王李平 李天长 王超 张江文

1. 重庆市公安局大渡口区分局 2. 重庆市公安局

引言

近期，在办理的一起案件中，嫌疑人手机中安装了境外即时通讯聊天工具Secret，软件logo如图1所示。该Secret社交APP以“去中心化”为主要特点，具有自己的独特特点，其中最受用户欢迎的是用户隐私保护特点和群组功能，目前支持21种国家语言。该APP的群组成员最多可以达20万用户，远远超过了国内像微信、QQ之类的聊天工具的用户限制；用户之间的聊天内容可以开启阅后即焚的功能，为私密消息设定生命周期，且随时可以删除本设备或所有设备接收的登录用户发送的消息内容。

区块链社交Secret即时通讯APP的数据存储没有存储在本地，且发送的消息可以阅后即焚和随时删除，给执法人员提取数据带来了极大的困难。该类APP的数据提取方法不同于其它传统的APP提取方法[1-5]。结合本文案例，首先介绍一下Secret软件具有的特点[6]。

（一）Secret是一款免费的加密聊天软件

使用Secret时，所有聊天内容都会进行端到端的加密。每一条发送的信息都有自己的安全锁和安全密钥，而且所有的信息都会自动进行端到端的加密，可确保所有聊天信息的安全性和隐私性。

Secret的视频通话也会进行端到端的加密，这意味着Secret和第三方均无法听取通话内容，端到端的对聊天、传送文件、图片、视频进行加密。据官方消息称，服务器不会保存用户的任何聊天记录，保证用户消息的绝对安全。

（二）快速建立群组

不同于微信、QQ等聊天软件，受到群组成员人数的限制，Secret软件可以快速建立上万人的群组。可以与群组内的多人聊天、对话、共享文件和共享视频等，进行便捷高效的多方沟通对话。100人以下群组使用非对称超级加密技术，端到端发送非对称加密。1000人以上的群组采用Telegram的群组加密技术。

（三）创建自己的社区

社区里面有我的好友朋友圈，可以分享生活图片、文字信息，还有语音分享、在线电台（在微社区和直播区与主播实时互动）、短视频分享、在线课程（可以在线分享自己的经验）、万人在线会议、视频会议等。自己也可以发布一些动态信息，来分享自己的生活、经历、见闻等，也可以对朋友圈内发布的内容进行点赞、分享和打赏。

（四）Secret是一个开放的平台

Secret基于万人群和社区，允许第三方接入各种Web应用程序，包括游戏、购物、信息等丰富多样的内容，力求全方位提升用户体验，为众多开发者提供一个大舞台。

（1）移动平台接入：接入开放平台，应用支持分享、收藏和支付；

（2）支持用户登录：网站允许使用Secret帐号登录；

（3）行业解决方案：成为开放平台的第三方，为企业级用户提供运营服务和行业解决方案；

（4）IM服务：为第三方公司提供IM服务与合作。

一、Secret软件功能介绍

Secret软件具有iOS版本、Android版本、MAC版本、Windows版本及Web版本等。经过多种方式测试Secret社交软件，得到该软件有诸多功能特征。最近，Secret软件进行了升级，升级后的功能比较如表1所示。

升级前的Secret软件可以在移动终端、PC端和Web端进行注册，目前仅允许移动终端通过注册信息登录，而PC端和Web端取消了注册功能；在PC端和Web端登录也取消了手机号登录的功能。移动终端版Secret软件对于本设备发送的消息可以设置销毁时间，最短时间是5秒钟，最长时间为4周，Web端Secret和PC端的Secret同样可以设置内容销毁时间，最短时间和移动终端一样是5秒钟，最长时间不一样，是1天而不是4周。

Secret软件的数据无法在登录其他设备时同步到新登录设备上，只有新发送或接收的数据才会在不同设备上同步显示。也就是说，早期登录的设备上的数据在新登录的设备上不会显示。在登录新设备后再发送或接收的消息所有设备都会显示。

?

移动终端退出后，不影响PC端和Web端的正常使用，即独立运行。不论为移动终端还是电脑终端、Web端，Secret都可以独立运行。

4.3 社区上门输液安全管理模式可以提高患者的满意度 对家庭输液患者开展针对性的健康教育和用药指导提高了上门输液患者及家属对相关输液知识和药物的知晓率，使家属能掌握简单的输液故障处置方法减少了护士上门输液的重复率，减轻家庭输液护士的工作压力，提高了患者的满意度。

二、提取数据的方式

由于该APP的数据不在本地存储，所以通过连接手机取证设备直接提取数据已经无法达到目的。结合上文中介绍的特点，分为几种情况进行了数据提取。

（一）禁止联网，手机已默认登录Secret软件，且掌握Secret通讯软件的登录密码

在禁止嫌疑人手机联网的情况下，对手机中Secret软件中的数据进行归档，将归档的数据导出到电脑中备份，然后在一部干净的测试手机中导入归档数据，对测试手机联网进行下载音、视频文件、图片文件到手机中，然后利用常规的手机取证软件对测试手机进行取证。这种取证方式适合提取音视频文件或者图片，如果文字较多则不适合。

（二）禁止联网，手机已默认登录Secret软件，但未掌握Secret通讯软件的登录密码

因为未掌握Secret软件的登录密码，就无法通过归档数据，在其他终端设备上以恢复归档数据的方式来获取数据。这种情况下，首先对手机提取镜像文件，备份手机中的原始数据。接下来有三种方式提取：（1）查看手机中是否保存有Secret密码，如果有则按照上一段介绍的方式进行操作；（2）查看手机中Secret登录帐号的邮箱地址，查看手机中是否有该邮箱的密码，如果有则可以通过Secret密码找回的方式，更改Secret密码，然后按照上一段介绍的方式进行提取；（3）使用传统拍照方法进行数据提取。

（三）禁止联网，已掌握登录帐号和密码，但Secret软件默认退出

这种情况下，因为无法登录帐号，且数据存储在云端，即使在退出的时候没有删除数据，如果不联网则无法提取数据。

（四）可以联网，已掌握登录帐号和密码，但Secret软件默认退出

这种情况下，如果是Android版的移动终端，则可以通过邮箱和密码的方式登录后再断网，然后通过第（一）部分介绍的方法进行数据提取。这种联网提取数据的方法有可能造成被设备接收的数据被删除。

上面介绍的四种提取方式，也可以使用流程图表示，如图2所示。

三、取证实例介绍

环境：测试手机品牌HUAWEI，测试手机型号Mate 20，操作系统Android 9。

由于该软件的数据不存储在本地，如果想提取该软件上的数据，就需要人工参与进行处理。

（1）该软件可以通过归档的方式将软件中的文字类型数据进行备份，自动保存在设备中的“Download”文件夹。归档的文件命名格式为“Secret+用户名帐号+日期时间”，后缀名为“设备类型（Android or iOS）_wbu”，本例中数据归档的文件名为“Secret-zhangqiang6539-Backup_202109232125.android_wbu”。然后在其他同类型的设备上进行数据恢复，如图3、图4所示。

（2）如果提取的是文字聊天记录，只有通过截屏方式将聊天记录进行截图，自动保存到设备“Pictures/Screenshots”文件夹内，命名格式为“Screenshot+日期+时间”，后缀名为“jsy_secret”，本文中其中一个截图的命名为“Screenshot_20210930_094010_com.jsy.secret”，如图5、图6所示。

（3）如果是图片、视频或者语音数据，可以通过联网进行下载到本地手机中进行提取。注意，通过下载数据的方式进行提取，需要连接互联网，前提是需要在原始嫌疑人手机中进行归档，然后在测试手机中进行操作。下载的文件保存在设备中的“Downloads”，如图7、图8所示。

四、结语

本文通过分析Secret软件的特点和功能，介绍了四种提取数据的方式，此四种方法比较适合图片、视频、音频等资料较多的案例。如果文字较多，则效果不显著。前三种方式是在禁止移动终端联网的情况下提取数据，第四种是可以短暂联网的情况下提取数据。本文中的案例进行了脱密处理，方法过程和实际案例的提取方法、过程都一样。由于Secret软件的数据不存储在本地，所有传统的使用取证设备提取数据的方式是不适用的。在本文中提到的提取方式，只要Secret软件处于登录状态，不管是否能联网或者是否知道密码，都可以通过相机拍照的方式提取数据。

该Secret软件是境外的一种即时聊天软件，在处理国家安全方面的案例中有时会遇到。通过本文介绍的数据提取方法，一线民警在遇到此类软件时，希望能提供一些参考和帮助。