手机取证精品PPT课件
合集下载
iphone手机在线取证分析
第一二章有效爵频提取技术研究
第二章有效音频提取技术研究
2.1语音的端点检测
长时问音频取证中,无语音的背景噪音部分所占比例很高。
可对音频进行语音端点检测,去除背景噪音部分并重组语音文件,从而降低音频数据的冗余,提升网络传输效率。
有效音频提取包含音频采集和音频端点检测两部分。
音频采集是将声音从模拟信号转换为数字信号,可通过手机自带硬件设备完成。
对音频进行语音端点检测(voice
activitydetection)目P确定音频数据中语音部分的起始与终止点。
音频数据具有一系列特征值,作用是描述短时音频在声学上的特征,如短时能量、平均过零率和信息熵。
语
音与背景噪音在音频特征上具有明显的差异,可以通过预设门限值判断,或通过模式识别的方法进行区分。
具体流程如图2-1所示。
本小节将详细介绍音频预处理相关技术;语音端点检测的主要方法和实现方式。
音频采集
音频预处理}
T
/音频数据户。
语音预加重卜’-分帧处理l'.加窗处理
///
语音提取
,~
;特征值计算』I端点检测一≤语音羞据重7tf’语嚣文
图2.1音频端点检测过稗流稃图
Fig.2-1Voiceactivitydetectionprocedure
2.1.1音频预处理
语音预处理阶段通常包括语音预加重、音频分帧和加窗处理,用以形成离敞的数据。
安卓手机取证技术
安卓手机取证技术引言Android系统是近些年快速兴起的一款手机操作系统。
其用户覆盖度在2011年已经以27%的占比排在智能手机的第一位。
Android系统的取证系统的需求迫在眉睫。
本项目主要针对Android手机的软件数据及硬件数据两部分提取。
充分覆盖Android手机的全部数据。
1总休设计1.1系统整体流程本取证项目主要包括两个部分,一个部分为软件数据的提取,另一部分为硬件数据的提取。
两个部分组成完整的取证系统。
同时,由于数据提取的速度的限制,本系统将两个部分分开实现。
取证人员可根据需要选择取证类型。
1-2系统结构本取证系统主要从软件数据取证和硬件数据取证2方面进行、在软件数据取证中包括了程序数据、用户数据,在硬件数据取证中包括了芯片数据。
1.3系统子功能概述1.3.1通讯录数据的提取。
通讯录的提取主要包括SIM卡里的号码和手机里面的号码。
当SIM 卡中的电话号码被删除后,要想恢复是不大可能的,这是因为电话号码在SIM卡中是以十六进制的编码方式存储的,每个存储空间包含一个名字和—个号码。
删除W后十六进制的FF就会覆盖存储空间的信息*不过由于SIM卡存储空间是循环分配的,我们可以通过识别用过的空间之间的空闲空间来判断存储的号码是否被删除过。
其提取设计流程简单的说就是先进行取证系统初始化,然后Android手机数据线连接PC,启动手机连接,系统驱动扫描接口,判断连接是否成功,若成功则创建Android手机连接,启动数据提取模块,加载通讯录提取子模块,启用Android手机连接,连接Android手机数据接口,随后分别启动手机通讯录管理模块或者手机SIM卡管理模块,连接Android通讯录数据库或者SIM卡,进行手机及SIM卡通讯录数据的提取。
将提取到的数据下载到PC,最后通过对通讯录的解析并提取数据进行界面显示。
1.3.2短信数据的提取。
SIM卡提供了存储文本信息的空间,每个SMS空间占176字节,由第一个字节Status(状态字节)和第2-176字节TPDU组成。
手机取证
谣 等 违 法 犯 罪 活动 日益 增 多 。因 此 ,司 法 人员 进行 惩 治 。 手 机取 证 即利 用手 机 内存 、
S I M 卡 以及 短 信 等 电子 证据 来 进 行 提 取 , 骗行 为进 行 管理 。
闪存卡 。闪存 卡主要 用来 对于 手机 的存 以及 图片文件 等进 行存 储。存 储的 内今依 职权 开展 的常 规审 查 方法 已经 成为 检 察机 关将 非 法证 据 的审 查起诉 、审查逮捕 融 入到 日常工作 中 ,
对各 个 环节 的送 审 证据 材料 进 行系 统 、全
闪存 卡和移 动运 营商 以及短 信服 务提供 商系 行 提取 ,得 出有效 的证 据 ,从 而进 一步进 行 手机 内存 。随着 时代 的不断 发展 ,手机 内存 的功能 也随 着不 断的发 展 。手机 中的大 证据 。其主 要包 括手 机号 的识别 ,电话 簿 中 话记 录 ,备 忘录 以及 日历 中的待 办事 项 ,上 网时所浏 览 内容 的缓 存记 录 以及 各种 图片 、
手 机 技术 的发 展 ,也 从 而 引发 了 一些 利 用 手 机号码 和发送 时 间以及发 送 用户 的个人 信 手 机 进行 犯 罪 的情 况 出现 ,例 如 诈 骗 、造 息进 行查询 。
据 。此外 还 需要 将法 律 程序 根据 重 要性 进
行分 类 ,对 于违 反行 为 超过 一定 级别 时可
l 的 问题 。
{
l m
…
~
随着 当今 时代 的不 断发 展 ,技 术 也 不
短信 服务 提供 商系统 。短信 提供 商属 于
断 的 目益 先 进 ,手 机 在 当今 时代 的发 展 中 第三 方 ,有对群 发 、转发进 行 服务提 供 的 ,
日新月异的盘石取证技术ppt V10
部分自主研发产品
PANSAFE
Safe Imager
盘石计算机现 场取证系统
Safe Analyzer
盘石介质取证 分析系统
Safe Mobile 盘石手机取证分
析系统
盘石
硬盘复 制机
Safe Checker
盘石计算机安 全检查系统
Safe Imager Mac
盘石苹果计算机现场取证系统
盘石取 证一体
V1.0-2011.01 V1.0-2011.3
盘石手机取 证版本迭代
目录
坚若磐石&稳健成长 技术为王&自主创新 日新月异&随机应变 服务制胜&用心设计 专注取证&发展安全
服务制胜&用心设计
黑龙江
吉林
盘
新疆
辽宁
石
甘肃
内蒙古
全
北京
国
宁夏
河北
售
青海
山西
山东
后
西藏
陕西
河南
江苏
服 务
四川
湖北
安徽
上海
网
浙江
盘石网络数据
嗅探截获软件 系统
盘石
无线网络系统 软件
盘石企业文化
企业愿景
成为具有世界先进水平的电子取证技术专业公司
专注于电子取证领域的产品开发与技术服务
企业目标
企业口号
发展安全
专注取证
持续创新
技术领先
品质卓越
专业服务
坚如磐石 质量方针
谢谢
步骤三:并行提取
取证分析工作站
被取证电脑1
被取证电脑2
被取证电脑3 被取证电脑4
案例一 分布式现场取证系统
高检培训PPT课件-大数据时代的电子取证PPT文档30页
61、奢侈是舒适的,否则就不是奢侈 。——CocoCha nel 62、少而好学,如日出之阳;壮而好学 ,如日 中之光 ;志而 好学, 如炳烛 之光。 ——刘 向 63、三军可夺帅也,匹夫不可夺志也。 ——孔 丘 64、人生就是学校。在那里,与其说好 的教师 是幸福 ,不如 说好的 教师是 不幸。 ——海 贝尔 65、接受挑战,就可以享受胜利的喜悦 。——杰纳勒 尔·乔治·S·巴顿
高检培训PPT课件-大数据时代的电子 取证
46、法律有权打破平静。——马·格林 47、在一千磅法律里,没有一盎司仁 爱。— —英国
48、法律一多,公正就少。——托·富 勒 49、犯罪总是以惩罚相补偿;只有处 罚才能 使犯罪 得到偿 还。— —达雷 尔
50、弱者比强者更能得到法律的保护
数字取证的移动设备取证技术
关注新兴技术
关注新兴技术对移动设备取 证的影响,如5G、物联网、 人工智能等,及时将这些技 术应用于实际工作中。
THANK YOU
证据固定
将提取和分析过程中涉及的关键数据和证据进行固定保存,以防止数据丢失或被篡改。这可以通过哈希 值计算、数字签名等技术手段实现。
04
移动设备取证技术的 应用场景
刑事侦查中的应用
现场勘查
在犯罪现场,侦查人员可以利用 移动设备取证技术对涉案手机、 平板等电子设备进行快速勘查,
提取关键证据。
数据恢复
数字取证的移动设备取证技 术
目录
• 引言 • 移动设备取证技术概述 • 移动设备取证的关键技术 • 移动设备取证技术的应用场景 • 移动设备取证技术的挑战与未来发展 • 结论与建议
01
引言
背景与意义
数字化时代的到来
随着互联网和移动设备的普及,数字 证据在各类案件中的重要性日益凸显 。
传统取证方式的局限性
对于被删除或损坏的数据,移动 设备取证技术可以通过专业工具 进行恢复,重现犯罪嫌疑人的通 信记录、浏览历史等重要信息。
数据分析
通过对移动设备中提取的数据进 行深入分析,可以揭示犯罪嫌疑 人的社交关系、活动轨迹等关键 线索,为案件侦破提供有力支持
。
网络安全中的应用
网络攻击溯源
在网络安全事件中,移动设备取证技术可以帮助安全人员 追踪攻击者的来源和攻击路径,定位恶意软件或病毒的传 播源头。
技术创新
跨平台整合
随着技术的发展,未来移动设备取证技术 将更加智能化、自动化,提高取证效率和 准确性。
未来移动设备取证技术将实现跨平台整合 ,支持多种操作系统和设备类型的数据提 取和分析。
电子数据取证技术 课件 第12章 电子数据取证综合案例分析
(4) 被入侵服务器后端数据库是MySQL。
第12章 电子数据取证综合案例分析
12.2.2 制订证据固定计划 对服务器的远程证据固定大致包括以下3个步骤: (1) 收集被入侵服务器的系统信ቤተ መጻሕፍቲ ባይዱ,包括进程、端口、
历史命令执行记录、系统日志、磁盘、内存等信息。 (2) 提取被入侵服务器 Web应用配置和相关数据。 (3) 提取被入侵服务器数据库配置和相关数据。
运行安装完成的PuTTY工具,弹出的配置对话框如图 12-1所示。
第12章 电子数据取证综合案例分析
图12-1 配置对话框
第12章 电子数据取证综合案例分析
设置远程服务器的IP地址,单击“Open”按钮进入登 录界面,输入用户名及对应的密码,即可进入系统。
启动屏幕录像软件FSCapture,勾选“Full Screen”单选 按钮,再单击“Record”按钮,如图12-2所示。
并根据目标服务器的情况制订证据固定计划。对被入侵服务 器情况介绍如下:
(1) 被入侵服务器属于阿里云服务器,委托方提供了该 服务器的IP 地址、连接用户名及密码。
(2) 被入侵服务器操作系统是Linux,可直接使用SSH客 户端远程登录。
(3) 被入侵服务器Web服务是Apache,使用的编程语言 为PHP。
第12章 电子数据取证综合案例分析
12.1.2 取证要求 委托方提取委托要求如下: (1) 对被攻击服务器中的网站、数据库、日志等涉案相
关数据进行证据固定。 (2) 对上述证据固定结果进行分析,提取攻击者IP、攻
击时间、攻击方法。 (3) 提取攻击者使用的银行卡、身份证等信息并分析攻
击者转移资金的方法。 (4) 对攻击者的攻击行为进行分析,找出攻击者使用的
第12章 电子数据取证综合案例分析
12.2.2 制订证据固定计划 对服务器的远程证据固定大致包括以下3个步骤: (1) 收集被入侵服务器的系统信ቤተ መጻሕፍቲ ባይዱ,包括进程、端口、
历史命令执行记录、系统日志、磁盘、内存等信息。 (2) 提取被入侵服务器 Web应用配置和相关数据。 (3) 提取被入侵服务器数据库配置和相关数据。
运行安装完成的PuTTY工具,弹出的配置对话框如图 12-1所示。
第12章 电子数据取证综合案例分析
图12-1 配置对话框
第12章 电子数据取证综合案例分析
设置远程服务器的IP地址,单击“Open”按钮进入登 录界面,输入用户名及对应的密码,即可进入系统。
启动屏幕录像软件FSCapture,勾选“Full Screen”单选 按钮,再单击“Record”按钮,如图12-2所示。
并根据目标服务器的情况制订证据固定计划。对被入侵服务 器情况介绍如下:
(1) 被入侵服务器属于阿里云服务器,委托方提供了该 服务器的IP 地址、连接用户名及密码。
(2) 被入侵服务器操作系统是Linux,可直接使用SSH客 户端远程登录。
(3) 被入侵服务器Web服务是Apache,使用的编程语言 为PHP。
第12章 电子数据取证综合案例分析
12.1.2 取证要求 委托方提取委托要求如下: (1) 对被攻击服务器中的网站、数据库、日志等涉案相
关数据进行证据固定。 (2) 对上述证据固定结果进行分析,提取攻击者IP、攻
击时间、攻击方法。 (3) 提取攻击者使用的银行卡、身份证等信息并分析攻
击者转移资金的方法。 (4) 对攻击者的攻击行为进行分析,找出攻击者使用的
手机电子取证技术培训教材
JTAG获取镜像
• JTAG设备支持的设备 • JTAG获取:通过排线、夹具或焊线 的方式,利用主板测试点进行闪存镜 像的获取 • 缺点:支持类型有限、部分焊线难度 极大、存在风险
污点攻击
著名的漏洞
• 三星猎户座芯片漏洞 • MTK芯片漏洞 • 紧急拨号漏洞 • WiFi列表漏洞 • 相机漏洞 • ……
• 多账号情况下,未登录的账号同样无法读取uin。 • 此时需进行uin反推。
离线状态及多账号解密
• 反推原理:
每个微信账号文件夹名称为MD5值,该值由: “mm”+uin计算得来。
• 由此MD5,可反推微信uin。
离线状态及多账号解密
• 如:微信uin为1403357440
离线状态及多账号解密 • 所需工具:各类MD5破解工具,如 MD5 Crack
通过其他接口
屏幕密码 USB调试
通过Recovery备份
• 已有高版本CWM Recovery • 备份:插入空白TF卡到手机,开机进入Recovery模式,选择 备份到外置SD卡,得到备份文件后解析 • 缺点:部分手机无法插入外置存储卡,部分手机无对应CWM Recovery或无法刷入CWM Recovery
Android 5.X漏洞
Android 5.X漏洞
Android 5.X漏洞
1 2
基础与准备
ADB工具与备份解析
3 4
带有屏幕密码的设备的取证 微信的手工解密
为什么要关注微信
点对点即时通讯 群组 支付/转账 生活服务 社交网络(朋友圈)
有关安卓版微信
• 程序安装目录:
data/data/com.tencent.mm • 用户数据目录:
• iPad mini/mini2/mini3/mini4
高检培训PPT课件-大数据时代的电子取证30页PPT
▪
26、要使整个人生都过得舒适、愉快,这是不可能的,因为人类必须具备一种能应付逆境的态度。——卢梭
▪
27、只有把抱怨环境的心情,化为上进的力量,才是成功的保证。——罗曼·罗兰
▪
28、知之者不如好之者,好之者不如乐之者。——孔子
▪
29、勇猛、大胆和坚定的决心够抵得上武器的精良。——达·芬奇
高检培训PPT课件-大数据时代的电子取 证
11、获得的成功越大,就越令人高兴 。野心 是使人 勤奋的 原因, 节制使 人枯萎 。 12、不问收获,只问耕耘。如同种树 ,先有 根茎, 再有枝 叶,尔 后花实 ,好好 劳动, 不要想 太多, 那样只 会使人 胆孝懒 惰,因 为不实 践,甚 至不接 触社会 ,难道 你是野 人。(名 言网) 13、不怕,不悔(虽然只有四个字,但 常看常 新。 14、我在心里默默地为每一个人祝福 。我爱 自己, 我用清 洁与节 制来珍 惜我的 身体, 我用智 慧和知 识充实 我的头 脑。 15、这世上的一切都借希望而完成。 农夫不 会播下 一粒玉 米,如 果他不 曾希望 它长成 种籽; 单身汉 不会娶 妻,如 果他不 曾希望 有小孩 ;商人 或手艺 人不会 工作, 如果他 不曾希 望因此 而有收 益。-- 马钉路 德。
▪
30、意志是一个强壮的盲人,倚靠在明眼的跛子肩上。——叔本华
谢谢!
30
信息犯与与计算机取证ppt课件
精选编辑ppt
22
1.2.2 物理安全
物理安全是信息系统的安全基础。 定义:在遇到偷盗、间谍活动、阴谋破
坏和伤害时,为确保某人或某物的安全 和物质存在所采取的措施。
精选编辑ppt
23
将物理安全中面临的威胁分为: 自然破坏 人为破坏 环境破坏
精选编辑ppt
24
1. 自然破坏
自然破坏包括各种各样的自然灾害,例 如:火灾、洪水、地震、雪崩、火山爆 发等等。
精选编辑ppt
8
2. 完整性
总体而言完整性可以从两个方面进行考 虑:
一是数据内容本身的完整性,有时称为 数据内容完整性;
二是数据来源的完整性,有时称为数据 源完整性。
精选编辑ppt
9
数据内容完整性是指数据本身不被未授 权的修改、增加和删除等。
而数据源完整性是指数据的发送者就是 其所声称的来源是真实的,经常通过各 种认证机制实现。
精选编辑ppt
6
1. 机密性 即只有授权用户或系统才能对被保护的
数据进行访问。
在许多系统的安全目标或安全需求中都 会提到机密性。
精选编辑ppt
7
机密性除了用于保证受保护的数据内容 不被泄露外,数据的存在性也是机密性 所属范畴。
有的数据其存在与否,比知道其具体内 容更重要。
◦ 例如:在商业竞争中,多个企业竞争相同 的客户源,知道某个企业已经和某个客户 签订了合同有时比知道具体合同内容更重 要。在这种情况下,数据本身是否存在也 是一项机密数据。
精选编辑ppt
14
1.1.3 信息安全威胁
现有的安全威胁可以分为四大类: 截取 中断 伪造 篡改
精选编辑ppt
15
1. 截取
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SIM卡中的存储信息
SIM卡是GSM网手机的基本单元,包含了特定用户的信息。它是一种特 殊的智能卡,通常包含了16K到64K的内存、一个处理器、一个操作系 统,在移动通信网络中,手机与SIM卡共同构成移动通信终端设备。
SIM卡即为客户识别模块,也被称为用户身份识别卡,它记录着 IMEI(国际移动设备识别号)、密钥、PIN码(个人身份识别码)、加 密算法和 其他用户相关的信息,移动通信网络通过此卡来对用户身 份进行鉴别以及对用户通话时的语音信息进行加密。一个SIM卡惟一 的标识出用户,决定电话的号码,包 含一个授权用户连上网络的算 法。SIM卡文件系统的组织是为了存放姓名和电话号码,发送和接收 文本信息,和进行网络配置,这些信息也可以共存于电话的内存中。 跟所有的智能卡一样,SIM卡的内容是被保护的,通过设置PIN码来限 制访问。因此,SIM卡包含着大量有价值的潜在电子证据。
的数据不被改变。
中国手机的一些概况 • 国产机都是中国一些公司设计建立的他们自己的品牌 • 一些山寨机品牌也最终被建立。 • 在中国销售,而且出口到世界。在世界手机市场上占到30%左右。 • 有时以原始制作商的身份直接卖给西部的一些手机制造商。
Lenovo, Huawei, ZTE, K-Touch, 金立, CoolPad, 长虹.
CellXtract手机取证设备的介绍 功能与特点:
综合数据提取。包括提取未接电话、已拨电话、已接电话、电话薄、短 信息、从SIM卡中删除的信息、多媒体信息、日程表、备忘录、待办事项、 照片、视频、音频和其他文件。
支持对超过2000多款移动设备进行逻辑提取,包括Apple iPhone、 Android、Blackberry、SmartPhones、 Palm、Palm WebOS、 Symbian、 Windows 系统和GPS设备。
手机取证的电子证据来源
手机内存 SIM卡 外置存储卡 移动网络运营商
手机内存中的存储信息
随着手机功能的增强,手机内置的存储芯片容量呈现不断扩充的趋势。 手机内存根据存储数据的差异可分为动态存储区和静态存储区两部分。 动态存储区中主要存储执行操作系统指令和用户应用程序时产生的临 时数据,而静态存储区保存着操作系统、各种配置数据以及一些用户 个人数据。
CellXtract有蓝牙和红外提取功能;有内置的SIM、SD卡读卡器;多功能读 卡器;NIC网络隔离卡,可以将手机与网络隔离。
从国产、山寨手机上完全物理提取存储芯片。提取的存储芯片是一个完 全的物理镜像文件(二进制文件)。
用户密码提取支持所有的中国山寨机。 通过使用写保护、MD5哈希数据校验和带时间标记的审计跟踪使得提取
CellXtract的主用户界面
System setup选项介绍
点击Extraction这个按钮引出提取设置窗口,勾选条目为蓝色显示。
Display这个按钮能够增加或者减少屏幕的亮度。
点击Information按钮将显示Logicube技术支持联系信息。
点击Repor随着犯罪方式的日益增加,手机取证越来越多的得到了应用,目前牵涉 到手机的犯罪行为大致有三种:一是在犯罪行为的实施过程中使用手机 来充当通信联络工具;二是手机被用作一种犯罪证据的存储媒质;最后 一种方式是手机被当作短信诈骗、短信骚扰和病毒软件传播等新型手机 犯罪活动的实施工具。这些都充分地表明进行手机取证技术的相关研究 对于维持社会稳定、保障人民权益和 打击犯罪行为具有充分的必要性 和极大的迫切性。
这些制造商与国内和国外的运输公司合作将他们的手机出售到世界各地。
接口介绍
CellXtract的屏幕是LCD触摸屏,所有的控制软件和用户输入都由它来 控制。底下面板是电源开关和一个外置的电池容量显示仪。
当打开电源以后,CellXtract将初始化并启动到最终用户许可协议。 如下图所示,点击ACCEPT继续,CellXtract将启动到主应用菜单。
手机取证设备
今天要介绍的手机取证设备有Cellbrite公司的UFED、Logicube公司的 CellXtract。这两款手机取证设备是目前市场上应用最多反应最好的产 品。 Logicube公司的CellXtract手机取证设备是CELLDEK手机取证设备的更新 代产品,之前的CELLDEK支持的手机型号多使用性能好,但是体积大, 携带不方便,所以Logicube公司用体积小、外形坚固、携带方便的新 产品CellXtract设备取代CELLDEK。 Cellbrite公司的UFED手机取证设备是一款独立的即适合犯罪现场又适 合在实验室使用的设备,目前用的比较多的是UFED物理版和逻辑版。
从移动网络运营商可得到的数据
移动网络运营商的通话数据记录数据库与用户注册信息数据库存储着大 量的潜在证据,主要包括移动运营商的CDR数据库中的通话数据记录和 用户注册信息数据库 中的用户资料。通话数据记录数据库中的一条记 录信息,包括有主/被叫用户的手机号码、主/被叫手机的IMEI号、通 话时长、服务类型和通话过程中起始端与 终止端网络服务基站信息。 用户注册信息数据库中可以获取包括用户姓名、证件号码、住址、手 机号码、SIM卡号及其PIN和PUK、IMSI号和所开通的服 务类型信息。在 我国即将实行“手机实名制”的大环境下,这些信息可在日后案件调 查取证过程中发挥巨大的实质性作用。
外置存储卡存储的信息
为了满足人们对于手机功能的个性化需求,许多品牌型号的手机 都提供了外置存储卡来扩充存储容量,存储MMS消息、图片、 MP3音乐、声音和其他文件,这 些文件可能是侵犯个人隐私或有 版权问题的,在处理涉及版权或著作权的案件时可作为一个重要 的潜在的电子证据来源。当前市面上常见的外置存储卡有SD、 Mini SD和Memory Stick。
点击Advanced按钮,出现一个输入密码的窗口,用软键盘输入5个9, 此时,我们可以选择进入Windows系统中去。