小編注：這篇文章是兩年前看到的，時(shí)至今日，有些問題已經(jīng)不比從前了。比如：其一，目前的聊天記錄文件早已升級(jí)成msg3.0.db，其二，硬盤存儲(chǔ)的小概率位錯(cuò)誤，顯然會(huì)造成Hash值的變化。但是關(guān)于取證的思路和做法，還是值得借鑒的。于律師而言，可以從中發(fā)現(xiàn)不當(dāng)?shù)蔫Υ茫阌诳罐q；于偵查人員而言，可以不斷完善自己的取證過程，減少瑕疵。大家姑且一看吧。

1. 取硬盤、具體的實(shí)施操作過程錄像。屏幕也錄下像（用軟件）。

2. 公安如果有自己的程序，就按照他們自己的程序，比如在場(chǎng)人員和操作人員簽個(gè)字之類的。

3. 硬盤拿下來之后，可以先進(jìn)行一次復(fù)制，或者制作鏡像。然后對(duì)硬盤進(jìn)行HASH值計(jì)算。

4. 如果做了復(fù)制，或者鏡像，那么就用復(fù)制的盤進(jìn)行操作。

5. 一定要將檢材硬盤用只讀接口連接上取證的機(jī)器，再進(jìn)行分析。

6. 給機(jī)器和硬盤編號(hào)、拍照。

7. 最好有一個(gè)完整的記錄鏈，用來說明，檢材的狀態(tài)、存放位置，始終處于可控狀態(tài)。

8. 操作現(xiàn)場(chǎng)也可以有個(gè)記錄，或者有個(gè)報(bào)告，說明當(dāng)時(shí)的環(huán)境，以及取證的計(jì)算機(jī)的一些設(shè)備、配置、系統(tǒng)等。

9. 使用取證軟件（如SA、取證大師等）對(duì)檢材硬盤進(jìn)行即時(shí)通信分析。

10. 如果是QQ2008或更早版本，可以直接分析出來。

11. 如果是QQ2009或更新版本，則先要在本地（也就是進(jìn)行取證的機(jī)器上）登錄要解析的QQ賬號(hào)。然后在SA即時(shí)通信分析窗口中，勾選 ，在彈出的窗口中選擇要解析的QQ號(hào)（也就是已經(jīng)在本地機(jī)器上已經(jīng)登錄了的），獲取KEY。獲取成功后，就可以分析出該賬號(hào)所有的聊天記錄，包括被刪除的。

12. QQ大致的加密原理：QQ對(duì)密碼和聊天內(nèi)容的保存，都不是明文的，是進(jìn)行過加密的。在登錄的時(shí)候，我們輸入的會(huì)密碼進(jìn)行2次MD5運(yùn)算，之后，發(fā)送到騰訊的服務(wù)器上，再生成一個(gè)KEY。這個(gè)KEY會(huì)發(fā)回給本地的QQ，用這個(gè)KEY進(jìn)行登錄的驗(yàn)證以及對(duì)聊天內(nèi)容的解碼。

13. 通過了解加密原理，可以知道，QQ聊天記錄的解析，關(guān)鍵在于，得到這個(gè)KEY。為了得到這個(gè)KEY，我們就需要成功登錄上QQ，然后將騰訊服務(wù)器上的發(fā)回來的KEY截獲，這樣就可以解析該QQ號(hào)中所有的聊天記錄了。

14. 我們的操作步驟為什么能保證證據(jù)的合法性、完整性、原始性？

15. 因?yàn)镼Q將聊天記錄，保存在安裝目錄下的“msg2.0.db”文件中。如果我們將檢材硬盤接在只讀接口上，那么，檢材中的“msg2.0.db”是不會(huì)被修改的。而我們的SA雖然需要通過在本地登錄上該QQ賬號(hào)來獲取KEY。但最終解析的是檢材中的“msg.2.0.db”文件。所以，是不會(huì)出現(xiàn)證據(jù)遭到破壞的問題。這樣就能保證證據(jù)的合法性、完整性、原始性。

16. 做完所有操作之后，再對(duì)硬盤進(jìn)行一次HASH運(yùn)算，和一開始做的HASH值做對(duì)比。

17. 如果有必要，寫個(gè)說明什么的，解釋下原理，說清楚操作步驟為啥能保證證據(jù)原始性。

18. 因?yàn)槭枪沧约鹤?，所以，我們并不知道這屬于刑事證據(jù)中的哪一種。電子證據(jù)至今歸為哪一類，還有爭(zhēng)議。如果是我們鑒定出來的，那就算是鑒定結(jié)論，就有詳細(xì)的標(biāo)準(zhǔn)可尋。但公安要將其分為哪一類證據(jù)，就需要根據(jù)他們的要求做調(diào)整。

    
    

以上只是作為一個(gè)參考，檢察院會(huì)提出什么問題，我們也不知道。從技術(shù)角度上講。已經(jīng)能夠保證證據(jù)的原始性、合法性了。