一步较老的华为手机需要恢复一些手机录音,最终根据手机录音的“缓存”文件成功找到了手机录音的原始文件并解析,完成了录音文件的“恢复”工作,为该案件提供了关键性证据。
01 初步排查
根据线索提供的信息得知该检材中存在一些录音,但是提取到的录音文件却没有相关的,疑似是删除或清理了录音文件等情况。查看手机中Sounds目录确实不存在录音文件。常规恢复删除文件需要Root手机提取手机原始Ext4物理镜像,然后使用镜像扫描删除的文件,无论是复杂程度还是恢复率都不乐观。但是技术员分析发现Sounds目录中存在一个.vtdata的隐藏目录,里面包含了时间戳开头的text文件,文件大小较大,引起了技术员注意。
注:配图为测试机数据截图,与检材数据格式雷同
02 文件分析
初步排查
文件大小较大,可能与音频有关。众所周知安卓图片的缓存(缩略图)也是存储在“.”开头的隐藏目录中,那这些文件是否可能是语音的“缓存”文件呢?首先百度搜索一下-_-!
华为官方论坛上有人问过此问题,“官方”技术回答是这些文件是8.x系统下为了录音转文字功能做的备份文件。9.0系统的录音转文字已经不依赖这个功能了,所以如果已经升了9.0可以删。除此结果之外没有其他有用信息了。
大致明白这个文件是干什么的了,那这个文件很有可能就是某种格式的音频文件。十六进制看下文件内容:
开头部分大片的00区域,没有任何文件头相关的信息,下面包含数据的内容类似重复的块状。
03 思考
手机上的音频文件一般来说m4a、amr编码格式的居多,但是此类编码格式的文件有明显的文件头信息,并且大小一般都比较小(因为编码就是压缩)。例如m4a的文件头信息为:
所以排除是常见的编码格式音频文件。
刚才在网上搜索到的信息中,提到了一句“为了录音转文字功能做的备份文件”。根据开发的经验,录音转文字功能输入的音频一般格式为mp3、wav、pcm等比较常规的格式。mp3格式首先排除因为没有文件头也比较大。wav和pcm是原始音频流并且文件大小通常都比较大, wav格式带有文件头所以也排除掉。pcm是原始音频流,不包含文件头信息,存储的仅仅是音频内容,那么这个文件是否可能是pcm原始音频流呢?
注:wav就是加了文件头的pcm,文件头包含采样率、声道、位数等信息,wav与mp3的关系有点像bmp和jpg之间的关系,bmp是位图原始数据,jpg是在画质损失极小的情况下编码压缩,在质量损失较小的情况下大幅度压缩文件大小。
04 尝试
拿出来万能播放器ffplay以pcm格式尝试播放,ffplay主要参数为:ffplay -ar 采样率-ac 声道-f 位数信息-i 文件名
这里问题来了,有几个信息不知道。一般来说采样率是4000的倍数,手机录音、微信语音等一般都用的8000-24000之间,声道一般都是1,位数使用默认常见的16位,结合起来第一次尝试播放命令参数为:ffplay -ar 24000 -ac 1 -f s16le -i 20190221_105211_text
执行后顺利听到了声音,不过明显感觉说话速度快了非常多,就像平时看视频开启了倍速功能一样,这就是采样率设置太高了,尝试调整低一些。当调整到16000时,语音听起来非常清晰正常,到此验证了该语音就是pcm音频流并且确认了参数。最终播放命令为:ffplay -ar 16000 -ac 1 -f s16le -i 20190221_105211_text
05 格式转换
语音已经可以播放了,但是pcm毕竟播放起来较为麻烦,为了不损失任何音质所以讲pcm转为wav格式,ffmpeg命令参数为:ffmpeg -f s16le -ar 16000 -ac 1 -i 20180920_150048_text 20180920_150048_text.wav
生成同名的wav文件,使用vlc播放器正常播放。
06 总结
安卓手机的各种应用缓存非常多,而且各个厂商定制系统加入了很多非Google官方的东西,这在检材数据分析中会有不小的发现。办案过程中数据分析是一个需要极度细心又耐心的工作,本文提供的思路和方法也为广大办案人员提供一点点的帮助。
限时特惠:本站每日持续更新5-20节内部创业项目课程,一年会员
只需199元,全站资源免费下载点击查看详情
站长微信:
jjs406
