引用本文
周娟, 王俊, 易爽, 袁红照. 基于微信日志文件对苹果手机的音频文件进行溯源分析[J].刑事技术, 2022,47(2):211-215
ZHOU Juan, WANG Jun, YI Shuang, YUAN Hongzhao. Source tracing into iPhone-stored Audio Files Based on WeChat Logs[J]. Forensic Science and Technology,2022,47(2): 211-215  
Doi: 10.16467/j.1008-3650.2021.0115
Permissions
Copyright©2022, 《刑事技术》编辑部
《刑事技术》编辑部
基于微信日志文件对苹果手机的音频文件进行溯源分析
周娟, 王俊, 易爽, 袁红照
西南政法大学刑事侦查学院,西南政法大学司法鉴定中心,重庆 400120

第一作者简介:周娟,女,重庆人,博士,讲师,研究方向为电子取证、声像检验。E-mail:zjajf@126.com

收稿日期: 2021-01-19 修回日期: 2021-07-06
基金资助: 国家自然科学基金青年项目(62002301); 重庆市技术创新与应用示范项目(cstc2018jscx-msybX0115、cstc2019jcyj-msxm X0393); 重庆市教委科技项目(KJQN201900307、KJQN201900305)
摘要

苹果手机的“语音备忘录”“微信”“文件”三种APP之间可以对音频文件进行转发及转储。在转发及转储的过程中,音频文件大小和所记录内容没有改变,但是音频文件的元数据信息及电子数据信息却会发生改变。因此,语音备忘录中所保存的音频文件的真实性鉴定除了对音频文件本身做常规的元数据分析、信号分析、语义分析、电子数据分析,还需要对音频文件的生成及流转的整个过程中系统及应用程序的日志文件进行溯源性分析。本文通过案例,介绍如何通过微信日志文件对音频的流转过程进行溯源,并对录音真实性进行综合判断。

关键词: 语音备忘录; 音频文件; 微信日志文件; 溯源性分析; 录音真实性
中图分类号:DF793.2 文献标志码:A 文章编号:1008-3650(2022)02-0211-05
Source tracing into iPhone-stored Audio Files Based on WeChat Logs
ZHOU Juan, WANG Jun, YI Shuang, YUAN Hongzhao
Criminal Investigation School & Forensic Expertise Center, Southwest University of Political Science and Law, Chongqing, 400120, China
Abstract

iPhone furnishes the functional APPs of “Voice Memo”, “WeChat” and “File”, facilitating users to forward and dump audio files across them. Usually, either forwarding or dumping can remain the audio file unchanged of its size and recorded content, yet making it changed of the metadata information and electronic data. Therefore, the audio files stored in “Voice Memo” should be authenticated with not only the routine analyses of their metadata, signal, semantics and electronic data but also source-tracing into their systemic and applicative log files resulted throughout the entire course of generation and transformation from the audio files. With a real case, an introduction was here made on how to trace into the transferring process of audio files through iPhone-stored “WeChat” log files and accordingly judge the authenticity of the relevant audio recordings synthetically.

Key words: Voice Memo; audio file; WeChat log file; source-tracing analysis; recording authenticity
1 研究基础

录音真实性鉴定是指对录音资料是否经过后期加工处理进行专业判断[1], 现有的鉴定技术手段包括听辨、元数据、声谱及电子数据分析等。

苹果手机经过多年的研发, 拥有十几种不同型号产品, 且迭代更新了二十几次系统版本号[2]。从iPhone 7开始, 苹果手机系统的“ 语音备忘录” APP、“ 微信” APP、“ 文件” APP可以进行交互的文件转发和转储。这些操作虽然不改变语音内容, 但是文件的元数据、文件头部和尾部的电子数据、文件的MD5值等会发生改变, 仅根据这几项检验结果的差异就否定录音的真实性, 显然与事实不符合。因此, 语音备忘录中音频文件的真实性检验会变得更加复杂, 其流转过程的溯源性分析变得尤为重要[3]

前期研究结果[4]表明:苹果手机的“ 语音备忘录” “ 微信” “ 文件” 三者之间的文件转发和转储操作对音频文件元数据和文件尾部的电子数据会产生不同影响。

1.1 元数据及文件尾部信息无变化的情况

以下4种操作, 音频文件和原来的音频文件相同, 录音内容、文件大小、元数据、文件尾部电子数据、MD5值均不发生变化:

1)通过语音备忘录分享至微信好友, 并由微信好友接收及收藏;

2)通过微信转发给好友, 并由微信好友接收及收藏;

3)微信将接收或收藏的音频转储至“ 文件” ;

4)通过“ 文件” 转发给微信好友, 并由微信好友接收及收藏。

1.2 元数据及文件尾部信息发生变化的情况

以下2种操作, 虽然不改变音频文件的录音内容和文件大小, 但是会导致音频文件的元数据和文件尾部电子数据、MD5值发生变化:

1)微信将接收或收藏的音频文件通过语音备忘录打开并保存:文件名称(手机中显示的名称)重新标记, 文件重新编码, 其在语音备忘录存储路径下的文件名变成重新编码的时间+.m4a。文件尾部的编码 时间变为重新编码时间, 文件尾部会在原UUID+原系统版本号之前写入新UUID+新系统版本号。元数据的编码日期不变, 标记日期及系统版本号则是文件重新标记文件名称后转储保存的时间及相应的系统版本号, 元数据中增加“ 音轨” 信息(即手机中录音的名称=重新标记的文件名称)。

2)“ 文件” 将接收或保存的音频文件通过语音备忘录打开并保存:文件名称(手机中显示的名称)重新标记, 文件不重新编码, 其在语音备忘录存储路径下的文件名不变, 以文件的编码时间+.m4a命名, 文件尾部的编码时间不变。文件尾部UUID不变, 原系统版本号之前写入新系统版本号。元数据的编码日期不变, 标记日期则是文件重新标记文件名称后转储保存的时间, 元数据中增加“ 音轨” 信息(即手机中录音的名称=重新标记的文件名称)。

2 案例

某法院审理“ 原告A与被告B加油站及C贸易有限公司合同纠纷” 一案, 原告A举证期间提交了iPhone手机一部, 其内语音备忘录中存储了2段录音, 该两段录音为原告A与被告B就相关事宜商谈的内容, 涉及了重要的案件信息。但是由于该2段录音所显示的时间与实际商谈的时间不吻合, 被告方不认可其真实性。而原告反映其有多部苹果手机, 且与家人混用, 不排除语音文件已经经过了微信转发及多次导入导出, 而原文件可能已经删除的情况。于是, 申请对这2段录音的真实性、完整性以及2段录音与所提交的iPhone手机设备同源性进行鉴定。

2.1 初步检验

原告送检的iPhone XS Max数字移动电话机一部, 系统版本号为“ iOS 13.7” (截至送检日期), 设备名称为“ iPhone (3)” 。其手机备忘录中显示的音频名称分别为“ 2019.12.19.” 和“ 2019.10.13” 2段音频即为原告举证的2段录音, 通过iToos软件将手机连接电脑, 发现二者存储于“ private/var/mo-bile/Media/Recordings/” 目录下, 其文件名如表1所示。

表1 需检音频文件信息简表 Table 1 The audio files to be checked and relevant indications

其中检材音频1系三男声在一开放环境下讨论有关“ 某公司与加油站租赁协议” 相关事宜的现场谈话录音, 语音信号信噪比较高。经多次审听发现:除其尾部一男声说“ 手续” 中的“ 续” 字音节不完整外, 其余位置三人的对话语音内容前后衔接过渡正常, 语音听感自然, 语义、逻辑未检出异常, 语音及背景声亦未见异常中断、跳变现象; 检材音频2系两男声在一相对安静环境下, 主要讨论“ 协议” “ 出资” 事宜的现场谈话录音, 语音信号信噪比高。经多次审听发现:二人对话语音内容前后衔接过渡正常, 语音听感自然, 语义、逻辑未检出异常, 语音及背景声亦未见异常中断、跳变现象[5-6]

使用送检手机的“ 语音备忘录” 录制一段实验样本音频, 并用iToos软件导出(其在存储路径下的文件名为20201118151422.m4a, 手机内默认的文件名为“ 新录音+数字” ), 将检材音频1、2与实验样本音频的元数据及文件尾部进行对比, 发现:二者在音频的编码格式、采样率、声道数、码率模式等方面完全一致, 另外, 经过图谱分析, 检材音频1、2音频信号波形未检见异常, 频谱未发现剪辑、拼接等可能形成的语音片段重复或能量跳变、异常中断痕迹, 背景声也未检出异常; 二者与实验样本音频的本底噪声也较为符合。但是二者在元数据时间戳及文件尾部的电子数据信息上却有不同的表现, 如图1、图2所示。由图1可见:该款手机语音备忘录原始录制的音频, 元数据中没有“ 音轨” 信息, 且编码日期与文件名称一致, 标记日期=编码日期+持续时长, 编码程序后面标注的是手机名称。检材音频1、2的元数据信息与该手机语音备忘录原始录制音频文件的信息均存在明显差异。由图2可见:实验样本音频的文件尾部写入的是1个UUID+手机名称, 检材音频1、2文件尾部写入的有多个UUID+系统版本号。经过进一步测试发现:如果机主有两部苹果手机, 第一次在苹果手机A或苹果手机B上使用SIM卡, 手机的语音备忘录录制的音频文件的元数据和文件尾部均会显示系统版本号; 但是, 如果将SIM卡从苹果手机A中取出插到苹果手机B中使用, 再从苹果手机B中取出插入苹果手机A中使用, 其语音备忘录录制的音频文件的元数据及文件尾部就会显示A手机名称, 而不会显示系统版本号。因此, 文件尾部写入系统版本号或者手机名称, 均为苹果手机语音备忘录录制的音频文件正常保存方式。但是检材音频1、2文件尾部写入多个UUID+系统版本号, 显然与该手机语音备忘录原始录制音频文件的信息不一致。

图1 检材音频1、2与实验样本音频的元数据对比Fig.1 Comparison of the metadata with those from the sample audio 1 or 2 against those from the experimental sample audio

图2 检材音频1、2与实验样本音频的文件尾部对比Fig.2 Comparison of the tail of audio files with that of sample audio 1 or 2 against that of the experimental sample audio

2.2 对比检验与分析

根据前述研究基础, 对检材音频1、2的生成及流转方式进行分析。

2.2.1 对检材音频1的检验分析

检材音频1的元数据及文件尾部发生变化的原因属于1.2描述中第2种情况, 编码日期=文件名标注的时间(UTC2019-12-19 07:12:01=北京时间2019-12-19 15:12:01), 系统版本号为ios13.3, 其标记日期应该是从“ 文件” 导出到语音备忘录的过程中重新标记了名称为“ 2019.12.19” , 且标记文件名称并保存的时间=标记日期=UTC2019-12-21 13:48:04, 重新标记的系统版本号也为ios13.3, 且文件的UUID没有变化。

综合上述分析, 检材音频1的元数据和文件尾部发生的变化完全符合1.2描述中的第2种情况, 即“ 文件” 将接收或保存的音频文件通过语音备忘录打开并保存, 且编码日期与重新标记日期相隔2 d, 手机的系统版本号相同。另外, 不排除1.1小节所述元数据和文件尾部信息无变化的4种操作可能。

2.2.2 对检材音频2的检验分析

检材音频2的元数据及文件尾部一共有3个不同的时间戳, 且文件尾部有2个不同的系统版本号(ios13.7和ios12.4.1)。根据前期研究结果[4], ios12.4.1的语音备忘录录制的音频文件, 其元数据和文件尾部均不写入UUID, 因此文件尾部只有1个UUID(对应ios13.7)。

结合上述1.2的两种情况的对比分析, 检材音频2的元数据和文件尾部的变化规律如下:

1)编码日期=UTC2019-10-13 09:59:57, 系统版本号为ios12.4.1。

2)微信将接收或收藏的音频文件通过语音备忘录打开并保存, 重新编码日期=文件名标注的时间(UTC2020-03-09 09:20:54=北京时间2020-03-09 17:20:54), 文件尾部在原系统版本号之前写入新UUID+新系统版本号。

3)“ 文件” 将接收或保存的音频文件通过语音备忘录打开并保存, 重新标记了文件名称为“ 2019.10.13” , 且重新标记日期=UTC2020-09-12 02:45:26, 此时, 文件尾部UUID不变, 原系统版本号之前写入新的系统版本号ios13.7, 覆盖掉2)中的新系统版本号(相关实验已验证[4])。

综合上述分析, 检材音频2的元数据和文件尾部在上述1)-2)-3)的顺序操作中发生了变化。此外, 不排除1.1小节所述元数据和文件尾部信息无变化的4种操作可能。

2.3 手机系统更新记录检验

虽然前述2.2可以确定检材音频1、2的元数据及文件尾部电子数据发生改变的原因, 但是仍然不能判断检材音频1、2的录音内容是否为所提交手机录制。由于该手机的系统版本已经升级, 因此需要进一步对系统数据进行检验。

使用Itunes制作送检手机的逻辑备份。基于备份数据, 依次解析其中的“ com.apple.VoiceMemos.plist” “ Recordings.db” “ CloudRecordings.db” 等文件, 未发现任何系统升级信息。对用户的微信应用日志进行检验, 发现266个微信应用日志文件。

经过检验发现:自2019年7月18日至2020年10月10日, iPhone(3) 手机的操作系统历经10个版本的迭代, 依次是:“ iOS 12.3.1” “ iOS 12.4.1” “ iOS 13.1.3” “ iOS 13.3” “ iOS 13.3.1” “ iOS 13.4.1” “ iOS 13.5.1” “ iOS 13.6” “ iOS 13.6.1” “ iOS 13.7” 。

2.3.1 检材音频1中涉及的关键日期检验

1)2019年12月19日的日志中, 如图3所示, 用户使用系统版本号为“ iOS 13.3” 、手机名“ iPhone (3)” 的iPhone 手机, 通过微信于“ 2019-12-19 15:18:19.412” 时刻, 进行过音频文件的分享操作, 所分享的文件的文件名为“ 新录音.m4a” 、大小为2 321 892字节(与检材音频1相同)、MD5哈希值为“ 005b8779ba188b7347c130f2 ca3c74a3” 。

图3 2019年12月19日的应用程序日志内容Fig.3 Content of the application log file of December 19, 2019

2)2019年12月21日的日志中, 如图4所示, 用户使用系统版本号为“ iOS 13.3” 、手机名“ iPhone (3)” 的iPhone手机, 通过微信于“ 2019-12-21 21:48:40.468” 时刻, 进行过音频文件的分享操作, 所分享的文件的文件名为“ 2019.12.19。.m4a” (与检材音频1相同)、大小为2 321 892字节(与检材音频1相同)、MD5哈希值为“ f331911587571ee2b6861e4e383140fe” (与检材音频1相同)。

图4 2019年12月21日的应用程序日志内容Fig.4 Content of the application log file of December 21, 2019

2.3.2 检材音频2中涉及的关键日期检验

1)2019年10月13日的日志中, 如图5所示, 用户使用系统版本号为“ iOS 12.4.1” 、手机名为“ iPhone (3)” 的iPhone 手机, 通过微信于“ 2019-10- 13 18:10:40.527” 时刻, 进行过音频文件的微信分享操作, 所分享的文件文件名为“ 新录音.m4a” 、大小4 083 502字节(与检材音频2相同)、MD5哈希值为“ ee43e7d7a565f308e0c3411c92d03c6f” 。

图5 2019年10月13日的应用程序日志内容Fig.5 Content of the application log file of October 13, 2019

2)2020年9月12日的日志中, 如图6所示, 检见通知消息, 该消息显示的iOS系统版本号为“ iOS 13.7” 。

图6 2020年9月12日的应用程序日志内容Fig.6 Content of the application log file of September 12, 2020

2.4 综合分析及结果

综合前述2.1~2.3节的检验及分析结果:

1) 检材音频1的音频内容为苹果手机iPhone(3)于编码日期(UTC2019-12-19 07:12:01=北京时间2019-12-19 15:12:01)录制形成(系统版本为ios13.3), 时长4 min 37 s, 于“ 2019-12-19 15:18:19.412” 通过微信应用分享给好友; 经过好友转发并存储于“ 文件” 中, 于标记日期(2019-12-21 13:48:04)通过“ 文件” 重新转储“ 语音备忘录” (系统版本为ios13.3)并标记文件名为“ 2019.12.19。” , 此时MD5值改变; 于“ 2019-12-21 21:48:40.468” 通过微信应用将该文件进行过分享。由此可见, 检材音频1的音频内容为iPhone(3)录制形成, 但经过了一系列转发和一次改变其MD5值的转储, 文件大小不变; 另外, 其与实验样本音频的本底噪声较为符合, 且听觉检验、声谱分析均未发现异常, 故具备真实性。

2)检材音频2的音频内容为苹果手机iPhone(3)于编码日期(UTC2019-10-13 09:59:57=北京时间2019-10-13 17:59:57)录制形成(系统版本号为ios12.4.1), 时长8 min 16 s, 于“ 2019-10-13 18:10:40.527” 时刻通过微信应用分享给好友; 之后又经过“ 语音备忘录” 打开后重新编码保存, 其重新编码日期=文件名标注的时间(UTC2020-03-09 09:20:54=北京时间2020-03-09 17:20:54), 此时MD5值改变; 之后经过iPhone(3)的“ 文件” 于标记日期(UTC2020-09-12 02:45:26)重新转储至其语音备忘录(系统版本号为ios13.7), 此时MD5值再次改变。由此可见, 检材音频2的音频内容为iPhone(3)录制形成, 但经过了一系列转发和两次改变其MD5值的转储, 文件大小不变; 另外, 其与实验样本音频的本底噪声较为符合, 且听觉检验、声谱分析均未发现异常, 故具备真实性。

3 结论

随着智能终端的普及应用, 越来越多的人会使用手机或平板电脑自带的具有录音功能的程序如iPhone或iPad的语音备忘录、华为手机或平板电脑的录音机等来录制语音。其中, 语音备忘录与微信、QQ、文件等APP具备交互转发文件、保存文件以及重新编码转储文件的功能, 苹果手机在使用的过程中会不断升级迭代。因此, 语音备忘录中保存的音频文件的真实性检验会变得更加复杂, 其生成方式及其流转过程的溯源分析尤为重要。

本文通过案例, 对苹果手机语音备忘录中的音频文件的元数据、文件尾部电子数据的变化规律进行分析比较后, 利用微信的日志文件, 确定了手机系统的升级时序信息, 再对照待检音频文件的关键日期戳信息进行深入探寻, 对其生成方式及流转规律进行溯源, 并进行综合分析, 最终确认了其真实性。

参考文献
[1] 司法部司法鉴定科学技术研究所. 声像资料鉴定通用规范: SF/Z JD0300001-2010[S]. 北京: 中国标准出版社, 2010.
(Institute of Forensic Science and Technology, Ministry of Justice. General specification for appraisal of audiovisual materials: SF/Z JD0300001-2010[S]. Beijing: Stand ards Press of China, 2010. ) [本文引用:1]
[2] 曾锦华, 奚建华, 孙维龙, . 苹果手机录制录音真实性鉴定技术[J]. 中国司法鉴定, 2020(5): 93-97.
(ZENG Jinhua, XI Jianhua, SUN Weilong, et al. Authentication technology for recording authenticity of Apple mobile phone[J]. Chinese Journal of Forensic Sciences, 2020(5): 93-97. ) [本文引用:1]
[3] 曾锦华, 施少培, 杨旭, . 录音设备识别司法鉴定技术研究[J]. 中国司法鉴定, 2014(6): 22-25.
(ZENG Jinhua, SHI Shaopei, YANG Xu, et al. Research on forensic technology of recording equipment identification[J]. Chinese Journal of Forensic Sciences, 2014(6): 22-25. ) [本文引用:1]
[4] 周娟, 易爽. IOS系统“语音备忘录”内保存的音频文件生成方式检验要点探讨[J/OL]. 刑事技术, [2021-01-17]. https: //doi. org/1016467/j. 1008-3650. 2021. 0109. 2021, 46(6): 642-646.
(ZHOU Juan, YI Shuang. Exploration into essentials about checking procreation ways of audio files saved with“Voice Memo” APP under IOS[J/OL]. Forensic Scienceand Techno-logy, [2021-01-17]. https://doi.org/10.16467/j.1008-3650.2021.0109. 2021, 46(6): 642-646. ) [本文引用:3]
[5] 丁红军, 范玮. 手机物证检验原则[J]. 刑事技术, 2012(3): 46-48.
(DING Hongjun, FAN Wei. Principles of mobile phone evidence test[J]. Forensic Science and Technology, 2012(3): 46-48. ) [本文引用:1]
[6] 王桂强. 手机物证检验及其在刑事侦查中的应用[J]. 刑事技术, 2006(1): 25-31.
(WANG Guiqiang. Mobile phone evidence test and its application in criminal investigation[J]. Forensic Science and Techno-logy, 2006(1): 25-31. ) [本文引用:1]