【技巧】如何判断手机中提取的QQ聊天记录是电脑端同步过来的?

释放双眼,带上耳机,听听看~!

【征稿通知】情报学与情报工作发展论坛(2019)第一轮

一、 会议宗旨 情报学与情报工作发展论坛自成立以来,已成功举办两届,有效推动了情报学与情报工作的科学发展,并取得了良好反响与广泛肯定。大数据与人工智能正在重塑情报学与情报工作的内核与应用场景,为延续《南京共识》精神,把握转型与变革机遇,汇集并

转载自:信息时代的犯罪侦查      原创: 嘟嘟的爸爸

编者按

有些日子不研究QQ聊天记录的取证了。昨天听说基层的同志们在实践中遇到了问题,逼得我从操旧业。时间紧急,这篇文章就当是抛钻引玉吧……



奇特却又合理的应用场景


犯罪嫌疑人甲涉嫌通过QQ实施诈骗。有一天,甲在乙的手机上登陆自己的QQ账号,向他人发送诈骗信息。起获手机后,提取了手机中保存的聊天记录。乙辩称这些聊天记录是甲在电脑端登陆QQ后同步过来的信息,跟自己没有任何关系。


其实,手机QQ采用了远低于桌面QQ的弱安全机制,那么,案中提到的需求到底能不能满足呢?


因为案件还涉及到小编尚未掌握的其他线索信息,此处,仅针对其中可能的技术问题进行探究。


手机端QQ的日志信息在哪里?


以安卓系统为例,手机端QQ的历史日志都保存在下面这个目录:tencent\msflogs\com\tencent\mobileqq。


在该目录下,存在很多log、qlog日志。不同名称的日志文件存储着不同方面的消息,下图中有详细标注,小编就不再细说了。以小编对鹅厂的了解,日志恐怕远不止这些。


从取证客观性以及消息可读性上,建议大家对此文件夹予以重视。文件名中的日期,表示这是今天生成的日志。

重要信息解读


打开手机qq日志(以com.tencent.mobileqq.18.08.03.19.log为例)。


1、判断几个号码可以在手机上成功登陆。


2、用户修改了手机QQ端某些功能。比如:下图中的日志表明,用户取消了手机与电脑QQ同步。



3、手机QQ是否需要与电脑端同步。



4、判断某一个时间点,手机登录QQ账户有多少条未读消息。



5、用户在某一个时间点登陆和退出QQ的日志,长什么样呢?


【美国情报】57处美国FBI的办公地点

FBI是一个由情报驱动的美国国家安全和执法机构。 FBI官网:www.fbi.gov FBI创立于1908年 专注领域反恐,反间谍,网络犯罪,刑事调查,法医,公民权利,法律执法,计算机与技术,情报,法律,艺术与媒体,计算机科学,医疗与紧急和行政支持。 其办公地点遍布全


6、与某一个用户之间聊天的日志

这是一条聊天记录日志。需要解读的信息比较多:

(1)friendUin:9904——好友qq号码的后四位;

(2)senderuin:9904——这条消息的发送者;本机登陆号码是*2678,所以这条消息其实是一条接受消息。

(3)istroop:0——这条消息是一对一的;

(4)msgType:-1000——消息类型,小编也没搞明白1000指的是啥;

(5)time:1533303168——消息发送的时间2018-08-03 21:32:48,这个时间与这条日志的生成时间2018.8.3 21:32:49较为接近,符合时间逻辑;

(6)shmsgseq:20169——本条聊天记录的消息序号。对于一个qq账号而言,对外发送的消息、接收到的消息,各自递增序号。20169是接受消息序号。


7、与某一个用户之间聊天的日志


这是一条聊天记录日志。需要解读的信息比较多:

(1)friendUin:9904——好友qq号码的后四位;

(2)senderuin:2678——这条消息的发送者;本机登陆号码是*2678,所以这条消息其实是一条发送消息;

(3)istroop:0——这条消息是一对一的;

(4)msgType:-1000——消息类型,小编也没搞明白1000指的是啥;

(5)time:1533300015——消息发送的时间2018-08-03 20:40:15,这个时间与这条日志的生成时间2018.8.3 20:41:02相差47秒,不符合时间逻辑;推测:是QQ号码*2678登陆后同步而来的消息,考虑到这是一条发送消息,故应该是*2678在别处(如电脑)发给*9904用户的消息。——这似乎能回答涉案的问题;

(6)shmsgseq:5007——本条聊天记录的消息序号。对于一个qq账号而言,对外发送的消息、接收到的消息,各自递增序号。5007是发送消息序号。


8、一组聊天记录日志的解读

这是一组聊天记录日志。重点解读几则信息,部分解读可以参考前面的图。

(1)shourUin:7100——好友qq号码的后四位;

(2)type:0/1008分别表示一对一消息,还是群消息;

(3)lasteread:1533299231——最后一次读该群消息的时间为2018-08-03 20:27:11;

(4)unreadGiftCount:0——本群还有多少未读消息和礼物;

(5)unreadMark:0——还有没有未读标记。



9、删除了的聊天记录在日志中又是个一个什么样呢?

且听下回分解。


10、日志中还包含很多加密的命令字符串,小编能力和时间都很有限,目前无法进行解读。


11、小二又闹了,我得过去看看。





请长按选择识别图中的二维码并关注【信息时代的犯罪侦查】公众号,了解犯罪手段、侦查技术、办案心得,做到自我提升、自我救赎!

本文源自微信公众号:丁爸 情报分析师的工具箱

【情报论文】从情报失败中学习

俄罗斯人有很多说法,而且看起来恰如其分的是:“如果你在街上看到一个保加利亚人,就把他打死吧。他将知道原因。“鉴于2001年9月11日的巨大悲惨事件以及入侵后伊拉克令人沮丧的大规模毁灭性武器的缺失,在弗吉尼亚州兰利街头看到的任何中央情报局(CIA)官员

人已赞赏
安全工具

【澳大利亚情报】在情报领域塑造国防科技2016-2026

2019-10-15 15:59:16

安全工具

【征稿通知】情报学与情报工作发展论坛(2019)第一轮

2019-10-15 15:59:24

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索