【假期充电】现场固定Telegram数据

Telegram（非正式简称TG或电报）是跨平台的即时通信软件，其客户端是自由软件并且开放了源代码，但服务器端是商业化的专有应用。用户可以自由地进行信息交换，比如加密与自毁消息（类似于“阅后即焚”），并且可以发送照片、影片以及其他多种类型文件。官方提供手机版（Android、iOS、Windows Phone）、桌面版（Windows、macOS、Linux）和Web版等多种登录途径。

自从鹅厂加强平台注册审核力度之后，黑灰网络交易的温床从QQ、微信转向了电报（号称全球任何政府组织机构都无法进行监听的社交聊天软件），注册方便，操作简单。

  

接下来分享一下现场遇到Telegram时的数据固定技巧。

现场电脑中Telegram可能是在线状态或者离线状态，此时固定的方法也会根据状态发生变化。从软件界面可以判断Telegram的状态是否在线。见下图：

在线状态的Telegram有两种方案：

可以通过自身的数据导出功能可以将数据导出到本地，详情步骤（通过软件的setting设置→Advanced高级→Export Telegram data导出Telegram数据，再对需要固定的数据进行勾选导出即可（注意不要勾选只导出我的消息），导出路径需要自行更改。详情见下图：

通过远程固定的方式对Telegram进行固定。以下就是使用雷电云取证软件进行固定。雷电云固定可以通过接受短信验证码以及App扫码进行验证固定工作。见下图：

通过现场电脑Telegram客户端可以找到对应的手机号码。

此时可以通过手机卡进行短信验证或通过客户端或App端接收验证码进行验证工作。客户端接收验证码见下图：

验证过程中，可能遇到比较谨慎的嫌疑人会设置两步验证。

在不知道认证密码的情况下，可以通过客户端禁用此认证（setting设置→privacy and security隐私和安全→disable cloud password禁用两步验证密码→forgot password点击忘记密码→可以通过绑定邮箱进行解锁）见下图：

解决认证问题之后，雷电云可以对需要的数据进行过滤提取，节省固定时间，减少数据在云端被抹除的风险。

通过一些支持滚动录屏的软件对优先级别高的聊天记录进行录屏固定，下面就是使用取证录像对其聊天记录进行固定。

通过客户端找到账号对应的手机号使用雷电云取证软件通过验证码登录（详情操作步骤见在线状态固定的方案二）。

最后，针对Telegram的整体固定思路，与电子数据取证的一贯原则相同：先本地后联网。因为Telegram软件本身的特性是消息对端,是可以删除消息记录的，一旦对端删除了消息记录，联网会同步这个“删除”的状态，从而导致本地本来存在的消息记录丢失。因此，出于对证据固定完整性的要求，应该在完成本地数据固定后，再根据现场情况与取证需求，决定是否需要进行联网固定操作。

一旦App处于联网状态，就有可能被从云端抹除数据（如：删除聊天对话，会同时删除双方客户端的消息记录）。因此，我们需要尽可能地节省固定时间，或者选择离线固定方案，降低数据被改变的风险。

如果您也在工作中遇到了其他取证疑难点，欢迎联系我们（400-800-3721）。