一浑侥、簡(jiǎn) ?介

在案件調(diào)查中姊舵，如果能夠直接提取到手機(jī)音頻文件，如通話錄音寓落、手機(jī)錄音括丁、微信語(yǔ)音、QQ語(yǔ)音等伶选，對(duì)于案件推進(jìn)可能起到?jīng)Q定性作用史飞。但由于語(yǔ)音文件類型多尖昏、存儲(chǔ)原理復(fù)雜等因素，再加上部分嫌疑人的反偵察意識(shí)非常強(qiáng)构资，會(huì)利用刪除抽诉、恢復(fù)出廠、刷機(jī)吐绵、格式化迹淌、破壞手機(jī)硬件等手段毀滅證據(jù)，直接取證基本不可能拦赠。目前巍沙，市面上暫時(shí)沒(méi)有專門針對(duì)手機(jī)音頻文件的檢測(cè)、判別荷鼠、提取句携、恢復(fù)的工具，研究一種專業(yè)技術(shù)允乐，對(duì)于手機(jī)取證非常重要矮嫉。

【微信語(yǔ)音刪除后界面上不會(huì)顯示語(yǔ)音條，但音頻內(nèi)容實(shí)際還保存在手機(jī)中】

二牍疏、技術(shù)方案

目前蠢笋，市面上有較多帶有音頻文件數(shù)據(jù)恢復(fù)功能的工具，可以恢復(fù)文本鳞陨、圖片昨寞、視頻、音頻等等厦滤。其不足在于應(yīng)用范圍局限性大援岩，受到手機(jī)品牌、型號(hào)掏导、存儲(chǔ)原理享怀、文件類型、丟失原因等限制趟咆，很可能找不到丟失的有效音頻數(shù)據(jù)添瓷。同時(shí)，還會(huì)遇到“不支持QQ值纱、微信語(yǔ)音播放”的問(wèn)題鳞贷。因此，常規(guī)工具可在一定程度上協(xié)助調(diào)取音頻文件虐唠，但不能作為主要手段悄晃。

數(shù)據(jù)恢復(fù)四川省重點(diǎn)實(shí)驗(yàn)室科研人員介紹，現(xiàn)在有一種全新的技術(shù)解決方案，從手機(jī)數(shù)據(jù)底層著手妈橄，能解決有效數(shù)據(jù)查找、SILK音頻文件解碼播放（QQ翁脆、微信語(yǔ)音播放）等問(wèn)題眷蚓，且不受手機(jī)、反偵察手段反番、手機(jī)品牌及音頻格式等限制沙热，實(shí)現(xiàn)快速、現(xiàn)場(chǎng)取證罢缸。

2.1 ?技術(shù)難點(diǎn)：計(jì)算音頻幀大小 檢測(cè)判別有效音頻

分析音頻幀結(jié)構(gòu)篙贸，計(jì)算音頻幀大小，是判斷手機(jī)音頻數(shù)據(jù)是否有效（沒(méi)有被破壞或覆蓋）枫疆、是否值得恢復(fù)爵川、是否可恢復(fù)的關(guān)鍵。不同音頻格式息楔，音頻幀結(jié)構(gòu)不同寝贡，具體的音頻幀大小計(jì)算方法也不同。而判斷與計(jì)算的前提值依，是要確定音頻類型圃泡。

手機(jī)音頻文件格式主要包括AMR、SILK愿险、MIDI颇蜡、MP3、AAC辆亏、WAV风秤、W4A、WMA褒链、OGG等唁情。其中，以AMR和SILK文件格式為主甫匹。SILK來(lái)源于即時(shí)通訊軟件Skype甸鸟，主要是指微信、QQ等聊天軟件中產(chǎn)生的音頻文件兵迅。AMR主要是指手機(jī)錄音抢韭、通話錄音等手機(jī)自帶錄音功能產(chǎn)生的音頻文件，分為AMR-NB（AMR-NarrowBind）和AMR-WB（AMR-WideBand）兩種類型恍箭。

2.1.1 SILK音頻文件的結(jié)構(gòu)圖

在音頻文件中如果搜索到文本“#!SILK_V3”,此文件為SILK音頻文件刻恭。

【SILK音頻文件結(jié)構(gòu)圖，標(biāo)注部分為文件頭】

2.1.2? AMR音頻文件的結(jié)構(gòu)圖

在音頻文件中如果搜索到文本“#!AMR”,此文件為AMR音頻文件。

【AMR音頻文件結(jié)構(gòu)圖鳍贾，標(biāo)注部分為文件頭】

按照以上2個(gè)音頻幀特殊結(jié)構(gòu)提取的文件鞍匾，就可使用音頻播放器播放。

2.2?技術(shù)難點(diǎn)：QQ骑科、微信語(yǔ)音的解碼播放

在解決了第一道關(guān)卡橡淑，成功檢測(cè)并判別出有效音頻數(shù)據(jù)幀后，就可著手提取咆爽、恢復(fù)梁棠。對(duì)于常規(guī)音頻文件數(shù)據(jù)恢復(fù)工具來(lái)說(shuō)，要實(shí)現(xiàn)提取斗埂、恢復(fù)并不難符糊，真正的難點(diǎn)在于正常播放。

上文中已經(jīng)介紹呛凶，手機(jī)音頻文件格式主要包括AMR男娄、SILK、MIDI把兔、MP3沪伙、AAC、WAV县好、W4A围橡、WMA、OGG等缕贡，不同品牌翁授、不同操作系統(tǒng)、不同版本的手機(jī)可能使用不同的音頻格式晾咪。比如微信收擦，在版本變遷中，音頻格式文件就演變成了SILK谍倦，QQ也是如此塞赂。而SILK音頻文件解碼就是最大的難點(diǎn)，其他格式音頻能通過(guò)暴風(fēng)影音昼蛀、QQ音樂(lè)宴猾、百度音樂(lè)、酷我音樂(lè)等任意第三方工具播放叼旋，但SILK文件不能仇哆，必須轉(zhuǎn)碼。

手機(jī)音頻文件恢復(fù)提取技術(shù)方案基于Skype官方提供的SDK改裝得來(lái)了一種全新的SILK編解碼算法夫植，可將SILK音頻文件直接解碼成WAV或AMR格式讹剔，在手機(jī)或電腦上（微軟Windows Media Player）直接播放。也就是說(shuō)，取證人員可在現(xiàn)場(chǎng)直接提取并正常播放被刪除的QQ延欠、微信語(yǔ)音陌兑，提升取證效率。

總 ?結(jié)：與常規(guī)數(shù)據(jù)恢復(fù)手段相比衫冻，手機(jī)音頻文件恢復(fù)技術(shù)方案優(yōu)點(diǎn)在于：準(zhǔn)確诀紊、快速地找到手機(jī)中的音頻文件，判斷音頻文件格式隅俘，并根據(jù)格式解析音頻文件結(jié)構(gòu)，最終組合為手機(jī)或電腦直接可播放的形式笤喳，幫助取證人員快速獲取手機(jī)中的音頻電子證據(jù)为居。