手機微信取證方法實驗研究

□蘇 雅

(中國人民公安大學，北京 100038)

微信用戶數量和規(guī)模的不斷擴大，以及微信信息所具有的復雜性和隱蔽性，為犯罪分子實施犯罪活動提供了新的場所和手段。而微信數據作為現代犯罪證據的來源之一，起著至關重要的作用。通過微信取證，可以全面掌握犯罪分子的犯罪動態(tài)和犯罪手段，提高偵查破案的效率。

最高人民檢察院、最高人民法院和公安部印發(fā)的《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規(guī)定》把“微博客、朋友圈等網絡平臺發(fā)布的信息”以及“即時通信、通訊群組等網絡應用服務的通信信息”列入電子數據行列，使微信取證成為電子數據取證領域的重要方面。

一、微信證據概述

微信證據作為證據的一種，根據微信的不同功能，有著不同的存在形式。而微信數據的多樣性和隱蔽性，也讓微信證據的類型更加多元化。

(一)微信證據類型

微信數據信息擁有文字、圖片、語音、視頻等多種存儲形式，關鍵、有效的數據會成為微信證據的主要來源。對于這些數據的記錄和收集的不同方法，是筆者研究的主要內容。

1.文字。微信中記載的兩人或多人的文字聊天內容，微信朋友圈編輯的文字消息以及公眾微信號里的文章，都是文字證據的有效來源。這是標記雙方當事人往來互動最直接、最便捷的數據模式，運用手機拍照、錄像、截圖或者備份的方法都能夠完成固定和提取。

2.圖片。作為證據的圖片包括照片、訂購或自制的表情包和動圖，使用者在不同場合使用的含義不盡相同，可能毫無意義，也可能暗藏玄機，因此圖片證據需整體記錄和提取。

3.語音。微信聊天界面的語音消息、朋友圈分享的語音內容以及微信公眾號中的語音信息，也是語音證據的存在方式。以微信語音證據為主的視聽資料應當具有真實性和連續(xù)性的特質，記錄內容必須清晰、準確，才能當做證據使用。提取語音證據的目的主要是用來進行聲音鑒定，是微信取證過程中身份證明的有力途徑之一，能夠有效推進偵查工作的順利進行。

4.視頻。聊天記錄、朋友圈拍攝、轉發(fā)的小視頻，以及公眾號里發(fā)布的視頻鏈接等，都可能成為重要的視頻證據來源。需要注意的是原生視頻和經過剪輯、處理的視頻所具有的證明效力不同。

5.其他具有證明效力的數據信息。微信用戶的個人信息一直是取證關注重點，注冊賬號時可能涉及的手機號、QQ號等信息是將相關犯罪嫌疑人鎖定的重要依據之一。[1]除了能以一定載體呈現上述四類證據，還有一些看似普通卻能在關鍵時刻達到證明效果的數據信息。如小程序、附近的人、位置共享等功能都會留下微信用戶的位置信息，[2]位置共享還具有實時定位能力，如果沒有刪除定位痕跡，即便退出該功能，依然能夠在云端收集到相關信息。

此外，交易記錄也是大部分涉微信犯罪案件都離不開的數據信息之一。微信“支付”功能里的許多服務諸如手機充值、騰訊公益、信用卡還款等，都可實現交易記錄的調閱。

(二)微信證據特點

1.時效性。由于微信數據的可刪除性和復雜性，致使微信數據提取為電子證據擁有一定的時效性。[3]犯罪分子在實施犯罪后，可能將與案件有關的信息進行銷毀性刪除，而受害者往往不懂得如何有效鎖定并保存相關作案證據。因此，微信證據必須在一定時間內固定、提取，否則就會失去證據效力。

2.開放性。微信的社交屬性使得在微信上傳輸、發(fā)送的各項數據都可能被不同范圍的群體或個人獲知、使用，這也是微信證據開放性的體現。

3.易損性。微信證據極易遭到篡改或刪除，取證流程的疏漏和取證技術的瑕疵等也可能給犯罪分子以可乘之機，導致證據損毀，失去證明效力。

二、手機微信取證方法實驗研究

(一)實驗設備

1.Android7.0系統(tǒng)，HUAWEI Mate 8手機一部，型號HUAWEI NXT-AL10；

2.iOS10.2.1系統(tǒng)，iPhone 6s Plus手機一部，型號ML6J2CHA；

兩款手機微信應用均更新至微信WeChat 7.0.3版本。

3.Dell筆記本電腦一臺，win10操作系統(tǒng)，用于數據文件備份和恢復及第三方軟件安裝。

根據2018年1月2日微信官方發(fā)布的消息，微信不留存任何用戶的聊天記錄，聊天內容只存儲在用戶的手機、電腦等終端設備上(1)WeChat：《用了這么久微信，這件事你還是不知道》，微信派，2018年1月2日。。因此了解不同版本手機微信數據的存儲路徑，是取證實驗開展的前提。

iOS版微信數據存儲路徑：

iOS系統(tǒng)的微信數據主要存儲在iPhone的文件系統(tǒng)目錄之中，在第三方應用授權下能夠完成訪問。[4]iTunes作為蘋果官方推出的軟件，可以實現手機文件及相關應用程序的備份，Windows系統(tǒng)將備份文件默認保存至C:UsersAdministratorAppDataRoamingApple ComputerMobileSyncBackup中，電腦端無法直接查看備份內容，可以利用iTools軟件打開iPhone備份的內容，瀏覽備份情況及微信數據的存儲路徑。iOS圖片、語音和視頻分別保存在文件夾Documents/長度為32位的數字與字母混合的文件夾下的Image、Audio和Video中。微信聊天記錄有專門的軟件子目錄/private/var/mobile/Applications/com.tencent.xin.

Android版微信數據存儲路徑：

Android系統(tǒng)的數據信息通?？梢詮谋緳C的系統(tǒng)文件中進行查找，就微信數據而言，本地數據庫SQLite是存儲微信數據的主要依托，整體化加密的數據庫是數據存儲和保護的基石。在手機微信運行時，SQL會將聊天記錄等相關信息存儲至該文件之中，Android系統(tǒng)會將手機微信中包含的所有程序文件歸置于目錄/data/data/com.tencent.mm之下，已加密的SQLite數據庫就在這個目錄之下，通常為32位長度的目錄名，會根據微信賬號的改變而變化。[5]根據該數據庫的顯示，存儲文字聊天記錄和通訊錄信息的分別是message數據表和rcontact數據表。而圖片、語音和視頻信息均存儲在/storage/emulated/legacy/tencent/

MicmMsg/2643e206d0960578f50487548e9b9699內，圖片文件保存于image和image2，語音文件保存于voice和voice2，視頻文件保存于viedo。

(二)實驗過程

1.手機截圖

iOS系統(tǒng)手機與Android系統(tǒng)手機均可利用設備自帶的截圖按鍵對微信的聊天界面或朋友圈、公眾號發(fā)布的重要內容進行截圖，自截圖中捕捉關鍵的文字或圖片內容。對于文字和語音混雜的聊天界面，主要應用手機微信的語音轉換文字功能，將含有語音的部分轉換為文字，隨后再截圖。但語音文字轉換功能就微信使用與取證而言仍然存在局限，對于語音中含有方言和一些特殊標記的話語也不適合轉換為文字進行證據提取。

聊天記錄內容繁多，需要選取特定的內容進行截圖時，可以進入聊天詳情界面，選擇“查找聊天內容”，使用日期、圖片及視頻、文件、鏈接、音樂、交易等多種渠道迅速查找聊天內容，實現取證的高效化。

2.微信文件備份

利用電腦版微信中的備份功能，完成手機微信的備份，避免了因手機更換、損壞等造成的數據信息丟失，同時也解決了直接用手機微信取證面臨的無法獲取root或不能越獄等問題。

(1)在電腦上下載并安裝好微信電腦版，更新版本至2.6.7。同時打開兩版微信軟件，使用手機微信“掃一掃”功能進行Windows微信登錄確認。

(2)將手機和電腦連接為同一網絡，在電腦版微信中，點擊左下角的“備份與恢復”，使用“備份聊天記錄至電腦”功能，對手機微信的聊天記錄進行備份，針對需要取證的內容進行全部或定向性備份。在備份過程中，需確保網絡通暢和微信的開啟狀態(tài)。筆者分別在兩部手機中隨機選擇了一個聊天會話進行備份，備份流程和彈出界面相同。

(3)完成備份后，文件在目錄“C:Users系統(tǒng)用戶名DocumentsWeChatFiles微信賬號BackupFiles”中存留，如需修改備份地址，可以從電腦版微信的備份儲存位置中進行相應的設置，而修改備份儲存目錄將會遷移全部已儲存的備份。此次實驗中，HUAWEI手機完成微信備份的文件默認存儲在位置目錄C:UsersAdministratorDocumentsWeChat Fileswxid_3790807909512BackupFiles下，iPhone手機的微信備份文件則默認存儲在位置目錄C:UsersAdministratorDocumentsWeChat Fileswxid_1y5lc1r4skno22Backup Files下。不同的手機微信用戶會產生不同的備份文件夾，名稱通常是用戶的微信號。iOS系統(tǒng)和Android系統(tǒng)的備份文件夾子目錄名稱相同，其中Backup.db存儲會話消息、聊天用戶的賬號與昵稱；BAK_0_MEDIA主要管理音頻、圖片等媒體文件數據的存儲；BAK_0_TEXT則對不同類型的消息進行時間、內容等多方面的存儲。下圖為HUAWEI手機的微信備份文件夾：

圖1 HUAWEI手機微信備份文件夾

通過微信文件備份的方式，對微信數據進行分析，選取和案件有關的數據信息，是微信取證的有效方法。

3.微信文件刪除后恢復

出于個人數據安全和隱私保護，微信聊天記錄通常不會被服務器存留，因此尚未保存或遷移、備份的內容，在微信好友刪除后，或者微信卸載與重裝后，很難再實現初始數據信息的復原操作。微信自帶的recover功能只能對近期受到損壞的部分數據信息進行修復，實則無法實現數據恢復的目標。此外，微信群中的聊天記錄數據提取也是大多數涉微信犯罪案件關注的重點，當事人在退群后只有可能查閱到屬于群成員時的歷史記錄。

對于已經在電腦端完成備份的文件，可適用微信電腦版實現數據的恢復和還原。

(1)將電腦與手機連接至同一網絡。在微信電腦版中，點擊左下角“備份與恢復”，選擇右側“恢復聊天記錄至手機”，選擇需要恢復的聊天記錄，在“更多選項”下可進行時間段和是否僅恢復文字消息的遴選，隨后在手機上點擊確認，即可開始恢復。在恢復過程中，需確保網絡暢通和微信的開啟狀態(tài)。

(2)結束傳輸后需“確定”，再次打開手機版微信，即可在消息列表中查看到之前已被刪除的會話消息，點開會話內容，初始的聊天內容會重新顯現。

4.第三方技術軟件

微信數據本身的繁雜性和手機系統(tǒng)對于微信等各類應用系統(tǒng)的數據保護，為手機微信取證帶來了許多難題，也催生了一些新技術軟件的成長。除了簡單的手機截屏和能夠進行數據備份與恢復的電腦版微信，許多第三方技術軟件也逐漸走入公安大數據的視野。常見的有美亞柏科的手機取證大師、盤石開發(fā)的SafeAnalyzer軟件，這兩款是目前較具權威性的數據解析軟件，有較為專業(yè)的系統(tǒng)配置和相關組件。此外還有很多熱門的常用軟件，能夠解決微信數據刪除后恢復、格式轉換等問題，如iTools系列軟件、互盾科技的數據恢復軟件，以及開心盒子的手機恢復大師等多款軟件。

(1)手機數據恢復精靈

以iPhone手機為例，在App Store中查找“手機數據恢復精靈”， 獲取并安裝此應用，在打開后的主界面中選擇“微信恢復”選項，應用會轉入微信數據自動掃描界面，掃描時長與數據大小相關聯，成功掃描會顯示“恢復機率”和手機容量等數據信息，隨后根據現場需求，在彈出的微信聊天記錄中完成數據恢復環(huán)節(jié)。當前，此軟件能夠實現文字、語音、圖片及視頻等會話內容的恢復操作。Android系統(tǒng)的實驗流程與效果大抵相近，因此不再贅述。

(2)開心盒子系列恢復軟件

該軟件需要在電腦端進行操作，針對iOS與Android兩種系統(tǒng)，需要下載并安裝“蘋果恢復大師”和“卓師兄”兩個軟件，先后對iPhone手機和HUAWEI手機進行實驗操作。

iOS系統(tǒng)操作如下：

首先，將裝置完畢的蘋果恢復大師打開，利用蘋果原裝數據線把iPhone手機接入電腦。初次接入時應當在手機端完成“信任”此電腦的操作，以確保電腦端后續(xù)步驟能順利開展。

采用主頁面中設備掃描恢復的方式，確認“下一步”開始掃描主要數據。

結束掃描后會進入恢復選擇界面，點擊需要恢復的內容，應用即可進行針對性的深度掃描。如需恢復手機微信中的文字記錄和好友數據信息等文本數據，可選擇微信聊天記錄、微信通訊錄；恢復視頻、文件等媒體數據，則需選擇微信附件。

圖2 iPhone掃描成功界面

深度掃描之后，軟件會對需要恢復的內容做以分析。內容刪除與否以黑、橙兩種顏色的字體做區(qū)分，對亟待恢復、導出的內容加以選擇，或者使用搜索功能，檢索重點詞句，隨后在右下方確認“恢復到電腦”即可達成最初目標。

Android系統(tǒng)操作如下：

首先，打開安裝好的卓師兄軟件，將手機與電腦用華為原裝數據線連接。首次連接需要在手機端確認允許訪問設備數據，與iOS系統(tǒng)不同的是，Android系統(tǒng)還需要安裝驅動，并允許USB調試。順利接入后，進入“下一步”開始數據的深度掃描。

待電腦端應用配置環(huán)境準備完畢，則進入恢復選擇界面。與iOS系統(tǒng)相同，圖標的內容與還原的數據信息相對應。掃描完成后，運用同樣的操作流程還原相關數據，最后點擊“恢復到電腦”，設置好保存路徑即可完成全部操作。

(3)格式工廠

手機微信語音或視頻等文件在導出或備份后有時會出現無法打開等情況，使用格式工廠軟件可以實現各類格式間的相互轉換，有效解決此類問題。

以M4A格式文件轉換為MP3格式文件為例，在電腦端下載并安裝格式工廠4.5.5，打開該軟件，在左側的工具欄中選擇音頻。

打開待轉換的M4A文件，將其用光標拖拽至右側空白區(qū)域，在彈出的窗口左側任務框里選定欲轉換的格式，確認輸出路徑，隨后點擊“確定”。

任務信息出現在主界面后，點擊“開始”按鈕，文件自動轉換成設定的MP3格式，可在確定好的輸出文件夾進行查看。

5.其他

與普通的微信功能不同，微信小程序以其應用的廣泛性、程序的靈活性和使用的便捷性為大多數微信用戶所青睞。點開手機微信“小程序”，可以看到近期被該用戶使用過的小程序，通常以使用頻率排序。這些小程序從側面記錄了當前用戶的使用數據，其中可能包含了地理位置、行蹤動態(tài)等信息。通過整理這些數據，進行簡單的統(tǒng)計分析，同樣可以得出一些結論。下面分別就兩部手機的微信小程序使用情況進行比對分析：

表1 微信小程序使用情況對比表

實驗數據統(tǒng)計顯示，iPhone用戶有看漫畫的愛好或習慣，近期有出門的行為，可能進行了購物活動，并關注或參與了公益募捐。HUAWEI用戶偏愛于發(fā)現新型小科技，喜歡研究或接觸語言類事物。

通過同一時段兩部手機微信小程序的使用情況，對用戶的習慣特點與行為動態(tài)進行傾向性分析，為案件偵破提供線索。

(三)實驗總結

通過嘗試不同的手機微信取證方法，發(fā)現電子證據固定和提取的更多可能性，為進一步提升取證技巧開辟新思路。與此同時，微信取證方法隨著手機系統(tǒng)的更新和微信團隊對數據管理的升級，更加具有針對性和條理性，取證軟件的開發(fā)研究也為手機微信取證提供了便利。取證的方法不止一種，但取證的目的只有一個，就是為偵查工作更好地服務，最大限度還原案件真相。

三、微信證據在偵查實踐中的應用

探討微信證據在偵查實踐中的應用，首先應確保微信證據作為電子證據所具備的條件和特性，即合法性、客觀性、關聯性。在此基礎上，針對不同證據類型的特點展開深入分析，依照微信取證的方法和流程，發(fā)現新的問題和思路，尋找案件的突破口。

(一)微信證據的保全

因為微信證據生成的特殊性，證據提取的復雜性，以及數據自身所具備的易泄露與易篡改性，使得微信證據的保全工作更加舉足輕重。

1.微信證據的合法性。證據的合法性是其具備客觀性和關聯性的先決條件，一方面是形式的合法性，另一方面則是取證手段的合法性。就微信證據而言，目前取證軟件魚龍混雜，取證方法推陳出新，相關的法律法規(guī)還尚未健全，很難確保每一種取證措施都是完全有效的。

2.微信證據的客觀性。作為電子證據的一種，微信證據必然面臨著客觀性、真實性的巨大考驗。所提取的證據是否已經被篡改，提取的內容是否達到完整、全面，相關數據是否存在證明效力，都是取證人員應當思考的內容。[6]這需要工作人員在提取微信證據時做好實時記錄，規(guī)范取證流程，對于音、視頻類證據尤其要防止音頻和視頻文件的片段性和模糊性，盡可能呈現清晰、完整的證據鏈條。

3.微信證據的關聯性。(1)必須確定所提取的證據來源是微信用戶本人，除了雙方當事人的確認和有關司法部門的認證，[7]有時同樣需要第三方軟件或技術的支撐；(2)微信證據的內容與案件事實是否有實質性關聯，所取得的證據能否證明當事人的行為動態(tài)等內容。

(二)犯罪主體身份確認

無論是從已經獲取的微信證據，還是依靠微信數據本身的開放性，都不難推斷并確認犯罪主體的身份。在確定犯罪主體同微信用戶身份一致的前提下，可以從多種渠道進行賬號的查詢和搜索。

1.善用微信“添加朋友”功能。如若微信用戶開放了隱私設置中“向我推薦通訊錄朋友”的權限，可以通過手機聯系人直接查找并添加通訊錄中的朋友。如果對方在隱私設置中開放了可通過手機號、微信號或者QQ號找到自己賬號的路徑，同樣可以憑借搜索相應號碼找到目標賬戶。[8]不僅如此，還可以通過群聊、二維碼、名片等方式添加用戶。在搜索、添加的過程中進行拍攝記錄，以防后期出現犯罪嫌疑人解綁手機號、QQ號、郵箱地址等情況。

2.微信好友探信息。相較于群聊的分散性和復雜性，微信好友之間的往來數據則更具指向性。從通訊錄中可以查閱好友的詳細資料，包括微信號、昵稱、地區(qū)、朋友圈等，在“更多信息”選項的社交資料中還可查看彼此的共同群聊、用戶個性簽名以及來源。微信用戶的微信號和昵稱有時會暴露其姓名，地區(qū)及常住地址。由于微信好友聯系的緊密性，好友或最近聯系人的微信朋友圈中往往會有當事人發(fā)布的圖片或小視頻等信息，借此推斷犯罪嫌疑人的身份特征。[9]

3.聊天記錄露端倪。聊天記錄中，語音聊天和視頻聊天可從一定程度上確認賬號主體與犯罪嫌疑人的關聯。聲紋的穩(wěn)定性和唯一性讓偵查人員能夠從提取到的語音證據中更快地鑒別犯罪主體身份。通過視頻證據中的人像掃描，進行嫌疑人身份認定。

4.交易支付顯身份。[10]微信錢包功能存有用戶綁定銀行卡的賬戶信息，根據銀行開卡個人信息和交易轉賬記錄，深入調查并確認犯罪嫌疑人身份。

此外，微信“支付”功能內的火車票機票等第三方服務還可以提供微信用戶購買車票、機票等訂單信息，查詢相關票據信息即可鎖定犯罪嫌疑人。

(三)犯罪行為分析

對犯罪行為的分析主要包括犯罪預備期的表現、實施犯罪的情況與未知犯罪動態(tài)分析。通過對微信證據的分析和微信數據的統(tǒng)計，讓線索更加明朗，推進偵查工作有序進行。

1.社交信息。通過案發(fā)前一定時間的聊天記錄、朋友圈發(fā)布的消息等文字、語音、圖片信息，分析犯罪嫌疑人在犯罪預備期的表現，社交情況可能暴露犯罪分子想要實施犯罪的目標群體或個人，以及正在籌備的作案工具等。

2.交易記錄。微信用戶的交易記錄羅列了不同時期用戶的交易情況，在交易記錄未被刪除的前提下，可以直接在手機微信中選擇交易日期和類型進行篩選。通過查看近期交易情況，分析犯罪嫌疑人的生活、消費習慣，進一步縮小并精確其活動范圍。

3.小程序。小程序作為微信的新興工具，對于分析犯罪嫌疑人的行為動態(tài)也起著不可或缺的作用。經過實驗比對不難發(fā)現，不同人物對象使用的小程序不盡相同。小程序的使用軌跡，往往能反映用戶的個體特質、購物習慣，甚至是年齡、性別。犯罪嫌疑人在特定時期的一般表現，有時會給偵查人員提供新的思路和突破口。

(四)犯罪畫像

微信證據在犯罪畫像上的應用主要從形象塑造和心理畫像兩方面展開。除朋友圈和聊天記錄中發(fā)布的能夠證明自身的照片和視頻，文字和語音證據同樣能夠實現犯罪形象的再塑，聊天內容可反映個人的興趣習慣和交流方式，聊天語氣則可看出他的性格特點。如語音中使用方言情況，有無特定習慣用語等。而對犯罪嫌疑人心理的刻畫，則需借助微信數據進行多維度分析。如根據犯罪嫌疑人在作案前后加入的群聊性質、關注的訂閱號以及收藏的文章，可分析其交往動機和獲取信息動機，特定階段朋友圈發(fā)布的信息一方面可展示其生活方式和人格特質，另一方面也呈現出犯罪嫌疑人的心理動態(tài)。

手機微信取證方法的實驗研究，不只在怎樣提取到更多類型和數量的證據，怎樣實現證據的有效固定和保全，而是抓住當下大數據與人工智能發(fā)展的機遇，及時發(fā)現并掌控犯罪形式變化新動向，通過手機微信取證等技術不斷升級及相關法律制度與規(guī)定的進一步完善，探尋電子證據發(fā)展新方向，全面提高偵查工作質量和效率。