即时通讯分析工具

这篇文章主要是针对即时信息交流工具的取证调查过程的论述：为什么需要调查：即时信息交流工具的类型；在调查过程中所要解决的问题和所需要使用的工具。

什么是即时信息交流工具？

通过Wikipedia可以得知，“即时信息是一种两人或两人以上基于文字交流的实时交流形式。这种文字交流是通过网络连接设备（如因特网）来进行表达交流的。” 当今社会，即时信息交流工具的使用范围早已不限于青少年群体，同时也包含了任何年龄的计算机使用者。当你需要进行实时交流但又不想使用手机和 Skype电话时，使用即使信息交流工具是非常方便的。许多即时信息交流工具都可以储存你的聊天记录，因此，能够提供这类功能的即时信息交流工具是广受欢迎的。同时，对与聊天记录的取证和调查工作，正是目前计算机取证专业人员所关注的内容。

那么哪种即时信息交流工具是最受欢迎的呢？如果你询问任何一个电脑使用者的话，他或她都有可能给你这样一个列表：AIM, Skype, Yahoo Messenger，QQ, MSN (Live Messenger）。不同国家使用的主流即时聊天工具不尽相同。比如说，ICQ在德国和俄罗斯相当流行，美国最受欢迎的却是AIM。更加有趣的是，有一种即时交流工具没有被世界范围内的用户所认识，但却拥有最大的使用者数量，这就是在中国相当流行并在世界范围内拥有使用者总数十亿用户的腾讯QQ。此外其他使用较为广泛的工具还有Miranda, QIP,SIM, MySpace IM, Digsby, Google Hello, Trillian, Jabber, Meebo等。通过Wikipedia你可以找到更多的即时交流工具。

关于即时信息交流工具取证的问题现在很常见。这种软件实在是太多了！所有的交流工具都有其不同的信息记录储存办法。取证调查者需要对所有的都有所认识：档案文件夹，应用程序目录，程序文件，文件和设置（也许会设成其它语言）等等。更甚者，嫌疑人也许会将其聊天记录移动到非默认的文件里，所以你也许不能在这些众所周知的文件里找到它们。如果取证人员在其处置过程中没有一个专业的工具的话，他们就得花费许多不必要的时间在寻找聊天记录的位置上。更重要的是，在提取出信息之后，取证调查者想要创建一个清晰的关于聊天内容的报告时，可能会遇到一些问题。

让我们来对在即时交流工具的取证过程中所需要解决的一些困难进行更加详细的细节化探索。首先，许多工具有不可读或难读取的格式问题。一些聊天工具（诸如Digsby和ATM）将信息储存以较好的HTML格式；其它的一些聊天工具则使用纯文本储存（如QIP）。无论如何，绝大多数聊天工具都想使其自身使用更加安全。比如说，一个老版的ICQ习惯于以二进制形式储存信息。又如Dat格式文件，比较方便于读取许多文本文件。但比较难以查明的是，信息的发送者和接受者以及发送时间。Skype有着同样的情况：你可以读取聊天记录，也能聊天中所关涉到的人，但是你很难弄清楚这条信息是发送出去的还是接收到的，还有它发生的时间。

另一个重要的问题是时间。每一个聊天工具都有其独特的时间标示方法。一些即时聊天工具记录的是本地时间；另一些则使用世界时间代码。举例如ICQ，使用了一个我们比较陌生的时间转换（引自Miranda：“只有上帝和Mirabilis知道原因”。最终，Skype用5字节来储存其信息时间了！ 另一个重要的问题是改变聊天记录的格式。 聊天工具们总是在自觉地改变它们储存记录的方式。比如说Skype,就有两种历史记录的格式。打破纪录的当然是ICQ了，它拥有至少5种历史记录格式。因此，对于取证调查员来说需要的是一个能够支持所有已出现的格式的工具。

还有一个重要的问题即是信息储存记录的本身。我们总是收到这样的问题：你们的软件能否恢复那些我没有选定储存的信息记录？这是一个很有趣的问题! 我们的软件并不是个魔法棒。从哪里去找那些根本就没有被储存的信息呢？有人会说可以去中心服务器那里获取记录，不幸的是，这在技术上是不可能的。重要的是，这样做是违法的。所以，如果纪录并没有被储存，取证必输无疑。尽管如此，也有一个有趣的例外。一个老版的ICQ(2003)有一个bug，致使程序中依然储存着发送的信息就算你曾经设置了删除纪录的命令。结果是，一半的信息仍然可以被读取。然而，这是唯一所知的bug，其他所有的聊天工具都会遵照你所设置的关闭的指示而不储存那些信息。

一个不可避免的问题是能否对那些不储存聊天记录的聊天工具进行处理。 比如用于即时信息的AIM，其默认设置就是不储存历史记录的。唯一能够获取它的历史记录的方法是使用一个做“sniffer”的专业软件。这种软件可以实时地截取网络数据包。然而，依然有两个主要的问题。首先，这个软件必须在嫌疑人进行交谈之前进行设置后才能起作用。其次，这个软件需要在嫌疑人同样在本地网（同样的集线器和同样的转换装置）的条件下才能工作。而这些都是比较难准备的，不是吗？

另一个通常会被提到的问题是："伙计们，你们相信那样的工具有什么用处吗？如果我是一个罪犯，我绝对会关闭对话信息记录或者是在交谈后删除它们。"回答时，我们可以这样反问："你认为指纹分析有用吗？如果我是一个罪犯，我一定会擦除犯罪现场的指纹（或者直接戴手套）". 同样的逻辑，我们知道在取证调查中指纹分析用途广泛。这个道理同样适用于对即时聊天工具的取证调查。有些人对聊天记录有所担心，有些人则不；有些人或许会忘记删除历史记录或者匆忙而没有删除；有些人也许会删除历史记录，但不是永久的，一个恢复工具是又可能恢复历史文件的。这样，有许多案例的历史记录显然是可以再现的。

什么是取证调查者必须掌握的关于即时聊天工具的知识呢？以下是一些关于大部分常用即时聊天工具有用的信息。

1. AIM 其自身兼具优缺点。好的方面是它将历史记录储存以易读的HTML格式；关于其不好的一点则是它的默认设置是不对历史信息进行储存。它在美国依然有很大的用户群，只是这一缺点比较可惜。

2. Skype 是时下最流行的网络通话工具，许多人选择其作为常用的行动通讯工具。个人认为，有些时候在家我宁愿付费使用Skype打电话而不用免费的电话。为什么呢？使用常规的电话意味着起身去另外一个房间！而且，Skype 支持聊天，虽然有些时候不大可靠，和察看人们许多天以前发送的信息。聊天记录以易读的dbb文件格式储存，但是没有一个明确的关于询问信息是所发送还是接收到的以及对应的时间的提示，但比较好的方面是Skype的设置是默认对历史记录进行储存的。

3. Yahoo! Messenger  将信息储存在加密文件里，可能会让你觉得取证有所难度. 但不要失望：它设定的密码只是拥有者的账户名！
    

   

4. ICQ 设计者是一群奇怪的家伙。他们尝试了每一种储存信息的方式 ：binary 格式1、2以及XML 现在则是进入数据库在下一版本中预期会是 MySQL 和SQL 数据库文件。ICQ 6 的格式是非常容易取证的，因为它是能仅用眼就能读取的程序文件。XML也是一样的。Binary 格式，从另一方面来说，它要求专业的工具来读取。够有趣的是，一些人至今依然使用着旧版本的ICQ(ICQ2003b), 这样一般的工具都可以对其进行处理。但在一些少见的案子中，你甚至会偶然遇到非常旧的版本（有些时候甚至是ICQ 1997 的版本）这样的情况是很少的工具能够支持的。

5. QQ messenger 可能是调查员最难处理的了。它将记录储存在OLE中 ，可以被DocFile所读，但是里面的文件是用又老又慢的对称加密算法加密的。听起来比较难以克服，但我们有一个好消息：其加密文件的密码即是QQ账户的账户号码。虽然QQ 允许客户使用加密，但是使用这项保护措施的人是很有限的。

   

6. Miranda 使用二进制的文件格式。正因为它是一个开放的资源搜索器，可以提取其历史记录的工具是很多的。

7. SIM, MSN, Trillian, QIP, MySpace IM and Digsby 都有着很简单的文件格式，它们是纯文本、XML或 html. 尽管如此，你依然需要一个将所有信息归纳到一份报告里的工具，来寻找特定的信息，通过特定的联系或数据进行过滤，等等。

8. Google Hello 是一种专门可以用来传送图片的有趣的交流工具。作为一个专业取证人员，你要感兴趣的不止是文件，同样也要关注发送或接收的图片。幸运的是，它的历史纪录中包含了图片的缩略图，所以说即使嫌疑人删除了全图的画面，我们依然有可能找到缩略图。Google Hello 历史记录的格式是二进制的。

9. &RQ messenger 并不是很流行。 尽管如此，它可能是第一个在一个窗口里能显示所有正在进行的谈话的聊天工具。它还有一个手写的功能，这也是它为什么多多少少存在了这些年的原因。它的历史记录也是二进制的格式。

什么是处理以上即时交流工具最好的工具呢？通常来说，很少有工具能应付这些所有的聊天工具。你可以找到能支持一种或两种的个别的分析工具，但除开我们的，仅有一件工具，能够支持所有的格式。那就是 Paraben's。个别的提取者常常不遵循取证的规则，他们可能要求写入一个硬盘，但不能用Encase来进行处理，等等。是什么让我们的软件如此特别呢？

我们的工具叫做Belkasoft 即时通讯分析工具。它支持所有的ICQ 版本 (甚至早于ICQ 98), Yahoo! Messenger, Miranda, &RQ, QIP, SIM, Skype, MySpace IM, MSN/Live Messenger, Google Hello, Trillian, AIM 还有 QQ。这个工具允许一种在计算机硬盘（包含CD/DVD、可移动硬盘和Encase硬盘）上进行对聊天工具历史记录的智能搜索。当历史记录被提取出时，你可以通过对聊天记录的导航，通过特定联系查看，阅读交谈的内容并标记你可能感兴趣的内容(通过一个选项来对不同的即使是处于不同的记录当中的标记进行导航). 当然，你可以将信息提取成文本、XML或者HTML 的格式。后者非常适用于当你需要刻录完整的记录和分析的历史内容到CD上并将其带走时。

我们的软件支持许多种类的搜索。首先，它支持一种只搜索一个关键字或者一部分关键字的尝过搜索。另外一种预定义设置的字词，这种情况尤其适用于当你不知道想要搜索什么关键字，但它能提供一个关于可疑的字或短语的文件时。最后，这个工具还允许当你想要找一个逻辑结构模糊的短语时输入一个合乎规则的表达进行搜索，比如说，当你需要查找两个特定的限制在四个字以内的特定词，而其中一个是一个信用卡号。

我们并不是宣称我们的软件可以做任何事。 我们想要强调的是没有一个软件是魔法棒。我们的也不能说是可以处理所有聊天记录的软件。此外，如果聊天记录并没有储存在本地计算机中，这些记录是无法被提取的。我们会定期发放退赔给那些寻找他们丢失的MSN或者AIM历史记录的客户，这些人给我们写信表达他们的失望和想要寻找替代软件的意愿。他们能找到其他能制造奇迹的软件吗？我们对此深表疑惑。我们的软件做不到那样，现在也没有别的软件可以做到。

我们愿意坦然相告我们的软件不能做的事：

1. 它不能提取那些没有在本地储存的信息。任何现有的即时信息交流工具均如此。

2. 它不能提取一个不支持此功能的聊天工具所发送的信息。唯一的例外是旧版的ICQ。

3. 它不能提取文件，不管是发送的还是接收的。这一点适用于所有的聊天工具。 能够实现的是，它可以展示所有交换的文件情况，但是这些文件极有可能已被删除或保存在了一个特殊的地方。唯一的例外是 Google Hello 里的图片缩略图，虽然如此，严格说来，这也不能看出是所发送的还是接收到的。

4. 它不能提取已删除的信息。所有聊天工具都会在你改变了历史纪录之后重写历史文件（比如说，你删除了一份文件），所以这是不可能被提取回来的。唯一的例外是储存了删除信息的旧版本的ICQ ，它支持对已删除信息的提取。

讨论