利用DF電子數據分析系統提取Skype聊天記錄

　　一、提取對象

　　犯罪嫌疑人使用過的西部數據4TB紅盤

　　二、提取需求

　　需要提取硬盤中的Skype聊天記錄，并形成相應的報告。

　　備注：Skype是一款即時通訊聊天工具，具備IM所需的功能，比如視頻聊天、多人語音會議、多人聊天、傳送文件、文字聊天等，目前注冊用戶超過6億人次。

　　三、解決思路

　　Skype聊天記錄是以SQLite數據庫的形式存儲的，如果需要提取聊天記錄，就需要找到sqlite數據庫的位置，并且能夠自動解析，生成取證報告。

　　四、操作步驟

　　1.對電子數據取證而言，通常需要按照以下流程進行數據提取，如圖1。

　　圖1

　　2.對于本案例取證的前三個步驟，已經按照相關規定進行，這里不再贅述。直接將硬盤通過只讀接口，連接到裝有效率源DF電子數據分析系統的電腦上，如圖2。

　　圖2

　　備注：為了防止硬盤被寫入數據，硬盤只能通過只讀接口進行連接，且必須是物理只讀。

　　3.硬盤連接后，打開DF電子數據分析系統，新建案例，對硬盤進行鏡像，并做哈希值校驗，如圖3。

　　圖3

　　備注：鏡像是為了實現證據的固化，保證數據的原始性，客觀性。計算哈希值可保證無數據寫入。

　　(4).加載鏡像，提取數據，查看需要提取數據的存儲路徑C:\User\Administrator\Application Data\Romaing\Skype\，如圖4。

　　圖4

　　5.點擊自動取證，提取Skype聊天數據，如圖5。

　　圖5

　　備注：DF自動集成了sqlite數據的解析方法，可直接提取聊天記錄。

　　6.查看提取到的Skype聊天記錄，如圖6。

　　圖6

　　備注：為保護隱私，圖片中關鍵信息做模糊處理。

　　7.將提取到的Skype聊天記錄生成符合司法程序的取證報告，如圖7。

　　圖7

　　五、提取結果

　　通過以上步驟，成功提取到硬盤中的Skype聊天記錄，并形成符合司法程序的取證報告。

　　六、小結

　　在進行電子數據取證時，必須嚴格按照標準流程進行操作，嚴禁向硬盤內寫入數據。效率源DF電子數據分析系統是一款功能強大的電子數據取證設備，可對上網痕跡、聊天記錄、操作日志等進行數據提取，并可對可疑文件，涉密文件等進行分析。此外，設備強大的數據恢復能力，也可保證提取數據的完整性和準確性。