關(guān)鍵詞：手機取證；社交軟件；重點人物；自動化分析

0 引言

隨著智能手機的普及應(yīng)用，使用智能手機作為載體和工具進行犯罪的非接觸類犯罪案件也在迅速增加，涉案手機內(nèi)的社交應(yīng)用軟件數(shù)據(jù)是犯罪事實認定重要證據(jù)之一[1]。

1 社交應(yīng)用軟件的特點

大眾熟知且廣泛應(yīng)用的社交應(yīng)用軟件主要有微信、QQ、企業(yè)微信、釘釘、飛書等，除此之外涉案嫌疑人也可能會特意使用一些小眾社交軟件進行聯(lián)絡(luò)，如Potato、Enigma、蝙蝠等[2-3]。這些社交應(yīng)用軟件為了實現(xiàn)消息傳遞和聊天功能，都存在相似的功能模塊如聯(lián)系人列表、群列表、聊天信息等[4]。除了這些基礎(chǔ)信息外，手機取證軟件同時也能解析出不同社交軟件自身獨有的一些信息，比如Potato、Enigma含有群邀請關(guān)系，而釘釘、企業(yè)微信和飛書包含了組織架構(gòu)信息。

以群邀請關(guān)系特性為例，無論是邀請好友加入群聊，還是通過分享二維碼邀請人員加入群聊，社交應(yīng)用軟件均會記錄邀請人與被邀請人的關(guān)系，記錄的形式有xml、json、數(shù)據(jù)庫等不同的數(shù)據(jù)格式。在一些案件中，涉案團體以各種形式發(fā)展用戶并構(gòu)建用戶群，詐騙、涉黃、涉賭等類型的案件中新用戶人數(shù)也是涉案人員業(yè)績指標(biāo)的一種體現(xiàn)，通過群邀請關(guān)系能分析出群的生長過程，如層級、特定人員邀請的人員數(shù)量等。

2 手機取證與自動化分析技術(shù)

手機取證是指通過收集、提取和分析手機中的數(shù)據(jù)，以獲取與調(diào)查、犯罪或司法程序相關(guān)的證據(jù)[5]。手機取證數(shù)據(jù)自動化分析是指利用自動化技術(shù)和工具對手機取證數(shù)據(jù)進行快速、高效和準確的分析[6-7]。這種自動化分析可以幫助取證專員快速找到關(guān)鍵信息、發(fā)現(xiàn)隱藏的線索，并生成可視化報告，以支持調(diào)查和司法程序。

手機取證數(shù)據(jù)自動化分析的流程通常包括以下幾個步驟。

數(shù)據(jù)提取：通過專業(yè)的取證工具，從手機中提取出各種類型的數(shù)據(jù)，例如通話記錄、短信、社交媒體信息、應(yīng)用程序數(shù)據(jù)等。這些數(shù)據(jù)可能以原始格式或加密形式存在。

數(shù)據(jù)預(yù)處理：對提取的數(shù)據(jù)進行預(yù)處理，包括數(shù)據(jù)清洗、格式轉(zhuǎn)換、去重和解密等操作。預(yù)處理的目的是確保數(shù)據(jù)的準確性和一致性，以便后續(xù)的分析。

數(shù)據(jù)分析：利用數(shù)據(jù)分析工具和算法，對預(yù)處理后的數(shù)據(jù)進行深入挖掘和分析。這包括關(guān)鍵詞搜索、時間線分析、社交網(wǎng)絡(luò)分析、地理位置分析等。分析的目標(biāo)是發(fā)現(xiàn)相關(guān)的信息和模式，如通信頻率、聯(lián)系人關(guān)系、活動軌跡等。

結(jié)果可視化：將分析結(jié)果可視化展示，以便用戶更好地理解和利用?？梢暬夹g(shù)可以通過圖表、圖形、地圖等形式呈現(xiàn)數(shù)據(jù)的關(guān)聯(lián)性和趨勢[8]。

報告生成：根據(jù)分析結(jié)果生成詳細的報告，包括重要的發(fā)現(xiàn)、證據(jù)鏈、數(shù)據(jù)統(tǒng)計和可視化圖表。報告的生成通常是自動化的，并且可以根據(jù)需要進行定制化。

手機取證數(shù)據(jù)自動化分析提高了取證工作的效率和準確性，通過自動化處理，可以快速處理大量的數(shù)據(jù)，并在短時間內(nèi)發(fā)現(xiàn)重要的信息和線索。而且，自動化分析還可以減少人為錯誤和主觀判斷，為案件偵辦提供客觀、可靠的證據(jù)支持。

如何將更多的自動化分析技術(shù)應(yīng)用于電子數(shù)據(jù)取證，并通過自動化分析實現(xiàn)對大批量的不同的社交軟件進行數(shù)據(jù)還原和分析進而獲取到更多對犯罪事實認定有助力的線索，是當(dāng)前取證人員亟須研究和解決重要問題。

本文接下來將探討兩種對社交應(yīng)用軟件數(shù)據(jù)進行自動化分析鎖定涉案重點人員的方法。

3 基于關(guān)系的重點人物分析方法

群組是具有相同特征的某一類事務(wù)群體的組合，社交軟件中每個群組都會設(shè)定一定的主題，包含一定的社交關(guān)系鏈，比如提供服務(wù)、拓展人脈、銷售產(chǎn)品、打造品牌等[9]?？梢酝ㄟ^技術(shù)手段對社交軟件記錄的數(shù)據(jù)進行還原和分析，獲取群聊中成員之間的邀請關(guān)系。

3.1 基于群主分析

9VfJG/3dYA69ZdoB5T+3ZxbH5OEQbjq6NZvN2hVc40I=通過對數(shù)據(jù)庫中數(shù)據(jù)表之間、表字段之間的邏輯關(guān)系進行分析，可以明確群組中的群主信息。涉案件團體內(nèi)部群的群主往往都是犯罪團伙的核心或重點人員，一個成員擔(dān)任群主的群越多，說明他在組織中的重要性越大，可以通過分析群主信息，找到犯罪團伙的重點人員，如圖1所示。

3.2 基于群關(guān)系分析

群組中的成員集中在一起組成人員集合，那么群組之間的依賴關(guān)系可以類比分析集合之間的關(guān)系。

若集合B 的任一元素都在集合A 內(nèi)，那么集合B 為集合A的子集。若集合A與集合B存在相交的部分，即存在元素既屬于集合A又屬于集合B，那么集合A與集合B所有元素的集合為集合A與集合B的并集，其中，既屬于集合A 又屬于集合B的元素的集合為集合A與集合B的交集。例如，某用戶手機中的“看片神器1群”“看片神器2群”一般會有相同的群主和群管理員，這兩個群的人員集合也必定存在交集。子集、并集、交集概念圖，如圖2所示。

分析其中一個嫌疑人的微信群關(guān)系圖，通過群與群之間的共同成員信息，判定出組織內(nèi)部大群、組織領(lǐng)導(dǎo)層群和組織小組群。以“SNS軍團”為例，分析該群與其他群之間的關(guān)系時，發(fā)現(xiàn)其內(nèi)部有兩個群：“4”和“SNS領(lǐng)導(dǎo)層”，說明SNS軍團為組織大群，而“4”和“SNS領(lǐng)導(dǎo)層”是組織內(nèi)部小群，可能代表關(guān)系親密或具有某方面共同特性的小組群。以“SNS軍團”為主體的群關(guān)系圖，如圖3所示。

3.3 基于群邀請關(guān)系分析

微信、Potato、Enigma這些社交應(yīng)用有群邀請關(guān)系這個特點，一般處于邀請關(guān)系第一級的人員往往是犯罪團伙的核心人員，處于第二級的人員很有可能是重點人群，圖4為某組織內(nèi)部群的邀請關(guān)系圖，抓住群邀請關(guān)系這個特點，分析重點人員會事半功倍。

3.4 基于組織架構(gòu)分析

釘釘、企業(yè)微信、飛書這些社交應(yīng)用有組織架構(gòu)這個特點，以釘釘為例，可分析出清晰的組織架構(gòu)、企業(yè)管理員、部門負責(zé)人等，如圖5所示。

3.5 基于關(guān)系的分析方法面向?qū)嶋H的應(yīng)用

在信息化時代，網(wǎng)絡(luò)社交應(yīng)用無可避免地成為犯罪團伙利用的工具?；陉P(guān)系的重點人物分析方法圍繞涉案群群關(guān)系和組織架構(gòu)，快速定位涉案群聊中群主和核心成員，厘清涉案團伙的運作模式和內(nèi)部結(jié)構(gòu)，為打擊犯罪活動提供重要線索和指導(dǎo)。

4 基于消息內(nèi)容的重點人物分析方法

隨著互聯(lián)網(wǎng)和大數(shù)據(jù)的快速發(fā)展，大數(shù)據(jù)處理技術(shù)在手機取證中也發(fā)揮著重要的作用[10]。采用先進的分詞技術(shù)對社交App中的聊天記錄進行數(shù)據(jù)清洗后再重新入庫，然后基于文本分類展示出特定的高頻詞匯，從而可以快速預(yù)覽手機社交App信息中相關(guān)的案件線索。

4.1 詞云分析

犯罪團伙作案一般會有固定的話術(shù)，可以通過分析一個手機中所有社交軟件出現(xiàn)的高頻詞匯，得出犯罪團伙的話術(shù)。而在群里或是聊天里發(fā)送犯罪話術(shù)較為頻繁的很有可能是涉案重點人員，可以根據(jù)發(fā)送高頻詞匯的次數(shù)溯源到涉案重點人員，如圖6、圖7所示。

4.2 基于團伙內(nèi)部群的詞云分析

在基于群關(guān)系分析中，可以分析出一個組織的內(nèi)部群，進而對內(nèi)部群做詞云分析，得到群內(nèi)的高頻詞匯，如圖8所示。

4.3 基于群活躍成員的詞云分析

通常情況下，群內(nèi)發(fā)言較多的成員可能是涉案重點人員，其發(fā)言的內(nèi)容與案情有很大的關(guān)聯(lián)性。通過對發(fā)言內(nèi)容進行詞云分析，能識別出該活躍成員的重點發(fā)言內(nèi)容，如圖9、圖10所示。

4.4 基于消息內(nèi)容的分析方法面向?qū)嶋H的應(yīng)用

基于消息內(nèi)容的分析方法面向?qū)嶋H應(yīng)用，對涉案團伙群聊進行詞云分析，得出犯罪團伙常用話術(shù)，定位團伙的重要成員和涉案信息，為執(zhí)法機構(gòu)快速梳理案情提供依據(jù)。

5 結(jié)束語

由于互聯(lián)網(wǎng)和全球化的發(fā)展，犯罪形式多樣化，電子數(shù)據(jù)取證工作在司法偵查的不同分支中不斷發(fā)展，已成為全球執(zhí)法活動中非常重要的組成部分[11]。執(zhí)法人員通過自動化的取證工具，準確、快速地獲取違法證據(jù)是將網(wǎng)絡(luò)犯罪分子繩之以法的關(guān)鍵。

本文從取證工作實際出發(fā)，結(jié)合手機取證中的社交軟件和自動化分析技術(shù)，從通聯(lián)關(guān)系和消息內(nèi)容兩個角度，較為全面說明了通過分析手機社交軟件鎖定重點涉案人群的方法，可以自動、快捷地從涉案手機中得到重點人員的分析結(jié)果，為案件偵查提供更多的線索。