一直说到俄罗斯Belkasoft公司的IM Analyser可以支持QQ 2009和QQ 2010的聊天记录查看，但一直没有测试成功。今天和Belkasoft公司CEO Yuri在SKYPE上遇到了，并一起测试了最新版本2.0，发现果然可以成功查看2010版的聊天记录。

趁热打铁，把测试过程和遇到的问题和大家交流一下。之前也是测试过几次，但都不成功，以为他们还没有彻底解决技术问题。后来才知道可能是他们软件中的一个BUG，估计下一个版本中就可以修改好了。

过程如下：
测试版本：Belkasoft Forensic Studio Professional Version: 2.0  ( BFSP.ZIP 9327KB)
测试环境：MacOS Parallels Desktop 虚拟机，安装WINDOWS XP 32位中文版
QQ版本： QQ2010正式版（1720）
其他要求：Microsoft.NET Framework 3.5

下载，安装就不说了。软件运行后，可以转换为中文界面。这个软件是Sprite一年前汉化的，现在发现有些汉语选词错误，大家包涵着用吧。

1、软件运行，首先看到注册画面。这里面显示的是针对SPRITE的机器生成的机器码。购买软件的人，只要将这个机器码返还给软件公司，就会生成一串唯一对应的注册码。可以激活软件。请注意生成Hardware ID时候的软件版本。不同的版本对应的激活码是不能互换使用的。也就是专业版的注册码不可以在标准版的软件中使用。否则会提示注册码无效。



2、如果各位只是想测试一下软件，那么选择演示模式即可。“运行未注册的软件”--没翻译好。呵呵。选择之后，软件会提示只能显示20条聊天信息。



3、选择QQ2009/2010，右键，选择“查找该类型聊天记录”。这个软件的BUG就在这里。如果选择了“打开聊天记录文件”，过一会调用聊天记录文件时软件就会出错，退出。



4、在出现的下面窗口中，如果选择第一个选项“所有逻辑磁盘”，那么查找QQ聊天记录的时间会非常长，因为软件要去检索所有的目录，如果你的计算机中目录很多，可能会搜索1个小时。呵呵。为了快速地定位，我们还是直接指定QQ目录吧。一般来说，默认的安装位置是：c:\probram files\Tencent，用户也有可能自己更换安装位置，但总的说找到这个位置还是计较简单的。




5、搜索指定磁盘或目录，设定好QQ的路径（不用更加详细了，这样设置搜索起来已经非常快了，大约3秒。）选择确定继续。



6、3秒之后，软件自动找到了包含有聊天记录的目录。这里面显示的是我测试的QQ号码。如果实际的CASE里面，可能会出现好几个QQ号码，都会显示在这里。



7、此时，双击QQ2009\2010，可以看到这里出现了搜索到的QQ号码。



8、选择相应的QQ号码，右键，选择读取聊天记录。编码可以设定中文语言。



9、这里比较复杂，给大家解释一下。
第一个C:\，是用户Windows所在的盘符。我这里是C盘，所以设定为C。但如果外挂一块硬盘时候，WINDOWS所在分区的盘符可能为F，那么需要将这里设定为F:

第二个选框，是用户QQ目录所在反复，我的QQ保存在C盘，所以也是选择了C:。但如果设定在D盘，或者外挂一块硬盘时，QQ位置可能是G:，那么就需要设定为相应盘符。

第三个选框是WINDOWS注册表SOFTWARE保存的位置。如果在自己的机器上测试，那么当前WINDOWS正在运行，SOFTWWARE是被保护的。IM ANALYZER无法读取被锁定的SOFTWARE。此时需要用类似于HOBOCOPY的工具，或者有WINHEX或者X-WAYS FORENSICS的朋友可以用这两个软件将SOFTWARE拷贝至某个目录中备用。


有关SOFTWARE的拷贝方法如下：
a:  SOFTWARE的位置：


B: HOBOCOPY的使用方法：红色标注的即为命令行。



10、

读取成功后，测试QQ号码显示为绿色。双击这个号码，可以看到包含聊天记录的号码和聊天内容。

11、此时可以看到测试的聊天内容。其实操作正确后还是很简单的。读取速度也是很快。中文支持很好。显示时间也是准确的。其中O表示OUT，即发出的信息，也就是我测试的QQ号码，机主。I表示IN，即接收的信息，即和我聊天的人，图中显示为7414XXXX的人。


不足：
群记录无法分析。Belkasoft答应继续分析。
好友列表无法显示。
可以解决部分问题，但无法解决QQ2010的全部问题。

但不足归不足，终究这是Sprite所看到的唯一一个可以查看到聊天记录的工具。能解决一点，总比一点都不能解决好吧。