遇到一个提取聊天记录的经典案例,过程比较复杂,提供的硬盘分过2次区,提供对方QQ号是错误的,找到正确的QQ号聊天内容只有后半段,从其儿子的QQ号数据库里找到前半段。

一个客户要恢复2010年与A的聊天记录。拿到硬盘一看系统是20131月重装的(难度1),现有的QQ数据库没有利用价值。

经过分析:磁盘从2010年自今出现过三次分区装过三次系统(难度2),

150358997.png

通过全盘扫描,三次分区的情况:一是40G,86G,86G,86G(现在的分区);二是14.6G,54G.;三是19G,70G.

54G分区也发现QQ数据库,经分析不对。70G分区的数据库比较可靠。

经查找A没有记录,考虑当事人提供的与其聊天的QQ号不对(难度3)。通过地域分析,全盘搜索。终于找到与其聊天的正确QQ号:B  经与当事人沟通,主要是要20108月之后的记录,而现在找到的是201011月的记录。

150550388.png

之前的记录哪里去了(难度4)?

经过深度的分析,此QQ数据库创建于20106月,其他的记录可以前推到201087日。说明此数据库没有问题。一种原因是人为删除;另一种是什么呢(难度5)?

在浏览收集的零散的QQ数据库是,发现有一个数据库里也有与B的聊天记录。加载到当事人的QQ程序中,提示错误!线索中断(难度6)。

排除了数据库破坏的可能性后,为了搞清这是谁的QQ数据库,根据文件大小和里面好友的内容,最后确定此数据库是QQ号:C。询问当事人得知此QQC是其儿子的。

150607671.png

打开C数据库找到了其聊天的前半段。取证结束。