遇到一个提取聊天记录的经典案例,过程比较复杂,提供的硬盘分过2次区,提供对方QQ号是错误的,找到正确的QQ号聊天内容只有后半段,从其儿子的QQ号数据库里找到前半段。
一个客户要恢复2010年与A的聊天记录。拿到硬盘一看系统是2013年1月重装的(难度1),现有的QQ数据库没有利用价值。
经过分析:磁盘从2010年自今出现过三次分区装过三次系统(难度2),
通过全盘扫描,三次分区的情况:一是40G,86G,86G,86G(现在的分区);二是14.6G,54G….;三是19G,70G….
54G分区也发现QQ数据库,经分析不对。70G分区的数据库比较可靠。
经查找A没有记录,考虑当事人提供的与其聊天的QQ号不对(难度3)。通过地域分析,全盘搜索。终于找到与其聊天的正确QQ号:B 经与当事人沟通,主要是要2010年8月之后的记录,而现在找到的是2010年11月的记录。
之前的记录哪里去了(难度4)?
经过深度的分析,此QQ数据库创建于2010年6月,其他的记录可以前推到2010年8月7日。说明此数据库没有问题。一种原因是人为删除;另一种是什么呢(难度5)?
在浏览收集的零散的QQ数据库是,发现有一个数据库里也有与B的聊天记录。加载到当事人的QQ程序中,提示错误!线索中断(难度6)。
排除了数据库破坏的可能性后,为了搞清这是谁的QQ数据库,根据文件大小和里面好友的内容,最后确定此数据库是QQ号:C。询问当事人得知此QQ号C是其儿子的。
打开C数据库找到了其聊天的前半段。取证结束。