Belkasoft Forensic IM Analyzer 即时聊天记录分析工具

俄罗斯Belkasoft公司CEO Yuri Gubanov先生给我来信，推荐他们研制的Forensic IM Analyzer工具。使用了一下，发现这个软件非常地简单，可对计算机中各种即时通讯工具进行检测，并直接读取聊天纪录，效果非常不错。该软件目前可以支持ICQ (97a 至ICQ6各版本), Microsoft MSN/LiveMessenger, Skype, Yahoo! Messenger, MySpace IM, &RQ, Miranda, SIM, QIP, Google Hello, Trillian, QQ 和 AIM，适应面很广。利用该软件，可自动搜索硬盘中保存的历史纪录，且无需口令既可打开。配合Smart Mount等工具，可以直接加载磁盘镜像，并对镜像文件中的数据进行分析。



从这些工具来看，世界各国的计算机法证专家们真是努力呀。以前不知道俄罗斯在计算机法证方面的进展，现在看来他们的确还是有一些积累的，除了密码破解方面是强项，法证技术方面也一样不逊色。

测试版可从以下地址下载：http://belkasoft.com/bfia/en/download.asp

了解软件使用方法，可观看视频讲解：http://belkasoft.com/bfia/en/How_To_Use_Product.asp

这个视频中的故事大概是这样的：

大家好！我是一名 Neverland 警署的计算机法证调查官。我正在调查的是一起非常复杂的案件。案件是这样的：一家最大的糖果制造厂被抢劫了，我们找到了嫌疑犯，名字叫做Sweetieslover。但是，没有明确的证据证明他参加了这起抢劫案，我们只知道他的名字。通过对他的计算机中的文档、电子邮件进行检查，发现他似乎是完全无辜的。我最后的希望就是对他的聊天纪录进行分析了，其他法证专家们推荐我使用Belkasoft公司研制的 Forensic IM Analyzer聊天记录分析工具。

现在看看我是怎么利用这个软件工作的。左边窗口，可以看到三个选项，已安装的聊天工具、发现的聊天工具和搜索结果。'已安装的聊天工具' 似乎对我这起案件没有什么用处，因为我需要做的是对一块证据硬盘进行分析，获取的硬盘被通过Encase加载后，以网络硬盘的方式连接在我的计算机上。

首先，我要判定嫌疑人究竟使用了那种聊天工具。通过对Program Files目录进行分析，发现里面包含 Yahoo! Messenger。好，那就看看里面有什么记录信息吧。嗯...看来仅仅通过察看目录和文件发现不了什么有用的东西。不过没关系，我手里有处理即时通讯记录的专业工具。

我从新回到IM Analyzer聊天记录分析工具，找到“发现的聊天工具”中的“Yahoo messenger”，点击鼠标右键，选择'打开此聊天软件历史记录'。然后，通过浏览器找到Program Files文件夹。

好了，加入了历史记录，这时只要使用“读取历史记录”，就可以直接察看记录了。哈哈，不少记录呀！需要看的东西可真不少呀！ 能不能缩小查看的范围呢？当然能，可以将那些没有聊天记录的信息隐藏掉。选择右键，“隐藏没有聊天记录的联系人”。再看看，记录仍然不少。在导出聊天记录的空闲时间里，还是先来杯咖啡吧！

察看了2个小时了
真是见鬼，还没有什么重要的线索。只是从他老婆的聊天记录中得知，老婆对她老公不是那么全心全意的，不过这是其他的事情，与本案无关吧。

是不是有些东西通过我的手动分析没有发现呢？还是让 Belkasoft Forensic IM Analyzer软件搜索为我搜索一下历史记录吧！从菜单中，我使用了'搜索IM记录'选项。

这个工具可以使用多种选项。可以搜索硬盘、移动设备、光盘和网络驱动器。但由于我搜索的网络驱动器，因此我需要使用“搜索网络驱动器”选项。我需要看看有没有其他的聊天软件，各种格式的聊天记录都可能会有用。根据硬盘大小不同，搜索的时间可能是几秒钟，或者是二、三十分钟。

看看，软件果然帮我发现到了我没有注意到的，QQ 聊天记录。QQ 聊天工具在中国非常普及，有些Neverlandiands人也使用它。

狡猾的嫌疑犯将QQ 聊天记录保存到了一个其它的位置，但是分析工具自动找到了他。QQ 历史记录总是加密的，IM Analyzer在这里就非常有用了。

现在搜索这个新的历史记录，看看有什么内容与sweets有关。通过察看历史记录可以看到，有些联系人的聊天记录比Yahoo中的纪录还要多。

首先，搜索一下"cookies"这个词，这可以通过菜单中的“搜索历史记录”来实现。这个人似乎喜欢cookies，有很多的搜索结果。接下来，搜索一下'sweets'，嗯，还是很多结果。比如，她的总是说“Hi, sweetie”。但这些结果对我的调查没有什么帮助。还有什么词能与"sweets"相近呢？软件允许我调用“关键词列表”。我有一个词库包含许多词汇的近义词。通过搜索，发现'candies'这个词在聊天记录中被使用过。但是搜索结果还是很多。我是不是该使用'steal candies'这个词呢？这可能是嫌疑人可能会说、会做的。但搜索这个词后，没有任何结果。对了，这两个词可能并不是连续出现的，如果Steal这个词与candies这个词之间有其他字符呢？可能中间有4、5、6个单词呢？

可以利用软件提供的“通过正则表达式搜索”功能。先输入steal，然后后面可能会有几个数字、符号或空格，最后是candies.

真棒，找到了一个记录。发送者是Mr. Sweetieslover ，接收者是Mr. Evil。就是他。

好了，调查分析结束了，我该把这些发现结果提供给其他部门的伙伴了。他们不是计算机的专家，但都是证据和文字分析的专家。我只需要把这些记录导出为Html格式，刻录到光盘上就可以了。我只想导出和Mr. Evil的聊天记录，通过点击“选择的联系人”，然后选择目标文件夹，导出。导出的数据里包含聊天对象和聊天时间。

好了，我的工作结束了。如果没有这个软件，我真不知道我怎么才能完成这个案件的调查。谢谢Belkssoft.