CN112565311A - 一种针对电信诈骗案件被害人的快速证据取证方法 - Google Patents

Abstract

本发明针对电信诈骗案件中被害人手机中涉案信息的证据固定和存留的嫌疑人声纹文件提取，提供了一种针对电信诈骗案件被害人的快速证据取证方法。该方法可快速提取被害人Android智能手机的短信、邮件、QQ聊天文字内容、QQ聊天语音内容、微信聊天文字内容、微信聊天语音内容、电话录音等作为取证内容。取证过程既保证取证规范，证据符合以审判中心的司法要求，又保证快速取证。可获取嫌疑人电话录音、微信、QQ等App中的声纹信息，用于声纹串并案的应用。

Description

一种针对电信诈骗案件被害人的快速证据取证方法

技术领域

本发明属于云计算和智能手机的电子数据取证技术领域，具体涉及一种针对电信诈骗案件被害人的Android、iOS系统的智能手机快速证据取证方法。

背景技术

随着我国银行线上与ATM转账支付取款便捷、手机与4G网络的普及，犯罪分子通过电话、短信、互联网等开展的非接触式犯罪特征的电信诈骗在我国发展泛滥。电信诈骗犯罪具多种成因，主要集中于连接被害人与犯罪嫌疑人两端的“金融链”与“通信链”的多个环节，可划分为受害人、犯罪嫌疑人、银行、通信运营商、通信与网络的监管、法律方面等。传统的取证方式将提取被害人的智能手机全部数据，无法选择性地只提取涉嫌电信诈骗犯罪的数据，取证时间漫长。且出于保护隐私的考虑，很多被骗金额较小的被害人选择不报案，造成电信诈骗犯罪越来越猖獗，难以遏制。目前在“通信链”的被害人环节的Android系统的智能手机、iOS系统的智能手机快速证据取证方法尚属空白。

此外，由于电信诈骗属于举证难、量刑轻、收益高的犯罪类型，容易死灰复燃。通过从电信诈骗案件被害人的取证数据可以关联分析，实现串并案研判。尤其，通过对被害人手机中存留的嫌疑人声纹文件提取，用于声纹串并是当前破案的关键。目前市场上尚未有解决此类诈骗手段的提取软件，在公安行业也未有研究，亟待提出一种解决办法。

本发明可提取报案人指定的证据，在最大程度地保护报案人隐私，解除报案人个人信息被采集的心里负担，只提取报案人指定的证据和微信、QQ的语音文件，而传统取证方式，若要提取微信、QQ的语音文件需要对报案人手机的微信、QQ全面提取。提取的微信、QQ的语音文件可通过公安部门的声纹比对系统进行案件串并，为打假电信诈骗案件提供新的思路和解决办法。

发明内容

本发明针对当前电信诈骗案件被害人报案取证时无法快速、有选择地提取涉嫌电信诈骗证据的问题，实现对电信诈骗案件被害人Android系统、iOS系统智能手机的涉嫌电信诈骗案件的电子数据进行证据固定和电子数据取证，并根据电子数据取证内容进行串并案研判。

电信诈骗案件被害人Android系统、iOS系统传统的智能手机电子数据取证的内容包括涉嫌电信诈骗犯罪的短信、邮件、QQ聊天文字内容、QQ聊天语音内容、微信聊天文字内容、微信聊天语音内容、电话录音等作为取证内容。

取证内容中，语音内容可用于声纹比对实现串并案分析；文字内容中诱导被害人登录的诈骗用网址可全站爬取实现诈骗手段的串并案分析；诱导被害人下载并使用的诈骗用App可自动反编译实现诈骗手段的串并案分析。

本发明具体采用如下技术方案：

一种针对电信诈骗案件被害人的快速证据取证方法，包括以下步骤：

将被害人手机端中涉及电信诈骗的内容进行录屏用于证据固定，计算哈希值；将涉及嫌疑人的音频文件，利用微信或QQ软件进行收藏；

若手机端收藏了微信音频文件，则在微信PC客户端点击收藏的音频文件，获取微信收藏夹中音频文件，计算哈希值；

若手机端收藏了QQ音频文件，则在QQ PC客户端点击收藏的音频文件，获取QQ收藏夹中音频文件，计算哈希值；

将微信或QQ的音频文件，连同哈希值，上传指定服务器。

所述将被害人手机端中涉及电信诈骗的内容进行录屏的具体步骤如下：

若被害人手机端为iOS系统，通过提示用户截屏固定证据，之后获取截图证据，计算哈希值，上传到指定服务器；

若被害人手机端为Android系统为4.4-5.0版本,若手机已经root，执行shell脚本实现screenrecord方法录屏；若手机未root，则开启usb调试模式，通过adb shell在PC上实现录屏操作,录屏后的证据固定视频文件计算哈希值，上传到指定服务器；

若被害人手机端为Android系统为5.0版本以上，调用内置API实现录屏，录屏后的证据固定视频文件计算哈希值，上传到指定服务器。

所述获取微信收藏夹中音频文件的步骤如下：

(1)加载SSDT Hook函数；

(2)微信PC客户端微信中将音频文件同步到本地后，将调用存放于kernel32.dll中的Windows API函数转移文件指令，准备将音频文件转移到指定文件夹并加密该音频文件；

(3)转移文件指令传入ntdll.dll；

(4)ntdll.dll中的函数KiFastSystemCall调用Sysentry或int 2eH中断进入ring0层；

(5)进入ring0层；

(6)修改SSDT中服务号，将服务号指向微信PC客户端中拷贝音频文件到某一文件夹的指令；

(7)当准备运行该函数实体服务时，将寄存器EDX中参数复制到内核地址空间中，再根据存放在EAX中的索引值来在SSDT数组中调用指定的服务；此时，ring0中KiFastSystemService调用该函数执行拷贝音频文件到某一文件夹的指令；得到微信程序转移音频文件的消息后，先复制该音频文件，并拷贝到某一文件夹中，之后继续执行SSDT数组替换前的准备执行的转移音频文件的函数；

获取音频文件，计算哈希值，上传到指定服务器。

所述获取QQ收藏夹中音频文件的步骤如下：

(1)监控进程中的QQ程序进程；

(2)发现QQ程序运行，搜索同步文件夹；

(3)获取同步文件夹内音频文件，计算哈希值，上传到指定服务器。

本发明具有的有益效果是：

1.可提取被害人(事主)指定的证据，在最大程度地保护被害人(事主)隐私，解除被害人(事主)个人信息被采集的心里负担，通过“反电诈取证手机端App”录屏方式提取被害人(事主)指定的证据和通过“反电诈取证PC客户端软件”提取被害人(事主)微信、QQ中嫌疑人的语音文件，而传统取证方式，若要提取微信、QQ的语音文件需要对被害人(事主)手机的微信、QQ全面提取。

2.被害人(事主)微信、QQ中嫌疑人的语音文件可通过公安部门的声纹比对系统进行案件串并，为打假电信诈骗案件提供新的思路和解决办法。

3.提取的录屏证据、语音证据均计算哈希值，符合法律要求。

附图说明

图1是电信诈骗案件被害人(事主)手机的电子数据取证方法的步骤流程图。

图2是电信诈骗案件被害人(事主)手机的电子数据通过录屏方式证据固定的步骤流程图。

图3是本实施例中针对针对电信诈骗案件被害人(事主)手机的电子数据提取微信语音文件的步骤流程图。

图4是本实施例中针对针对电信诈骗案件被害人(事主)手机的电子数据提取QQ语音文件的步骤流程图。

具体实施方式

本发明采用如下步骤实现电信诈骗案件被害人的快速证据取证：

1、首先通过扫描二维码下载一个App应用安装于Android手机端、iOS系统中调取短信应用App、邮件应用App，将涉嫌电信诈骗犯罪的短信内容、邮件内容转发至电信诈骗串并案分析平台。取证全程自动录屏，并计算哈希值，上传指定服务器。

2、App搜索Android设备，获取其中的电话录音文件，计算哈希值，上传指定服务器。

3、涉案的文字、图像、视频、音频、表情包、红包记录、转账记录、地图信息、网址信息全程录屏，并计算哈希值。

4、手机端、PC端的微信即时通讯软件中语音、文字信息均被加密，无法实现语音信息的提取。为提取嫌疑人的语音信息，首先利用被害人(事主)手机端微信的“收藏”功能收藏嫌疑人的语音记录，然后在PC运行反电诈取证PC客户端软件。之后，被害人(事主)授权登录PC端微信，点击PC端微信“收藏”文件夹中语音文件，PC端会通过网络自动将语音文件同步到本地，同步完成后将音频文件转移到指定文件夹并加密该语音文件。因为Windows中的窗口程序是基于消息，由事件驱动的，利用Windows Hook技术可捕获或者修改消息，从而完成一些特殊的操作。利用Windows Hook技术，截获windows系统中微信程序执行“下载声音文件完毕，转移音频文件”进程的消息，获取消息，并修改该消息为一个任意不影响音频获取的消息，达到微信PC端不执行将音频文件转移到指定文件夹并加密该语音文件的目的。声纹文件提取后计算文件哈希值，并上传指定服务器。

5、手机端、PC端的QQ即时通讯软件中语音信息未被加密，可以直接实现语音信息的提取。若未来实现音频加密，也可参照手机端、PC端的微信即时通讯软件中语音提取办法处理。为提取QQ中嫌疑人的语音信息，首先利用被害人(事主)手机端QQ的“收藏”功能收藏嫌疑人的语音记录，然后在PC运行反电诈取证PC客户端软件。之后，被害人(事主)授权登录PC端QQ，点击PC端QQ“收藏”文件夹中语音文件，PC端会通过网络自动将语音文件同步到本地。反电诈取证PC客户端软件将监控QQ文件存储语音文件的文件夹，自动提取声纹文件，提取声纹文件后计算文件哈希值，并上传指定服务器。

下面结合附图和具体实施例对本发明的具体实施方式做进一步说明。

图1为本实施例中针对电信诈骗案件被害人(事主)手机的电子数据取证方法的步骤流程图。

1、在电信诈骗案件被害人(事主)手机上安装采集证据的录屏软件。对于Android系统的智能手机安装apk安装包；对于iOS系统的智能手机安装iPA安装包，安装后执行该程序。该程序集成了手机端的短信、邮件、微信、QQ、其他APP软件的取证功能；

2、将电信诈骗案件被害人(事主)手机中涉及电信诈骗的内容以录屏进行证据固定，并计算哈希值，利用软件保证取证过程符合诉讼标准；

3、将微信、QQ中涉及嫌疑人的音频文件，利用微信、QQ软件自身具有的“收藏”功能进行收藏；

4、在PC端分别运行反电诈取证PC客户端软件；

5、若手机端收藏了微信语音信息，则运行微信PC客户端。被害人(事主)授权登录微信PC客户端后，在微信PC客户端点击收藏的音频文件，反电诈取证PC端软件将自动获取微信收藏夹中语音文件。获取微信语音原始语音文件后，计算哈希值；

6、若手机端收藏了QQ语音信息，则运行QQ PC客户端。被害人(事主)授权登录QQPC客户端后，在QQ PC客户端点击收藏的音频文件，反电诈取证PC端软件将自动获取QQ收藏夹中音频文件。获取QQ语音原始语音文件后，计算哈希值；

7、微信、QQ的语音文件，连同哈希值，全部获取后上传指定服务器。

图2为本实施例中针对电信诈骗案件被害人(事主)手机的电子数据通过录屏方式证据固定的步骤流程图。

若iOS系统，则因iOS权限限制，无法调用录屏功能。为固定证据，提示用户截屏固定证据，之后运行取证客户端。取证客户端可获取截图证据，计算哈希值，上传到指定服务器。

若Android系统为4.4-5.0版本，Android未提供官方api实现录屏功能。此时，若手机已经root，可在设备上执行shell脚本实现screenrecord方法录屏；若手机未root，则需要开启usb调试模式，通过adb shell在PC上实现录屏操作。录屏后的证据固定视频文件计算文件哈希值，上传到指定服务器。

若Android系统为5.0版本以上，可直接调用内置API实现录屏。首先，Android程序在清单文件中声明需要的权限，运行时检查onActivityResult对用户的授权，并且即使用户授权了，同意录制操作，仍然需要捕获异常，因为可能在用户同意录屏的时系统正在录屏，导致录屏操作冲突。之后，初始化MediaRecorder，设置了是否录音、录屏文件格式、录屏文件路径、音视频的编码器、比特率、视频帧率等、并创建VirtualDisplay。上述步骤实现后，调用MediaRecorder.start()即可录屏。录屏后的证据固定视频文件计算文件哈希值，上传到指定服务器。

图3为本实施例中针对针对电信诈骗案件被害人(事主)手机的电子数据提取微信语音文件的步骤流程图。

微信语音文件的提取需要使用反电诈取证PC客户端软件、PC端微信程序共同完成。

被害人(事主)授权登录PC端微信程序，点击PC端微信“收藏”文件夹中语音文件，PC端程序会通过网络自动将语音文件同步到本地，同步完成后将语音文件转移到指定文件夹并加密该语音文件。此过程将利用SSDT Hook技术在PC端微信程序加密语音文件之前，将原始的语音文件拷贝到指定目录，防止被加密。反电诈取证PC客户端软件执行步骤如下：

1、“反电诈取证PC客户端软件”在准备下载被害人(事主)语音文件时，加载SSDTHook函数；

2、PC端微信程序中将语音文件同步到本地后，将调用存放于kernel32.dll中的Windows API函数MoveFileA(或MoveFileW，或MoveFileExA，或MoveFileExW)等转移文件指令，准备将语音文件转移到指定文件夹并加密该语音文件；

3、因为位于kernel32.dll和user32.dll中的所有win32 API最终都是调用ntdll.dll中的函数实现的，因此转移文件指令传入ntdll.dll。ntdll.dll是Windows系统从ring3(应用层)到ring0(内核层)的入口；

4、ntdll.dll中的函数KiFastSystemCall调用Sysentry或int 2eH中断进入ring0层；

5、进入ring0层，系统将执行特权环境切换和保存现场等操作。系统保存现场函数要调用的实现实体服务号(SSDT数组的索引值)存放到寄存器EAX中，参数地址放到指定的寄存器EDX中，SSDT数组中记录转移文件指令程序的服务号。该服务号指向ring0层内的转移文件指令的函数实体；

6、“反电诈取证PC客户端软件”将修改SSDT中服务号，将服务号指向“反电诈取证PC客户端软件”中拷贝语音文件到某一文件夹的指令；

7、当准备运行该函数实体服务时，系统将寄存器EDX中参数复制到内核地址空间中，再根据存放在EAX中的索引值来在SSDT数组中调用指定的服务。此时，ring0中KiFastSystemService将调用该函数执行“反电诈取证PC客户端软件”中拷贝语音文件到某一文件夹的指令。为了保证原生微信程序的完整性，避免原生微信程序崩溃，“反电诈取证PC客户端软件”得到原生微信程序转移音频文件的消息后，先复制该音频文件，并拷贝到某一文件夹中，之后继续执行SSDT数组替换前的准备执行的“转移音频文件”的函数，即原生微信PC端程序常规运行步骤；

8、获取的嫌疑人语音文件，计算文件哈希值，上传到指定服务器。

图4为本实施例中针对针对电信诈骗案件被害人(事主)手机的电子数据提取QQ语音文件的步骤流程图。

QQ语音文件的提取需要使用反电诈取证PC客户端软件、PC端QQ程序共同完成。

被害人(事主)授权登录PC端QQ程序，点击PC端QQ“收藏”文件夹中语音文件，PC端程序会通过网络自动将语音文件同步到本地。同步完成后，PC端同步文件夹下的语音文件即原生文件。反电诈取证PC客户端软件搜索同步文件夹将可获取到QQ语音文件。反电诈取证PC客户端软件执行步骤如下：

1、“反电诈取证PC客户端软件”监控进程中QQ程序进程；

2、发现QQ程序运行，搜索同步文件夹；

3、获取的嫌疑人语音文件，计算文件哈希值，上传到指定服务器。

若QQ语音文件采用加密手段，也可参照微信语音提取办法提取。

以上显示和描述了本发明的基本原理、主要他特征和本发明的优点。本行业的技术应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是本发明的原理。在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进也落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (4)

1.一种针对电信诈骗案件被害人的快速证据取证方法，其特征在于，包括以下步骤：

将被害人手机端中涉及电信诈骗的内容进行录屏用于证据固定，计算哈希值；将涉及嫌疑人的音频文件，利用微信或QQ软件进行收藏；

若手机端收藏了微信音频文件，则在微信PC客户端点击收藏的音频文件，获取微信收藏夹中音频文件，计算哈希值；

若手机端收藏了QQ音频文件，则在QQ PC客户端点击收藏的音频文件，获取QQ收藏夹中音频文件，计算哈希值；

将微信或QQ的音频文件，连同哈希值，上传指定服务器。

2.根据权利要求1所述的一种针对电信诈骗案件被害人的快速证据取证方法，其特征在于：所述将被害人手机端中涉及电信诈骗的内容进行录屏的具体步骤如下：

若被害人手机端为iOS系统，通过提示用户截屏固定证据，之后获取截图证据，计算哈希值，上传到指定服务器；

若被害人手机端为Android系统为4.4-5.0版本,若手机已经root，执行shell脚本实现screenrecord方法录屏；若手机未root，则开启usb调试模式，通过adb shell在PC上实现录屏操作,录屏后的证据固定视频文件计算哈希值，上传到指定服务器；

若被害人手机端为Android系统为5.0版本以上，调用内置API实现录屏，录屏后的证据固定视频文件计算哈希值，上传到指定服务器。

3.根据权利要求1所述的一种针对电信诈骗案件被害人的快速证据取证方法，其特征在于：所述获取微信收藏夹中音频文件的步骤如下：

(1)加载SSDT Hook函数；

(2)微信PC客户端微信中将音频文件同步到本地后，将调用存放于kernel32.dll中的Windows API函数转移文件指令，准备将音频文件转移到指定文件夹并加密该音频文件；

(3)转移文件指令传入ntdll.dll；

(4)ntdll.dll中的函数KiFastSystemCall调用Sysentry或int 2eH中断进入ring0层；

(5)进入ring0层；

(6)修改SSDT中服务号，将服务号指向微信PC客户端中拷贝音频文件到某一文件夹的指令；

(7)当准备运行该函数实体服务时，将寄存器EDX中参数复制到内核地址空间中，再根据存放在EAX中的索引值来在SSDT数组中调用指定的服务；此时，ring0中KiFastSystemService调用该函数执行拷贝音频文件到某一文件夹的指令；得到微信程序转移音频文件的消息后，先复制该音频文件，并拷贝到某一文件夹中，之后继续执行SSDT数组替换前的准备执行的转移音频文件的函数；

获取音频文件，计算哈希值，上传到指定服务器。

4.根据权利要求1所述的一种针对电信诈骗案件被害人的快速证据取证方法，其特征在于：所述获取QQ收藏夹中音频文件的步骤如下：

(1)监控进程中的QQ程序进程；

(2)发现QQ程序运行，搜索同步文件夹；

(3)获取同步文件夹内音频文件，计算哈希值，上传到指定服务器。

Images