iPhone 手机微信备份文件取证及恢复聊天记录方法
1.手机微信备份文件取证采集
当人们在手机上使用微信时,聊天记录会保存在手机上,其中包括一些非常重要的信息。一旦手机被更换、异常升级、损坏或丢失,这些信息将很难找回。为了避免这种损失,您可以通过微信的聊天备份操作备份一些重要信息,并在需要时恢复。
恢复手机微信聊天记录
以手机为例,在手机上打开微信,点击微信界面右上角的加号。
然后会弹出一个小列表。选择列表中的第二个选项,即添加好友选项,如图:
然后会弹出添加好友的设置界面。添加好友的方式有很多种,如下。你不需要担心它。这里我们想要直接搜索一些东西,点击上面的搜索栏。
然后弹出一个输入名称的窗口。这里输入冒号+,即:。很多朋友省略了前面的冒号,导致后面的步骤无法进行。
点击搜索后,会弹出微信故障修复界面。第一个选项是聊天记录。当然,下面的选项也可以修复。根据您的需求,这里主要讲恢复聊天记录。直接点击聊天记录选项。
然后会弹出一个警告窗口,实际上是要求你小心操作,避免出现一些新的问题。做出决定后单击“确定”即可。
接下来就是微信恢复聊天记录的过程了。中间会有百分比显示。修复完成后,会弹出新的提示窗口。只要重启微信,微信聊天记录就回来了。
同样的方法对于手机也有效
手机数据恢复向导进行恢复
搜索APP“手机数据恢复精灵”。打开APP,有微信恢复、QQ回复、短信回复。
3)APP会扫描手机
4) 扫描完成后,即可继续查看。
利用电脑端微信自带的备份功能先备份再取证,可以提高手机微信取证的成功率。
1、安装并打开电脑版微信,使用聊天备份功能备份手机上的聊天记录(电脑版微信需要安装V2.3.0.93以上版本,手机需要安装微信(iOS 6.5.1 及以上版本)或微信(6.3.31 及以上版本)。
2、使用“备份聊天记录到电脑”功能开始备份(微信备份功能需要保持手机和电脑在同一网络,具体请参考聊天记录备份恢复功能官方说明。
3、微信手机端会提示“将聊天记录备份到电脑”。您可以备份全部或部分聊天记录。
4、备份成功的文件默认保存在“C:系统用户名微信帐号”目录下。每部手机都有一个对应的备份文件夹,其中.db存储会话信息、聊天伙伴的账号和昵称;存储消息内容、时间和消息类型等;存储媒体文件数据,包括图片、音频文件等。
5、使用取证大师对手机微信备份文件取证步骤如下:
1)加载微信文件夹“ ”,勾选微信分析项进行自动取证。
2)右键需要解析的微信账号,选择“微信信息解密”(需要联网)。
3)提示使用账号对应的手机授权登录。
4)如果解析的微信账号未过期,则直接在手机上点击登录(转步骤5)。如果账号登录已过期或账号已在其他机器登录,则需要使用手机微信扫描二维码授权登录。 (按照二维码下方的说明进行操作)。
5)在手机微信“微信登录确认”页面点击登录按钮。
6)手机授权登录成功后,取证大师自动开始解析微信备份文件。解析完成后结果如下图(支持文本、图片、音频、视频消息类型):
2.电脑版微信取证
微信是一个跨平台的通讯工具,支持单人和多人参与。支持发送文字、语音、图片、视频、动态表情、个人名片、位置、链接共享、文件等内容。随着手机微信的普及,电脑版微信的使用也越来越广泛。主要原因是在电脑上使用键盘回复消息更快,传输文件更方便,工作时无需在手机和电脑之间来回。切换并提高效率。
1、电脑版微信聊天记录默认保存在“C:系统用户名”下。该目录存放了本机登录的所有微信账号,每个账号都有自己的文件夹。 文件夹下的Msg目录保存了通讯录和聊天记录,该目录保存了该账户的用户信息,如下图:
2、电脑版微信默认设置是不保存聊天记录,软件关闭后所有聊天记录都会消失。如果用户需要保存聊天记录,则需要修改默认设置。如下图:
3、微信电脑版使用取证大师取证步骤如下:
1)电脑版微信取证步骤与手机微信备份文件相同。请参考手机微信备份文件取证的相关步骤。
2)手机授权登录成功后,会解析通讯录、聊天记录等信息。分析结果包括文字、表情、名片、地图位置、分享链接、语音等信息,如图:
公安机关办理刑事案件电子数据取证规则(公证字[2018]41号)
第一章 一般规定
第一条 为了规范公安机关办理刑事案件的电子数据取证工作,保证电子数据取证质量,提高电子数据取证效率,根据《中华人民共和国刑事诉讼法》,根据《中华人民共和国》、《公安机关办理刑事案件程序规定》等有关规定,特制定本规则。
第二条 公安机关办理刑事案件,应当遵守法定程序,遵循相关技术标准,全面、客观、及时收集、提取涉案电子数据,保证电子数据的真实、完整。
第三条 电子数据采集包括但不限于:
(一)收集、提取电子数据;
(二)电子数据检验、调查实验;
(三)电子数据检查与识别。
第四条 公安机关电子数据取证涉及国家秘密、公安工作秘密、商业秘密、个人隐私的,应当予以保密;获取的材料与案件无关的,应当及时退回或者销毁。
第五条 其他国家机关在行政执法、公安机关受理案件查办过程中依法收集、提取或者依法获取的电子数据,可以作为刑事案件证据使用。 。
第二章 电子数据的收集和提取
第一节 一般规定
第六条 电子数据的收集、提取应当由两名以上调查人员实施。必要时,可以指派或者聘请专业技术人员在调查人员的监督下收集、提取电子数据。
第七条 收集、提取电子数据,根据案件需要可以采取下列一种或者多种措施和方法:
(一)扣押、查封原始存储介质;
(二)现场提取电子数据;
(三)电子数据在线提取;
(四)冻结电子数据;
(五)电子数据检索。
第八条 有下列情形之一的,可以采取打印、拍照、录像等方式固定相关证据:
(一)无法扣押原始存储介质、无法提取电子数据的;
(二)具有电子数据自毁功能或者装置,需要及时修复相关证据的;
(三)相关电子数据需现场展示、查看。
依照前款第二项、第三项的规定通过打印、拍照、录像等方式固定相关证据后,能够扣押原始存储介质的,应当扣押原始存储介质;构成犯罪的,依法追究刑事责任。无法扣押原始存储介质,但能够提取电子数据的,应当扣押原始存储介质。电子数据。
第九条 采用打印、拍照、录像固定相关证据的,应当明确反映电子数据的内容,并说明采用打印、拍照、录像固定相关证据的理由、电子数据的存储地点、原始存储介质的特征和位置应当由调查人员和电子数据持有者(提供者)签名或者盖章;电子数据持有者(提供者)无法签名或者拒绝签名的,应当在笔录中注明,并由见证人签名或者盖章。
第二部分:扣押并封存原始存储介质
第十条 侦查活动中发现的电子数据能够证明犯罪嫌疑人有罪或者无罪或者犯罪情节轻微或者严重,能够扣押原始存储介质的,应当扣押、查封原始存储介质,并应当制作笔录,记录原始存储介质。媒体的存档状态。
勘查、检查涉及电子数据的犯罪现场时,应当按照有关规定处置相关设备,扣押、封存原始存储介质。
第十一条 扣押的原始存储介质应当按照下列要求封存:
(1) 确保密封的原始存储介质在未解除密封状态的情况下无法使用或激活。必要时,可以对具有数据信息存储功能的电子设备和硬盘、存储卡等内部存储介质进行单独封存;
(2)封存前、封存后应拍摄原始存储介质的照片。照片应反映原始存储介质封存前后的状况,并清晰反映封志情况或封志张贴位置;如有必要,照片还应清晰反映电子设备内部存储介质的详细信息;
(3)封存手机等具有无线通讯功能的原始存储介质时,应采取信号屏蔽、信号阻断、断电等措施。
第十二条 扣押的原始存储介质应当会同在场证人及原始存储介质持有者(提供者)清点清楚,并当场制作《扣押清单》一式三份,载明名称、编号、以及原始存储介质的数量。数量、性状、来源等,应当由侦查人员、持有人(提供者)、见证人签名或者盖章。交给持有人(提供者)一份,交给公安机关保管人一份,交给公安机关保管人一份。附上供参考。
第十三条 无法确定原始存储介质持有人(提供者)或者原始存储介质持有人(提供者)无法签名、盖章或者拒绝签名、盖章的,应当在相关笔录中注明,并见证人签名或盖章。因客观原因无法由合格人员担任证人的,应当在有关笔录中注明情况,并对扣押原始存储介质的全过程进行录像。
第十四条 扣押原始存储介质,应当收集证人证言、犯罪嫌疑人供述、辩解等与原始存储介质相关的证据。
第十五条 扣押原始存储介质时,可以向有关人员获取下列信息,并收集并记入相关记录:
(一)原有存储介质和应用系统的管理情况、网络拓扑和系统架构、是否多人使用和管理、管理人员和用户的身份;
(二)原存储介质和应用系统管理的用户名、密码;
(三)原始存储介质的数据备份情况,是否有加密磁盘和容器,是否有自毁功能,是否有其他可移动存储介质,是否有过备份,存储位置备份数据等;
(四)其他相关内容。
第三节 电子数据现场提取
第十六条 有下列情形之一无法扣押原始存储介质的,可以现场提取电子数据:
(1)原有存储介质不便密封;
(二)提取计算机内存数据、网络传输数据以及其他未存储在存储介质上的电子数据;
(三)案件紧急,未能立即提取电子数据可能导致电子数据丢失或者其他严重后果的;
(四)关闭电子设备将导致重要信息系统停止服务的;
(五)需要现场提取电子数据调查可疑存储介质的;
(六)正在运行的计算机信息系统功能或者应用程序关闭后,没有密码就无法找回;
(七)其他无法扣押原始存储介质的情形。
无法扣押原始存储介质的情况消失后,应当及时扣押、封存原始存储介质。
第十七条 现场提取电子数据时,可以采取下列措施保护相关电子设备:
(一)及时将犯罪嫌疑人或者其他有关人员与电子设备隔离;
(2) 在未确定电子设备是否容易丢失数据之前,不要关闭正在运行的电子设备;
(三)现场计算机信息系统可能被远程控制的,应当及时采取信号屏蔽、信号阻断、断网等措施;
(4)保护电源;
(五)其他必要的防护措施。
第十八条 现场提取电子数据,应当遵守下列规定:
(一)提取的数据不得存储在原始存储介质中;
(2) 目标系统上不得安装新的应用程序。如果由于特殊原因需要在目标系统上安装新的应用程序,则应在记录中记录所安装的程序及其用途;
(3) 所进行的操作应详细、准确地记录在相关记录中。
第十九条 现场提取电子数据,应当制作《电子数据现场提取记录》,载明电子数据的来源、原因、目的、对象,以及提取的时间、地点、方法和过程。提取电子数据,原始存储介质无法被扣押。附理由、原始存储介质的存储位置、《电子数据提取固定清单》,注明类别、文件格式、完整性校验值等,并由调查人员和电子数据签名或盖章持有人(提供者);电子数据持有者(提供者)无法签名或者拒绝签名的,应当在笔录中注明,并由见证人签名或者盖章。
第二十条 提取的电子数据可以进行压缩,并在笔录中注明相应的方法和压缩文件的完整性校验值。
第二十一条 因客观原因无法由合格人员担任证人的,应当在《电子数据现场提取笔录》中注明情况,并全程录像。应计算视频文件的完整性检查值并记录在案。
第二十二条 对无法扣押、无法一次性完成电子数据提取的原始存储介质,经登记、拍照、录像后,可以封存,移交持有人(提供者)保管,并附上《登记证》。 》可出具《保存清单》,一式两份,由调查人员、持有人(提供者)、证人签字或者盖章,一份交给持有人(提供者),另一份附照片或视频材料供参考。
持有人(提供者)应当妥善保管,未经办案部门批准,不得转让、出售、损毁、解除封存状态、接入网络,不得增加、删除、修改可作为证据的电子数据。必要时,计算机信息系统应当保持开启。
对登记保存的原始存储介质,应当在七日内作出处理决定。逾期未作出处理决定的,视为自动终止。发现确实与案件无关的,应当在三日内解除。
第四节 电子数据在线提取
第二十三条 公开发布的电子数据和国内远程计算机信息系统的电子数据可以通过互联网在线检索。
第二十四条 网络在线提取应当计算电子数据的完整性校验值;必要时,可以提取电子签名认证证书、数字签名、注册信息等相关信息。
第二十五条 网上检索时,对于不可重新提取或者可能发生变化的电子数据,应当通过录像、拍照、截取计算机屏幕内容等方式记录下列信息:
(一)远程计算机信息系统的访问方式;
(2) 提取日期和时间;
(三)提取所使用的工具和方法;
(四)电子数据的网络地址、存储路径或者数据提取的录入步骤等;
(5)完整性校验值的计算过程和结果。
第二十六条 在线提取电子数据时,应当说明电子数据的来源、原因、目的、对象,提取电子数据的时间、地点、方法和过程,无法扣押原始存储介质的理由,以及无法扣押原始存储介质的,应当在相关记录中注明。 《电子数据提取固定清单》,注明类别、文件格式、完整性校验值等,并由调查人员签名或盖章。
第二十七条 在线提取过程中需要进一步查明下列情况之一的,应当对远程计算机信息系统进行网络远程检查:
(一)需要分析判断提取电子数据的范围;
(二)需要显示或者描述电子数据的内容或者状态的;
(三)远程计算机信息系统需要安装新的应用程序;
(四)通过检查活动,需要使远程计算机信息系统除正常运行数据外生成新的电子数据;
(五)需要收集远程计算机信息系统状态信息、系统架构、系统内部关系、文件目录结构、系统工作方法等电子数据相关信息;
(六)在线提取时需要进一步查明相关情况的其他情况。
第二十八条 网络远程巡查由办案县级公安机关负责。上级公安机关为下级公安机关在线远程侦查刑事案件提供技术支持。对于情节严重、场景复杂的案件,上级公安机关认为必要时,可以直接组织指挥网络远程检查。
第二十九条 网络远程巡查应当统一指挥,精心组织,明确分工,落实责任。
第三十条 网络远程检查应当由具备资格的人员作为见证人进行。因客观原因无法由合格人员担任见证人的,应当在《远程检查笔录》中注明情况,并按照本规则第二十五条的规定记录。录制可以采用屏幕录制或录像机录制等方式,视频文件应计算完整性校验值并记录在笔录中。
第三十一条 远程检查结束后,应当及时制作《远程检查记录》,详细记录远程检查的相关情况以及检查照片、截取的截图等,并由其签字或者盖章。由调查人员和证人盖章。
进行远程核查并提取电子数据的,应当按照本细则第二十六条的规定在《远程核查记录》中注明相关信息,并附《电子数据提取固定清单》。
第三十二条 《远程检查记录》应当客观、全面、详细、准确、规范,能够作为恢复远程计算机信息系统原状的依据,并符合法定证据要求。
对计算机信息系统进行多次远程检查的,在制作首份《远程检查记录》后,应当依次制作补充《远程检查记录》。
第三十三条 进行在线提取或者远程网络检查时,应当使用电子数据持有者或者网络服务提供者提供的用户名、密码等远程计算机信息系统访问权限。
采用技术调查措施收集电子数据的,必须严格按照有关规定办理审批手续。收集的电子数据作为诉讼证据的,应当依照刑事诉讼法第一百五十四条的规定。
第三十四条 下列刑事案件,应当同步记录网络提取和远程侦查的全过程:
(一)严重危害国家安全、公共安全的案件;
(二)电子数据作为定罪量刑关键证据的案件,如有罪或无罪、是否判处无期徒刑、死刑等;
(三)社会影响较大的案件;
(四)可能判处犯罪嫌疑人五年以上有期徒刑的案件;
(五)其他需要全程同步录像的重大案件。
第三十五条 使用代理服务器、点对点传输软件、下载加速软件等网络工具进行在线提取或者远程检查的,应当在《网络在线提取记录》或者《远程检查记录》中注明所使用的相关软件。 " 名称和版本号。
第五节 冻结电子数据
第三十六条 有下列情形之一的,可以冻结电子数据:
(1)数据量大,无法或者不方便提取的;
(二)提取时间长,可能导致电子数据被篡改或者丢失;
(3)电子数据可以通过网络应用更加直观地展示;
(四)其他需要冻结的情况。
第三十七条 冻结电子数据,应当经县级以上公安机关负责人批准制作《协助冻结电子数据通知书》,注明被冻结电子数据的网络申请账号。数据等信息,并发送给电子数据持有者,网络服务提供者或者有关部门协助处理。
第三十八条 不需要继续冻结电子数据的,应当在三日内制作《电子数据解冻通知书》,经县级以上公安机关负责人批准,并通知由电子数据持有者、网络服务提供者或者有关部门执行。
第三十九条 电子数据冻结期限为六个月。有特殊原因需要延长期限的,公安机关应当在冻结期限届满前办理继续冻结手续。每次续展的冻结期限最长不得超过六个月。继续冻结的,应当按照本规则第三十七条的规定重新履行冻结程序。逾期未办理冻结手续的,视为自动解除。
第四十条 冻结电子数据应当采取下列一种或者多种方式:
(1)计算电子数据的完整性校验值;
(2)锁定网络应用账户;
(3)采取写保护措施;
(四)其他防止电子数据增加、删除、修改的措施。
第六节 电子数据调取
第四十一条 公安机关调取有关单位和个人的电子数据,应当经办案部门负责人批准,出具《取证通知书》,载明需要调取的相关信息。 ,并通知电子数据持有者、网络服务提供者或者有关部门。转让单位或者个人应当在通知回执上签名或者盖章,并附上完整性校验值等保护电子数据完整性方法的说明。被移送的单位或者个人拒绝盖章、签字或者附说明的,公安机关应当注明。必要时,应当采用录音、录像等方式固定证据内容和取证过程。
公安机关应当协助因客观条件无法保护电子数据完整性的单位和个人保护电子数据完整性。
第四十二条 公安机关跨地区调查取证时,可以将《办案配合函》及相关法律文书、凭证传真或者通过所属地信息系统传送至协调地公安机关。公安机关。合作地办案部门审核确认后,在收到的法律文书上加盖当地办案部门印章,代为调查取证。
配合办案部门代为调查取证后,可以将有关法律文书回执或者笔录邮寄给办案公安机关,并传输电子数据或者工具、方法说明。通过公安机关信息系统向办案公安机关获取、查看电子数据。 。
办案地公安机关应当对调取的电子数据的完整性进行审核。对保证电子数据完整性有疑问的,配合办案部门应当重新调取。
第三章 电子数据检验检测实验
第一节 电子数据检查
第43条有必要通过数据恢复,破解,搜索,仿真,相关,统计,比较等进一步发现和提取与案例有关的线索和证据。 ,电子数据检查是可能的。
第44条电子数据检查应由两名或更多具有专业技能的研究人员进行。必要时,可以分配或雇用具有专业知识的人参加。
第45条电子数据检查应符合相关的技术标准。
第46条电子数据检查应保护公共安全机构转移过程中电子数据的完整性。移交时,应完成交换过程,并应以以下方式检查电子数据:
(1)检查其完整性检查值是否正确;
(2)检查密封照片是否与当前密封状态一致。
如果移交时电子数据完整性检查值不正确,则原始存储介质的密封状态不一致,或者未能密封可能会影响证据的真实性和完整性,检查员应在相关的情况下做出注释。成绩单。
第47条检查电子数据时应遵循以下原则:
(1)通过写保护设备访问检查设备进行检查,或进行电子数据备份并检查备份;
(2)如果无法使用写入保护的设备,并且无法进行备份,则应说明原因,并应录像整个过程;
(3)在检查和重新密封之前和重新密封之前和之后,应为原始密封式存储介质的照片清楚地反映密封的状况或张贴密封的位置;
(4)当检查具有无线通信功能的原始存储介质时,应采取信号屏蔽,信号阻塞或电源截止的措施来保护电子数据的完整性。
第48条检查电子数据时,应生成“电子数据检查记录”以记录以下内容:
(1)基本情况。包括检查的开始和结束时间,指挥官和检查员的名称和位置,检查的对象,检查的目的等;
(2)检查过程。包括检查过程中使用的工具,检查方法和步骤等;
(3)检查结果。包括案例线索,电子数据以及通过检查发现的其他相关信息。
(4)其他需要记录的内容。
第49条如果需要在电子数据检查期间提取电子数据,则应制定“电子数据提取的固定列表”,以记录电子数据的源,提取方法和完整性检查值。
第2节电子数据调查实验
第50条为了确定案件的事实,在必要时,可以在县级或以上的公共安全机构的负责人的批准下进行电子数据调查实验。
第51条电子数据调查实验的任务包括:
(1)在某些条件下验证电子设备的某些异常或电子数据的某些变化;
(2)验证是否可以在一定时间段内完成电子数据上的一定操作;
(3)验证是否可以使用特定的软件和硬件来完成特定的行为并在某些条件下造成特定后果;
(4)确定某些计算机信息系统应用程序或网络行为是否可以在某些条件下修改或删除特定的电子数据;
(5)其他需要验证的情况。
第52条电子数据调查实验应符合以下要求:
(1)应采取技术措施来保护原始存储媒体数据的完整性;
(2)如果条件允许,电子数据调查实验应进行两次以上;
(3)调查实验中使用的电子设备和网络环境应与犯罪现场一致或基本一致;如有必要,可以使用相关的技术方法来模拟相关环境或进行受控的实验;
(4)禁止可能泄露公民信息或影响非实验环境中计算机信息系统的正常操作的行为。
第53条进行电子数据调查实验时,应使用一种或多种方法,例如摄影,视频记录,音频记录,通信数据收集等。
第54条进行电子数据调查实验时,应制定“电子数据调查实验记录”以记录调查实验的条件,过程和结果,并应由参与调查实验的人员签署或盖章。
第4章委托检查和评估电子数据
第55条为了确定案件的事实并解决该案的某些专业问题,应分配或雇用具有专业知识的人进行评估,或者应委托公共安全部指定的机构来发行报告。
如果有必要雇用具有专业知识的人进行评估,或者委托公共安全部指定的机构发行报告,则必须由负责公共安全机构或以上的负责人批准县级。
第56条提交案件进行检查时,调查人员应密封原始存储介质,采取相应的措施来保护电子数据的完整性,并提供必要的与案例相关信息。
第57条公共安全部和负责检查工作的人员指定的机构应独立开展业务并承担相应的责任,并且不得受其他机构和个人的影响。
第58条:公共安全部指定的机构应承担根据法律规定和司法机构的要求,在法庭上承担诸如避免,机密性和证词,并应对报告的真实性和合法性负责。
公共安全部指定的机构应使用科学方法进行检查和测试和发出报告。
第59条公共安全部指定的机构应具有必要的工具和设备,并根据法律获得资格认证或实验室认证。
第60条的其他事项将公共安全部指定为发布报告的机构,应参考“公共安全机构评估规则”和其他相关法规。
第五章附则
第61条这些规则将于2019年2月1日生效。如果公共安全部先前发布的文件与这些规则不一致,则这些规则将占上风。