遇到一個提取聊天記錄的經典案例,過程比較複雜,提供的硬盤分過2次區,提供對方QQ號是錯誤的,找到正確的QQ號聊天內容只有後半段,從其兒子的QQ號數據庫裏找到前半段。
一個客戶要恢復2010年與A的聊天記錄。拿到硬盤一看系統是2013年1月重裝的(難度1),現有的QQ數據庫沒有利用價值。
經過分析:磁盤從2010年自今出現過三次分區裝過三次系統(難度2),
通過全盤掃描,三次分區的情況:一是40G,86G,86G,86G(現在的分區);二是14.6G,54G….;三是19G,70G….
54G分區也發現QQ數據庫,經分析不對。70G分區的數據庫比較可靠。
經查找A沒有記錄,考慮當事人提供的與其聊天的QQ號不對(難度3)。通過地域分析,全盤搜索。終於找到與其聊天的正確QQ號:B 經與當事人溝通,主要是要2010年8月之後的記錄,而現在找到的是2010年11月的記錄。
之前的記錄哪裏去了(難度4)?
經過深度的分析,此QQ數據庫創建於2010年6月,其他的記錄可以前推到2010年8月7日。說明此數據庫沒有問題。一種原因是人爲刪除;另一種是什麼呢(難度5)?
在瀏覽收集的零散的QQ數據庫是,發現有一個數據庫裏也有與B的聊天記錄。加載到當事人的QQ程序中,提示錯誤!線索中斷(難度6)。
排除了數據庫破壞的可能性後,爲了搞清這是誰的QQ數據庫,根據文件大小和裏面好友的內容,最後確定此數據庫是QQ號:C。詢問當事人得知此QQ號C是其兒子的。
打開C數據庫找到了其聊天的前半段。取證結束。