一、提取对象

      犯罪嫌疑人使用过的西部数据4TB红盘

二、提取需求

       需要提取硬盘中的Skype聊天记录，并形成相应的报告。

       备注：Skype是一款即时通讯聊天工具，具备IM所需的功能，比如视频聊天、多人语音会议、多人聊天、传送文件、文字聊天等，目前注册用户超过6亿人次。

三、解决思路

      Skype聊天记录是以SQLite数据库的形式存储的，如果需要提取聊天记录，就需要找到sqlite数据库的位置，并且能够自动解析，生成取证报告。

四、操作步骤

      1.对电子数据取证而言，通常需要按照以下流程进行数据提取，如图1。

图1

     2.对于本案例取证的前三个步骤，已经按照相关规定进行，这里不再赘述。直接将硬盘通过只读接口，连接到装有效率源DF电子数据分析系统的电脑上，如图2。

图2

      备注：为了防止硬盘被写入数据，硬盘只能通过只读接口进行连接，且必须是物理只读。

      3.硬盘连接后，打开DF电子数据分析系统，新建案例，对硬盘进行镜像，并做哈希值校验，如图3。

图3

      备注：镜像是为了实现证据的固化，保证数据的原始性，客观性。计算哈希值可保证无数据写入。

      4.加载镜像，提取数据，查看需要提取数据的存储路径C:\User\Administrator\Application Data\Romaing\Skype\，如图4。

图4

      5.点击自动取证，提取Skype聊天数据，如图5。

图5

      备注：DF自动集成了sqlite数据的解析方法，可直接提取聊天记录。

      6.查看提取到的Skype聊天记录，如图6。

图6

      备注：为保护隐私，图片中关键信息做模糊处理。

      7.将提取到的Skype聊天记录生成符合司法程序的取证报告，如图7。

图7

五、提取结果

      通过以上步骤，成功提取到硬盘中的Skype聊天记录，并形成符合司法程序的取证报告。

六、小结

      在进行电子数据取证时，必须严格按照标准流程进行操作，严禁向硬盘内写入数据。效率源DF电子数据分析系统是一款功能强大的电子数据取证设备，可对上网痕迹、聊天记录、操作日志等进行数据提取，并可对可疑文件，涉密文件等进行分析。此外，设备强大的数据恢复能力，也可保证提取数据的完整性和准确性。