一种针对电信诈骗案件被害人的快速证据取证方法技术

本发明专利技术针对电信诈骗案件中被害人手机中涉案信息的证据固定和存留的嫌疑人声纹文件提取，提供了一种针对电信诈骗案件被害人的快速证据取证方法。该方法可快速提取被害人Android智能手机的短信、邮件、QQ聊天文字内容、QQ聊天语音内容、微信聊天文字内容、微信聊天语音内容、电话录音等作为取证内容。取证过程既保证取证规范，证据符合以审判中心的司法要求，又保证快速取证。可获取嫌疑人电话录音、微信、QQ等App中的声纹信息，用于声纹串并案的应用。应用。应用。

【技术实现步骤摘要】
一种针对电信诈骗案件被害人的快速证据取证方法


[0001]本专利技术属于云计算和智能手机的电子数据取证
，具体涉及一种针对电信诈骗案件被害人的Android、iOS系统的智能手机快速证据取证方法。

技术介绍

[0002]随着我国银行线上与ATM转账支付取款便捷、手机与4G网络的普及，犯罪分子通过电话、短信、互联网等开展的非接触式犯罪特征的电信诈骗在我国发展泛滥。电信诈骗犯罪具多种成因，主要集中于连接被害人与犯罪嫌疑人两端的“金融链”与“通信链”的多个环节，可划分为受害人、犯罪嫌疑人、银行、通信运营商、通信与网络的监管、法律方面等。传统的取证方式将提取被害人的智能手机全部数据，无法选择性地只提取涉嫌电信诈骗犯罪的数据，取证时间漫长。且出于保护隐私的考虑，很多被骗金额较小的被害人选择不报案，造成电信诈骗犯罪越来越猖獗，难以遏制。目前在“通信链”的被害人环节的Android系统的智能手机、iOS系统的智能手机快速证据取证方法尚属空白。
[0003]此外，由于电信诈骗属于举证难、量刑轻、收益高的犯罪类型，容易死灰复燃。通过从电信诈骗案件被害人的取证数据可以关联分析，实现串并案研判。尤其，通过对被害人手机中存留的嫌疑人声纹文件提取，用于声纹串并是当前破案的关键。目前市场上尚未有解决此类诈骗手段的提取软件，在公安行业也未有研究，亟待提出一种解决办法。
[0004]本专利技术可提取报案人指定的证据，在最大程度地保护报案人隐私，解除报案人个人信息被采集的心里负担，只提取报案人指定的证据和微信、QQ的语音文件，而传统取证方式，若要提取微信、QQ的语音文件需要对报案人手机的微信、QQ全面提取。提取的微信、QQ的语音文件可通过公安部门的声纹比对系统进行案件串并，为打假电信诈骗案件提供新的思路和解决办法。

技术实现思路

[0005]本专利技术针对当前电信诈骗案件被害人报案取证时无法快速、有选择地提取涉嫌电信诈骗证据的问题，实现对电信诈骗案件被害人Android系统、iOS系统智能手机的涉嫌电信诈骗案件的电子数据进行证据固定和电子数据取证，并根据电子数据取证内容进行串并案研判。
[0006]电信诈骗案件被害人Android系统、iOS系统传统的智能手机电子数据取证的内容包括涉嫌电信诈骗犯罪的短信、邮件、QQ聊天文字内容、QQ聊天语音内容、微信聊天文字内容、微信聊天语音内容、电话录音等作为取证内容。
[0007]取证内容中，语音内容可用于声纹比对实现串并案分析；文字内容中诱导被害人登录的诈骗用网址可全站爬取实现诈骗手段的串并案分析；诱导被害人下载并使用的诈骗用App可自动反编译实现诈骗手段的串并案分析。
[0008]本专利技术具体采用如下技术方案：
[0009]一种针对电信诈骗案件被害人的快速证据取证方法，包括以下步骤：
[0010]将被害人手机端中涉及电信诈骗的内容进行录屏用于证据固定，计算哈希值；将涉及嫌疑人的音频文件，利用微信或QQ软件进行收藏；
[0011]若手机端收藏了微信音频文件，则在微信PC客户端点击收藏的音频文件，获取微信收藏夹中音频文件，计算哈希值；
[0012]若手机端收藏了QQ音频文件，则在QQ PC客户端点击收藏的音频文件，获取QQ收藏夹中音频文件，计算哈希值；
[0013]将微信或QQ的音频文件，连同哈希值，上传指定服务器。
[0014]所述将被害人手机端中涉及电信诈骗的内容进行录屏的具体步骤如下：
[0015]若被害人手机端为iOS系统，通过提示用户截屏固定证据，之后获取截图证据，计算哈希值，上传到指定服务器；
[0016]若被害人手机端为Android系统为4.4-5.0版本,若手机已经root，执行shell脚本实现screenrecord方法录屏；若手机未root，则开启usb调试模式，通过adb shell在PC上实现录屏操作,录屏后的证据固定视频文件计算哈希值，上传到指定服务器；
[0017]若被害人手机端为Android系统为5.0版本以上，调用内置API实现录屏，录屏后的证据固定视频文件计算哈希值，上传到指定服务器。
[0018]所述获取微信收藏夹中音频文件的步骤如下：
[0019](1)加载SSDT Hook函数；
[0020](2)微信PC客户端微信中将音频文件同步到本地后，将调用存放于kernel32.dll中的Windows API函数转移文件指令，准备将音频文件转移到指定文件夹并加密该音频文件；
[0021](3)转移文件指令传入ntdll.dll；
[0022](4)ntdll.dll中的函数KiFastSystemCall调用Sysentry或int 2eH中断进入ring0层；
[0023](5)进入ring0层；
[0024](6)修改SSDT中服务号，将服务号指向微信PC客户端中拷贝音频文件到某一文件夹的指令；
[0025](7)当准备运行该函数实体服务时，将寄存器EDX中参数复制到内核地址空间中，再根据存放在EAX中的索引值来在SSDT数组中调用指定的服务；此时，ring0中KiFastSystemService调用该函数执行拷贝音频文件到某一文件夹的指令；得到微信程序转移音频文件的消息后，先复制该音频文件，并拷贝到某一文件夹中，之后继续执行SSDT数组替换前的准备执行的转移音频文件的函数；
[0026]获取音频文件，计算哈希值，上传到指定服务器。
[0027]所述获取QQ收藏夹中音频文件的步骤如下：
[0028](1)监控进程中的QQ程序进程；
[0029](2)发现QQ程序运行，搜索同步文件夹；
[0030](3)获取同步文件夹内音频文件，计算哈希值，上传到指定服务器。
[0031]本专利技术具有的有益效果是：
[0032]1.可提取被害人(事主)指定的证据，在最大程度地保护被害人(事主)隐私，解除被害人(事主)个人信息被采集的心里负担，通过“反电诈取证手机端App”录屏方式提取被
害人(事主)指定的证据和通过“反电诈取证PC客户端软件”提取被害人(事主)微信、QQ中嫌疑人的语音文件，而传统取证方式，若要提取微信、QQ的语音文件需要对被害人(事主)手机的微信、QQ全面提取。
[0033]2.被害人(事主)微信、QQ中嫌疑人的语音文件可通过公安部门的声纹比对系统进行案件串并，为打假电信诈骗案件提供新的思路和解决办法。
[0034]3.提取的录屏证据、语音证据均计算哈希值，符合法律要求。
附图说明
[0035]图1是电信诈骗案件被害人(事主)手机的电子数据取证方法的步骤流程图。
[0036]图2是电信诈骗案件被害人(事主)手机的电子数据通过录屏方式证据固定的步骤流程图。
[0037]图3是本实施例中针对针对电信诈骗案件被害人(事主)手机的电子数据提取微信语音文件的步骤流程图。
[0038]图4是本实施例中针对针对电信诈骗本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种针对电信诈骗案件被害人的快速证据取证方法，其特征在于，包括以下步骤：将被害人手机端中涉及电信诈骗的内容进行录屏用于证据固定，计算哈希值；将涉及嫌疑人的音频文件，利用微信或QQ软件进行收藏；若手机端收藏了微信音频文件，则在微信PC客户端点击收藏的音频文件，获取微信收藏夹中音频文件，计算哈希值；若手机端收藏了QQ音频文件，则在QQ PC客户端点击收藏的音频文件，获取QQ收藏夹中音频文件，计算哈希值；将微信或QQ的音频文件，连同哈希值，上传指定服务器。2.根据权利要求1所述的一种针对电信诈骗案件被害人的快速证据取证方法，其特征在于：所述将被害人手机端中涉及电信诈骗的内容进行录屏的具体步骤如下：若被害人手机端为iOS系统，通过提示用户截屏固定证据，之后获取截图证据，计算哈希值，上传到指定服务器；若被害人手机端为Android系统为4.4-5.0版本,若手机已经root，执行shell脚本实现screenrecord方法录屏；若手机未root，则开启usb调试模式，通过adb shell在PC上实现录屏操作,录屏后的证据固定视频文件计算哈希值，上传到指定服务器；若被害人手机端为Android系统为5.0版本以上，调用内置API实现录屏，录屏后的证据固定视频文件计算哈希值，上传到指定服务器。3.根据权利要求1所述的一种针对电信诈骗案件被害人的快速证据取证方法，其特征在于：所述获取微信收藏...

【专利技术属性】
技术研发人员：陈键，王谦，李秀松，
申请(专利权)人：辽宁瑞思科技有限公司，
类型：发明
国别省市：