即時(shí)通訊記錄檢驗(yàn)操作規(guī)范

即時(shí)通訊記錄檢驗(yàn)操作規(guī)范1目的和范圍本技術(shù)規(guī)范規(guī)定了即時(shí)通訊記錄檢驗(yàn)的技術(shù)方法和步驟。本技術(shù)規(guī)范適用于在電子數(shù)據(jù)檢驗(yàn)鑒定中的即時(shí)通訊記錄鑒定。2規(guī)范性引用文件下列文件對(duì)于本技術(shù)規(guī)范的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本技術(shù)規(guī)范。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本技術(shù)規(guī)范。SF/ZJD0400001－2014電子數(shù)據(jù)司法鑒定通用實(shí)施規(guī)范3術(shù)語(yǔ)和定義SF/ZJD0400001－2014電子數(shù)據(jù)司法鑒定通用實(shí)施規(guī)范所確立的以及下列術(shù)語(yǔ)和定義適用于本技術(shù)規(guī)范。3.1即時(shí)通訊Instantmessaging即時(shí)通訊是一種使用網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)交互信息（包括在實(shí)時(shí)條件下支持離弦、延時(shí)功能）的集聲音、文字、圖像等的綜合性交流方式。3.2即時(shí)通訊客戶端Instantmessagingclient安裝在計(jì)算機(jī)、手機(jī)、智能設(shè)備等終端上的用于提供即時(shí)通訊服務(wù)的應(yīng)用程序。3.3即時(shí)通訊協(xié)議Instantmessagingprotocol對(duì)即時(shí)通訊過(guò)程及數(shù)據(jù)傳輸進(jìn)行控制的規(guī)則。3.4即時(shí)通訊記錄Instantmessagingdata即時(shí)通訊中所傳遞的文字消息、傳輸?shù)奈募?、通話記錄和聲像信息等?.5即時(shí)通訊記錄文件Instantmessagingdatafile存儲(chǔ)即時(shí)通訊記錄的數(shù)據(jù)文件。4原則SF/ZJD0400001－2014電子數(shù)據(jù)司法鑒定通用實(shí)施規(guī)范所確立的原則適用于本技術(shù)規(guī)范。5檢驗(yàn)步驟5.1了解相關(guān)情況125.1.1了解即時(shí)通訊記錄的形成過(guò)程及存儲(chǔ)方式等信息。5.1.2當(dāng)即時(shí)通訊記錄文件采用了加密方式保存時(shí)，了解即時(shí)通訊記錄文件的加解密方式。5.1.3當(dāng)無(wú)法讀取通訊記錄文件時(shí)，了解即時(shí)通訊客戶端用戶帳號(hào)及其口令信息，并獲得其使用授權(quán)。5.2固定保全5.2.1確定檢材的步驟a)對(duì)檢材進(jìn)行唯一性標(biāo)識(shí)，并貼上標(biāo)簽；b)對(duì)檢材進(jìn)行拍照或錄像，記錄其特征；c）對(duì)具備條件的檢材進(jìn)行保全備份，并進(jìn)行完整性校驗(yàn)，之后使用備份數(shù)據(jù)進(jìn)行檢驗(yàn)。5.2.2即時(shí)通訊記錄文件的獲取a)如有必要，應(yīng)按照相關(guān)技術(shù)方法，搜索、恢復(fù)保存在存儲(chǔ)介質(zhì)上的即時(shí)通訊記錄文件；b)查找檢材中即時(shí)通訊客戶端的安裝路徑及相關(guān)用戶信息存儲(chǔ)位置，獲取即時(shí)通訊客戶端的版本、用戶相關(guān)信息和即時(shí)通訊記錄文件；c)對(duì)于基于瀏覽器的即時(shí)通訊客戶端，應(yīng)查找并獲取檢材中瀏覽器的版本和瀏覽器緩存中的易失性即時(shí)通訊記錄；d)在條件允許的情況下，獲取存儲(chǔ)在服務(wù)器端的即時(shí)通訊記錄；e)計(jì)算即時(shí)通訊記錄文件的哈希值。5.3即時(shí)通訊記錄的呈現(xiàn)5.3.1搭建檢驗(yàn)環(huán)境檢驗(yàn)環(huán)境應(yīng)包括：a)針對(duì)獲取的不同種類的即時(shí)通訊記錄文件，安裝相應(yīng)的即時(shí)通訊客戶端或搭建能正常讀取即時(shí)通訊記錄文件的檢驗(yàn)環(huán)境；b)當(dāng)即時(shí)通訊記錄文件采用了加密方式保存，需搭建解密即時(shí)通訊記錄文件檢驗(yàn)環(huán)境。5.3.2即時(shí)通訊記錄相關(guān)信息的呈現(xiàn)根據(jù)搭建的檢驗(yàn)環(huán)境將即時(shí)通訊記錄內(nèi)容導(dǎo)出并保存為特定文件，計(jì)算導(dǎo)出文件的哈希值，檢出的內(nèi)容可以包括：a)即時(shí)通訊客戶端的名稱、安裝路徑；b)用戶目錄存放路徑；c)用戶即時(shí)通訊帳號(hào)、即時(shí)通訊中用戶的昵稱和即時(shí)通訊帳號(hào)中關(guān)聯(lián)的郵件、手機(jī)等相關(guān)信息；d)即時(shí)通訊記錄內(nèi)容和即時(shí)通訊中傳遞的文件、圖片、語(yǔ)音等。5.4即時(shí)通訊記錄的真實(shí)性檢驗(yàn)和分析根據(jù)檢材即時(shí)通訊記錄具體情況，視需要對(duì)下列全部或部分內(nèi)容進(jìn)行檢驗(yàn)和分析。5.4.1即時(shí)通訊記錄基本信息檢驗(yàn)檢驗(yàn)即時(shí)通訊記錄文件及其所在目錄中其它即時(shí)通訊記錄文件的結(jié)構(gòu)、格式、內(nèi)容、即時(shí)通訊對(duì)象、時(shí)間等情況。5.4.2即時(shí)通訊記錄文件的環(huán)境分析3根據(jù)即時(shí)通訊記錄的存儲(chǔ)環(huán)境，檢驗(yàn)分析即時(shí)通訊記錄文件的存放路徑、即時(shí)通訊客戶端或?yàn)g覽器的配置信息、日志文件等是否存在異常。5.4.3即時(shí)通訊記錄正文分析分析即時(shí)通訊記錄的正文信息是否存在異常。重點(diǎn)關(guān)注正文的結(jié)構(gòu)及內(nèi)容的合理性和邏輯性等情5.4.4即時(shí)通訊記錄文件的屬性信息分析檢驗(yàn)即時(shí)通訊記錄文件的文件名、文件格式、創(chuàng)建時(shí)間和修改時(shí)間等信息，分析即時(shí)通訊記錄文件屬性與其它文件屬性以及即時(shí)通訊內(nèi)容等是否存在矛盾。5.4.5其它相關(guān)信息分析在檢材中搜索即時(shí)通訊記錄文件及即時(shí)通訊中傳遞的文件、圖片等信息中出現(xiàn)的關(guān)鍵詞和文件，分析搜索到的內(nèi)容與即時(shí)通訊記錄是否存在關(guān)聯(lián)，相互之間的邏輯關(guān)系是否存在矛盾。5.4.6即時(shí)通訊服務(wù)器分析如條件允許，對(duì)即時(shí)通訊服務(wù)器進(jìn)行檢驗(yàn)，分析其中的相關(guān)信息與檢材即時(shí)通訊記錄是否存在矛盾。包括保存在服務(wù)器上的即時(shí)通訊記錄文件、服務(wù)器日志及備份數(shù)據(jù)等。5.4.7實(shí)驗(yàn)分析若發(fā)現(xiàn)即時(shí)通訊記錄存在異?，F(xiàn)象，應(yīng)按照檢材環(huán)境進(jìn)行實(shí)驗(yàn)，分析產(chǎn)生這些異?，F(xiàn)象的原因，以確定這些現(xiàn)象的性質(zhì)。6檢驗(yàn)記錄與檢驗(yàn)活動(dòng)有關(guān)的情況應(yīng)及時(shí)、客觀、全面地記錄，保證檢驗(yàn)過(guò)程和檢驗(yàn)結(jié)果的可追溯性。檢驗(yàn)記錄應(yīng)反映出檢驗(yàn)人、檢驗(yàn)時(shí)間、審核人等信息。檢驗(yàn)記錄的主要內(nèi)容有：a)檢材固定保全情況：包括檢材照片或錄像、登錄即時(shí)通訊客戶端和提取即時(shí)通訊記錄文件截圖或錄像、檢材及即時(shí)通訊記錄文件的哈希值等；b)檢驗(yàn)設(shè)備和工具情況；c)檢驗(yàn)過(guò)程和發(fā)現(xiàn)；d)對(duì)檢驗(yàn)發(fā)現(xiàn)的分析和說(shuō)明；e)其它相關(guān)情況。7結(jié)論表述根據(jù)即時(shí)通訊記錄的檢驗(yàn)步驟闡述檢驗(yàn)結(jié)果，可以包括如下內(nèi)容：a)即時(shí)通訊記錄文件固定保全的情況；b)即時(shí)通訊記錄的檢出結(jié)果；c)客戶端與服務(wù)器端即時(shí)通訊記錄的驗(yàn)證結(jié)果；d)即時(shí)通訊記錄的真實(shí)性結(jié)論，結(jié)論可以是以下四種之一：1）確定經(jīng)過(guò)偽造篡改；判斷依據(jù)：發(fā)現(xiàn)即時(shí)通訊記錄存在異常，并分析這些異常為偽造篡改形成。2）排除經(jīng)過(guò)偽造篡改；判斷依據(jù)：未發(fā)現(xiàn)即時(shí)通訊記錄存在異常，并分析不存在通過(guò)現(xiàn)有技術(shù)手段無(wú)法發(fā)現(xiàn)的偽造篡改可能性。3）未發(fā)現(xiàn)經(jīng)過(guò)偽造篡改；判斷依據(jù)：未發(fā)現(xiàn)即時(shí)通訊記錄存在異?；虬l(fā)現(xiàn)的異常能夠