微信号:e769179090

介绍:关注与分享、交流手机、计算机等介质数据提取、解析、恢复技术,搭建行业交流平台.

【2016-3-15】手机取证-手机音频文件恢复提取技术研究

2016-03-15 07:29 e证据

来源:效率源科技(ID:xiaolvyuantech)

一、简  介

       在案件调查中,如果能够直接提取到手机音频文件,如通话录音、手机录音、微信语音、QQ语音等,对于案件推进可能起到决定性作用。但由于语音文件类型多、存储原理复杂等因素,再加上部分嫌疑人的反侦察意识非常强,会利用删除、恢复出厂、刷机、格式化、破坏手机硬件等手段毁灭证据,直接取证基本不可能。目前,市面上暂时没有专门针对手机音频文件的检测、判别、提取、恢复的工具,研究一种专业技术,对于手机取证非常重要。


【微信语音删除后界面上不会显示语音条,但音频内容实际还保存在手机中】

二、技术方案

       目前,市面上有较多带有音频文件数据恢复功能的工具,可以恢复文本、图片、视频、音频等等。其不足在于应用范围局限性大,受到手机品牌、型号、存储原理、文件类型、丢失原因等限制,很可能找不到丢失的有效音频数据。同时,还会遇到“不支持QQ、微信语音播放”的问题。因此,常规工具可在一定程度上协助调取音频文件,但不能作为主要手段。

       数据恢复四川省重点实验室科研人员介绍,现在有一种全新的技术解决方案,从手机数据底层着手,能解决有效数据查找、SILK音频文件解码播放(QQ、微信语音播放)等问题,且不受手机、反侦察手段、手机品牌及音频格式等限制,实现快速、现场取证。

2.1  技术难点: 计算音频帧大小 检测判别有效音频

 分析音频帧结构,计算音频帧大小,是判断手机音频数据是否有效(没有被破坏或覆盖)、是否值得恢复、是否可恢复的关键。不同音频格式,音频帧结构不同,具体的音频帧大小计算方法也不同。而判断与计算的前提,是要确定音频类型。

手机音频文件格式主要包括AMR、SILK、MIDI、MP3、AAC、WAV、W4A、WMA、OGG等。其中,以AMR和SILK文件格式为主。SILK来源于即时通讯软件Skype,主要是指微信、QQ等聊天软件中产生的音频文件。AMR主要是指手机录音、通话录音等手机自带录音功能产生的音频文件,分为AMR-NB(AMR-NarrowBind)和AMR-WB(AMR-WideBand)两种类型。

2.1.1 SILK音频文件的结构图

在音频文件中如果搜索到文本“#!SILK_V3”,此文件为SILK音频文件。


【SILK音频文件结构图,标注部分为文件头】

2.1.2  AMR音频文件的结构图     

在音频文件中如果搜索到文本“#!AMR”,此文件为AMR音频文件。


【AMR音频文件结构图,标注部分为文件头】

       按照以上2个音频帧特殊结构提取的文件,就可使用音频播放器播放。

2.2  技术难点:QQ、微信语音的解码播放

       在解决了第一道关卡,成功检测并判别出有效音频数据帧后,就可着手提取、恢复。对于常规音频文件数据恢复工具来说,要实现提取、恢复并不难,真正的难点在于正常播放。

       上文中已经介绍,手机音频文件格式主要包括AMR、SILK、MIDI、MP3、AAC、WAV、W4A、WMA、OGG等,不同品牌、不同操作系统、不同版本的手机可能使用不同的音频格式。比如微信,在版本变迁中,音频格式文件就演变成了SILK,QQ也是如此。而SILK音频文件解码就是最大的难点,其他格式音频能通过暴风影音、QQ音乐、百度音乐、酷我音乐等任意第三方工具播放,但SILK文件不能,必须转码。

       手机音频文件恢复提取技术方案基于Skype官方提供的SDK改装得来了一种全新的SILK编解码算法,可将SILK音频文件直接解码成WAV或AMR格式,在手机或电脑上(微软Windows Media Player)直接播放。也就是说,取证人员可在现场直接提取并正常播放被删除的QQ、微信语音,提升取证效率。

总  结
与常规数据恢复手段相比,手机音频文件恢复技术方案优点在于:准确、快速地找到手机中的音频文件,判断音频文件格式,并根据格式解析音频文件结构,最终组合为手机或电脑直接可播放的形式,帮助取证人员快速获取手机中的音频电子证据。

 
e证据 更多文章 如何设计像你大脑一样工作的欺诈侦测系统 碟中谍5中的科技:详解“步态分析” 手机转账凭证可以当做借据?太傻太天真 论加拿大《统一电子证据法》的立法价值 电子数据证据的采信规则
猜您喜欢 Java程序员必须掌握的8大排序算法 对Android初学者的10个建议 适合应用 Haskell 的创客道项目——洪峰老师讲创客道(三十七) 用DevOps开发DevOps实战 | 在线技术公开课 我为什么使用Rails来开发http://iiiii.li