1、刑事技术论 著2023 年 第 48 卷 第 4 期 基金项目:重庆市公安局2022年度重点委托项目(2022-XZWTZD01)第一作者简介:王俊,男,陕西商洛人,博士,讲师,研究方向为文件检验、声像资料检验、电子数据取证。E-mail:网络首发时间:2022-11-25;网络首发地址:https:/doi.org/10.16467/j.1008-3650.2022.0072 DOI:10.16467/j.1008-3650.2022.0072华为和小米安卓智能手机录音的溯源鉴定研究王 俊1,2,靳雅丹1(1.西南政法大学刑事侦查学院,重庆 401120;2.重庆市高校刑事科学技术重点实验室
2、,重庆 401120)摘 要:为探究特定安卓智能手机录音的溯源鉴定方法,选用不同型号的华为和小米智能手机,模拟录音的录制、分享、删除等操作。依据录音文件元数据、手机操作系统记录数据、应用日志数据等的解析和比对分析结果,梳理特定手机录音录制设备的鉴别依据,总结录音文件生成后属性、状态是否发生变化的判定方法。研究结果表明,华为和小米智能手机所录制的录音文件,二者在数据记录方式和内容层面存在差异,但在录音的录制过程中,这两类手机均会在操作系统的特定文件中写入与录音文件相关的记录数据。由此,在鉴定过程中,可以通过系统文件、应用日志等的取证分析,来判定这两大品牌安卓智能手机录音文件的原始录制设备,以及录
3、音文件的变动情况。关键词:电子物证;华为;小米;安卓智能手机;录音文件;溯源鉴定中图分类号:DF793.2 文献标识码:A 文章编号:1008-3650(2023)04-0386-08 Traceability Identifi cation of Recording Files Made by Huawei and Xiaomi Android SmartphonesWANG Jun 1,2,JIN Yadan 1(1.Criminal Investigation School of Southwest University of Political Science&Law,Chongqin
4、g 401120;2.Chongqing Institutes of Higher Education Key Forensic Science Laboratory,Chongqing 401120)ABSTRACT:Recordings made by mobile phone are a common form of evidence in current litigation,but it is easy to separate recording fi les from their initial equipment,so the evidence review of origina
5、lity and integrity of recordings is prone to cause disputes,which often need to be resolved through judicial expertise.However,the current achievements mostly focus on the integrity identifi cation of mobile phone recordings and the equipment appraisal of IOS recording fi les.For the research on the
6、 traceability analysis of Android recording fi les,there is still a lack of research results.Because of this,we selected several Huawei and Xiaomi smartphones,simulated the typical operation behaviors such as recording,deleting,collecting,and transferring ordinary recordings and call recordings,and
7、proposed a method for recording equipment identifi cation&state analysis based on the operating system fi les,application logs and specifi c backup data through experiments.The experimental results show data recording methods and contents differences between Huawei and Xiaomi smartphones.However,und
8、er the recording process,the two types of mobile phones will write data records related to the recording fi les in specifi c operating system fi les.Therefore,we can identify the original recording equipment of specifi c mobile phone recording fi les and their changes by analysing system fi les,appl
9、ication logs,and even the particular backup data.This method is effective for recording devices identification of ordinary and call recordings made by Huawei and Xiaomi Android smartphones and their state analysis;Furthermore,it can also be used for equipment identification&state analysis for Harmon
10、y OS recordings and other multimedia fi les in Android smartphones.Of course,since many mobile phone manufacturers have made secondary development of the Android operating system,we must continue research equipment identification&state analysis of recordings made by other Android smartphone brands.K
11、EY WORDS:electronic evidence;Huawei;Xiaomi;Android smartphones;recording fi les;traceability3872023 年 第 48 卷 第 4 期王 俊,等:华为和小米安卓智能手机录音的溯源鉴定研究司法实践中,录音证据广为应用。而以智能手机为代表的移动终端以其携带的便利性、录制分享的简易性等有利条件,当下已经成为录音证据的重要数据源。在录音证据的可采性评价层面,最高法出台的相关司法解释中要求:对于视听资料通常需提供原件;存储在电子介质中的录音资料,在真实性评价时,首先就要求审查生成该录音资料的原始存储介质(原始载
12、体)。对此,往往需要借助技术鉴定来解决。然而,学界当前针对安卓智能手机录音文件溯源鉴定的技术研究,尚缺乏系统性和针对性1。有鉴于此,本文选择目前市面上常见的华为手机(EMUI 系统)、小米手机(MIUI 系统)中的录音文件为主要研究对象,开展溯源鉴定实验研究,以期为安卓智能手机录音的溯源鉴定提供理论依据和方法支持。1 安卓智能手机录音溯源鉴定基本原理安卓系统拥有 Activity、Service、Broadcast Receiver、Content Provider 四大组件,这些组件在交互、后台操作、响应通知、数据索引和数据库管理方面起着核心作用2。其中,Content Provider 的
13、功能是充当媒介,为进程交互提供渠道,从而实现跨进程通信。Content Provider 为数据提供了统一的存储方式,将安卓系统中的诸多数据以数据表的形式进行封装,从而便于其他进程调用固定的接口来实现数据共享。作为内容提供者,Content Provider 为取证分析提供了可读取的系统文件,特别是其目录下保存的“*.XML”文件,对手机多媒体文件等的溯源分析至关重要。安卓手机录音溯源鉴定,其核心在于是否能找出应用与系统之间的通信痕迹,以及文件元数据在系统文件中的标识,从而判断文件的写入及流转过程,以求证录音文件的原始性。解构安卓操作系统对文件的管理方式及系统的数据结构可知,操作系统会在特定的
14、系统文件中记录其他文件的元数据信息。文件生成时,系统会根据文件的属性及格式,匹配相应的记录模式。而用户在对文件进行上传、下载、保存、标记、分享等操作时产生的痕迹3,以及用户使用应用行为的系统记录与需要溯源的文件之间的印证证明,就构成了文件原始性评判的主要依据。简言之,安卓智能手机录音文件的溯源鉴定,可从三个方面展开:1)文件系统级的取证分析;2)基于操作系统对文件的管理机制,调取文件在生成、存储、上传、下载、复制、移动等操作时系统的数据记录,对特定文件进行溯源分析;3)通过用户使用痕迹与数据本身的关联分析,来解决文件的溯源问题4。考虑到当前安卓手机根权限获取技术难度大、不少手机存储介质有加密、
15、数据恢复方法多类各样之实际,本文主要采用后两种方式展开研究。2 材料与方法2.1 实验材料2 2.1 1.1 1 录制设备 录制设备 实验用录制设备信息如表 1 所示。表1 实验用录制设备信息Table 1 Recording equipment information 设备型号系统版本Android版本录音机应用版本HUAWEI P7-L00 EMUI 3.15.1.13.0HUAWEI EVA-AL10EMUI 8.0.08.0.08.0.0HUAWEI DUB-AL00aEMUI 8.2.08.1.08.2.0MI8MIUI 10.3.591.9.33MI9MIUI 11.0.891.9
16、.50MI10MIUI 12.0.4101.9.61注:录音机应用作为智能手机最基本的系统应用之一,一般系手机出厂时自带。表1中两大品牌手机各型号间内置录音机应用的基本功能相仿,但在用户界面、应用的扩展功能上有一定差异。2 2.1 1.2 2 录音类型 录音类型 通常,安卓智能手机提供的录音功能包括普通录音和通话录音。华为手机的录音机应用,在录制普通录音和通话录音时调用不同的程序。如系统版本为 EMUI 3.1 的华为 P7-L00 手机,通话录音时调用“HwCallRecorder.apk”;普通录音则调用“soundrecorder”应用程序。但是,三款小米手机则调用应用内的同一程序包。以
17、上两种录制方式生成录音文件的规则、方法、信道不同,所生成的普通录音文件和通话录音文件,在默认文件名、存储格式、存储路径等方面存在差异。有鉴于此,本文分别针对这两类录音文件,逐一开展溯源分析。2 2.1 1.3 3 取证分析工具 取证分析工具 为尽可能降低取证分析对实验用手机系统内数据的影响,实验基于高级逻辑备份生成的数据进行,并根据文件属性、数据存储格式等条件,选用对应工具进行取证分析5-6(见表 2)。刑事技术Forensic Science and Technology3882023 年 第 48 卷 第 4 期表2 实验用取证分析工具Table 2 Forensic tool infor
18、mation软件名称版本号功用手机助手Hisuite小米手机助手11.0.0.5803.0高级逻辑备份MediaInfo20.9元数据分析AccessData FTK Imager4.5.0.3文件信息查看Cool Edit Pro2.1.3097.0音频文件编辑处理MOBILedit Forensic Express7.4.0.20408手机取证分析ExactFile1.0.0.15散列计算Quick XML Reader1.1.5.0XML文件解析2.2实验过程2 2.2 2.1 1 录音样本制作 录音样本制作 1)录制正常录音样本按设备提供的不同场景设置和格式,在“普通录音”模式下录制现
19、场谈话录音;使用设备通话页面提供的通话录音功能,录制通话录音。2)制作变动文件样本首先,模拟删除文件操作,在录音机应用内,对正常录制后的音频文件进行删除操作;其次,模拟修改、标记、分享、收藏、下载文件等操作。2 2.2 2.2 2 取证分析 取证分析 1)对实验用手机进行高级逻辑备份。2)基于备份文件,进行取证分析。重点检验录音文件的存储目录、系统文件记录、应用日志等。3)将多类数据解析后,进行横纵维度的系统比较,解读其中的关键数据。3 结果与讨论3.1 正常录制的录音文件分析3 3.1 1.1 1 普通录音 普通录音 华为手机默认的录制格式为“m4a”,小米手机的默认录制格式为“mp3”。两
20、大品牌手机录制的普通录音文件,默认文件名均以开始录制的日期(时间)进行标识,但同品牌不同版本的录音机应用、两大品牌手机之间,普通录音文件的文件命名格式有差异(见表 3)。1)华为手机其普通录音默认保存于手机数据分区“录音/声音”目录下(见表 4),该目录下还存有其他与录音相关的信息。经检验发现:华为 P7-L00 手机预设的架构体系及功能尚不完善,可获取的有效信息少,不具备相应数据的可参考性;华为 EVA-AL10 及 DUB-AL00a 手机,二者在系统底层记录机制与文件生成机制上完全相同。因此,下文仅以华为 DUB-AL00a 为例进行说明。华为 DUB-AL00a 手机在录制生成文件时,
21、无论是否进行手动保存操作,均会将录制的音频文件自动保存于默认路径下,并在同目录下的“.vtdata”文件夹内生成与音频文件对应的“*_text”文件,还会在“.backup”文件夹内生成与录音文件一一对应的“*_direction.txt”文件和“recordmode.txt”文件。需要特别强调,系统版本为 EMUI 8.X 的华为智能手机,为方便语音转写,当用户录制普通录音时,会同时形成两个文件,一个是经过封装的“m4a”文件,另一个是未经容器打包的无后缀名显示的“*_text”文件(“*”的格式为“年月日 _ 时分秒”)。上述“m4a”音频文件通常保存在“/Sounds”目录下,而上述“*
22、_text”文件则保存在“/Sounds/.vtdata”目录下。与此同时,在“/Sounds/.backup”目录下,会对应生成记录有上述“m4a”音频文件位 置 等 信 息 的“*_direction.txt”文 件。此 外,在“/Sounds/.backup”目录下,还会更新最近一次录制的“m4a”文件以及与该文件对应的“*_text”文件位置等信息,并存储至“recordmode.txt”文件中。待普通录音文件、“*_text”文件、“*_direction.txt”文件、“recordmode.txt”先后形成后,在手机系统分区“/Content Providers”目录下的“Med
23、iaFiles.表3 普通录音默认文件格式、文件名信息Table 3 Default fi le format and fi le name information of ordinary recordings设备型号录音机版本默认格式默认文件名格式(示例)HUAWEI P7-L003.0m4a日期_录音序号(20220101_001.m4a)HUAWEI EVA-AL108.0.0m4a日期_时间编码(20220101_123456.m4aHUAWEI DUB-AL00a8.2.0m4a日期_时间编码(20220101_123456.m4a)MI81.9.33mp3日期,小时.分钟(Jan
24、1,12.12 PM.mp3)MI91.9.40mp3日期,小时分钟(Jan 1,12.12 PM.mp3)MI101.9.61mp3日期,小时.分钟(Jan 1,12.12 PM.mp3)表4 华为手机普通录音默认存储路径Table 4 Default storage path of ordinary recording fi les made by Huawei cellphone设备型号系统版本默认存储目录 HUAWEI P7-L00EMUI 3.1/storage/emulated/0/Recordings HUAWEI EVA-AL10EMUI 8.0.0/storage/emula
25、ted/0/SoundsHUAWEI DUB-AL00aEMUI 8.2.0/storage/emulated/0/Sounds3892023 年 第 48 卷 第 4 期王 俊,等:华为和小米安卓智能手机录音的溯源鉴定研究xml”中,会对应记录上述四个文件的时间、名称、位置等信息。因此,将待检的普通录音文件与上述三个对应文件,以及“MediaFiles.xml”中记录的数据进行比对,若数据能够交叉印证,基本就可得出某录音文件就是某特定手机所录制的判断意见。以 图 1 中 的“20220215_175005.m4a”文 件 为例,其文件名显示的开始录制时间为“2022 年 2 月15 日 17
26、 时 50 分 05 秒”;系统文件中关于该录音文件的修改、添加的时间戳为“1644918613”,转换为北京时间是“2022 年 2 月 15 日 17 时 50 分 13 秒”。同时,系统文件记录的与该录音文件一一对应的“*_direction.txt”“*_text”文件,二者的创建时间与原始录音文件元数据的录入时间完全一致,即“2022 年2 月 15 日 17 时 50 分 13 秒”,而“recordmode.txt”的修改时间则与最近一次录制的普通录音文件在“MediaFiles.xml”中显示的时间记录保持一致。通过原始录音、备份文件、系统文件数据的交叉比对,可判明原始录制文件
27、与对应系统文件记录在内容和时间方面的符合性,进而佐证特定录音文件是由特定手机所录制之事实。2)小米手机本次实验用的三款小米手机,录音机应用基础功能相同,系统底层记录机制与文件生成机制相同。用该三款手机录制的普通录音,其默认存储路径均为“/storage/emulated/0/MIUI/sound_recorder”。此外,在三款小米手机的系统文件“MediaFiles.xml”中,均可检见关于录音文件的元数据记录,其中元数据记录的内容、格式与华为手机相同。但是,在小米手机的其他系统文件中,未检出可佐证普通录音文件形成过程的有效信息。3 3.1 1.2 2 通话录音 通话录音 首先,两大品牌手机
28、之间,通话录音的默认文件命名方式、格式、存储路径存在差异,同一手机之间、不同品牌之间,通话录音的默认文件命名方式、存储路径等与普通录音也存在差异(见表 5);其次,实验用的华为、小米手机“MediaFiles.xml”文件中,均记录有对应通话录音的元数据信息。但是,两大品牌手机其他系统文件中有关通话录音的数据记录存在差异(见图 2)。1)华为手机在 华 为 EVA-AL10、DUB-AL00a 两 款 手 机 的“SettingsSystem.xml”文件中,可检见“the Last Watch Call Time”,其记录的是系统最近一次监听通话的时间。在最近一次通话中,当通话持续一定时长后
29、,系图1 华为普通录音默认存储目录及系统文件数据Fig.1 Default storage path of ordinary recording fi les made by Huawei cellphone and its system fi le data刑事技术Forensic Science and Technology3902023 年 第 48 卷 第 4 期统会调用通话监控接口,记录当前的时间信息,并写入特定的系统文件。该系统监控时间记录,通常早于通话录音文件在系统文件中的添加时间、晚于其修改时间。如果待检录音是最近一次通话中的通话录音,则可将系统监听通话的时间与通话录音本身的元
30、数据、其他系统文件的时间记录进行交叉比对,进而服务于录音文件的形成过程(时间)分析。2)小米手机三 款 小 米 手 机 系 统 文 件“MediaFiles.xml”“ExternalAudio.xml”中,均会记录录制的通话录音的元数据信息,且该两个“xml”文件有关录音文件的 ID 号、写入时间等数据记录完全一致。3.2 变动后的录音文件分析3 3.2 2.1 1 文件被删除后的溯源分析 文件被删除后的溯源分析 1)华为手机对华为 EVA-AL10、DUB-AL00a 两款手机录制的普通录音文件,采用应用内删除录音文件的方式,在“/Sounds/.vtdata”目录下存储的与普通录音文件相
31、对应的“*_text”文件仍会保留。因此,可通过解读“*_text”文件,来恢复已删除的普通录音文件的内容;较之于上述方法,若能在不破坏手机数据分区数据,又能获得系统根权限的情况下,也可基于文件系统数据恢复的原理,来实现对已删除的普通录音文件的恢复。另外,考虑到数字音频在录制过程中,对模拟信号采样,经模数转换后,生成的就是 PCM 裸数据流,所以假设“/Sounds/.vtdata”目录下保存的“*_text”文件就是 PCM 数据流,尝试用 Cool Edit Pro 软件对该文件进行解读。用 Cool Edit Pro 打开上述目录下保存的一个“_text”文件,为该文件设置以下参数:采样
32、率“16 kHz”、单声道、位深度“16 bit”,发现可顺利解码播放录音内容。再将该“_text”文件的内容与已删除的对应音频文件进行比较检验,发现二者内容完全相同。表5 通话录音文件默认文件名、存储路径Table 5 Default fi le name and storage path of call recording fi les手机品牌文件命名格式示例默认存储路径华为手机联系人A150 xxxxxxxx_20220101080808.amrstorage/emulated/0/Sounds/CallRecord小米手机联系人B(150 xxxxxxxx)_2022010112121
33、2.mp3storage/emulated/0/MIUI/sound_recorder/call_rec图2 华为、小米手机通话录音系统文件数据Fig.2 System fi le data of call recordings made by Huawei and Xiaomi cellphones3912023 年 第 48 卷 第 4 期王 俊,等:华为和小米安卓智能手机录音的溯源鉴定研究综上,针对华为特定型号的手机,若能找到与已删除的普通录音文件相对应的“*_text”文件,则可对被删除的普通录音文件内容进行恢复;此外,对于旧版本或不支持应用内编辑功能的系统录音机应用,此方法还可以用于
34、录音的完整性证明(有无经过编辑修改)。2)小米手机小米手机的录音机应用支持简易的删除文件恢复功能。应用提供“回收站”功能,其中存放有近 30 d 内删除的录音文件(逾期不保留)。通过恢复选项,可将“回收站”内保留的删除录音文件还原。在录音文件默认存储目录“storage/emulated/0/MIUI/sound_ recorder”下存有“.trash”文件夹,该文件夹下存储的音频文件与“回收站”内的录音文件同步生成、保存、删除。需强调,经实验发现,三款小米手机均直接备份原始音频文件,但不直接备份录音文件的位置信息。在系统文件“MediaFiles.xml”中,可检见与近期删除的录音文件对应
35、的“.trash”文件信息。因而,通过解析“.trash”文件信息,可将最近 30 d 内删除的录音文件进行数据恢复。3 3.2 2.2 2 文件经重命名、分享、收藏、接收后下载的 文件经重命名、分享、收藏、接收后下载的溯源分析 溯源分析 本次实验用设备的录音机应用提供录音转文本、重命名、分享功能,但均不支持编辑操作,故下文仅针对录音的重命名、微信分享、微信收藏、接收后下载几种情况展开讨论。1)文件经重命名后的溯源分析华为、小米手机在普通录音录制完成后,录音机应用内都提供重命名功能。由于文件命名的唯一性,系统文件“MediaFiles.xml”文件只会为一个录音文件写入一则对应的日志记录。对于
36、默认保存后重新命名的录音文件,系统文件会删除原有的日志记录,只保留重命名后更新的日志记录,其对应的修改时间信息、ID 号变更,其他记录内容不变。故可通过查验系统文件的记录(尤其是时间信息),判断待检普通录音文件是否发生过命名等情况变动。2)经分享、收藏操作后录音的溯源分析华为、小米手机录制的普通录音和通话录音,仅经微信转发、分享,其文件名不会发生变化,录音文件保存到本地时,会在微信应用的下载目录存入该文件;经过微信收藏后保存到本地的录音,其文件名会发生变化,新文件名为 32 位的字符。经多次测试发现,同一个本地录音经由收藏上传到微信后,每一时刻的文件名均会更新。但是,文件内容未经编辑修改,仅做
37、分享、收藏、收藏后下载操作,文件的哈希值并不会发生变化(见表 6)。3)接收后下载到本地的录音文件分析华为和小米手机录制的普通录音和通话录音,经微信应用流转、收藏后下载到本地(包含发送端手机下载到本地、接收端手机接收后下载到本地两种情况),均可在微信应用的下载目录中检索到录音文件。但是,在华为和小米手机系统文件中,对流转后的录音文件的元数据记录存在差异。华为 EVA-AL10 和华为 DUB-AL00a 两款手机,在 系 统 文 件“MediaFiles.xml”“ExternalAudio.xml”中,均未检见关于微信应用流转后下载到本地的录音文件的系统记录;与之相反,三款小米手机系统文件“
38、MediaFiles.xml”“External.xml”中,均检出关于微信下载到本地的录音文件的元数据及其来源信息。4 溯源鉴定要点本次实验选用的华为和小米底层系统均为安卓,因而二者在录音文件的系统管理机制层面有共性特点表现。但是,该两大品牌手机生产厂商均对安卓系统进行了二次开发,所以二者针对录音文件生成、修改、流转、删除等全环节的具体管理方法、系统数据记录则存在差异。鉴于此,有必要在明确二者的共性的基础上,有针对性地总结两大品牌手机录音文件溯源鉴定的要点。4.1 华为和小米手机系统数据记录的共性经实验发现:包含表 1 所列的华为、小米手机在内的安卓智能手机,对录音文件的数据记录,在底层上遵
39、循相同的模式。华为、小米手机系统自带的表6 原始录音与微信转发、收藏、下载操作后的录音信息比较Table 6 Comparison between original recording and the recording after WeChat transmission,collecting and downloading文件类型文件名SHA256哈希值华为原始普通录音20220311_174053.m4a4FA6D24A4D1AEBFBF94114BEB0D43D6647124CC21250EFB4C44512FD9194444B微信转发(下载到本地后)20220311_174053.m4
40、a4FA6D24A4D1AEBFBF94114BEB0D43D6647124CC21250EFB4C44512FD9194444B微信收藏(下载到本地后)c4bf9c29bacbe7d1f99f6b32b6a063f4.m4a4FA6D24A4D1AEBFBF94114BEB0D43D6647124CC21250EFB4C44512FD9194444B刑事技术Forensic Science and Technology3922023 年 第 48 卷 第 4 期录音应用程序,在生成录音、录音文件发生变动时,均会在系统文件中留存相应的数据记录,这些数据会以“xml”格式封装保存于系统分区中的“
41、Content Providers”文件夹下。其中,包含录音文件在内的多媒体文件的系统记录,通常保存在“MediaFiles.xml”中。此外,在“ExternalAudio.xml”和“Internal Audio.xml”中,也会对用户使用手机录制的普通录音和通话录音进行记录。需重点强调,“InternalAudio.xml”一般记录的是如系统铃声等系统自带音频文件的信息,所以其一般不会记录用户自行创建的录音。但是,当基于安卓系统二次开发的特定手机操作系统,未明确定义“内部音频”和“外部音频”的属性时,“Content Providers”下 的“ExternalAudio.xml”和“I
42、nternalAudio.xml”中均可能记录有用户创建的录音文件的数据。本次实验用的小米手机 10 就出现了上述现象。因而,无论是华为、小米手机还是其他安卓智能手机,在普通录音文件和通话录音文件溯源鉴定时,都需重点关注“Content Providers”文件夹下的“MediaFiles.xml”“ExternalAudio.xml”,以及可能留存有数据的“InternalAudio.xml”文件,并将其中记录的数据与手机默认存储路径下的录音文件,以及录音备份文件进行交叉比对,依托文件的来源、添加时间等关键数据,来分析判断待检录音的录制设备及状态。4.2 华为手机录音溯源鉴定要点首先,对于正
43、常显示的待检普通录音,在确定其文件名、编码参数、存储位置等符合特定型号华为手机普通录音文件的特点后,应注意查看手机数据分区“/Sounds”目录下是否有“.backup”文件夹存在,特别是 EMUI 8.X 版本的华为手机。如有,应重点解析其中保存的“*_direction.txt”“recordmode.txt”文件信息,并与系统文件“MediaFiles.xml”中记录的有关待检普通录音的信息进行交叉比对,来综合判断待检录音的原始录制设备以及状态。其次,谈及被删除的普通录音,若在手机数据分区“/Sounds/.vtdata”目录下检见被删除文件的“*_text”文件存在,则应考虑通过 PC
44、M 数据流解析的方式,来实现被删除文件内容的恢复。再次,对于通话录音,若待检录音是在最近一次通话中录制形成,需重点关注“SettingsSystem.xml”文件,通过检索“the Last Watch Call Time”数据,来查询最近一次通话时系统的监控时间,以辅助通话录音的溯源分析和形成过程(时间)判定。4.3 小米手机录音溯源鉴定要点首先,对于正常显示的待检普通录音,在确定其文件名、编码参数、存储位置等符合特定型号小米手机普通录音文件的特点后,应重点关注“MediaFiles.xml”文件的数据记录。其次,对于经流转后下载到本地的普通录音、通话录音,小米手机在“MediaFiles.
45、xml”文件中记录有文件的元数据信息,鉴定时需注意。此外,还可结合流转过程中所用到的应用程序,如微信、QQ、WhatsApp、Telegram、钉钉等的日志记录来进行溯源分析。再次,如遇录音文件被删除时,应注意查看手机数据分区“/sound_recorder”下是否有“.trash”文件夹存在。如有,有条件时,可利用被删除录音文件的备份数据来实现数据恢复。在此基础上,可进一步结合“MediaFiles.xml”中记录的“.trash”文件夹下备份文件的元数据记录,对被删除文件进行溯源分析。最后,对于正常显示的通话录音,小米手机系统文件“MediaFiles.xml”“ExternalAudio
46、.xml”均会同时记录同一录音的元数据信息,鉴定时应注意互比分析。5 结论本文在深入分析安卓智能手机“Content Provider”功能的基础上,提出了基于手机操作系统记录数据、特定手机录音备份数据的手机录音文件溯源鉴定方法。经实验验证,该方法有效适用于多款华为、小米安卓智能手机普通录音、通话录音的录制设备,以及录音原始状态的分析鉴别。另经实验发现:安卓系统文件“MediaFiles.xml”中有图片、视频文件的元数据记录;当前华为所开发的鸿蒙系统(HarmonyOS 2.0)仍兼容安卓系统,特别是鸿蒙系统中的“MediaFiles.xml”,依然记录有录音的元数据信息。由此可见,本文所提
47、出的手机录音溯源鉴定方法,还可扩展用于其他手机录音,以及除录音外的其他多媒体文件的溯源鉴定。参考文献 1 包永强,梁瑞宇,王青云.音频取证中录音设备识别研究进展 J .数据采集与处理,2018,33(5):779-792.(BAO Yongqiang,LIANG Ruiyu,WANG Qingyun.Advancein recorder recognition for audio forensics J .Journal of Data3932023 年 第 48 卷 第 4 期王 俊,等:华为和小米安卓智能手机录音的溯源鉴定研究引用本文格式:王俊,靳雅丹.华为和小米安卓智能手机录音的溯源鉴定
48、研究J.刑事技术,2023,48(4):386-393.Acquisition and Processing,2018,33(5):779-792.)2 姚伟,沙晶.Android 智能手机的取证 J .中国司法鉴定,2012(1):45-49.(YAO Wei,SHA Jing.Digital evidence investigation onAndroid smart phone J .Chinese Journal of Forensic Sciences,2012(1):45-49.)3 周娟,王俊,易爽,等.基于微信日志文件对苹果手机的音频文件进行溯源分析 J .刑事技术,2022,
49、47(2):211-215.(ZHOU Juan,WANG Jun,YI Shuang,et al.Source tracing intoiphone-stored audio files based on WeChat logs J .ForensicScience and Technology,2022,47(2):211-215.)4 王俊.电子证据证明力认证的展开 J .福建警察学院学报,2011,42(2):90-99.(WANG Jun.Appraisal of the evidentiary weight of electronicevidence J .Journal of F
50、uJian Police College,2011,42(2):90-99.)5 AYERS R,BROTHERS S,JANSEN W.Guidelines on mobiledevice forensics:SP 800-101 Revision1 S .NIST ComputerSecurity Resource Center,2014:15-25.6 公安部信息系统安全标准化技术委员会.移动终端取证检验方法:GA/T 1170-2014 S .北京:中国标准出版社,2014.(Information Security Standardization Technical Committe
