您的位置:360文档中心› 手机取证论文

手机取证论文

合集下载

浅谈电子物证现场勘查工作中手机物证的提取与固定

浅谈电子物证现场勘查工作中手机物证的提取与固定

浅谈电子物证现场勘查工作中手机物证的提取与固定摘要电子物证作为刑事技术新兴的专业,在越来越多的执法实务中发挥着不可或缺的作用。

虽然电子证据检验分析的工作主战场在实验室中,但现场勘查却是电子证据检验最重要的前端环节。

在新刑诉法等一系列法律法规中,对电子物证送检流转流程要求愈加严格,因此在现场勘查中对电子物证的规范提取和固定成为电子物证检验技术人员新的要求。

基于电子物证有别于其他传统证据类型的特点,在电子物证现场勘查务实中需要更加严格遵守规范流程和方法。

关键词电子物证;手机取证;现场勘查;一长四必1 前言电子物证现场勘查取证是指受办案部门委托,在犯罪嫌疑人办公场所、住所等地点,对可能含有与犯罪案件相关电子物证的电子设备、存储介质等进行现场勘查取证。

电子物证取证现场勘查取证工作中应当严格遵守国家法律、法规和其他相关规定,并遵循相关技术规范[1]。

在电子物证现场勘查取证过程中,应当保证电子物证的安全性、可溯源性、真实性和完整性。

若采取的现场勘查措施不可避免会对电子物证产生影响的,应当告知委托人员,并在电子物证现场勘查笔录中进行记录并说明原因[2]。

目前中国智能手机的普及率已达58%,并且在实际办案务实中,手机类检材也要远远多于计算机类检材。

随着智能手机地不断发展,在现场勘查工作中有更多的规范技术方法也需要随之改进。

2 手机类检材现场勘查准备工作在进行电子物证现场勘查取证前期准备时,应了解以下几方面情况,主要包括以下几点:(1)充分了解案件的基本案情;(2)观察并记录现场所在位置及相关环境;(3)听取痕迹检验技术员对现场勘查情况的介绍;(4)其他应事先掌握的与现场勘验相关的情况。

在赶赴现场勘查前,应准备好现场勘验取证设备及工具,包括但不限于电磁信号屏蔽物证袋、信号屏蔽器、手机取证检验工具、专用安全访问接口、专用案件数据存储介质、充电宝、数据线包等。

3 手机类检材现场勘查工作到达现场后,应采取措施保护现场,以保证电子物证的完整性,主要包括以下几个方面[3]:(1)进入现场前,应带好有防静电功能的手套、鞋套;(2)立即制止在场人员一切操作电子设备的行为;(3)启用小型信号屏蔽器阻断手机通信信号;(4)针对现场情况进行必要的拍照和信息记录(5)检查手机的开关机状态,并进行相应的记录;(6)如手机类检材处于开机状态的,不得进行关机操作。

对Android系统手机取证的研究

对Android系统手机取证的研究
通信市场・ 2 0 1 3 年1 - 2 月 第1 9 3页
2 0 1 3全国计算机 网络与通信 学术会议优秀论文
T e l l e c o m mar k e t
2 、X R Y的作用 是手 机 内存 数据 的存 储 的工具 ,最大 的优 点是 方便 携带 ,该设备 是 由 S I M 卡读 写器 、U S B通信 单元 、数据 线等 组成 的 。它 可 以进 行 多种模 式 的数据 读取 ,不但 操 作方 便 ,并且 处理 效果 很好 ,还有 很好 的对 文件 的加 密措施 ,在 未经允 许 的情况 下 能够很 好 的保
掘其 中有效的信息,破击犯罪行为,也是因为此才应运而生了安卓系统手机取证。 安卓系统手机取证即是对安卓系统手机依靠科学技术的研究及分析, 确保收集到手机内
部 的相 关 数据 ,并且在 最 后从 中挖 掘 出有 法律 效 力 ,有利 于获取 有关 部 门破案 的有 效信 息作 为证据 的过 程 。因为安 卓 系统 是一 个开源 手机 操 作系 统 ,是第一 个 为移动 终 端开发 出的发放 完 整 的移 动 软件 , 并 且安 卓 系统 的架 构和 L i n u x的操作 系 统是相 同 的, 都 是采 用分层 的架 构 , 从 高 到低 依 次为程 序层 ,应 用程 序框 架层 ,中 问件层 ,L i n u x核心层 等 四层 ,它可 以进行 它 功 能 的扩 张 ,可 以直接 接 入 网络上 网 ,作用相 当于 一 台微型计 算机 。 要 想 获取 信 息首 先就 要 弄清 楚信 息源 自哪 些地 方 ?手机 本身 自带 的 内存 ,S D卡 ,识 别
第二 ,避免在取证 的过程有电话和信息的进入,对手机 的原始数据造成丢失或者破坏,
应 该提前 将手 机设 置 为飞行 的模 式 。 第三 ,注 意无 限 网络是 否连接 ,如 果在 取证 的过程 中连 上 网络 也容 易造成 数据 的破 坏 。 第 四 ,注 意将 手 机里面 的原 始数据 备 份 ,才 能进 行分 析 。 第五, 在 成功 备份 好手 机 内存 的数据 之 后 , 可 以将 S I M和 S D卡 中 的数据 分 开进行 分 析 。 四、在 a n d r o i d系统手 机取 证 中存 在 的 问题 由于安 卓系统 手 机 的标 准很 多 ,在 数据 上没有 统一 的标准 ,导 致它 的取证 比较 困难 ,可 以对安 卓系 统手机 的完全镜 像备 份 的软件 很少 ,获取数 据之 后 的分析 工作 很重要 , 但 是 现在 对 数据 分析 能力 还有 待提 高 , 我 国 自己研 发 的手机取 证 的软件 工具 不是 很成 熟 , 也 缺乏 安卓 系统手 机取 证 的技术 上 的标准 ,相关 的法 律 不是很 完善 。

简论网络犯罪现场电子证据提取的技术要点分析

简论网络犯罪现场电子证据提取的技术要点分析

简论网络犯罪现场电子证据提取的技术要点分析论文摘要网络犯罪案件发案率高、侦破难度大,是近几年困扰公安机关的难题。

其中最主要的原因还在于电子证据提取的难度大、不容易固定和保存,特别是网络犯罪现场的电子数据。

网络犯罪现场情况复杂、范围不容易固定、证据类型多,并且现场电子数据尤其容易被破坏和丢失。

本文就目前常见的网络犯罪案件现场勘查流程为线索,分析其中常被忽略的细节,提出可以采取的技术手段和有效处理相关问题的方式方法。

论文关键词网络犯罪电子证据提取现场勘查随着计算机、手机等电子产品的逐渐普及,与之有关的犯罪案件逐年增多。

作为一类新型的高科技犯罪,网络犯罪的表现形态五花八门,而网络空间的虚拟性和电子证据的易失性也加大了此类案件的侦破难度。

为了应对日益严峻的现实,要求相关人员提高网络犯罪侦查的能力。

其中,犯罪现场电子证据的提取是网络犯罪侦查中至关重要而又不容易掌握的一项技能。

现场是案事件发生的地点,往往遗留有较多的痕迹物证。

合理有效的处置现场,尽最大可能保护线索、提取证据对整个案事件的处理具有重要的意义。

由于网络的互联性使得遗留有电子证据的场所分布广泛,既包括传统现场即物理空间,又包括非传统意义的场所即虚拟空间,也就是网络犯罪现场的空间跨度性较大。

另外,现场的空间跨度也导致了时间的连续性,会存在第一时间现场、第二时间现场等,多个现场在时间上有严格的连续性。

同时,网络犯罪现场处理中还要考虑电子证据的复杂性、脆弱性、时效性等特点。

本文就勘验、提取、固定现场留存的电子证据为线索,分析在此过程中需要关注的技术要点。

一、网络犯罪现场勘查的步骤与普通的案件处理类似,网络犯罪现场勘查也有一定的规范、原则和方法步骤。

一般来说,可以分为事前准备、现场保护、现场勘查取证、扣押等步骤。

(一)事前准备鉴于网络犯罪的特殊性,一般来说针对电子数据的现场勘查和取证要一次完成,这就要求在进入现场以前做好充分的准备。

指挥人员必须提前确定由哪些人员进入现场、需要携带哪些设备、如何制定预案、有哪些注意事项等一系列问题。

网络犯罪案件中智能手机取证的应用

网络犯罪案件中智能手机取证的应用
1 网络犯罪案件中智能手机取证的研究意义
随着网络技术的不断创新与发展,新的犯罪手法和犯罪 趋势不断涌现,智能家居、物联网等新兴技术产业面临着严 峻的网络安全威胁。伴随着 5G 时代的来临,人们在出行、 支付、购物、通信时更多的依赖智能手机。智能手机给人们
收稿日期:2020-09-21 基金项目:安徽公安职业学院校内科研项目 (XN2019YB043)
摘 要:互联网已经越来越深地融入了人们的日常生活、工作中,移动支付已经深刻地改变了人们的生活方式,智能手机
已经成为人们日常生活中必不可少的物品,利用智能手机进行网络犯罪的案件也不断增多。智能手机的厂商、型号及版本系统各
不相同,数据存储方式也不同,给取证人员进行电子数据取证增加了难度。对网络犯罪案件中智能手机的取证流程以及涉案手机
2.3 智能手机取证时注意事项 第一,在现场勘验阶段,办案取证人员应首先确认目标 手机安全,比如在一些案件中,手机是爆炸的引爆器;第二, 待检测的智能手机在进行取证之前应当放在电磁信号屏蔽环 境中或者关机,在取证过程中应当将 SIM 卡移除或者开启 飞行模式,保证智能手机的初始状态不发生改变,原始数据 不被污染;第三,仔细勘验现场,关联现场中出现的其他物 证、书证与智能手机使用者和智能手机之间的关系。
遵循这个步骤:首先对待取证手机进行 USB 调试模式,USB 调试模式是 Android 提供的一个用于开发工作的功能,使用该 功能可在计算机和 Android 设备之间复制数据、读取数据等 等。在 Android 手机中,用户获取 root 权限后可以对手机中 的文件数据进行备份。一般在手机设置中会有“权限管理”
数据包信息进行研究,为公安机关在网络犯罪案件中智能手机取证方面提供参考。
关键词:网络犯罪;智能手机;电子数据;取证

Android

Android
韦博 华
( 广西大学 计算机 与电子信息学院 , 广西 南宁 5 3 0 0 0 4 )
摘要 : 为解决 当前 电子数据取证 工作 中An d r o i d 手机镜像提取 受限于手机取证设备 支持 问题 , 利 用R e c o v e r y 启 动模 式及
An d r o i d 调试桥接 器, 完成对 A n ro d i d 手机对应分 区物 理镜像 的手工提取 , 并给 出具体案例对操作 方法进行 详细描述。 研
跟上手机和通信 网络技术进步 的步伐 。因此对手机 取证技术
‘ b o o t — r e c o v e y’ r 一 启动 r e c o v e r y . i mg 。r e c o v e r y模式; ②c o m—
的研究具有重要 的现实意义 。
ma n d一 ‘ u p d a t e - r a d i o / h b o o t ’ 一更新 f i r mw a r e( b o o t l o a d e r ) ; ③
ADP 里则可 以使用 f a s t b o o t 模式 : (  ̄ ) h o me + p o we r : r e c o v e y 模 r
式; ③ 正 常启 动 。 ( 2 ) B o o t l o a d e r 正常启动 , 又有三种方式 , 按照 B C B( B o o t - l o a d e r C o n t r o l B l o c k )中的 c o mma n d分 类 :① c o mma n d一
究及 实践表 明: 该方法具有 适用范围广、 对提取设备要求低、 操作 步骤 简单 易行等优势 , 可有 效应 对新 型号手机及 无法正 常开机等情 况 , 具有较好推广应 用价值 。

Android手机系统电子取证技术应用与研究

Android手机系统电子取证技术应用与研究

DOI:10.19392/ki.1671-7341.201810040Android 手机系统电子取证技术应用与研究张晓溪㊀梁海贺河北省人民检察院㊀河北石家庄㊀050000摘㊀要:随着智能手机的普及和发展,不仅为人们提供了便捷的沟通㊁交流方式,同时也为犯罪分子提供了活动契机,智能手机中通常隐藏着很多的犯罪证据,为了进一步拓展职务犯罪侦查手段,提升公诉人审查运用电子证据水平,电子手机取证就成为了检察技术中的重要内容㊂本文详细地描述了Android 手机系统电子取证的技术现状,分析了这些技术的优缺点,同时结合检察办案中取证工作实际,展望未来取证技术发展方向,比如引入机器学习㊁数据挖掘等,进一步提升检察机关电子证据鉴定人取证准确度和速度㊂关键词:Android 手机系统;电子取证;机器学习;犯罪活动1概述Android 智能手机是TD-SCDMA㊁TD-LTE 等移动通信技术发展的阶段性硬件设备,与传统手机相比,智能手机更加便于人们安装微信㊁QQ㊁金融银行㊁企业办公等软件,便于人们通信㊁交流[1]㊂工作实际中,职务犯罪以及刑事犯罪涉及Android 智能手机的电子证据比例非常之大,对犯罪嫌疑人的手机监控和电子取证彰显出重要意义㊂因此,为了提高破案成效,为公诉工作提供更加扎实有效的证据,提高Android 智能手机取证成为检察技术重点研究的方向[2]㊂Android 智能手机取证至今没有一个统一的标准,传统的取证方法多是从系统中获取数据,然后由鉴定人进行手工分析和提取㊂但是,随着Android 智能手机的使用和普及,设备中保存的数据越来越多,人工分析工作量非常大,因此人们研发了一些取证工具,这些工具包括Final Shield㊁XRY㊁Oxygen Forensic㊁CELLDEK,可以自动化的从Android 智能手机中发现潜在犯罪证据[3]㊂目前,Android 智能手机通常划分为三个阶段,分别是数据提取㊁数据分析和证据展示,从短信㊁彩信㊁语音㊁通讯录或移动软件数据库中提取信息,将这些信息交付给系统分析,极大的提高了数据取证的速度,将证据展示出来,供取证人员使用[4]㊂2Android 手机系统电子取证技术现状Android 智能手机取证技术发展时间长,诞生的取证工具也非常多,本文重点描述Final Shield㊁XRY 等取证工具㊂(1)Final Shield㊂Final Shield 是一种屏蔽手机信号的辅助取证工具,可以将内置的USB 接口与Android 智能手机连接在一起,然后利用数据线接入到PC 上,利用Final Shield 终端软件分析智能手机,获取有效的智能手机电子证据,同时能够有效的防止取证过程打入电话或接收短信,从而避免原始数据遭受破坏,屏蔽手机信号能够锁定已经发生的证据,具有重要的作用㊂(2)XRY㊂XRY 是一款非常便捷的Android 智能手机取证箱,能够将智能手机存储器上的数据实现转储功能,XRY 设备包括五个组成部分,分别是SIM 复制卡㊁记忆卡读卡器㊁USB 数据通信单元㊁SIM 卡读写器㊁数据线等,安全模式下可以读取Android 智能手机中的电话号码㊁通讯目录㊁短消息㊁图片和视频等,这个取证箱操作简单,易学易用,能够快速的完成数据采集㊁分析和展示工作,还可以创建一个加密文件夹,将获取的智能手机数据加密保存,避免机密证据外协㊂这个工具分析结果出来之后可以形成一个简单的报告,便于工作人员仔细查看取证结果㊂3Android 手机系统电子取证技术未来发展研究随着Android 智能手机存储器的增大,保存的软件和数据也越来越多,智能手机取证面临着海量的数据资源,传统的取证技术面临着操作复杂㊁取证不准确等问题,因此未来Android 智能手机取证需要引入更多的技术,比如模式识别㊁数据挖掘㊁机器学习等技术,以便能够将这些技术与传统取证工具结合在一起,综合使用取证工具,提高取证准确度,满足检察机关电子证据鉴定人的取证需求㊂因此,电子取证技术发展方向包括以下几个方面:(1)引入数据挖掘技术,提高证据分析准确度㊂数据挖掘可以从海量的数据资源中获取潜在的㊁有价值的目标信息,挖掘过程是自动的,不需要人工操控,因此可以将数据挖掘应用到电子取证中,面对职务犯罪等不同主题的犯罪活动建立模型,将这些犯罪活动常用的数据特征输入到模型中,通过拟合Android 手机中的数据,识别犯罪活动,准确的获取电子证据㊂(2)引入友好的交互界面,提高电子取证的操作便捷性㊂目前,电子取证工具操作界面复杂,许多参数都要人工进行设置,如果没有专业的Android 系统应用知识,取证人员就无法准确的获取证据㊂因此,引入友好的交互界面,为取证人员提供一个良好的操作界面,即使取证人员没有掌握操作技术依然可以准确的获取电子证据㊂4结语Android 智能手机作为一种先进的通信社交工具,随着TD-LTE 技术的发展已经得到广泛普及,不仅仅可以完成视频语言通话,同时还可以承载微信㊁微博㊁QQ 等软件,产生的数据非常大,对于电子证据鉴定人取证带来了严重的问题,必须引入先进的数据挖掘技术,构建面向不同犯罪主题进行数据建模,从而可以自动化的发掘潜在的问题,才能满足调查人员的特定需求㊂参考文献:[1]苗得水,夏虹.Android 系统手机电子数据取证研究[J ].中国刑警学院学报,2015,2(1):49-50.[2]危蓉,麦永浩.锁屏Android 智能手机取证方法的研究[J ].中国司法鉴定,2015,78(1):67-70.[3]刘浩阳.Android 设备取证研究[J ].信息网络安全,2015,11(9):29-32.[4]郑帅.基于Android 系统的电子证据恢复技术探讨[J ].电子技术与软件工程,2016,5(4):181.24电子信息科技风2018年4月。

手机取证——关于iPhone手机数据提取方式的探讨

手机取证——关于iPhone手机数据提取方式的探讨编者按在《技术视界》前13期中,数据恢复四川省重点实验室科研人员讲解了手机音频文件提取、SQLite数据库文件恢复、手机APP取证脚本编写以及防御手机APP窃密等主题,本期重点介绍iPhone手机(越狱和未越狱)数据提取的多种方式,可以有效提取各类应用数据,包括文字、图片、声音、视频等各种多媒体信息。

随着移动通信技术的不断发展,手机也逐渐成为人与人之间不可或缺的联系工具,几乎人人都会携带一部甚至多部手机。

手机中各种APP会记录下大量信息,包括聊天、位置等,这些信息很可能成为警方破案有效的辅助证据,所以对手机数据的提取很有必要。

目前Android始终是手机行业的老大,各个手机数据提取商对Android的支持也是首当其冲。

来自ZDC(互联网消费调研中心)手机品牌关注度的数据显示(如图1),2015年三星毫无疑问位居第一,但我们也同时发现,iPhone手机紧随华为位居第三,所以对iPhone手机数据提取的支持刻不容缓。

下面将和大家一起来探讨iPhone手机数据的提取方式。

图1:苹果手机品牌关注位居第三同Android手机一样,iPhone手机数据的提取也分两种情况越狱和未越狱。

一、未越狱手机数据的提取未越狱手机主要通过备份和沙盒提取方式。

目前8.3以上的系统不再支持沙盒提取,而且也比较简单,故不再拿出来讨论。

下面只针对备份方式进行简要说明。

1、数据备份备份可通过两种方式实现:(1)通过iTunes直接备份。

备份路径为XP:C:\Documents and Settings\用户名\Application Data\Apple Computer\MobileSync\Backup;WIN7及以上:C:\Users\用户名\AppData\Roaming\Apple Computer\MobileSync\Backup。

(2)AppleMobileBackup.exe命令。

网络安全技术在电子证据取证中的应用论文素材

网络安全技术在电子证据取证中的应用论文素材引言:随着互联网的快速发展和普及,我国网络犯罪事件呈现出日益增加的趋势,这给社会安全和司法公正带来了重大挑战。

电子证据的产生和保护成为了司法实践中的重要问题。

为了有效应对网络犯罪和确保证据的合法有效,网络安全技术在电子证据取证中发挥着关键作用。

本文将从数字取证、数据保护、网络监控和溯源技术等方面探讨网络安全技术在电子证据取证中的应用。

一、数字取证技术在电子证据取证中的作用数字取证技术是电子证据取证的基础,通过对电子设备和数字信息的收集、分析,为司法部门提供原始的、可信的电子证据。

首先,数字取证技术能够对电子设备进行取证,包括计算机、手机、存储介质等。

通过取证过程中的数据提取、镜像和分析,可以获取到犯罪嫌疑人的作案手段、动机等重要信息。

其次,数字取证技术还能够对数字信息进行取证,包括通讯记录、网络聊天记录、文件数据等。

这些信息能够作为证据,在案件审理中发挥关键作用。

二、数据保护技术在电子证据取证中的重要性在电子证据的获取和保护过程中,数据安全和隐私保护是至关重要的。

数据保护技术可以确保电子证据的完整性、可靠性和机密性。

首先,加密技术可以对证据进行加密处理,防止非法获取和篡改。

其次,数据备份技术能够将证据数据定期备份,在数据丢失或损坏时能够恢复。

此外,访问控制技术可以对数据的访问权限进行分级管理,确保只有授权人员可以获取和操作电子证据。

三、网络监控技术在电子证据取证中的应用网络监控技术能够实时监测和记录网络活动,对于电子证据的获取至关重要。

首先,网络监控技术可以对网络通信进行实时拦截和记录,获取到犯罪嫌疑人的网络行为,如发送恶意软件、网络攻击等。

其次,网络监控技术还可以对网络流量进行分析,发现异常行为和异常数据,为网络犯罪的取证提供重要线索。

此外,网络监控技术还能够记录网络日志,为电子证据的查找和审查提供依据。

四、溯源技术在电子证据取证中的重要作用溯源技术能够通过对网络流量、IP地址等信息的分析,追溯到网络攻击的源头和真实身份,为电子证据的合法性提供支持。

刑侦工作中手机电子证据取证的作用


毒 品 、迷魂 药 、淫 秽物 品 、假 钞 、假 发票或 者是


引言
明知是犯 罪所 得赃 物 的。
2 散 布 淫 秽 、色 情 、 赌 博 、暴 力 、 凶 杀 、 .
手机 取证 就 是 对 存 在 于 手 机 内存 、SM 卡 、 I 闪存 卡和移 动运 营商 网络 以及短信 服务 提供商 系
犯罪 。
李龙 云 (9 1 ) 男 ,北京人 ,云南省国家安全厅预审法制处 , 17 一 , 信息安全保卫专家 ,主要从事国家安全、信息安全。
・--— —
9 -— 7 - - —
殷启新 ,李龙云 :刑侦工作 中手机 电子证据取证的作用
实现 的 ,所 以犯 罪行 为很难被 察觉 。 2 .犯罪 现场 的不 确定 性 。利用 手 机 的犯罪
注意从嫌疑人身上收集到的手机中储存的信息 , 通过 对通讯 录 中所 反映 出 的姓 名或称 呼 ,结 合通 话清 单 中反 映 出 的通话 次 数 和 掌握 的发 案时 间 、
基站 等情况 ,可综 合分 析 出团伙成员 和成员 中的
层次结 构 。因为在 团伙犯 罪 中 ,犯罪嫌 疑人在 作 案前后 ,通 常会进行 电话 联系 约定会 面地点 ,进 行作案 前 的预 谋 和集 结 ,或作 案后互 相联 系询问 有 关案件 的情 况 。这 样就 可 以通 过通讯 录和通 话 清单 中所 反应 的通话 次数 、通话 时间长 短等相 关
统 中 的电子 证据 进行 提取 、保护 与分析 ,整理 出
恐怖内容的信息,或者是教唆犯罪,传授犯罪方
法等。
3 .假 冒银行 或 者 银联 名 义 发送 手 机 违 法 短 信息进 行诈 骗 。 4 .发 布假 中奖 、假 婚 介 、假 招 聘 ,或 者 引

手机犯罪取证,IOS和Android系统实例

手机犯罪取证,IOS和Android系统实例随着移动互联网技术发展,手机已成为人们工作生活中不可或缺的联系工具,与此同时,利用手机进行诈骗、伪造和传播色情等犯罪活动也屡见不鲜。

手机取证正是打击这类犯罪的一个有效手段。

手机取证就是从手机安装手机应用程序、手机内/外置存储卡及SIM 卡中收集和分析相关的数据证据。

目前牵涉到手机的犯罪行为大致有以下几种 :•在犯罪行为的实施过程中使用手机来通信联络 ;•被用作犯罪证据的存储介质,如照片、短信、QQ、微信聊天记录 ;•手机被作为短信骚扰、诈骗和病毒软件传播等犯罪活动的工具。

•用于民事取证,如婚外情调查。

手机取证所面临的一些问题:•厂商与用户的安全意识不断提高,不断产生的新的保护措施和加密技术手段.•手机存储容量日益增大,取证平均耗时大大增加•手机存储容量日益增大,取证平均耗时大大增加•从“怎么取”逐渐转换为“怎么看”和“怎么用”下面我们说一下手机取证遇到的一些常见问题,按照IOS(苹果系统)和Android(安卓系统)进行了区分:•iOS: 高版本有密码\iTunes备份加密\应用程序数据加密\删除文件恢复\删除应用程序恢复•Android:有密码未开调试\高版本root问题\BL锁\应用程序备份限制\应用程序删除填充•以及对损坏、被破坏手机的取证手机取证的一些常用方法1,App备份限制Android 6.0版本下,目前微信无法通过备份方式获取导致微信提取结果为0。

解决思路:1. 利用厂商自带备份工具,将手机数据备份,随后将厂商备份数据转换为可解析格式后,进行数据提取和分析。

2. 少数非原生Android 6.0手机,通过提取root权限方式取得应用程序数据。

Android 4.x以及5.x版本下,部分应用程序限制了自身的备份,如腾讯QQ、微信、WhatsApp等。

解决思路: 1. 首先将手机中的应用程序替换为旧版本。

2. 通过支持备份的旧版本进行备份。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

手机取证技术研究李健摘要:手机在犯罪的过程中出现的频率越来越高了,对手机的取证也显得越来越重要。

本文简述手机取证的概念、原则、特征,对目前手机取证在当前侦查取证中的现状进行介绍,同时,根据手机取证的取证源详细介绍手机取证的方法,详细介绍一些常用的手机取证工具软件的特点和适用情况以便于侦查人员的实际选择与应用,介绍当前主流的手机系统Android和苹果iOS的分析方法和取证的注意事项,另外,对手机用户提供一些保护手机的建议,最后对手机取证的研究及应用前景进行展望。

关键词:手机取证;取证方法;取证工具;对比实验随着当今社会移动通信技术的飞速发展,手机已经走进千家万户,据工信部统计,截止2014年1月,我国使用手机的的人数已达12.53亿,用户数占全国人口的90.8%,可以说手机已经成为人们日常联系的必备工具。

然而,伴随着手机业迅猛发展和手机功能不断强大的同时,利用手机进行违法犯罪的案件牵涉到手机的违法犯罪案件的比例逐年升高,对于公安机关办案,通过手机提取线索、证据也逐渐成为一种非常有效和重要的侦查手段。

因此,侦查人员系统的认识手机取证,掌握手机取证的基本方法,了解一些常见的手机取证工具软件,从而打击与手机相关的各类犯罪活动,对于维护社会稳定、保障人民生命财产安全、打击犯罪行为具有重大现实意义。

一、手机取证的概念、原则、特征(一)手机取证的概念手机取证是数字取证中的一种,所谓手机取证就是对存在于手机SIM卡、手机内存卡、外置存储卡、短信服务提供商系统和移动网络运营商保存的电子证据进行提取、保存、分析,整理出有价值的案件线索或能被法庭所采纳的证据的过程。

(二)手机取证的原则1.合法原则手机取证的合法原则和传统取证一样,所谓合法主要包括以下四种:(1)参与侦查取证的人员必须要有法定的权限和资格;(2)取证过程中的程序和手段必须规范;(3)取证所采用的工具也必须符合法律规定;(4)获取到的证据信息要以合法形式运用到司法程序中。

对于各国都普遍适用的判断电子证据是否合法有效的标准,《联合国电子商务示范法》第九条第二款之规定规定提供了指导性原则。

该指导原则强调审查电子证据获取、存储、传输、保存方法的可靠性和发送人身份的确定。

手机取证作为电子证据的取证方式的一种毫无疑问的适用此项原则。

手机取证的目的是把从手机中获取的电子数据进行分析整理,从而可以作为符合法律规定的证据使用。

因此,手机取证的合法性原则是进行手机取证的前提。

如果没有在取证的过程中就意识到其合法性,就极可能造成花费了大量的精力和财力获取的案件信息、线索不能作为合法证据使用,从而使本来就不足的基层警力更加紧张。

2.客观原则手机取证的客观性亦是与传统取证基本相同的,具体而言,客观性包括真实性和全面完整性。

其中,真实性是指获取的证据是客观存在的、有正确来源的事实,并且它是不以人们的主观意志的改变发生变化的客观存在。

这就要求侦查取证人员有较高的职业和道德修养,做到以事实为依据,以法律为准绳,绝不歪曲事实。

全面完整性是指能够完全的反映出侦查取证人员第一次接触到涉案手机时手机所处的状态及属性。

这就要求侦查取证人员必须具有专业的计算机网络与安全及通信知识,同时还应当熟悉相关法律知识。

除此之外,侦查取证人员还应当注重细节,争取做到一丝不苟。

从而确保证据不会因为侦查人员的知识不足或者操作失误而不能真实的反映出来。

3.及时原则及时取证是手机取证的必要原则。

手机取证获取的证据作为电子证据的一种,具有天然的脆弱性。

如果不及时取证,稍有不慎就易造成其被破坏,修改,甚至删除,从而导致获取的手机电子信息的失去有效性。

对于侦查取证人员,应当注意避免以下几点来遵循手机取证的及时原则:(1)手机保存的数据具有天然的脆弱性,很容易因为外界高磁场、高温、静电等环境的改变而破坏;(2)手机的状态是在时刻变化着的,多数手机的内存容量较小。

一些实时产生的相关信息,系统日志、相关的系统进程,会占据大量内存,进而覆盖原来的信息,导致原来存在的潜在的电子电子证据不能恢复;(3)众所周知,一台手机的电量也是十分有限的,如果没有及时对手机及时分析取证,又没有及时充电,导致手机电量消耗完后关机,很有可能引起的数据丢失;(4)网络供应商处的某些手机用户数据是周期性更新的,有些手机用户对手机的系统及手机中的软件的设置也是自动更新的。

(三)手机取证的特点手机取证是电子证据的一部分,作为一项新型取证手段,在实际应用中,参照证据学中物证鉴定的原理、方法和程序。

其与计算机取证有很多相似之处,可以说,手机取证是在计算机取证的基础上发展起来的。

随着手机取证业务量的增大,迫切需要对于这一领域进行专门研究,以适应社会发展的需要,提高手机取证的效率。

与计算机取证相比,手机取证也有着其自身的取证特点,主要表现在:1.监管难度大:手机是一种移动终端设备,手机的移动性特点使得手机很难得到随时监管;2.涉及范围广:手机品牌和手机操作系统多样性以及不断升级,存储卡种目繁多,使得手机取证的范围较大;3.数据不易存储:文件系统存在于具有非易失性的存储设备中,数据规范不统一;4.取证技术滞后性:手机信息技术更新换代快,产品周期短,使手机取证技术和工具软件不能完全适应一些新的手机产品。

二、手机取证的现状近年来,根据公安机关办理的案件来看,牵涉到手机的违法犯罪案件的比率日益明显上升,通过手机获取案件线索、证据也逐渐成为侦查人员侦查取证不可获取的一种侦查手段。

随着手机技术的发展和手机功能的日益强大,牵涉到手机的违法犯罪行为的范围也愈发广泛目前,与手机有关的违法犯罪行为大致有三种情形:第一,用手机充当违法犯罪活动的通信联络工具(如与同伙交流的短信、通话记录、即时通讯软件记录的文字、语音、影像等);第二,把手机用作存储犯罪证据(如文档、照片、视频等)的媒介;第三,直接把手机作为实施犯罪活动的工具(如盗窃手机、短信诈骗、窃取支付宝和传播恶意软件等)。

虽然,牵涉到手机的案件的发案率近年来日益增多,但是破案率却不是特别理想。

原因主要有四种:一是基层侦查取证人员利用手机进行取证的意识不高;二是基层侦查取证人员缺乏进行手机取证的相关技术方法;三是当前的手机取证的软件工具大多或多或少还存在缺陷且价格比较昂贵;四是与手机取证相关的法律法规不健全,使手机取证难以得到法律的支持与保障。

因此,手机取证技术应当引起相关侦查人员、研发人员、立法部门以及手机用户的足够重视。

三、手机取证源及对应取证方法目前来看,手机的取证源有用户识别卡、内置存储卡、外置存储卡和手机移动网络运营商业务数据库四种。

从这四个方面我们可以获取手机的品牌、型号、电子串号、电话簿、已拨电话、已接电话、未接电话、发送及接收短信的电话号码和内容、照片、视频、录音、日历中的安排等信息,这些信息就成了潜在的电子证据。

众所周知,近几年智能手机的发展非常迅速,根据《2013-2014年中国手机市场研究年度报告》,全球市场研究公司Gartner数据显示,2013年全球智能手机销量接近10亿部,占整个手机市场销量的比例超过50%。

手机的功能的强大使得逐渐具备电脑很多功能,可以利用手机上网、聊天、购物、转账等活动,由于手机相对于电脑的方便性,使得这些活动呈现出一种趋势。

因此,对第三方软件中的账户信息、聊天记录(包括语音)、操作使用记录的提取对侦查工作也非常重要。

(一)用户识别卡及取证方法每台手机都有用户识别卡,也称SIM,SIM卡是数字移动电话的资料卡。

SIM卡本身就具有证据价值,卡面上通常印有网络服务商名称和惟一识别号,通过后者可以从服务商那里获得SIM卡用户资料,如姓名和地址等信息。

此外,存储容量一般在8—64K的SIM卡,虽然容量相对有限,但其中包含着大量有价值的潜在电子数据,主要有:1、SIM卡生产厂商存储的产品原始数据;2、手机存储的固有信息,如手机串号IMSI、密钥、PIN、个人解锁号PUK、各种鉴权和加密信息,加密密钥算法和其他用户信息;3、最近一次位置登记时手机所处位置识别号、设置的周期性位置更新间隔时间、使用SIM过程中的临时移动用户号等;4、用户使用手机所存储的个人数据,如用户存储的电话号码,短(彩)消息(包括一些被删除的信息),最近的通话记录以及行程表;5、SIM中的一些密码,包括SIM卡个人身份识别码(PIN)和解开锁定用的个人解锁码(PUK)等相关手机参数。

手机SIM卡是一种标准的智能卡,它不像手机有很多品牌、型号和系统,因此,取证起来所要获取的信息很明确。

如今常用的对手机SIM卡进行取证有两种方法。

一个是通过智能读卡器的设备来提取SIM卡中的数据。

在此方法中读卡器只要使用符合欧洲电信标准协会TS31. 10和TS51. 011标准的数据访问指令集就可获取SIM卡中的数据。

另外一种方法是直接通过指令操作来获得S IM卡中的数据。

在GSM手机的TS27. 007标准中特别定义了一个指令集来访问SIM 卡上的数据。

在一般情况下,可以用一些工具软件包来获取数据,常见的有商业软件SIMCon,ForensicSIM,SIM-Manager等。

(二)手机内存及取证方法手机本身有容量比SIM大的内置存储卡,其中存储着大量的信息,这些信息在不同系统、不同型号的手机中的格式可能也存在差异,随着手机功能的增强,手机内置的存储芯片容量呈现不断扩充的趋势。

存储在手机内置存储卡中的信息主要有:1.手机识别号:即GSM手机的IMEI,CDMA手机的ESN;2.手机通讯录;3.发送、收到或编辑存储的短信和MMS(多媒体信息服务)信息;4.声音、图像、影像视频;5.APP软件安装包;6.拨出、接收或未接收电话的记录;7.日历中的日程安排信息;8.被存储的可执行文件;9.GPRS、W AP和Internet 的设置信息以及上网的历史记录和缓存记录。

手机内存根据存储数据的差异可分为动态存储区和静态存储区两部分(见图1 )。

动态存储区中主要存储执行操作系统指令和用户应用程序时产生的临时数据,而静态存储区保存着操作系统、各种配置数据以及一些用户个人数据。

因此,对于取证而言,静态存储区的数据更具有价值。

从手机内存中提取数据相对比较复杂。

一般利用手机操作系统或者手机制造商提供的接口软件来读取手机内存中的数据,这很有可能造成数据的破坏,并且,被删除的数据也不能被恢复出来。

最好的方法就是镜像备份手机内存的数据,然而,目前还没有这样的工具。

目前有两种通过物理途径获取其中数据的方法:一是通过拆解手机获取内存芯片,进而使用专门的芯片读取设备来获得其数据镜像,但这样很可能会毁坏手机;另一种是使用专门的数据线与手机系统主板连接, 从中读取内存芯片的数据信息。

这些方法虽可获取手机中的最原始数据,减少外界因素对取证数据的干扰,但对侦查取证人员的手机硬件知识的要求很高。

相关文档
最新文档