳播淫穢網(wǎng)站、網(wǎng)頁(yè)，提供淫穢站點(diǎn)鏈接服務(wù)，或者傳播淫穢書(shū)刊、影片、音像、圖片等破壞社會(huì)主義市場(chǎng)經(jīng)濟(jì)秩序和社會(huì)管理秩序；泄露國(guó)家秘密、情報(bào)或軍事秘密；組織邪教組織、聯(lián)絡(luò)邪教組織成員，破壞國(guó)家法律、行政法規(guī)實(shí)施等危害國(guó)家安全和社會(huì)穩(wěn)定等。

因此，對(duì)MSN通信痕跡的數(shù)據(jù)挖掘進(jìn)行深入研究，必然會(huì)為我們偵辦利用MSN進(jìn)行犯罪的案件提供更多線索和證據(jù)，對(duì)公安實(shí)戰(zhàn)部門(mén)的實(shí)際工作起到一定的促進(jìn)作用。

3 MSN通信痕跡的數(shù)據(jù)挖掘技戰(zhàn)法

MSN的數(shù)據(jù)挖掘從存儲(chǔ)位置上可以分為本地機(jī)PC端、互聯(lián)網(wǎng)和手機(jī)客戶(hù)端數(shù)據(jù)挖掘。從數(shù)據(jù)挖掘的手段上可以分為路徑法、軟件法等。從挖掘內(nèi)容上主要包括MSN數(shù)據(jù)的存儲(chǔ)路徑、用戶(hù)賬戶(hù)、聊天記錄（文字型）以及接收的圖片等對(duì)公安偵查工作具有重要價(jià)值的數(shù)據(jù)。

3.1 本地機(jī)PC端MSN通信痕跡的數(shù)據(jù)挖掘

3.1.1 本地機(jī)PC端路徑法數(shù)據(jù)挖掘

（1）默認(rèn)路徑法挖掘數(shù)據(jù)。MSN聊天記錄等信息的保存路徑是用戶(hù)可以更改的，而系統(tǒng)默認(rèn)的保存路徑為系統(tǒng)默認(rèn)的存放地址為C：Documents and Settings[WINDOWS登陸用戶(hù)名]My Documents我接收到的文件賬號(hào)代碼歷史記錄。

（2）修改路徑法挖掘數(shù)據(jù)。如果犯罪嫌疑人對(duì)MSN聊天記錄等信息的保存路徑進(jìn)行修改，在未知賬號(hào)、密碼的前提下，必須找到被修改的保存路徑才能挖掘數(shù)據(jù)。可以通過(guò)用事先注冊(cè)過(guò)的賬號(hào)進(jìn)行登陸，通過(guò)選擇“工具”-“選項(xiàng)”-“消息”-“在此文件夾中保存我的對(duì)話”欄中挖掘保存路徑或者通過(guò)搜索功能直接查找“歷史記錄”文件夾，以“賬號(hào)+代碼”命名的文件夾往往就是MSN數(shù)據(jù)的保存路徑。

3.1.2 本地機(jī)PC端軟件法數(shù)據(jù)挖掘

對(duì)于犯罪嫌疑人修改系統(tǒng)默認(rèn)的MSN聊天記錄路徑時(shí)，可以采取利用特殊軟件或插件進(jìn)行聊天記錄的數(shù)據(jù)挖掘工作。例如利用PLUS插件中事件查看器顯示用戶(hù)的所有聯(lián)系人（如圖1所示）和聊天記錄（如圖2所示）。其中，“事件查看器”會(huì)記錄登錄了Windows Live Messenger之后所發(fā)生的一切事情，包括誰(shuí)在什么時(shí)候登錄、什么時(shí)候退出、什么時(shí)候更改名字以及何時(shí)改變了狀態(tài)。“桌面上的聯(lián)系人”可以將聯(lián)系人拉到桌面上，聯(lián)機(jī)狀態(tài)一目了然。“歷史消息查看器”使用戶(hù)查看歷史消息將會(huì)變得非常地簡(jiǎn)單，除了顯示方式上的改進(jìn)之外，還可以按對(duì)話時(shí)間來(lái)進(jìn)行分類(lèi)。

圖1 所有聯(lián)系人

圖2 MSN的聊天記錄

3.1.3 本地機(jī)PC端可以挖掘到的痕跡

（1）PC端MSN賬號(hào)的挖掘。通過(guò)上述的路徑法可以挖掘犯罪嫌疑人的賬戶(hù)名，表現(xiàn)在“我接收到的文件”中的“賬號(hào)+代碼”文件夾。通過(guò)自己賬號(hào)進(jìn)行登陸，查找該賬號(hào)，就可以查看號(hào)碼持有人在網(wǎng)上注冊(cè)的用戶(hù)資料，例如用戶(hù)名、住址、郵箱、聯(lián)系方式、主頁(yè)、愛(ài)好等。雖然這些資料大多都是網(wǎng)絡(luò)虛擬信息，但它從一定程度上反映出犯罪嫌疑人的行為特征和心理特征。例如用戶(hù)信息里包含的輸入特征、方言特征、技術(shù)特征等都會(huì)為我們縮小偵查范圍，指引偵查方向。例如賬號(hào)為“老馬1985”，犯罪嫌疑人很可能姓馬，1985年出生。

（2）PC端聊天記錄的挖掘。聊天記錄是最重要的即時(shí)通信信息，它不僅可以為偵查破案提供最直接最有用的線索，而且還可作為證據(jù)，在訴訟中起到認(rèn)定犯罪的作用。因此，在偵查破案中不僅要注意對(duì)聊天記錄的尋找、獲取，而且要注意對(duì)其保全、固定。

MSN的聊天記錄是以.xml文件進(jìn)行存儲(chǔ)的，如圖3所示，文件的名字為“賬號(hào)+代碼.xml”這里的賬號(hào)是會(huì)話對(duì)方的賬號(hào)，如記錄中有“Name_123+賬號(hào)代碼.xml”的聊天記錄，如圖4所示。同時(shí)，聊天記錄還記錄有用戶(hù)接受到的文件的信息，在“消息”一欄中記錄著用戶(hù)接收到的文件的名字和保存路徑。

圖3 MSN聊天記錄文件

圖4 MSN聊天記錄

（3）PC端其他文件的挖掘。有些犯罪嫌疑人把自己的個(gè)性照片或標(biāo)志性的照片作為MSN頭像，直接指向了我們的偵查對(duì)象，我們可以在具有隱藏屬性的“C:Documents and Settings[WINDOWS登陸用戶(hù)名]Local SettingsTempMessengerCache”中找到。而對(duì)于在聊天中所接收的圖片可以在“歷史記錄”文件夾里找到，例如網(wǎng)絡(luò)色情犯罪傳送的色情圖片、網(wǎng)絡(luò)涉槍案件的槍支圖片、網(wǎng)絡(luò)詐騙案件的虛假信息圖片等。

3.2 互聯(lián)網(wǎng)端MSN數(shù)據(jù)的挖掘

互聯(lián)網(wǎng)服務(wù)器可以位于境內(nèi)或境外。境外辦案成本過(guò)高，而且目前暫無(wú)涉網(wǎng)案件國(guó)際合作先例，難以實(shí)現(xiàn)。境內(nèi)服務(wù)器在條件允許時(shí)，可利用以上方法進(jìn)行數(shù)據(jù)挖掘。而對(duì)于已挖掘的MSN數(shù)據(jù)，還可以通過(guò)互聯(lián)網(wǎng)搜索引擎進(jìn)行擴(kuò)線。上網(wǎng)者的行為規(guī)律是進(jìn)行關(guān)聯(lián)擴(kuò)線的重要依據(jù)。

例如用戶(hù)ID往往具有很強(qiáng)的一致性。從獲取的MSN賬號(hào)可以關(guān)聯(lián)其他賬號(hào)，如QQ、電子郵件、聊天室、論壇、微博、空間、網(wǎng)游等。以MSN賬號(hào)或聊天記錄為核心，按照常識(shí)和規(guī)律做輻射擴(kuò)線，可以獲得更多線索。例如MSN賬號(hào)是“sunny1983@hotm ail.com”，其QQ、電子郵件、聊天室、論壇、微博、空間、網(wǎng)游等可能使用同一賬號(hào)或類(lèi)似特征賬號(hào)。

3.3 移動(dòng)客戶(hù)端MSN數(shù)據(jù)挖掘

目前，我們不僅可以登陸手機(jī)QQ，還可以登陸手機(jī)MSN，對(duì)于手機(jī)MSN數(shù)據(jù)挖掘和手機(jī)QQ的數(shù)據(jù)挖掘類(lèi)似。當(dāng)使用手機(jī)MSN聊天以后，便可在手機(jī)中自動(dòng)生成擴(kuò)展名為“.rms”殘留文件記錄，我們可以通過(guò)寫(xiě)字板將其打開(kāi)，查看其中的痕跡。

3.3.1 登錄信息痕跡挖掘

通過(guò)對(duì)擴(kuò)展名為“.rms”殘留文件的分析，可以先找到帶有“@”郵件標(biāo)記的記錄行,再經(jīng)過(guò)深度分析認(rèn)定,嫌疑人登陸過(guò)的賬號(hào)痕跡是可以看到的，如圖5所示，當(dāng)前的登陸賬號(hào)為ccpcjcb@hotmai.com。

圖5 手機(jī)MSN用戶(hù)賬號(hào)

3.3.2 好友信息痕跡挖掘

同理，我們還能看到嫌疑人的一些好友賬號(hào)，如圖6所示。在偵查過(guò)程中，我們也可以通過(guò)得知的嫌疑人MSN好友來(lái)查找犯罪嫌疑人。

圖6 手機(jī)MSN賬號(hào)好友痕跡

3.3.3 聊天記錄痕跡挖掘

手機(jī)MSN對(duì)于聊天記錄的殘留文件是進(jìn)行加密處理過(guò)的，通過(guò)IE瀏覽器、UltraEdit、寫(xiě)字板、取證軟件Encase等都無(wú)法查看其具體內(nèi)容。

但我們可以通過(guò)查看保存聊天記錄的文件屬性來(lái)大致查看嫌疑人的聊天時(shí)間，如圖7所示。例如方框中嫌疑人的聊天時(shí)間是2009年6月1日，16:16:26。

圖7 手機(jī)MSN的聊天時(shí)間

目前，對(duì)于手機(jī)MSN聊天記錄的數(shù)據(jù)挖掘我們做得還不夠成熟，應(yīng)在今后的實(shí)踐工作中不斷總結(jié)與完善，以期日后能有效地實(shí)現(xiàn)用手機(jī)MSN挖掘犯罪嫌疑人的更多犯罪信息。

4 數(shù)據(jù)挖掘中需要注意的問(wèn)題

對(duì)MSN數(shù)據(jù)挖掘的目的就是要將存儲(chǔ)在計(jì)算機(jī)、手機(jī)及相關(guān)設(shè)備中反映犯罪嫌疑人犯罪的信息轉(zhuǎn)化為有效的訴訟證據(jù)提供給法庭。而對(duì)于在調(diào)查提取中獲得的信息，如果要將其作為證明犯罪事實(shí)的證據(jù)來(lái)使用，就要在獲得這些信息時(shí)依照特定的、合法的程序來(lái)操作，以保證電子證據(jù)的證明力和證據(jù)力。下面就介紹一下在對(duì)MSN通信痕跡數(shù)據(jù)挖掘中需要注意的幾點(diǎn)問(wèn)題。

4.1 非法獲取的電子聊天記錄不能作為證據(jù)使用

非法獲取的電子聊天記錄主要是指未經(jīng)合法授權(quán)，秘密侵入他人計(jì)算機(jī)系統(tǒng)所獲取的聊天記錄。如對(duì)所獲證據(jù)不進(jìn)行排除，不僅會(huì)造成整個(gè)社會(huì)的信任危機(jī)，也難保惡意“捏造”證據(jù)事情的發(fā)生。

4.2 通過(guò)非法搜查、扣押等方式取得的電子聊天記錄不能作為證據(jù)使用

搜查和扣押方式經(jīng)常用于刑事偵查中，但必須經(jīng)過(guò)一定的法定程序才得以實(shí)施。在民事訴訟中，當(dāng)事人不得行使搜查和扣押手段獲取證據(jù)。當(dāng)事人只能申請(qǐng)人民法院調(diào)取證據(jù)，人民法院才有權(quán)使用搜查扣押等手段。而根據(jù)《最高人民法院關(guān)于民事訴訟證據(jù)的若干規(guī)定》的規(guī)定，當(dāng)事人可申請(qǐng)人民法院調(diào)查收集的證據(jù)有：申請(qǐng)調(diào)查的證據(jù)屬于國(guó)家有關(guān)部門(mén)保存并須人民法院依職權(quán)調(diào)取的檔案資料；涉及國(guó)家秘密、商業(yè)秘密、個(gè)人隱私的材料；當(dāng)事人及其訴訟代理人確因客觀原因不能自行收集的其他材料。

如果電子聊天記錄在一方已經(jīng)滅失，而另一方不予提供，或雙方都滅失的情況下只能由一方當(dāng)事人向另一方當(dāng)事人或網(wǎng)絡(luò)服務(wù)商調(diào)取，這樣就會(huì)造成對(duì)當(dāng)事人的不公平現(xiàn)象，造成的損害也得不到司法保障。

4.3 存在誘惑偵查的電子聊天中，涉及“誘發(fā)犯罪意圖”的電子聊天記錄，不能作為證據(jù)使用

誘惑偵查是偵查人員主動(dòng)參與到犯罪的進(jìn)行過(guò)程中，然后主動(dòng)地查獲、制止犯罪的發(fā)生或者是使即將發(fā)生的犯罪暴露出來(lái)。誘惑偵查可能出現(xiàn)兩種情況：“提供機(jī)會(huì)型”和“犯罪意圖誘發(fā)型”。前者是本人已有犯罪意圖，偵查人員只是提供機(jī)會(huì)；后者是本人并沒(méi)有犯罪意圖，而是在偵查人員的誘惑下才產(chǎn)生的犯罪意圖。這種誘惑偵查是應(yīng)該禁止的，所以涉及的電子聊天記錄也應(yīng)排除在法庭證據(jù)之外。

5 總結(jié)

鑒于MSN自身的特點(diǎn)，使得針對(duì)MSN通信痕跡的相關(guān)數(shù)據(jù)挖掘的工作比較冷門(mén)。本文從方便快捷、便于掌握的實(shí)用角度出發(fā)，主要介紹、歸納了如何利用一些簡(jiǎn)單易用、便于獲得的軟件來(lái)完成對(duì)MSN信息的提取方法。但由于方法、軟件較多，這里不能逐一闡述剖析，只選擇了其中操作簡(jiǎn)單易用的方法做以介紹，希望文中介紹的取證方法和思路能為公安實(shí)戰(zhàn)部門(mén)在辦理實(shí)際案件中提供一定的參考與幫助。

米佳.計(jì)算機(jī)取證技術(shù)[M].北京：群眾出版社，2007