移动数字取证技术-论文
手机取证模型的优化与完善
电子数据取证鉴定技术优秀论文
手机取证模型的优化与完善
张永
(上海市恒平司法鉴定中心,上海 200072)
摘 要 : 以手机为代表的智能移动终端取证与传统的计算机取证存在一定的差异。文章以 计算机取证的证据保全、证据获取、证据分析、证据提交 4 个步骤模型为切入点,结合手机数 据的特点,提出了手机取证模型的优化完善方案,对实践有一定的指导意义。 关键词 : 电子数据 ; 移动终端 ; 手机取证 ; 取证模型 中图分类号 : TP309 文献标识码 : A
1 手机取证模型
从证据属性分析,手机中存储的数据毫无疑问应该属于电子数据范畴。因此,在 《移动终端取证检验方法》中,手机 取证模型和计算机取证模型没有本质性区别。计算机取证的经典模型,即证据保全、证据获取、证据分析、证据提交的 4 个步骤也被广泛用于手机取证程序中 [2]。但是, 从技术操作层面客观分析, 手机取证与计算机取证之间还存在一定的差异。 例如,手机取证无法在只读条件下实施,可能对被取证手机系统造成无法修复的损害等。作为一个经实践充分验证的经 典取证模型,证据保全、证据获取、证据分析、证据提交 4 步骤为手机取证提供了基础结构,为手机取证的不断规范提 供了借鉴。本文将以此模型为基础,论述手机取证模型的程序设5 作者简介 : 张永(1983—) ,男,安徽,工程师,硕士,主要研究方向为电子数据取证鉴定、鉴定管理。 通信作者 :张永 enismole@
229
电子数据取证鉴定技术优秀论文
201 6 年 增 刊
后无法取证分析等情况。如果手机屏幕处于关闭状态,取 证人员则需要考虑提取屏幕上的指纹痕迹、DNA 等物证, 特别注意屏幕留有的特殊痕迹,及时记录下痕迹的位置, 为破解手机密码提供污点攻击的条件。如果发现手机的电 源接口、数据接口、充电器等配件属于极为罕见的类型,则 需要提取相关配件。必要时,可以将手机的包装盒、SIM 卡 套等也一并提取。此外,取证人员还要考虑犯罪嫌疑人将 手机移动终端与计算机设备同步的情况,有讯问条件的,应 当讯问 ; 没有讯问或询问条件的,应当在后续检验中注意计 算机中可能保存的手机同步数据, 如通讯录、 短信息、 照片等。 1.1.2 网络隔离 手机移动终端取证必须防止数据传输可能对手机内数 据的影响。例如,意外来电或短信会改变手机的原始状态 ; GPS 信号可能会变更取证手机被扣押前所处的位置信息等。 甚至,在某些情况下 ,通过数据网络或短信发送一个远程 清除指令,手机中存储的所有数据都可能被擦除或使设备 被永久锁定。因此,在取证分析过程中,必须对目标手机 进行彻底的网络隔离,杜绝手机原始状态的改变。 目前,手机网络隔离的方式主要有 3 种 :彻底关机、 开启飞行模式、使用电磁屏蔽设备。 《移动终端取证检验方 法》中要求以关闭手机的方式切断网络,但是彻底关闭手 机,可能导致再次开机需要认证而使取证工作变得更为复 杂 。同时,开启飞行模式并不能完全关闭系统使用 WiFi 和 GPS 服务 ; 使用电磁屏蔽设备也并不能做到完全的屏蔽 手机基站信号。因此,最为稳妥的做法是将手机开启飞行 模式,关闭 WiFi、GPS 等信号服务后,将手机置于电磁屏 蔽环境中以实现网络隔离效果的最大化。 1.1.3 物证保管 和其他物证一样,手机在被作为证据提交法庭之前,应 被妥善封存保管和运输。理想的封存应当是将已经做到信号 完全屏蔽的手机使用物证盒固定后,放入合适的物证袋,再 粘贴封条。但是,实践中存在侦查人员或者将手机关机后直 接放入物证袋封存, 或者直接在手机按键部位简单粘贴封条, 或者将手机物证不作任何处理直接交到取证人员的手里等情 况,极易导致关键证据最终沦为非法证据而被排除的局面。 因此,必须从扣押手机物证的时刻开始,高度重视证据的保 管链, 确保手机处于防震、 防湿、 防静电、 信号屏蔽的环境下 ,
电子证据与电子取证移动设备取证技术与实践
解密技术
针对加密的移动设备数据,采用 相应的解密算法和密钥进行解密
,以获取明文数据。
加密与解密的挑战
移动设备加密技术的广泛应用使 得解密变得更加困难,同时密钥 管理和密码破解也是解密过程中
的重要挑战。
03
移动设备取证实践方法
现场勘查与取证准备
现场保护
确保现场设备、数据和痕迹不被 破坏或篡改,采取必要的保护措 施,如封锁现场、记录现场情况 等。
05
案例分析:移动设备取证 在司法实践中的应用
案例一
手机短信作为证据的重要性
手机短信具有实时性、便捷性和可保存性,因此在刑事案件中可 以作为关键证据。
短信证据的收集与固定
侦查人员需要遵循法定程序,对涉案手机进行扣押,并通过专业取 证工具对短信进行提取和固定。
短信证据的分析与运用
通过对短信内容、发送时间、接收人等信息进行分析,可以揭示犯 罪嫌疑人的犯罪动机、作案过程等关键信息。
移动设备种类繁多,数据格式各异, 加密和压缩技术的广泛应用也给数据 恢复和提取带来了很大的挑战。
数据提取技术
通过特定的工具和方法,从移动设备 中提取出与案件相关的数据,如通话 记录、短信、邮件、社交媒体数据等 。
移动设备加密与解密技术
加密技术
采用密码学算法对移动设备中的 数据进行加密,以保护数据的机 密性和完整性,常见的加密技术
云端取证技术
随着云服务的发展,越来越多的数据存储在云端,云端取证技术将成为未来移动设备取 证的重要组成部分。
多源数据融合分析
将来自不同设备和平台的数据进行融合分析,以揭示更全面的案件事实,是未来移动设 备取证的重要发展趋势。
提高移动设备取证效率与准确性的策略建议
基于Android平台的手机取证技术
调查数据显示,使用 64 G 存储容量的手机用户占据主流, 所占比例为 37.59%。其次是使用 32 G 存储的用户,占比 21.94%。使用 128 G 存储容量的手机用户比例已接近 20%,
Key words: mobile forensics; root technology; USB debugging; JTAG extraction technology
0 引言
随着科技的发展,手机从最初单纯的通信产品,逐渐成 为人们生活中形影不离的必需品。中国互联网信息中心的统 计报告显示,截至 2018 年 6 月,我国手机网民规模达 7.88 亿,2018 年上半年新增手机网民 3 509 万人,较 2017 年末 增加 4.7%,网民中使用手机上网人群的占比达 98.3%。随 着智能手机用户量与日俱增,手机也成为一种值得警惕的新 型犯罪工具,利用手机从事诈骗、售假、造谣等违法事件时 常发生。近年来,智能手机犯罪发展迅速,犯罪手段层出不 穷,针对智能手机进行的网络犯罪更是日益猖獗,手机取证 正是打击这类犯罪的有效手段,也是司法行政机关需要研究 的新课题。
第一,SIM 卡是数字移动电话的一张资料卡,它记录着 IMSI(国际移动用户标识)、秘钥 Ki、PIN 码(个人用户 标识码)、加密算法和其他用户相关的信息,可供 GSM 或 CDMA 系统对用户的身份进行鉴别以及对用户通话信息进行 加密。因此,SIM 卡包含大量有价值的、潜在的电子证据。
Android手机系统电子取证技术应用与研究
DOI:10.19392/ki.1671-7341.201810040Android 手机系统电子取证技术应用与研究张晓溪㊀梁海贺河北省人民检察院㊀河北石家庄㊀050000摘㊀要:随着智能手机的普及和发展,不仅为人们提供了便捷的沟通㊁交流方式,同时也为犯罪分子提供了活动契机,智能手机中通常隐藏着很多的犯罪证据,为了进一步拓展职务犯罪侦查手段,提升公诉人审查运用电子证据水平,电子手机取证就成为了检察技术中的重要内容㊂本文详细地描述了Android 手机系统电子取证的技术现状,分析了这些技术的优缺点,同时结合检察办案中取证工作实际,展望未来取证技术发展方向,比如引入机器学习㊁数据挖掘等,进一步提升检察机关电子证据鉴定人取证准确度和速度㊂关键词:Android 手机系统;电子取证;机器学习;犯罪活动1概述Android 智能手机是TD-SCDMA㊁TD-LTE 等移动通信技术发展的阶段性硬件设备,与传统手机相比,智能手机更加便于人们安装微信㊁QQ㊁金融银行㊁企业办公等软件,便于人们通信㊁交流[1]㊂工作实际中,职务犯罪以及刑事犯罪涉及Android 智能手机的电子证据比例非常之大,对犯罪嫌疑人的手机监控和电子取证彰显出重要意义㊂因此,为了提高破案成效,为公诉工作提供更加扎实有效的证据,提高Android 智能手机取证成为检察技术重点研究的方向[2]㊂Android 智能手机取证至今没有一个统一的标准,传统的取证方法多是从系统中获取数据,然后由鉴定人进行手工分析和提取㊂但是,随着Android 智能手机的使用和普及,设备中保存的数据越来越多,人工分析工作量非常大,因此人们研发了一些取证工具,这些工具包括Final Shield㊁XRY㊁Oxygen Forensic㊁CELLDEK,可以自动化的从Android 智能手机中发现潜在犯罪证据[3]㊂目前,Android 智能手机通常划分为三个阶段,分别是数据提取㊁数据分析和证据展示,从短信㊁彩信㊁语音㊁通讯录或移动软件数据库中提取信息,将这些信息交付给系统分析,极大的提高了数据取证的速度,将证据展示出来,供取证人员使用[4]㊂2Android 手机系统电子取证技术现状Android 智能手机取证技术发展时间长,诞生的取证工具也非常多,本文重点描述Final Shield㊁XRY 等取证工具㊂(1)Final Shield㊂Final Shield 是一种屏蔽手机信号的辅助取证工具,可以将内置的USB 接口与Android 智能手机连接在一起,然后利用数据线接入到PC 上,利用Final Shield 终端软件分析智能手机,获取有效的智能手机电子证据,同时能够有效的防止取证过程打入电话或接收短信,从而避免原始数据遭受破坏,屏蔽手机信号能够锁定已经发生的证据,具有重要的作用㊂(2)XRY㊂XRY 是一款非常便捷的Android 智能手机取证箱,能够将智能手机存储器上的数据实现转储功能,XRY 设备包括五个组成部分,分别是SIM 复制卡㊁记忆卡读卡器㊁USB 数据通信单元㊁SIM 卡读写器㊁数据线等,安全模式下可以读取Android 智能手机中的电话号码㊁通讯目录㊁短消息㊁图片和视频等,这个取证箱操作简单,易学易用,能够快速的完成数据采集㊁分析和展示工作,还可以创建一个加密文件夹,将获取的智能手机数据加密保存,避免机密证据外协㊂这个工具分析结果出来之后可以形成一个简单的报告,便于工作人员仔细查看取证结果㊂3Android 手机系统电子取证技术未来发展研究随着Android 智能手机存储器的增大,保存的软件和数据也越来越多,智能手机取证面临着海量的数据资源,传统的取证技术面临着操作复杂㊁取证不准确等问题,因此未来Android 智能手机取证需要引入更多的技术,比如模式识别㊁数据挖掘㊁机器学习等技术,以便能够将这些技术与传统取证工具结合在一起,综合使用取证工具,提高取证准确度,满足检察机关电子证据鉴定人的取证需求㊂因此,电子取证技术发展方向包括以下几个方面:(1)引入数据挖掘技术,提高证据分析准确度㊂数据挖掘可以从海量的数据资源中获取潜在的㊁有价值的目标信息,挖掘过程是自动的,不需要人工操控,因此可以将数据挖掘应用到电子取证中,面对职务犯罪等不同主题的犯罪活动建立模型,将这些犯罪活动常用的数据特征输入到模型中,通过拟合Android 手机中的数据,识别犯罪活动,准确的获取电子证据㊂(2)引入友好的交互界面,提高电子取证的操作便捷性㊂目前,电子取证工具操作界面复杂,许多参数都要人工进行设置,如果没有专业的Android 系统应用知识,取证人员就无法准确的获取证据㊂因此,引入友好的交互界面,为取证人员提供一个良好的操作界面,即使取证人员没有掌握操作技术依然可以准确的获取电子证据㊂4结语Android 智能手机作为一种先进的通信社交工具,随着TD-LTE 技术的发展已经得到广泛普及,不仅仅可以完成视频语言通话,同时还可以承载微信㊁微博㊁QQ 等软件,产生的数据非常大,对于电子证据鉴定人取证带来了严重的问题,必须引入先进的数据挖掘技术,构建面向不同犯罪主题进行数据建模,从而可以自动化的发掘潜在的问题,才能满足调查人员的特定需求㊂参考文献:[1]苗得水,夏虹.Android 系统手机电子数据取证研究[J ].中国刑警学院学报,2015,2(1):49-50.[2]危蓉,麦永浩.锁屏Android 智能手机取证方法的研究[J ].中国司法鉴定,2015,78(1):67-70.[3]刘浩阳.Android 设备取证研究[J ].信息网络安全,2015,11(9):29-32.[4]郑帅.基于Android 系统的电子证据恢复技术探讨[J ].电子技术与软件工程,2016,5(4):181.24电子信息科技风2018年4月。
电子证据与数字取证技术
电子证据与数字取证技术文/ □李俊莉随着计算机及网络技术的高速发展和广泛应用,计算机网络在金融系统日益普及,电子商务电子政务的应用逐渐的扩大,利用计算机进行的各种经济犯罪也在日趋增加。
计算机犯罪专家唐·帕克说,将来,计算机犯罪作为一种特定的犯罪类型可能会不复存在,所有的经济犯罪都将是计算机犯罪,因为各种工商活动都离不开计算机。
数字证据与数字取证的定义数字证据是指任何使用计算机存储和传输的数据,用于支持和反驳犯罪发生的推测,或者用于表述诸如动机、犯罪现场等的犯罪关键要素。
一般情况数字证据与电子证据经常交替使用。
数字取证主要是对电子证据识别、保存、收集、分析和呈堂,从而揭示与数字产品相关的犯罪行为或过失。
利用计算机和其他数字产品进行犯罪的证据都以数字形式通过计算机或网络进行存储和传输,从而出现了电子证据,电子证据的正确定义是制定电子证据的规则和原则,是电子证据的可采纳性、证明力、归类及其审查判断的重要依据。
电子证据是指以电子的、数字的、电磁的、光学的或类似性能的相关技术形式保存记录于计算机、磁性物、光学设备或类似设备及介质中或通过以上设备生成、发送、接受的能够证明刑事案件情况的一切数据或信息。
计算机犯罪取证也被称为计算机法医学,是指把计算机看做犯罪现场,运用先进的辨析技术,对电脑犯罪行为进行法医式的解剖,搜寻确认罪犯及其犯罪证据,并据此提起诉讼。
它作为计算机领域和法学领域的一门交叉科学,正逐渐成为人们关注的焦点。
电子证据以文本、图形、图像、动画、音频、视频等多种信息形式表现出来。
证据一经生成,会在计算机系统、网络系统中留下相关的痕迹或记录并被保存于系统自带日志或第三方软件形成的日志中,客观真实地记录了案件事实情况。
但由于计算机数字信息存储、传输不连续和离散,容易被截取、监听、剪接、删除,同时还可能由于计算机系统、网络系统、物理系统的原因,造成其变化且难有痕迹可寻。
刑事电子证据的特点要求数字取证应遵循电子证据的特点,严格执行证据规则,客观、真实、合法,利用专门工具、专业人士取证保证,司法活动合法、高效、公正。
数字取证的云计算取证技术
目 录
• 引言 • 云计算取证技术基础 • 云计算取证技术应用 • 云计算取证技术挑战与对策 • 云计算取证技术实践案例 • 云计算取证技术未来展望
01
引言
背景与意义
数字化时代的到来
云计算技术的引入
随着互联网和数字化技术的飞速发展 ,电子数据在各类案件中的证据作用 日益凸显,数字取证成为司法实践中 的重要环节。
数据备份与恢复
建立数据备份机制,确保 数据在意外情况下能够及 时恢复。
数据访问控制
实施严格的数据访问控制 策略,防止未经授权的数 据访问和泄露。
数据分析与呈现
数据挖掘与分析
利用数据挖掘技术对收集到的数据进行分析,发 现潜在证据和线索。
数据可视化呈现
通过图表、图像等形式将数据可视化呈现,提高 数据分析效率。
等可能对取证过程造成严重影响。
取证过程安全
03
如何确保取证过程的安全性和可信度,防止数据被篡改或伪造
也是安全上的挑战。
对策与建议
加强技术研究与创新
完善法律法规
针对云计算取证的技术挑战,需要加强相 关技术研究与创新,提高取证技术的适应 性和效率。
建立健全云计算取证的法律法规体系,明 确跨境取证、隐私保护等方面的法律规定 ,为云计算取证提供法律保障。
云计算取证技术原理
数据获取
通过云计算平台提供的API接口或 数据导出功能,获取与案件相关 的数据。
数据存储与分析
将获取的数据存储在安全可靠的存 储介质中,并利用专业的数据分析 工具对数据进行处理和分析,提取 关键信息。
证据呈现与保存
将分析结果以可视化形式呈现,同 时采取必要的措施确保电子证据的 完整性和真实性。
移动数字取证技术
移动数字取证技术作者:丁丽萍岳晓萌李彦峰来源:《中兴通讯技术》2015年第03期摘要:对应移动数字取证技术的4个方面:移动设备取证、移动系统取证、移动网络取证和移动应用取证,给出了移动设备取证的步骤和手段,基于iOS和Android系统的数字取证技术及其特点,移动网络下数字取证的基本手段和技术,移动应用取证的基本特征;认为随着越来越多的新概念和新技术的发展,未来智能移动终端数字取证技术将成为数字取证的主流之一。
关键词:智能移动终端;数字取证;移动取证;网络犯罪数字取证是指科学地运用提取和证明方法,对于从电子数据源提取的电子证据进行保护、收集、验证、鉴定、分析、解释、存档和出示,以有助于进一步的犯罪事件重构或者帮助识别某些与计划操作无关的非授权性活动。
无线通信技术的普及和智能终端应用的便捷带来了诸多的安全问题及针对智能终端的犯罪活动。
移动支付等涉及个人财产和隐私信息的应用层出不穷,导致针对移动通信系统的犯罪激增。
据统计,欧洲80%的犯罪涉及移动数字取证,英国90%的犯罪涉及移动数字取证,美国70%的犯罪涉及移动数字取证。
移动取证正在发展成为数字取证的主要工作。
同时,移动通信安全事件的事前安全防护与事后追责的讼诉相关理论和技术的研究也是信息安全和取证领域的研究热点问题。
数字取证技术的研究有鲜明的国家特点,即国家的性质、法律和制度对于数字取证技术的研究均具有一定的影响和制约。
照搬照抄国际上的数字取证技术和工具的做法是不可取的,结合中国国情的数字取证探索值得大力提倡。
目前,中国在操作系统的可取证研究、BIOS芯片取证方面已经推出了自主创新的研究成果,但与国际上更为成熟的数字取证技术相比,差距还比较大。
无线通信技术的复杂性和多样性使得数字取证面临诸多难点问题。
从移动互联网的组成看,移动取证包括:(1)移动设备取证,包括各种不同型号品牌的手机、平板电脑(PAD)、自带设备办公(BYOD)、各种不同的物联网终端等。
司法鉴定中的数字取证技术介绍
文件解析与识别技术
文件解析
对数字设备中的各类文件进行深入分 析,提取文件头、元数据、内容等信 息,以确定文件类型、来源和修改历 史等。
文件识别
通过特定算法对文件进行识别和分类 ,如识别图像、音频、视频等文件的 格式和内容,为后续分析提供基础。
时间戳分析与验证技术
时间戳分析
对数字设备中的时间戳信息进行提取和分析,以确定文件创建、修改和访问的 时间,为案件调查提供时间线索。
工作流程
数字取证技术的工作流程通常包括案件受理、现场勘查 、数据提取、数据分析、证据呈现和结案归档等步骤。 其中,案件受理是指接收案件并了解案情;现场勘查是 指对涉案数字设备或存储介质进行现场勘查和收集;数 据提取是指对收集到的数据进行提取和整理;数据分析 是指对提取的数据进行深入分析和挖掘;证据呈现是指 将分析结果以可视化、直观化的方式呈现出来;结案归 档是指将案件相关材料和证据进行整理和归档。
展望未来发展趋势
技术创新
随着人工智能、大数据等技 术的不断发展,数字取证技 术将不断创新,提高自动化 和智能化水平。
法规完善
随着数字技术的广泛应用, 相关法律法规将不断完善, 为数字取证技术的发展提供 有力保障。
国际合作
跨国犯罪和网络犯罪日益猖 獗,数字取证技术的国际合 作将成为未来发展的重要趋 势。
时间戳验证
通过与其他证据或信息进行比对,验证时间戳的真实性和准确性,以确定数字 证据的可靠性和完整性。
加密解密技术应用
加密技术应用
采用加密算法对重要数字信息进行加密处理,确保信息在传 输和存储过程中的安全性,防止未经授权的访问和篡改。
解密技术应用
在合法授权的情况下,利用解密算法对加密信息进行解密处 理,以获取原始信息内容,为案件调查提供证据支持。