各位读者：因《电子数据取证与网络犯罪调查》专刊第六辑第75-95页《基于Trim机制的固态硬盘数据恢复取证技术研究》的部分内容引用了欧季成发布在“数据恢复与取证技术”公众号中的文章：固态硬盘Trim后的数据恢复。现将本文作者调整为欧季成、王崇鹏、张佳强三位作者。特此声明。感谢大家对专刊的支持和爱护，我们将继续坚持公益知识分享，也期待大家进一步的反馈。

通过对智能摄像头的网络结构和设备特性进行分析，总结了智能摄像头常见的几类攻击方式，并结合实际案例进行全面的安全分析。由于自己也是刚开始接触这方面知识，所以涉及的内容都比较浅显，大佬无视即可。

注：感谢作者授权转发，来源公众号【信息时代的犯罪侦查】请扫描文后二维码关注编者按对微信的聊天记录进行取证分析，是大家比较关注的内容之一。小编前阵子研究了一下微信账号的结构以及微信语音文件的命名规则。赘述于此，有许多未尽事项，望有意者参与进来。（安卓实测，苹果略有不同）相信大家都使用微信发送和接收过语音。可曾想过，这一段段的语音在手机中是如何存储的？知道这一点很重要，因为在取证工作中，这是必要的基础知识。到目前为止，腾讯并未公布语音文件存储和命名规则，因此，我们的很多结论都是逆向实证的产物，未必正确，但具有参考性。一、关于微信账号每个微信号码都会关联几个不同维度的账户，比如：微信号、缺省微信号、手机号码、QQ号码等。在腾讯内部，其实每个微信号码仍然只有一个唯一账号，这是一个“mm+10位数字”的内部账号，平时我们很难见其尊容。可以这么推测，所有的关联账号都会以这个内部账号为基准。“mm”是什么含义？不是美眉，是micromsg的缩写。使用MD5算法，计算这个内部账号的哈希值，可以得到一个128位的MD5值。如果有兴趣的话，您可打开手机的文件管理功能，找到微信所在的文件夹，就能看到以该MD5值为名称的文件夹，这里保存这您所有的聊天记录、图片、语音、视频……，应有尽有。其实，真正的过程是：对这个MD5值进行反算碰撞，得到微信内部账号。二、微信语音的存储方式微信语音采用amr文件格式，这是移动通信系统中使用最广泛的语音标准，大家也不需要深入理解amr的数据结构。最关键的，您要知道，微信语音采用文件存储的方式就行了，换句话说，任何一段语音都会是一个文件。而有些数据信息，比如:文本聊天记录、手机短信等等，就不是采用这种存储方式。这也产生了二者截然不同的数据恢复方式。但有些问题也不尽然，毕竟在手机存储中做数据恢复还受制于“屌爆”的flash存储模式。关于这一部分，以后有时间再单说吧。（第一次接受腾讯发布的文中广告）三、微信语音文件的命名规则（部分）在手机文件管理下，打开“voice2”文件夹，一大堆犹如“小瘪三”长相一般目录出现了，都是两个字符的名字。这里面存储的便是您与众多好友的微信语音，既包括点对点、也包括群聊。微信的语音文件就结结实实的保存在这些小小的文件夹内。打开看看：这串数字是什么意思？我们试着简单解析一下。从图示，我们可以这么描绘这条语音记录：2018年6月19日9:48:48，标识为“919ac93”的微信用户发送的一条语音记录（附带随机码为：00d9102）。四、待解决的问题1、“919ac93”虽然能够唯一标识微信用户（即与微信号一一对应），但该标识号与微信号之间的换算关系，小编尚未搞清楚。2、微信语音文件名附带的那串随机码到底是何用意？我能想到的，也只能是区分在相同时间发出语音的顺序。从这个意义上来讲，大家也能够理解为什么语音不能转发了吧。请长按选择识别图中的二维码并关注【信息时代的犯罪侦查】公众号，了解犯罪手段、侦查技术、办案心得，做到自我提升、自我救赎！

Gary的笔记本电脑，还存有一个感染了电脑病毒的程序文件，名为\User\Gary\Downloads\invoice\dist\invoice.exe。该文件的最后存取日期/时间(Last

一年一度的全国电子数据取证竞赛又要举办了！前面已经有两届成功举办，作为比赛组委会的一员，我个人非常认同这种实战竞赛模式。我们参赛的过程中，也有很过酸甜苦辣的体会。回顾下：第二届“美亚杯”全国电子数据取证大赛全纪录第二届全国电子数据取证大赛赛前分析第二届美亚杯全国电子数据取证大赛全记录：秦玉海教授的大赛总结回顾了以前的比赛，这届比赛的一点变化就是，除了相关专业院校学生参加，成人组也可以参赛了！而且不要参赛费用的，所以，不管是学习和还是从事电子数据取证行业的朋友们来试试看吧！

鸟哥的云安全圈鸟哥，我最膜拜的人物之一，每天都把自己泡在浩瀚的知识海洋中遨游啊！5.安天的每周一译公益圈由安天公司每天提供国外资讯翻译，关注前沿哦

以下是与德州同行交流PPT的部分内容，谢谢大家的帮助！PDF版下载链接：http://pan.baidu.com/s/1eRK4Z5o

网络犯罪侦查教材推荐我个人认为，网络犯罪侦查相比比传统犯罪的侦查，需要厚实的技术知识，同时还要具备侦查素养，高阶情报分析研判理念，熟悉通讯、资金流的业务流程，也要对法律法规的灵活运用，还要有相当的技术应用能力。这是一门跨界的手艺，记得有位同行说，打击电诈的感觉，就像初中没毕业，就去做高考题，感觉力不从心啊。我也时常感叹新东西太多了！那么有没有好的教材可以参考呢？实际上教材的特点就是体系完整、知识性强，缺点就是内容不会紧跟前沿。但是教材可以让我们形成更好的知识体系，不再是碎片化的知识。有了厚实的基础，有新情况新案件出现，就可以做到触类旁通了。那么你看过的好的教材有哪些呢？首先推荐一本神书：好厚好沉，由业内著名专家刘浩阳主编。不过这个版本只卖内部人员。如果买不到神书，可以考虑买公开版（https://item.jd.com/11992244623.html），如下（图来自京东）虽然厚度小了，精华还在。再推荐一套高等院校信息安全专业系列教材，如下图。其中网络犯罪侦查教材我认为还是极好的，由刑警学院孙晓冬副教授主编（https://item.jd.com/11993692851.html）。这套书一共13本好像，内容编制的比较专业，分类也很细，推荐购买。

第二届“美亚杯”全国电子数据取证大赛全纪录

尊敬的宋鲁韬秘书长、尊敬的熊副院长、尊敬的许榕生邹锦沛名誉主任：历时两天紧张激烈的竞赛终于结束了，同学们紧张的考试脸，香港同胞们紧张克隆、调试、发布、监考时那凝结的表情，观摩大厅里屏住呼吸翘首企盼老师们的面容，企业家们洋洋洒洒细数家珍研讨交流的神态，每个人在赛场内外拍照留影的笑容，一个个历历在目。让我们以热烈的掌声对本次竞赛圆满成功表示衷心的祝贺！此次竞赛能够如此圆满成功，我们每个人都体会到了南京森林警察学院领导同志们的付出和热情，赵明生、王新猛、吴育宝、沈舟等等人的名字一张张疲倦的脸堂，都成为辛苦热情友谊的代名词。教学技能大赛、专家进校的预评估与我们的竞赛时间重叠，他们是在用浓浓的心血加倍的付出完成着一份承诺。让我们以热烈的掌声对南京森林警察学院主办这次竞赛所付出的一切表示最真诚的最崇高的敬意和感谢！为了公正公平我们请来了香港大学和香港警务处的朋友们出题阅卷，大家看到的每一个题目，用到的每一个检材，用到的每一个考试系统都是他们辛辛苦苦孜孜不倦一丝不苟的杰作，他们严谨认真高水准的道德让人信服，我们使用的资格赛团体赛的两份检材和考卷是他们取证能力和高水平办案能力的全景体现，两个多月的精心打磨，他们义务为我们展示了两套国际水准的电子数据取证的竞赛题目。让我们为他们的无私奉献和支持表示真诚的感谢！我们19个兄弟院校的100多名的师生，从大江南北不远千里来到南京森林警察学院，共同为了我们的梦想济济一堂。看上去是一场普普通通的竞赛，但我们师生自己知道，我们付出了多少，多少个实验室里的日日夜夜，多少个培训指导，多少个互帮互学，多少个手把手的教诲，一分耕耘一分收获，今天当我们拿到这份沉甸甸的奖状时，我们真的有好多话要对自己说，那就让我们以热烈的掌声，告诉我们自己我们又一次超越了自己!一个普通的专业大赛，它不仅是一个专业学生切磋电子取证技术的平台，更是学生们互相学习、互相交流、互相了解的机会，PPT汇报参加的人员会感到真的不一样啊你会收获满满，找到自己队伍的差距。我们这些老师真的应该为我们拥有这么优秀的学生而骄傲，为我们国家能有这么优秀的电子数据取证人才而自豪，让我们以热烈的掌声为他们祝贺！通过此次竞赛各学校应该找到专业建设，课程建设的发展趋势，那就是与时俱进，服务实战，培养创新，团队精神，相信网络安全与执法专业新的里程碑就要到来。网络安全与执法专业在南森又一次相聚，又一次重逢，见证着我们友谊的又一次升华，也见证了我们专业发展的又一个新的台阶。嘉宾们朋友们老师们同学们，我们共同肩负着中国电子取证大业，中国大网安的发展必将迎来创新的时代，我们的友谊地久天长。谢谢大家!

第二届全国电子数据取证大赛马上就要举行了。等着睡觉闲着也是闲着，就结合上一届的体会，总结下这届竞赛的几个特点。一、立足实战出题人来自香港大学邹锦沛教授团队。邹教授团队曾经处理过陈冠希案件，实力有目共睹。香港作为国际化都市，不仅执法部门需要电子数据取证，大企业机构的需求更大。邹教授团队也一直是电子数据取证领域的实战先锋。比赛从第一届开始，就一直立足实战，分析实实在在的案例。二、个人素养，团队协作并重从上次竞赛开始，就设置了个人赛和团体赛两个环节，个人赛案例相对简单，一般只涉及到一个设备的镜像文件，而团体赛就要复杂的多，一般会有多个镜像文件。个人赛考察基本的个人取证素养，团体赛（四人以内）考察的则是面对复杂案件时，取证的思路、证据链条的构建、团队协作等各个方面。大赛委员会设置两个环节颇有深意，只有通过个人赛的选手才能进入团体赛。这也是为了保证参赛选手都有具备较好的电子数据取证取证素养。三、注重综合能力个人赛只需要回答每一个具体的问题。而团体赛每支队伍需要将答案写入取证分析报告。竞赛结束后进行十分钟的陈述，由评委进行质询。由这一点可以看出，大赛把学生取证报告的书写能力、表达能力也放到非常高的地位，这也是与实践需求相吻合的。四、开放除了必要的软件准备外，竞赛没有限定取证工具，这让学生可以更自由的去发挥。不管是专业取证软件，或者开源工具，只要能解决问题的就是好工具。当然这对积累不够的团队来说，要困难一些。同时由于竞赛时间短，还对设备有较高的要求，比如我们这样的团队，就要想办法去克服和解决。以后竞赛有没有可能由厂商主动提供呢？我个人认为竞赛模式还是非常切合实际工作，也可以借鉴到基层的电子数据人才培养模式中，当然竞赛毕竟是理想化的，和实战还有一定的距离，但不失为一种很好的培养发现人才的方式。后附竞赛提供的案例背景资料，一起猜猜，会怎么出题呢？（一）个人赛-背景介绍Hugo是一个职业黑客，他喜欢透过非法入侵他们电脑来炫耀自己高超的电脑技术。他也是一个臭名昭著的匪徒，其敛财手段主要有：1）网络攻击诈骗、2）编写及分发电脑病毒及3）网络诈骗。Hugo最近被逮捕，他的电脑也被没收了并送至法证取证检查处。你是一个计算机取证专家，你负责调查Hugo曾否进行过任何的非法活动，并找出其同党的数据。（二）团队赛-背景介绍审问Hugo之后发现，发现他的朋友Jason也是一位网络知名的黑客高手。Jason与Hugo不时交流黑客技术（包括不同的网络通讯方法）,

第十二届CCFC培训年会由公安部第三研究所主办，信息网络安全公安部重点实验室和北京天宇宁达科技有限公司共同承办，中国电子学会计算机取证专家委员会和资讯保安与法证公会(ISFS)共同协办。会议邀请了国内外知名的信息安全和电子数据取证专家、学者、取证厂商、司法鉴定、取证服务公司，就网络取证、移动智能终端取证分析技术、恶意代码取证分析、跨平台取证、数据恢复、智能化关联分析、数据深度挖掘、密码破解等技术进行专题研讨。来自中国、中国香港、中国台湾、美国、俄罗斯、澳大利亚、加拿大、德国的众多专家讲讲进行精彩的报告。

常见安卓恶意代码的传播方式：1、木马链接短信息。这种最常见，一般会伪装相册、视频、请帖、学校成绩单、交警违章信息等。可能通过伪基站、短信平台、170|171等虚拟号码发送，有的是已中马的联系人手机被木马控制后的自动转发。2、欺诈网站“赠送”。欺诈网站一般伪装银行、移动等官方网站，诱导填入身份证、银行卡、手机号等个人信息，有的还会诱导受害人点击木马链接。3、诈骗电话配合。先电话伪装成银行等机构，以更新客户端等理由诱骗受害人下载木马进行安装。不管哪种方式传播，都需要用户先下载并安装到自己手机上才能作恶。目前比较常见的安卓恶意代码是短信拦截马，一般都具有回传邮箱、回传信息IP（域名）、远控手机号等信息，可以据此进行溯源。对安卓木马静态分析的前提是获取到恶意apk文件。最近看到很多反诈骗宣传的提醒，说一旦中了木马该怎么做，一般都会推荐进行刷机，与干警交流也发现，很多报案的受害人，都选择刷机处理，刷机后恢复apk文件的可能性比较小，加之钓鱼链接失效，一旦发生经济损失无法进行溯源。我自己推荐的做法是：取出手机卡关闭网络尽量通知通讯录中的好友警惕防范提取恶意apk成功后再进行刷机发现有经济损失立即报警

Android本来就是一个linux操作系统，通过上面的命令，就可以进入设备或模拟器的shell环境中，所以大部分都是linux的命令，如mkdir,ls,netstat,mount等。