QQ 2009/2010 聊天記錄分析測試

轉自 計算機取證技術

一直說到俄羅斯Belkasoft公司的IM Analyser可以支持QQ 2009和QQ 2010的聊天記錄查看,但一直沒有測試成功。今天和Belkasoft公司CEO Yuri在SKYPE上遇到了,並一起測試了最新版本2.0,發現果然可以成功查看2010版的聊天記錄。


趁熱打鐵,把測試過程和遇到的問題和大家交流一下。之前也是測試過幾次,但都不成功,以為他們還沒有徹底解決技術問題。後來才知道可能是他們軟件中的一個BUG,估計下一個版本中就可以修改好了。

過程如下:
測試版本:Belkasoft Forensic Studio Professional Version: 2.0  ( BFSP.ZIP 9327KB)
測試環境:MacOS Parallels Desktop 虛擬機,安裝WINDOWS XP 32位中文版
QQ版本: QQ2010正式版(1720)
其他要求:Microsoft.NET Framework 3.5

下載,安裝就不說了。軟件運行後,可以轉換為中文界面。這個軟件是Sprite一年前漢化的,現在發現有些漢語選詞錯誤,大家包涵著用吧。

1、軟件運行,首先看到註冊畫面。這裡面顯示的是針對SPRITE的機器生成的機器碼。購買軟件的人,只要將這個機器碼返還給軟件公司,就會生成一串唯一 對應的註冊碼。可以激活軟件。請注意生成Hardware ID時候的軟件版本。不同的版本對應的激活碼是不能互換使用的。也就是專業版的註冊碼不可以在標準版的軟件中使用。否則會提示註冊碼無效。



2、如果各位只是想測試一下軟件,那麼選擇演示模式即可。「運行未註冊的軟件」--沒翻譯好。呵呵。選擇之後,軟件會提示只能顯示20條聊天信息。



3、選擇QQ2009/2010,右鍵,選擇「查找該類型聊天記錄」。這個軟件的BUG就在這裡。如果選擇了「打開聊天記錄文件」,過一會調用聊天記錄文件時軟件就會出錯,退出。



4、在出現的下面窗口中,如果選擇第一個選項「所有邏輯磁盤」,那麼查找QQ聊天記錄的時間會非常長,因為軟件要去檢索所有的目錄,如果你的計算機中目錄 很多,可能會搜索1個小時。呵呵。為了快速地定位,我們還是直接指定QQ目錄吧。一般來說,默認的安裝位置是:c:\probram files\Tencent,用戶也有可能自己更換安裝位置,但總的說找到這個位置還是計較簡單的。




5、搜索指定磁盤或目錄,設定好QQ的路徑(不用更加詳細了,這樣設置搜索起來已經非常快了,大約3秒。)選擇確定繼續。



6、3秒之後,軟件自動找到了包含有聊天記錄的目錄。這裡面顯示的是我測試的QQ號碼。如果實際的CASE裡面,可能會出現好幾個QQ號碼,都會顯示在這裡。



7、此時,雙擊QQ2009\2010,可以看到這裡出現了搜索到的QQ號碼。



8、選擇相應的QQ號碼,右鍵,選擇讀取聊天記錄。編碼可以設定中文語言。



9、這裡比較複雜,給大家解釋一下。
第一個C:\,是用戶Windows所在的盤符。我這裡是C盤,所以設定為C。但如果外掛一塊硬盤時候,WINDOWS所在分區的盤符可能為F,那麼需要將這裡設定為F:

第二個選框,是用戶QQ目錄所在反覆,我的QQ保存在C盤,所以也是選擇了C:。但如果設定在D盤,或者外掛一塊硬盤時,QQ位置可能是G:,那麼就需要設定為相應盤符。

第三個選框是WINDOWS註冊表SOFTWARE保存的位置。如果在自己的機器上測試,那麼當前WINDOWS正在運行,SOFTWWARE是被保護 的。IM ANALYZER無法讀取被鎖定的SOFTWARE。此時需要用類似於HOBOCOPY的工具,或者有WINHEX或者X-WAYS FORENSICS的朋友可以用這兩個軟件將SOFTWARE拷貝至某個目錄中備用。


有關SOFTWARE的拷貝方法如下:
a:  SOFTWARE的位置:


B: HOBOCOPY的使用方法:紅色標註的即為命令行。



10、

讀取成功後,測試QQ號碼顯示為綠色。雙擊這個號碼,可以看到包含聊天記錄的號碼和聊天內容。

11、此時可以看到測試的聊天內容。其實操作正確後還是很簡單的。讀取速度也是很快。中文支持很好。顯示時間也是準確的。其中O表示OUT,即發出的信息,也就是我測試的QQ號碼,機主。I表示IN,即接收的信息,即和我聊天的人,圖中顯示為7414XXXX的人。


不足:
群記錄無法分析。Belkasoft答應繼續分析。
好友列表無法顯示。
可以解決部分問題,但無法解決QQ2010的全部問題。

但不足歸不足,終究這是Sprite所看到的唯一一個可以查看到聊天記錄的工具。能解決一點,總比一點都不能解決好吧。

0 意見: