2023司法鉴定科学院能力验证（移动终端）

一、鉴定要求

1. 手机使用过的SIM卡的ICCID。
2. 手机中最近一条未接来电的电话号码。
3. 手机中与“公司”的短信共有多少条显示为未读。
4. 手机最近一次连接名称为“ALIEN”的蓝牙设备的时间。
5. 是否用手机自带的扫描转PDF/JPG工具扫描文件，若有，给出扫描存储的文件路径及文件名。
6. 手机中高德地图最后搜索的地址。
7. 手机相册中图片内容为“Kingston U盘”的照片的拍摄位置。（表述应为具体地址，如：光复西路1347号）
8. 城信聊天记录中2023年7月11日11:16发送的语音内容。
9. 城信聊天记录中2023年7月13日与“老K”的聊天记录中是否有被删除的记录，若有，给出具体内容。
10. 手机中是否有即时通讯软件被卸载过，若有，给出软件的应用包名。

二、工具

        HashMyFiles v2.42

        取证大师（版本V6.1.97919RTM）

        手机大师-并行版V3 V3.1.15201RTM

        DBeaver Enterprise 22.0.0

三、过程及答案

1.手机使用过的SIM卡的ICCID。

答案：手机使用过的SIM卡的ICCID为89860318940219035644

过程

        · 使用手机大师挂载解压后的检材，系统日志-使用过的号码ICCID为89860318940219035644

2.手机中最近一条未接来电的电话号码。

答案：手机中最近一条未接来电的电话号码为18112550271

过程

        · 使用手机大师挂载解压后的检材，通话记录中最近一条未接来电的电话号码为18112550271。

3.手机中与“公司”的短信共有多少条显示为未读。

答案：手机中与“公司”的短信共有3条显示为未读

过程

        · 使用手机大师挂载解压后的检材，通讯录记录中姓名“公司”的手机号码为1065902100916512053。

        · 使用SQLite文件浏览（其他db工具也行）解压后的检材路径下文件“\data\data\com.android.providers.telephony\databases\mmssms.db”，在sms表中address为1065902100916512053即“公司”的短信共有3条显示为未读（read状态为0）

4.手机最近一次连接名称为“ALIEN”的蓝牙设备的时间。

答案：手机最近一次连接名称为“ALIEN”的蓝牙设备的时间为2023-07-11 11:22:53

过程

5.是否用手机自带的扫描转PDF/JPG工具扫描文件，若有，给出扫描存储的文件路径及文件名。

答案：存在用手机自带的扫描转PDF/JPG工具扫描文件，扫描存储的文件路径为“\data\media\0\Pictures\scanner\”，文件名为“scanner_20230713_095203.jpg”

过程

        · 使用“取证大师”挂载解压后的检材。通过原始数据搜索，搜索关键字“ALIEN”，过滤出原始路径含有blue的，路径“\data\misc\bluedroid\”下bt_config.conf文件中找到名称为ALIEN的蓝牙设备，连接时间戳为1689045773，转换北京时间为2023-07-11 11:22:53。

 · 使用手机大师挂载解压后的检材，系统日志-应用程序使用记录，搜索关键字“scanner”，找到包名“com.xiaomi.scanner”，该包为小米手机自带的扫描工具

        · 路径“\data\data\com.xiaomi.scanner\databases\”下找到包名“com.xiaomi.scanner”的数据库文件operations.db

        · 使用SQLite文件浏览访问，找到表OPERATION_BEAN，字段RESULTIMAGEDATA。该字段值为使用扫描后保存JPG的路径文件。扫描存储的文件路径为“\data\media\0\Pictures\scanner\”，扫描存储的文件名称为“scanner_20230713_095203.jpg”

6.手机中高德地图最后搜索的地址。

答案：手机中高德地图最后搜索的地址为“机场镇纬一路100号”

过程 

        · 手机大师：高德地图-搜索位置记录，最后搜索的地址为“机场镇纬一路100号”。      

7.手机相册中图片内容为“Kingston U盘”的照片的拍摄位置。（表述应为具体地址，如：光复西路1347号）

答案：手机相册中图片内容为“Kingston U盘”的照片的拍摄位置为“上海市长宁区金钟路333”

过程

        · 手机大师：检材目录导入多图，找到图片内容为“Kingston U盘”的照片，拍照经度为121.37218900，拍照纬度为31.22656200，将该坐标进行经纬度查询，查询结果为“上海市长宁区金钟路333”。

8.城信聊天记录中2023年7月11日11:16发送的语音内容。

答案：城信聊天记录中2023年7月11日11:16发送的语音内容为“三万块”

过程

        · 手机大师：城信聊天记录和发送者cx_name_55gl4kxo聊天记录中，找到发送时间为2023-07-11 11:16:36，媒体类型为音频的记录，音频文件附件及路径“AppAttach\ChengXin\DelayFile\9c65b8734fd582d4888c184630cea46f\474480fef132a13a5530918799460daf.aac”。在该路径下找到文件“474480fef132a13a5530918799460daf.aac”。使用语音转文字工具，城信聊天记录中2023年7月11日11:16发送的语音内容“三万块”

9.城信聊天记录中2023年7月13日与“老K”的聊天记录中是否有被删除的记录，若有，给出具体内容。

答案：城信聊天记录中2023年7月13日与“老K”的聊天记录中存在被删除的记录，具体内容为“/12.34.56.78/secret”

过程

        · 手机大师：城信好友信息，好友备注“老k”的好友ID为“5116c22d82dbeb05ff97156e40c49900”

        · 与老k/ 5116c22d82dbeb05ff97156e40c49900现有聊天记录2023-07-13 09:57:42发送了文本消息

        · 使用SQLite文件浏览打开路径“\data\data\com.chengxin.talk\databases\”下发现存在数据库文件“4067571.db”，发现表table5，字段sessionId值为5116c22d82dbeb05ff97156e40c49900的聊天记录，time时间戳1689213462091，转换为北京时间为2023-07-13 09:57:42，与“专业手机分析软件”与老k/ 5116c22d82dbeb05ff97156e40c49900现有聊天记录中的一条记录时间一致，说明该条记录为未删除的现有记录内容

        · 在数据库文件“4067571.db”中，发现存在table2，字段sessionId值为5116c22d82dbeb05ff97156e40c49900的聊天记录，time时间戳为1689215339476，转换为北京时间为2023-07-13 10:28:59，该条记录在现有聊天记录中不存在，因此为被删除的记录，具体内容为“/12.34.56.78/secret”

10.手机中是否有即时通讯软件被卸载过，若有，给出软件的应用包名。

答案：手机中有即时通讯软件被卸载过，软件的应用包名“com.soft.blued”

过程

        · 手机大师：使用SQLite文件浏览打开路径“\Basic\appinfo\”下发现存在appinfo.db文件，找到AppName应用商店，包名为com.xiaomi.market。

        · 路径下“\data\data\com.xiaomi.market\databases\”找到应用商店的数据库文件“market_2.db”。使用DBeaver打开，找到package_remove_history表，package_name字段值为com.soft.blued的记录

        · 找到表appInfoCachedConnection，筛选出digest为com.soft.blued的记录，response字段值存在对com.soft.blued包名的描述，描述为聊天社交

        · 综上，手机中存在即时通讯软件被卸载的记录，被卸载软件的包名为com.soft.blued。