（本文轉(zhuǎn)自子公司上海臻相）

在現(xiàn)場辦案的過程中，經(jīng)常會遇到正在工作而未關(guān)閉的電腦，在這種情況下對于一些易失數(shù)據(jù)的提取顯得尤為重要，會為后面的數(shù)據(jù)分析帶來極大的便捷性，若不及時提取甚至?xí)捎谀承┮资詳?shù)據(jù)的滅失，造成后續(xù)取證分析無法進(jìn)行。

今天，我們就介紹一下利用博智安全科技股份有限公司（以下簡稱“博智安全”）的電子證據(jù)固定工具-冰人，在線提取登錄中QQ密鑰的方法。眾所周知，目前QQ采用了強(qiáng)加密機(jī)制，在未獲取密碼的情況下幾乎無法對聊天內(nèi)容等相關(guān)文件進(jìn)行解析。在辦案過程中，一般都是寄希望于對象交代密碼來登錄QQ或?qū)ο笥嬎銠C(jī)保存QQ登錄密碼的情況下，進(jìn)行QQ數(shù)據(jù)的提取。而在現(xiàn)實情況中，登錄提取的方式還會受到很多條件的約束，例如異地登錄驗證、手機(jī)短信驗證等，都可能會造成提取失敗，甚至可能會由于登錄問題導(dǎo)致案件的打草驚蛇，帶來很多不利的后果。因此，開機(jī)登錄情況下的密鑰提取，是目前最為安全、操作難度最低、成功率最高的方法。

1.首先，我們要確保開機(jī)的電腦中，存在正在運(yùn)行中的QQ實例

2.在電腦上連接冰人的移動硬盤并打開應(yīng)用程序ice.exe，根據(jù)需要選擇是否“校準(zhǔn)網(wǎng)絡(luò)時間”和“屏幕錄像”

3.點(diǎn)擊“易失數(shù)據(jù)”-“高級設(shè)置”選項

4.勾選“QQ密鑰在線提取”，點(diǎn)擊“確定”，工具會自動采集電腦里登錄中QQ的密鑰并生成密鑰文件

5.在對應(yīng)的案件目錄下，會生成以QQ號命名的.key文件，即為對應(yīng)QQ號的密鑰文件，此文件包含了針對聊天記錄文件msg3.0.db和好友列表文件info.db的密鑰。若此電腦登錄了多個QQ，則對應(yīng)的目錄下，會生成多個QQ號命名的.key文件

6.回到實驗室后，我們運(yùn)用博智安全計算機(jī)取證分析系統(tǒng)，對涉案電腦的硬盤、鏡像或者QQ文件夾進(jìn)行QQ數(shù)據(jù)取證。首先，打開博智安全計算機(jī)取證分析軟件，輸入相關(guān)的案件信息，選擇存儲案件的路徑，點(diǎn)擊確定

7.點(diǎn)擊“添加證據(jù)”，選擇本地設(shè)備（接到只讀口上的案件硬盤）或鏡像文件或目錄文件，點(diǎn)擊確定后進(jìn)行文件解析

8.解析完成后，點(diǎn)擊“取證”-“自定義取證”，勾選“騰訊QQ”，點(diǎn)擊開始

9.根據(jù)軟件提示，導(dǎo)入對應(yīng)的密鑰文件

10.導(dǎo)入密鑰文件之后，軟件就可以正常對QQ相關(guān)信息進(jìn)行提取

11.提取完成之后，可查詢到QQ的聯(lián)系人、群、聊天記錄等相關(guān)信息

目前此方法可以支持到最新版QQ軟件進(jìn)行操作，此次測試的QQ軟件就為最新的9.2.3版本

該產(chǎn)品是一款免拆機(jī)、內(nèi)置2T固態(tài)存儲的計算機(jī)現(xiàn)場數(shù)據(jù)提取和固定工具，支持Windows、Linux和MacOS的在線/離線取證。支持一鍵提取如系統(tǒng)、中間件、數(shù)據(jù)庫日志，硬盤鏡像及內(nèi)存端口等易失性數(shù)據(jù)。支持提取特定類型的文件、文件列表，自動全程屏幕錄像，支持QQ最新版本內(nèi)存密鑰的提取。新版本采用的固態(tài)硬盤存儲速度可達(dá)500MB/秒。可靠、快捷、簡單、便攜的特點(diǎn)非常適合計算機(jī)現(xiàn)場勘驗和電子證據(jù)固定等場景。

已有冰人設(shè)備的客戶，可以通過下面的鏈接：

https://pan.baidu.com/s/1_NH2rUsthI5nE7g1EEdlGg（提取碼：7k3y）

下載最新軟件的zip包，解壓到冰人程序主目錄下，即可使用最新版本軟件（老版本的zip包和文件夾可以直接刪除）

感興趣的客戶可免費(fèi)申請冰人試用，詳情請通過郵件與elef@elextec.com進(jìn)行聯(lián)系。