本帖最后由 笑笑 于 2016-3-22 13:59 编辑
编者按:感谢数据恢复四川省重点实验室专家为我们带来关于手机音频文件取证的研究。
1.简 介 在案件调查中,如果能够直接提取到手机音频文件,如通话录音、手机录音、微信语音、QQ语音等,对于案件推进可能起到决定性作用。但由于语音文件类型多、存储原理复杂等因素,再加上部分嫌疑人的反侦察意识非常强,会利用删除、恢复出厂、刷机、格式化、破坏手机硬件等手段毁灭证据,直接取证基本不可能。目前,市面上暂时没有专门针对手机音频文件的检测、判别、提取、恢复的工具,研究一种专业技术,对于手机取证非常重要。
【微信语音删除后界面上不会显示语音条,但音频内容实际还保存在手机中】
2.技术方案 目前,市面上有较多带有音频文件数据恢复功能的工具,可以恢复文本、图片、视频、音频等等。其不足在于应用范围局限性大,受到手机品牌、型号、存储原理、文件类型、丢失原因等限制,很可能找不到丢失的有效音频数据。同时,还会遇到“不支持QQ、微信语音播放”的问题。因此,常规工具可在一定程度上协助调取音频文件,但不能作为主要手段。
数据恢复四川省重点实验室科研人员介绍,现在有一种全新的技术解决方案,从手机数据底层着手,能解决有效数据查找、SILK音频文件解码播放(QQ、微信语音播放)等问题,且不受手机、反侦察手段、手机品牌及音频格式等限制,实现快速、现场取证。
2.1 技术难点:计算音频帧大小 检测判别有效音频 分析音频帧结构,计算音频帧大小,是判断手机音频数据是否有效(没有被破坏或覆盖)、是否值得恢复、是否可恢复的关键。不同音频格式,音频帧结构不同,具体的音频帧大小计算方法也不同。而判断与计算的前提,是要确定音频类型。
手机音频文件格式主要包括AMR、SILK、MIDI、MP3、AAC、WAV、W4A、WMA、OGG等。其中,以AMR和SILK文件格式为主。SILK来源于即时通讯软件Skype,主要是指微信、QQ等聊天软件中产生的音频文件。AMR主要是指手机录音、通话录音等手机自带录音功能产生的音频文件,分为AMR-NB(AMR-NarrowBind)和AMR-WB(AMR-WideBand)两种类型。
2.1.1 SILK音频文件的结构图 在音频文件中如果搜索到文本“#!SILK_V3”,此文件为SILK音频文件。【SILK音频文件结构图,标注部分为文件头】
2.1.2 AMR音频文件的结构图
在音频文件中如果搜索到文本“#!AMR”,此文件为AMR音频文件。
【AMR音频文件结构图,标注部分为文件头】
按照以上2个音频帧特殊结构提取的文件,就可使用音频播放器播放。
2.2 技术难点:QQ、微信语音的解码播放 在解决了第一道关卡,成功检测并判别出有效音频数据帧后,就可着手提取、恢复。对于常规音频文件数据恢复工具来说,要实现提取、恢复并不难,真正的难点在于正常播放。
上文中已经介绍,手机音频文件格式主要包括AMR、SILK、MIDI、MP3、AAC、WAV、W4A、WMA、OGG等,不同品牌、不同操作系统、不同版本的手机可能使用不同的音频格式。比如微信,在版本变迁中,音频格式文件就演变成了SILK,QQ也是如此。而SILK音频文件解码就是最大的难点,其他格式音频能通过暴风影音、QQ音乐、百度音乐、酷我音乐等任意第三方工具播放,但SILK文件不能,必须转码。
手机音频文件恢复提取技术方案基于Skype官方提供的SDK改装得来了一种全新的SILK编解码算法,可将SILK音频文件直接解码成WAV或AMR格式,在手机或电脑上(微软WindowsMedia Player)直接播放。也就是说,取证人员可在现场直接提取并正常播放被删除的QQ、微信语音,提升取证效率。
3.总 结
与常规数据恢复手段相比,手机音频文件恢复技术方案优点在于:准确、快速地找到手机中的音频文件,判断音频文件格式,并根据格式解析音频文件结构,最终组合为手机或电脑直接可播放的形式,帮助取证人员快速获取手机中的音频电子证据。
编后语:针对技术人员最关心的问题——如何检测判断音频文件是否完整,数据恢复四川省重点实验室已经研发出检测判别有效音频文件的算法(audio_dec_krnl算法),可甄选镜像文件中或者判别一个已恢复出来的音频文件是否为正常可播放。
关注微信公众号“xiaolvyuantech”或微信搜索“效率源科技”加关注,了解更多技术知识!
|