Ciencia forense de teléfonos móviles: investigación sobre tecnología de extracción y recuperación de archivos de audio de teléfonos móviles
En la investigación de un caso, si es posible extraer directamente archivos de audio de teléfonos móviles, como grabaciones de llamadas, grabaciones de teléfonos móviles, voces de WeChat, voces QQ, etc., puede desempeñar un papel decisivo. para hacer avanzar el caso. Sin embargo, debido a factores como los numerosos tipos de archivos de voz y la complejidad de los principios de almacenamiento, así como la fuerte conciencia anti-reconocimiento de algunos sospechosos de delitos, destruirán pruebas mediante la eliminación, la restauración de fábrica, el flasheo, el formateo y la destrucción de dispositivos móviles. hardware del teléfono, etc., lo que hace que la recopilación directa de pruebas sea básicamente imposible. Actualmente, no existen en el mercado herramientas diseñadas específicamente para detectar, identificar, extraer y restaurar archivos de audio de teléfonos móviles. El desarrollo de una tecnología profesional es muy importante para la investigación forense de teléfonos móviles.
La interfaz de eliminación de voz de WeChat no mostrará la barra de voz, pero el contenido de audio aún se guarda en el teléfono
2. Solución técnica
Actualmente, hay audio Hay muchas herramientas con funciones de recuperación de datos de archivos, que pueden recuperar texto, imágenes, videos, audios, etc. La desventaja es que el ámbito de aplicación está limitado por la marca del teléfono móvil, el modelo, el principio de almacenamiento, el tipo de archivo, el motivo de la pérdida, etc., y es muy probable que no se puedan encontrar los datos de audio válidos perdidos. Al mismo tiempo, también encontrará el problema de "No se admite la reproducción de voz QQ y WeChat".
En cuanto al problema de "no admitir la reproducción de voz de QQ y WeChat", se debe principalmente a la limitación de "no admitir la reproducción de voz de QQ y WeChat"; La reproducción de voz de WeChat no es compatible".
Investigadores del Laboratorio Clave de Recuperación de Datos de la Provincia de Sichuan han lanzado una nueva solución técnica que comienza desde la capa inferior de datos del teléfono móvil y resuelve el problema de encontrar datos válidos, decodificar y reproducir archivos de audio SILK (QQ , reproducción de voz WeChat) y otros problemas, y no está restringido por teléfonos móviles, métodos anti-reconocimiento, marcas de teléfonos móviles, formatos de audio, etc., logrando una recopilación de pruebas rápida e in situ.
2.1 ?Dificultad técnica: calcular el tamaño del cuadro de audio y detectar y juzgar el audio válido
Analizar la estructura del cuadro de audio y calcular el tamaño del cuadro de audio es determinar si los datos de audio del teléfono móvil es válido (no destruido ni cubierto), si vale la pena restaurarlo y si se puede restaurar. Los diferentes formatos de audio tienen diferentes estructuras de cuadros de audio y los métodos específicos de cálculo del tamaño de cuadros de audio también son diferentes. La premisa del juicio y el cálculo es determinar el tipo de audio.
Los formatos de archivos de audio de teléfonos móviles incluyen principalmente AMR, SILK, MIDI, MP3, AAC, WAV, W4A, WMA, OGG, etc. Entre ellos, los formatos de archivo AMR y SILK son los principales. SILK se origina en el software de mensajería instantánea Skype y se refiere principalmente a archivos de audio generados por software de chat como WeChat y QQ. AMR se refiere principalmente a archivos de audio generados por la función de grabación incorporada de los teléfonos móviles, como la grabación de teléfonos móviles y la grabación de llamadas. Se divide en dos tipos: AMR-NB (AMR-NarrowBind) y AMR-WB (AMR-WideBand). . WideBand) dos tipos.
2.1.1 Estructura de los archivos de audio SILK
Si se busca el texto "#!SILK_V3" en un archivo de audio, el archivo es un archivo de audio SILK.
Estructura del archivo de audio SILK, la parte marcada es el encabezado del archivo
2.1.2?Estructura del archivo de audio AMR
En el archivo de audio, si el texto " # se busca !AMR", entonces este archivo es un archivo de audio AMR.
Estructura del archivo de audio AMR, parte de anotación del encabezado del archivo
La estructura del archivo especial extraída en función de los dos fotogramas de audio anteriores se puede reproducir utilizando un reproductor de audio.
2.2 Dificultades técnicas: decodificación y reproducción de voces QQ y WeChat
Después de resolver el primer obstáculo para detectar e identificar con éxito marcos de datos de audio válidos, puede comenzar a extraerlos y restaurarlos. Para las herramientas convencionales de recuperación de datos de archivos de audio, no es difícil lograr la extracción y recuperación. La verdadera dificultad radica en la reproducción normal.
Como se mencionó anteriormente, los formatos de archivos de audio de los teléfonos móviles incluyen principalmente AMR, SILK, MIDI, MP3, AAC, WAV, W4A, WMA, OGG, etc. Diferentes marcas, diferentes sistemas operativos y diferentes versiones de dispositivos móviles. Los teléfonos pueden usar diferentes formatos de audio. Por ejemplo, WeChat, durante el cambio de versión, el archivo de formato de audio evolucionó a SILK, y lo mismo ocurre con QQ. La decodificación de archivos de audio SILK es la mayor dificultad. El audio en otros formatos se puede reproducir a través de herramientas de terceros como Baofengyingyin, QQ Music, Baidu Music, Kuwo Music, etc., pero los archivos SILK no pueden ni deben transcodificarse.
Esta solución de tecnología de extracción y recuperación de archivos de audio de teléfonos móviles es un nuevo algoritmo de codificación y decodificación SILK modificado sobre la base del SDK oficial de Skype. Puede decodificar directamente archivos de audio SILK en formato WAV o AMR, que puede ser. utilizado en teléfonos móviles o computadoras (Microsoft Windows Media Player). En otras palabras, el personal de recopilación de pruebas puede extraer y reproducir directamente las voces QQ y WeChat eliminadas en el lugar, lo que mejora la eficiencia de la recopilación de pruebas.
En resumen, las ventajas de este software de recuperación de datos en la recuperación de datos son muy obvias. Conclusión: En comparación con los métodos tradicionales de recuperación de datos, las ventajas de las soluciones tecnológicas de recuperación de archivos de audio de teléfonos móviles son: encontrar con precisión y rapidez los archivos de audio en el teléfono móvil, determinar el formato de los archivos de audio, analizar la estructura de los archivos de audio de acuerdo con el formato y finalmente combinarlos para que se pueda reproducir directamente en un teléfono móvil o computadora, lo que ayuda a los investigadores forenses a obtener rápidamente evidencia electrónica de audio en el teléfono móvil.