一、提取对象
犯罪嫌疑人使用过的西部数据4TB红盘
二、提取需求
需要提取硬盘中的Skype聊天记录,并形成相应的报告。
备注:Skype是一款即时通讯聊天工具,具备IM所需的功能,比如视频聊天、多人语音会议、多人聊天、传送文件、文字聊天等,目前注册用户超过6亿人次。
三、解决思路
Skype聊天记录是以SQLite数据库的形式存储的,如果需要提取聊天记录,就需要找到sqlite数据库的位置,并且能够自动解析,生成取证报告。
四、操作步骤
1.对电子数据取证而言,通常需要按照以下流程进行数据提取,如图1。
图1
2.对于本案例取证的前三个步骤,已经按照相关规定进行,这里不再赘述。直接将硬盘通过只读接口,连接到装有效率源DF电子数据分析系统的电脑上,如图2。
图2
备注:为了防止硬盘被写入数据,硬盘只能通过只读接口进行连接,且必须是物理只读。
3.硬盘连接后,打开DF电子数据分析系统,新建案例,对硬盘进行镜像,并做哈希值校验,如图3。
图3
备注:镜像是为了实现证据的固化,保证数据的原始性,客观性。计算哈希值可保证无数据写入。
(4).加载镜像,提取数据,查看需要提取数据的存储路径C:\User\Administrator\Application Data\Romaing\Skype\,如图4。
图4
5.点击自动取证,提取Skype聊天数据,如图5。
图5
备注:DF自动集成了sqlite数据的解析方法,可直接提取聊天记录。
6.查看提取到的Skype聊天记录,如图6。
图6
备注:为保护隐私,图片中关键信息做模糊处理。
7.将提取到的Skype聊天记录生成符合司法程序的取证报告,如图7。
图7
五、提取结果
通过以上步骤,成功提取到硬盘中的Skype聊天记录,并形成符合司法程序的取证报告。
六、小结
在进行电子数据取证时,必须严格按照标准流程进行操作,严禁向硬盘内写入数据。效率源DF电子数据分析系统是一款功能强大的电子数据取证设备,可对上网痕迹、聊天记录、操作日志等进行数据提取,并可对可疑文件,涉密文件等进行分析。此外,设备强大的数据恢复能力,也可保证提取数据的完整性和准确性。
