□苏 雅

(中国人民公安大学，北京 100038)

微信用户数量和规模的不断扩大，以及微信信息所具有的复杂性和隐蔽性，为犯罪分子实施犯罪活动提供了新的场所和手段。而微信数据作为现代犯罪证据的来源之一，起着至关重要的作用。通过微信取证，可以全面掌握犯罪分子的犯罪动态和犯罪手段，提高侦查破案的效率。

最高人民检察院、最高人民法院和公安部印发的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》把“微博客、朋友圈等网络平台发布的信息”以及“即时通信、通讯群组等网络应用服务的通信信息”列入电子数据行列，使微信取证成为电子数据取证领域的重要方面。

一、微信证据概述

微信证据作为证据的一种，根据微信的不同功能，有着不同的存在形式。而微信数据的多样性和隐蔽性，也让微信证据的类型更加多元化。

(一)微信证据类型

微信数据信息拥有文字、图片、语音、视频等多种存储形式，关键、有效的数据会成为微信证据的主要来源。对于这些数据的记录和收集的不同方法，是笔者研究的主要内容。

1.文字。微信中记载的两人或多人的文字聊天内容，微信朋友圈编辑的文字消息以及公众微信号里的文章，都是文字证据的有效来源。这是标记双方当事人往来互动最直接、最便捷的数据模式，运用手机拍照、录像、截图或者备份的方法都能够完成固定和提取。

2.图片。作为证据的图片包括照片、订购或自制的表情包和动图，使用者在不同场合使用的含义不尽相同，可能毫无意义，也可能暗藏玄机，因此图片证据需整体记录和提取。

3.语音。微信聊天界面的语音消息、朋友圈分享的语音内容以及微信公众号中的语音信息，也是语音证据的存在方式。以微信语音证据为主的视听资料应当具有真实性和连续性的特质，记录内容必须清晰、准确，才能当做证据使用。提取语音证据的目的主要是用来进行声音鉴定，是微信取证过程中身份证明的有力途径之一，能够有效推进侦查工作的顺利进行。

4.视频。聊天记录、朋友圈拍摄、转发的小视频，以及公众号里发布的视频链接等，都可能成为重要的视频证据来源。需要注意的是原生视频和经过剪辑、处理的视频所具有的证明效力不同。

5.其他具有证明效力的数据信息。微信用户的个人信息一直是取证关注重点，注册账号时可能涉及的手机号、QQ号等信息是将相关犯罪嫌疑人锁定的重要依据之一。[1]除了能以一定载体呈现上述四类证据，还有一些看似普通却能在关键时刻达到证明效果的数据信息。如小程序、附近的人、位置共享等功能都会留下微信用户的位置信息，[2]位置共享还具有实时定位能力，如果没有删除定位痕迹，即便退出该功能，依然能够在云端收集到相关信息。

此外，交易记录也是大部分涉微信犯罪案件都离不开的数据信息之一。微信“支付”功能里的许多服务诸如手机充值、腾讯公益、信用卡还款等，都可实现交易记录的调阅。

(二)微信证据特点

1.时效性。由于微信数据的可删除性和复杂性，致使微信数据提取为电子证据拥有一定的时效性。[3]犯罪分子在实施犯罪后，可能将与案件有关的信息进行销毁性删除，而受害者往往不懂得如何有效锁定并保存相关作案证据。因此，微信证据必须在一定时间内固定、提取，否则就会失去证据效力。

2.开放性。微信的社交属性使得在微信上传输、发送的各项数据都可能被不同范围的群体或个人获知、使用，这也是微信证据开放性的体现。

3.易损性。微信证据极易遭到篡改或删除，取证流程的疏漏和取证技术的瑕疵等也可能给犯罪分子以可乘之机，导致证据损毁，失去证明效力。

二、手机微信取证方法实验研究

(一)实验设备

1.Android7.0系统，HUAWEI Mate 8手机一部，型号HUAWEI NXT-AL10；

2.iOS10.2.1系统，iPhone 6s Plus手机一部，型号ML6J2CHA；

两款手机微信应用均更新至微信WeChat 7.0.3版本。

3.Dell笔记本电脑一台，win10操作系统，用于数据文件备份和恢复及第三方软件安装。

根据2018年1月2日微信官方发布的消息，微信不留存任何用户的聊天记录，聊天内容只存储在用户的手机、电脑等终端设备上(1)WeChat：《用了这么久微信，这件事你还是不知道》，微信派，2018年1月2日。。因此了解不同版本手机微信数据的存储路径，是取证实验开展的前提。

iOS版微信数据存储路径：

iOS系统的微信数据主要存储在iPhone的文件系统目录之中，在第三方应用授权下能够完成访问。[4]iTunes作为苹果官方推出的软件，可以实现手机文件及相关应用程序的备份，Windows系统将备份文件默认保存至C:UsersAdministratorAppDataRoamingApple ComputerMobileSyncBackup中，电脑端无法直接查看备份内容，可以利用iTools软件打开iPhone备份的内容，浏览备份情况及微信数据的存储路径。iOS图片、语音和视频分别保存在文件夹Documents/长度为32位的数字与字母混合的文件夹下的Image、Audio和Video中。微信聊天记录有专门的软件子目录/private/var/mobile/Applications/com.tencent.xin.

Android版微信数据存储路径：

Android系统的数据信息通常可以从本机的系统文件中进行查找，就微信数据而言，本地数据库SQLite是存储微信数据的主要依托，整体化加密的数据库是数据存储和保护的基石。在手机微信运行时，SQL会将聊天记录等相关信息存储至该文件之中，Android系统会将手机微信中包含的所有程序文件归置于目录/data/data/com.tencent.mm之下，已加密的SQLite数据库就在这个目录之下，通常为32位长度的目录名，会根据微信账号的改变而变化。[5]根据该数据库的显示，存储文字聊天记录和通讯录信息的分别是message数据表和rcontact数据表。而图片、语音和视频信息均存储在/storage/emulated/legacy/tencent/

MicmMsg/2643e206d0960578f50487548e9b9699内，图片文件保存于image和image2，语音文件保存于voice和voice2，视频文件保存于viedo。

(二)实验过程

1.手机截图

iOS系统手机与Android系统手机均可利用设备自带的截图按键对微信的聊天界面或朋友圈、公众号发布的重要内容进行截图，自截图中捕捉关键的文字或图片内容。对于文字和语音混杂的聊天界面，主要应用手机微信的语音转换文字功能，将含有语音的部分转换为文字，随后再截图。但语音文字转换功能就微信使用与取证而言仍然存在局限，对于语音中含有方言和一些特殊标记的话语也不适合转换为文字进行证据提取。

聊天记录内容繁多，需要选取特定的内容进行截图时，可以进入聊天详情界面，选择“查找聊天内容”，使用日期、图片及视频、文件、链接、音乐、交易等多种渠道迅速查找聊天内容，实现取证的高效化。

2.微信文件备份

利用电脑版微信中的备份功能，完成手机微信的备份，避免了因手机更换、损坏等造成的数据信息丢失，同时也解决了直接用手机微信取证面临的无法获取root或不能越狱等问题。

(1)在电脑上下载并安装好微信电脑版，更新版本至2.6.7。同时打开两版微信软件，使用手机微信“扫一扫”功能进行Windows微信登录确认。

(2)将手机和电脑连接为同一网络，在电脑版微信中，点击左下角的“备份与恢复”，使用“备份聊天记录至电脑”功能，对手机微信的聊天记录进行备份，针对需要取证的内容进行全部或定向性备份。在备份过程中，需确保网络通畅和微信的开启状态。笔者分别在两部手机中随机选择了一个聊天会话进行备份，备份流程和弹出界面相同。

(3)完成备份后，文件在目录“C:Users系统用户名DocumentsWeChatFiles微信账号BackupFiles”中存留，如需修改备份地址，可以从电脑版微信的备份储存位置中进行相应的设置，而修改备份储存目录将会迁移全部已储存的备份。此次实验中，HUAWEI手机完成微信备份的文件默认存储在位置目录C:UsersAdministratorDocumentsWeChat Fileswxid_3790807909512BackupFiles下，iPhone手机的微信备份文件则默认存储在位置目录C:UsersAdministratorDocumentsWeChat Fileswxid_1y5lc1r4skno22Backup Files下。不同的手机微信用户会产生不同的备份文件夹，名称通常是用户的微信号。iOS系统和Android系统的备份文件夹子目录名称相同，其中Backup.db存储会话消息、聊天用户的账号与昵称；BAK_0_MEDIA主要管理音频、图片等媒体文件数据的存储；BAK_0_TEXT则对不同类型的消息进行时间、内容等多方面的存储。下图为HUAWEI手机的微信备份文件夹：

图1 HUAWEI手机微信备份文件夹

通过微信文件备份的方式，对微信数据进行分析，选取和案件有关的数据信息，是微信取证的有效方法。

3.微信文件删除后恢复

出于个人数据安全和隐私保护，微信聊天记录通常不会被服务器存留，因此尚未保存或迁移、备份的内容，在微信好友删除后，或者微信卸载与重装后，很难再实现初始数据信息的复原操作。微信自带的recover功能只能对近期受到损坏的部分数据信息进行修复，实则无法实现数据恢复的目标。此外，微信群中的聊天记录数据提取也是大多数涉微信犯罪案件关注的重点，当事人在退群后只有可能查阅到属于群成员时的历史记录。

对于已经在电脑端完成备份的文件，可适用微信电脑版实现数据的恢复和还原。

(1)将电脑与手机连接至同一网络。在微信电脑版中，点击左下角“备份与恢复”，选择右侧“恢复聊天记录至手机”，选择需要恢复的聊天记录，在“更多选项”下可进行时间段和是否仅恢复文字消息的遴选，随后在手机上点击确认，即可开始恢复。在恢复过程中，需确保网络畅通和微信的开启状态。

(2)结束传输后需“确定”，再次打开手机版微信，即可在消息列表中查看到之前已被删除的会话消息，点开会话内容，初始的聊天内容会重新显现。

4.第三方技术软件

微信数据本身的繁杂性和手机系统对于微信等各类应用系统的数据保护，为手机微信取证带来了许多难题，也催生了一些新技术软件的成长。除了简单的手机截屏和能够进行数据备份与恢复的电脑版微信，许多第三方技术软件也逐渐走入公安大数据的视野。常见的有美亚柏科的手机取证大师、盘石开发的SafeAnalyzer软件，这两款是目前较具权威性的数据解析软件，有较为专业的系统配置和相关组件。此外还有很多热门的常用软件，能够解决微信数据删除后恢复、格式转换等问题，如iTools系列软件、互盾科技的数据恢复软件，以及开心盒子的手机恢复大师等多款软件。

(1)手机数据恢复精灵

以iPhone手机为例，在App Store中查找“手机数据恢复精灵”， 获取并安装此应用，在打开后的主界面中选择“微信恢复”选项，应用会转入微信数据自动扫描界面，扫描时长与数据大小相关联，成功扫描会显示“恢复机率”和手机容量等数据信息，随后根据现场需求，在弹出的微信聊天记录中完成数据恢复环节。当前，此软件能够实现文字、语音、图片及视频等会话内容的恢复操作。Android系统的实验流程与效果大抵相近，因此不再赘述。

(2)开心盒子系列恢复软件

该软件需要在电脑端进行操作，针对iOS与Android两种系统，需要下载并安装“苹果恢复大师”和“卓师兄”两个软件，先后对iPhone手机和HUAWEI手机进行实验操作。

iOS系统操作如下：

首先，将装置完毕的苹果恢复大师打开，利用苹果原装数据线把iPhone手机接入电脑。初次接入时应当在手机端完成“信任”此电脑的操作，以确保电脑端后续步骤能顺利开展。

采用主页面中设备扫描恢复的方式，确认“下一步”开始扫描主要数据。

结束扫描后会进入恢复选择界面，点击需要恢复的内容，应用即可进行针对性的深度扫描。如需恢复手机微信中的文字记录和好友数据信息等文本数据，可选择微信聊天记录、微信通讯录；恢复视频、文件等媒体数据，则需选择微信附件。

图2 iPhone扫描成功界面

深度扫描之后，软件会对需要恢复的内容做以分析。内容删除与否以黑、橙两种颜色的字体做区分，对亟待恢复、导出的内容加以选择，或者使用搜索功能，检索重点词句，随后在右下方确认“恢复到电脑”即可达成最初目标。

Android系统操作如下：

首先，打开安装好的卓师兄软件，将手机与电脑用华为原装数据线连接。首次连接需要在手机端确认允许访问设备数据，与iOS系统不同的是，Android系统还需要安装驱动，并允许USB调试。顺利接入后，进入“下一步”开始数据的深度扫描。

待电脑端应用配置环境准备完毕，则进入恢复选择界面。与iOS系统相同，图标的内容与还原的数据信息相对应。扫描完成后，运用同样的操作流程还原相关数据，最后点击“恢复到电脑”，设置好保存路径即可完成全部操作。

(3)格式工厂

手机微信语音或视频等文件在导出或备份后有时会出现无法打开等情况，使用格式工厂软件可以实现各类格式间的相互转换，有效解决此类问题。

以M4A格式文件转换为MP3格式文件为例，在电脑端下载并安装格式工厂4.5.5，打开该软件，在左侧的工具栏中选择音频。

打开待转换的M4A文件，将其用光标拖拽至右侧空白区域，在弹出的窗口左侧任务框里选定欲转换的格式，确认输出路径，随后点击“确定”。

任务信息出现在主界面后，点击“开始”按钮，文件自动转换成设定的MP3格式，可在确定好的输出文件夹进行查看。

5.其他

与普通的微信功能不同，微信小程序以其应用的广泛性、程序的灵活性和使用的便捷性为大多数微信用户所青睐。点开手机微信“小程序”，可以看到近期被该用户使用过的小程序，通常以使用频率排序。这些小程序从侧面记录了当前用户的使用数据，其中可能包含了地理位置、行踪动态等信息。通过整理这些数据，进行简单的统计分析，同样可以得出一些结论。下面分别就两部手机的微信小程序使用情况进行比对分析：

表1 微信小程序使用情况对比表

实验数据统计显示，iPhone用户有看漫画的爱好或习惯，近期有出门的行为，可能进行了购物活动，并关注或参与了公益募捐。HUAWEI用户偏爱于发现新型小科技，喜欢研究或接触语言类事物。

通过同一时段两部手机微信小程序的使用情况，对用户的习惯特点与行为动态进行倾向性分析，为案件侦破提供线索。

(三)实验总结

通过尝试不同的手机微信取证方法，发现电子证据固定和提取的更多可能性，为进一步提升取证技巧开辟新思路。与此同时，微信取证方法随着手机系统的更新和微信团队对数据管理的升级，更加具有针对性和条理性，取证软件的开发研究也为手机微信取证提供了便利。取证的方法不止一种，但取证的目的只有一个，就是为侦查工作更好地服务，最大限度还原案件真相。

三、微信证据在侦查实践中的应用

探讨微信证据在侦查实践中的应用，首先应确保微信证据作为电子证据所具备的条件和特性，即合法性、客观性、关联性。在此基础上，针对不同证据类型的特点展开深入分析，依照微信取证的方法和流程，发现新的问题和思路，寻找案件的突破口。

(一)微信证据的保全

因为微信证据生成的特殊性，证据提取的复杂性，以及数据自身所具备的易泄露与易篡改性，使得微信证据的保全工作更加举足轻重。

1.微信证据的合法性。证据的合法性是其具备客观性和关联性的先决条件，一方面是形式的合法性，另一方面则是取证手段的合法性。就微信证据而言，目前取证软件鱼龙混杂，取证方法推陈出新，相关的法律法规还尚未健全，很难确保每一种取证措施都是完全有效的。

2.微信证据的客观性。作为电子证据的一种，微信证据必然面临着客观性、真实性的巨大考验。所提取的证据是否已经被篡改，提取的内容是否达到完整、全面，相关数据是否存在证明效力，都是取证人员应当思考的内容。[6]这需要工作人员在提取微信证据时做好实时记录，规范取证流程，对于音、视频类证据尤其要防止音频和视频文件的片段性和模糊性，尽可能呈现清晰、完整的证据链条。

3.微信证据的关联性。(1)必须确定所提取的证据来源是微信用户本人，除了双方当事人的确认和有关司法部门的认证，[7]有时同样需要第三方软件或技术的支撑；(2)微信证据的内容与案件事实是否有实质性关联，所取得的证据能否证明当事人的行为动态等内容。

(二)犯罪主体身份确认

无论是从已经获取的微信证据，还是依靠微信数据本身的开放性，都不难推断并确认犯罪主体的身份。在确定犯罪主体同微信用户身份一致的前提下，可以从多种渠道进行账号的查询和搜索。

1.善用微信“添加朋友”功能。如若微信用户开放了隐私设置中“向我推荐通讯录朋友”的权限，可以通过手机联系人直接查找并添加通讯录中的朋友。如果对方在隐私设置中开放了可通过手机号、微信号或者QQ号找到自己账号的路径，同样可以凭借搜索相应号码找到目标账户。[8]不仅如此，还可以通过群聊、二维码、名片等方式添加用户。在搜索、添加的过程中进行拍摄记录，以防后期出现犯罪嫌疑人解绑手机号、QQ号、邮箱地址等情况。

2.微信好友探信息。相较于群聊的分散性和复杂性，微信好友之间的往来数据则更具指向性。从通讯录中可以查阅好友的详细资料，包括微信号、昵称、地区、朋友圈等，在“更多信息”选项的社交资料中还可查看彼此的共同群聊、用户个性签名以及来源。微信用户的微信号和昵称有时会暴露其姓名，地区及常住地址。由于微信好友联系的紧密性，好友或最近联系人的微信朋友圈中往往会有当事人发布的图片或小视频等信息，借此推断犯罪嫌疑人的身份特征。[9]

3.聊天记录露端倪。聊天记录中，语音聊天和视频聊天可从一定程度上确认账号主体与犯罪嫌疑人的关联。声纹的稳定性和唯一性让侦查人员能够从提取到的语音证据中更快地鉴别犯罪主体身份。通过视频证据中的人像扫描，进行嫌疑人身份认定。

4.交易支付显身份。[10]微信钱包功能存有用户绑定银行卡的账户信息，根据银行开卡个人信息和交易转账记录，深入调查并确认犯罪嫌疑人身份。

此外，微信“支付”功能内的火车票机票等第三方服务还可以提供微信用户购买车票、机票等订单信息，查询相关票据信息即可锁定犯罪嫌疑人。

(三)犯罪行为分析

对犯罪行为的分析主要包括犯罪预备期的表现、实施犯罪的情况与未知犯罪动态分析。通过对微信证据的分析和微信数据的统计，让线索更加明朗，推进侦查工作有序进行。

1.社交信息。通过案发前一定时间的聊天记录、朋友圈发布的消息等文字、语音、图片信息，分析犯罪嫌疑人在犯罪预备期的表现，社交情况可能暴露犯罪分子想要实施犯罪的目标群体或个人，以及正在筹备的作案工具等。

2.交易记录。微信用户的交易记录罗列了不同时期用户的交易情况，在交易记录未被删除的前提下，可以直接在手机微信中选择交易日期和类型进行筛选。通过查看近期交易情况，分析犯罪嫌疑人的生活、消费习惯，进一步缩小并精确其活动范围。

3.小程序。小程序作为微信的新兴工具，对于分析犯罪嫌疑人的行为动态也起着不可或缺的作用。经过实验比对不难发现，不同人物对象使用的小程序不尽相同。小程序的使用轨迹，往往能反映用户的个体特质、购物习惯，甚至是年龄、性别。犯罪嫌疑人在特定时期的一般表现，有时会给侦查人员提供新的思路和突破口。

(四)犯罪画像

微信证据在犯罪画像上的应用主要从形象塑造和心理画像两方面展开。除朋友圈和聊天记录中发布的能够证明自身的照片和视频，文字和语音证据同样能够实现犯罪形象的再塑，聊天内容可反映个人的兴趣习惯和交流方式，聊天语气则可看出他的性格特点。如语音中使用方言情况，有无特定习惯用语等。而对犯罪嫌疑人心理的刻画，则需借助微信数据进行多维度分析。如根据犯罪嫌疑人在作案前后加入的群聊性质、关注的订阅号以及收藏的文章，可分析其交往动机和获取信息动机，特定阶段朋友圈发布的信息一方面可展示其生活方式和人格特质，另一方面也呈现出犯罪嫌疑人的心理动态。

手机微信取证方法的实验研究，不只在怎样提取到更多类型和数量的证据，怎样实现证据的有效固定和保全，而是抓住当下大数据与人工智能发展的机遇，及时发现并掌控犯罪形式变化新动向，通过手机微信取证等技术不断升级及相关法律制度与规定的进一步完善，探寻电子证据发展新方向，全面提高侦查工作质量和效率。