鉴定实战 | 利用日志分析，追溯手机相机操作的过程轨迹-技术圈

在电子证据日益重要的今天，手机照片在案件中常起关键作用，直接展现现场、人物关系及事件细节。但技术故障、人为误操作或数据覆盖常常导致照片丢失，给侦查和诉讼带来难题。

面对此困境，日志数据可能是获取关键证据的新希望。它详细记录了系统操作、数据变动及事件发生的全过程，包括时间戳、操作详情等，为重建案件信息提供了宝贵线索，成为寻找替代证据的重要途径。

案情介绍

2023年某月某日21时21分许，报警人报警称其在上海市轨道交通某站出口站内通往站外的自动扶梯上疑似被一男子偷拍裙底。民警到场后找到双方当事人，经询问：嫌疑人对偷拍报警人裙底的违法行为予以否认且手机中已无嫌疑照片。

鉴定过程

检材

苹果手机一部。

需求

恢复检材手机中涉案时间段的照片信息。

案件难点

对于苹果手机中多媒体文件的数据恢复我们往往想到的就是越狱，但是这种情况下也不能确保可以恢复。此外，越狱操作伴随着一系列风险，包括数据丢失、手机系统不稳定甚至可能变成“砖块”（即无法正常使用的状态）。综合上述因素，我所经过评估，不采取手机越狱的方式恢复数据。

分析过程

（1）查看案发时间段是否有缩略图文件产生，根据时间线筛查在案发时间段ithmb文件，该文件仅存在于iOS系统（文件一般较大，推荐打开该类型文件工具：ithmb Converter），此时可能存在加载文件后出现图片模糊不清或者未有案发时间段图片的情况，那么就要寻求第二种解决方案。

（2）当图片无法恢复查看时，可对iOS操作日志进行提取分析。iOS 日志分析需生成sysdiagnose日志，下为手动生成sysdiagnose日志方法截图。

上述日志生成完成后用某思助手或者手机取证软件（如：雷电手机快取）将日志备份导出进行分析。

本次案件中通过使用火眼证据分析软件对导出的日志进行分析。检出案发时间段相机图片的使用、操作、运行等记录。

总结

在本案中，通过细致入微的相机相册日志分析，我们成功还原了嫌疑人在案发时间段内的手机相机相册运行轨迹，不仅为案件的侦破提供了关键证据，也再次证明了技术手段在隐私保护领域的重要作用。这一过程不仅展现了警方和调查人员的专业素养，也提醒我们，隐私保护需要全社会的共同努力和关注。

上述是针对iOS系统的相机图片日志分析思路，对于Android系统类似案件鉴定需求，提供以下几个思路进行参考：

1、找缓存图片，根据时间线在案发时间及左右找所有图片信息；

2、应用“私密保险箱”，是否存在类似应用；

3、恢复资源文件需root，但是即使拥有root权限，也可能恢复不出案件所需要的数据（root有风险，操作需谨慎，一般不建议这种方式）；

4、手机内是否存在偷拍软件。

下为类似隐私案件数据提取鉴定方法总结的xmind图解，方便理解查看。

产品试用

电话咨询：联系您所在区域销售经理或致电400-800-3721进行产品咨询。

在线咨询：私信弘连网络官方公众号，留言您的问题，我们将在看到留言后第一时间为您解答。

供稿：sunshine
编辑排版：Serene
审核：厚朴