中文
ENGLISH

当前位置:首页 >  新闻资讯 > 技术分享 > 咋呼啥?恢复聊天记录在我们这是常态!请跟上时代~

咋呼啥?恢复聊天记录在我们这是常态!请跟上时代~

发布时间:2018年5月4 11:52

  前两天,有关“微信聊天记录删除后被恢复”的事情炸了,民众们被Facebook泄漏事件撩拨过的神经又一次在“隐私侵犯”、“数据安全”这样的字眼下绷紧了。

  首先申明啊,Wendy原本没想蹭热点,这在我们看来就是个很正常的事儿,但没想到许多人在这方面的常识几乎为零,深感科普责任重大,因此写成此文以尽绵薄之力。

  正文

  好,我们先简单介绍下这个事的前因后果。

  4月28日中共合肥市纪律检查委员会在官方微信号上发文:

WechatIMG771

       接着许多用户朋友就炸了,说微信侵犯用户隐私,逼得微信官方小号“微信派”不得不在4月29日发文解释:

WechatIMG48

WechatIMG47

  不知是不是此文压力太大,合肥纪委的公众号上已经找不到此文了,只剩下上面这张截图为证。

  心疼微信派的小编三秒钟,五一假期家中坐,谁想锅从天上来,还得加班发文解释😂。

  纪委大大的这个标题取得确实吸引眼球(虽然被我圈出了错别字一个😜),但微信派小编的解释还是没能回答自己的标题——“为什么手机上的聊天记录删除后还能被恢复?”

  作为这个行业的专家,让我很(不)专(害)业(臊)地给大家好好解释一下。

  1. 为什么「要」恢复?

  “为什么「能」被恢复”这个问题涉及到技术层面,怕大家没兴趣看了,所以我放到后面讲。先就这个事情反映的大众心理,我觉得“为什么「要」去做恢复”这件事情大家可能更关注、更想知道。

  亲们,你应该经常听到看到下面这些的新闻吧。

屏幕快照 2018-05-03 下午3

屏幕快照 2018-05-03 下午3

  多的我就不截图了,大家都知道现在是数字化时代,连犯罪也越来越高科技,全部数字化,但有一个问题大家想过没有:

  高科技犯罪都是靠什么定罪的?

  法律定罪是要讲证据的!高科技犯罪的证据当然是在电子设备里了,你不可能找到一张白纸黑字写着“我有罪”吧?!

  那么问题来了!!!

  罪犯删除了罪证怎么办???

  电子化的证据很特殊,因为它删除起来真的太容易了,如果不能恢复的话,请问我们的警察叔叔怎么办?罪犯要都转行到高科技领域,难道就不抓了吗😂

  这就是为什么会有人专门研究「数据恢复」这门技术,不仅因为科技犯罪的罪犯会删除记录,还有很多时候电子证据的载体被破坏了也需要恢复。

  大家还记得去年“三色幼儿园”事件吗,到了调查最关键的时候竟然说 “监控视频被损坏了”!且不谈这话的真假,其实被损坏了不一定没有数据,恢复出来 部分画面 也是有可能的。熟悉我们的读者都知道,八爷在监控视频数据恢复方面研究很深,只是没能拿到硬盘试试。

三色

  所以啊,「数据恢复」在各大科技犯罪案件中发挥着至关重要的作用,大家不要被 “恢复聊天记录” 给误导了,「数据恢复」本身是个很棒的技术,毕竟你总有下面这些时候需要它帮你补救:

抓狂

  手贱——把好多珍贵照片删了

  手残——把手机电脑格式化了,好多资料没了

  脑抽——清空了回收站找不回来了

  脑残——没点保存就关了写了好久的文件

  2. 电子数据取证,了解一下?

  在这次合肥纪委的新闻事件里,民众最大的盲点在于:微信的聊天记录是从「哪里」恢复出来的。

  A. 如果是从「微信的服务器」上提取出来的,则证明微信确实保存了用户「被删除」的聊天记录;(但保存=侵犯隐私?这是另一个新问题了不讨论)

  B. 如果是从「用户手机」上提取出来的,则与微信完全没有什么关系。

  (觉得绕可以不看这句话:如果是A,是否涉及隐私侵犯还取决于政府是否官方要求腾讯提供;如果是B,也不能证明A中“保存已删除记录”的情况不存在,只能说与此案不相关)

删除

删除2

  是时候向大家介绍真正的技术了——电子数据取证,纪委提取聊天记录所运用到的技术领域,其实就是「电子数据取证」。

  这是个很冷门的领域,但却越来越热!

  “微信派”小编所说的 “司法取证” 其实并不准确,应该叫做「司法鉴定」,「司法鉴定」的定义是:诉讼活动中鉴定人运用科学技术或者专门知识对诉讼涉及的专门性问题进行鉴别和判断并提供鉴定意见的活动。

  说的通俗点!

  举个例子,请问:

  发生命案第一时间怎么办?

  ——找法医啊!

  对,得让法医来鉴定死亡时间、谋杀方式、杀人凶器等等,这样才能找到证据是不?

  没错,电子数据取证专家就是网络世界的法医!

微信图片_20180504114831

  法医鉴定、电子数据鉴定,都属于「司法鉴定」的范畴,这里面还包含物证鉴定、毒物鉴定、会计鉴定等等很多,你不能要求法官全都懂吧,所以就需要上面说的官方认证过的“专门知识的鉴定人”提供鉴定意见。

司法鉴定

  司法鉴定类别一览表 http://www.fatianxia.org/sort/

  好,知道了什么是电子数据取证,我们结合这个合肥的案例继续说清楚过程。

  电子数据取证的过程是这样的:

取证流程

  那么可以推测案件的发展是这样的:

  1. 证据收集:纪委查收 调查对象(嫌疑人)的手机、电脑等所有电子设备,然后将封存的证物交给电子数据取证鉴定人或鉴定机构;

  2. 数据获取:鉴定人将电子设备内的数据提取出来到另一个盘上(这一步有保护证据不被破坏的标准和规范);

  3. 数据分析:通过对提取出来的数据进行分析,发现聊天记录被删除了,于是采用数据恢复技术将聊天记录恢复出来;(如果恢复不出来,而微信是有数据的,公安机关有可能会要求调取,这和银行记录调取是一样的,当然前提是微信有保存聊天数据)

  4. 撰写报告:出具鉴定报告,说明在调查对象(嫌疑人)的设备里找到了什么记录可能与本案有关,以客观中立的角度描述事实,给出鉴定意见。

  纪委拿到鉴定结果,就可以有针对性地继续调查或处分了。到这里就是大家看到的新闻结果了!

  知道了吧?聊天记录是可以作为证据的!各种各样的电子证据Wendy以后再慢慢和你分享~

  告诉你哦,电子数据取证不仅仅应用于犯罪案件的取证,现在也广泛应用于企业内部调查、会计审查等方面,要知道,有电子设备的地方就有电子数据取证。“互联网+”的模式也适用于电子取证,“电子数据取证+X”的行业正在不断发展和丰富。

  3. 为什么「能」恢复?

  终于到了最后一个部分,讲技术,我会用最简单的话来概括,可能不会那么严谨,大家能懂就好。

  「数据恢复」只是电子数据取证中运用的技术之一,其实还有病毒分析啊、加密解密啊、隐写术啊、逆向啊,都是高深难的专业,数据恢复相对而言适用范围更广一些。

  被删除的数据为什么能被恢复?这还要来看最底层电子数据的存储方式。

  其实电子数据是以 0 和 1 的二进制存储的(这个大家都知道的),而这个二进制呢反映在存储介质(也就是手机电脑的磁盘)上呢,其实就是打的点点,可能打一个正极的点就代表0,打了一个负极的点就是1。

101010

  所以数据存储的形式其实是磁盘上的一个个点,而只要点还在数据就在。一般数据删除只是系统做了一个删除标记,并没有真的抹去这个存储点,所以可以恢复。

  有个东西叫文件系统,它相当于所有存储文件的一个管理系统,当我们删除了一个文件,它就会在「目录」里把这个文件去掉(注意是目录),但目录去掉了文件还在原地啊,点点没抹去就还是可以恢复的!

  简单来说,通常我们以为的删除只是系统标记为“删除”,并没有真的被删除,这就是数据能被恢复的根本原因。

  如果你还没懂,或者还有兴趣知道更多,可以看我之前写的「数据恢复专题」文章。(公众号菜单下点击“取证专题”查看,或者看本文末尾的链接哦)

  总结一下:

  1. 微信是否侵犯数据隐私得看微信本身是如何保存、处理用户数据的;

  2. 聊天记录是可以作为电子证据的,在办案过程中获取、分析嫌疑人的聊天记录为必需环节,不算侵犯隐私;

  3. 「电子数据取证」在如今的案件调查中成为必不可少的手段,大家要培养电子证据的意识;

  4. 「数据恢复」在技术上是可以实现的,而且非常有用。

  完

  如果你是第一次阅读这些内容,赶快戳👇补补!

  1.三分钟带你快速看懂电子数据取证! | 打击网络犯罪必备知识

  2.你以为“恢复”就是把扔掉的东西再捡回来吗? | 数据恢复专题(一)

  3.眼前的“删”不是“删”,你说的“除”是什么“除”? | 数据恢复专题(二)

  4. 算是看透了!原来你是这样的硬盘! | 数据恢复专题(三)

  5. 是时候讲讲「文件系统」了 | 数据恢复专题(四)