手机取证技术探讨与分析
手机取证研究
手机取证研究作者:魏龙飞杨柳任梦雅来源:《科技经济市场》2014年第11期摘 ;要:手机在作为日常通讯工具的同时也成为了犯罪分子实施违法犯罪的作案工具,开展手机取证研究有利于固定犯罪证据,提供侦查线索,本文根据目前手机取证现状开展调查研究,探讨了手机取证的特点、面临的困难,并就取证方法进行阐述。
关键词:手机取证;违法犯罪;证据收集0 ;引言在互联网高速发展的大数据时代,手机作为日常通讯、娱乐及存储工具已成为人们的生活必须品,手机性能的提升给人们的生活带来了便利,但也为犯罪分子开展诈骗、制假售假、黑客攻击、传播病毒、侵犯个人隐私等违法犯罪活动提供了新型高效的作案工具。
因此,加强手机取证研究,从犯罪分子手机的存储空间及运营商数据库中还原、分析、固定电子证据并作为案件侦查线索或被法庭认可的证据,对于打击犯罪、惩治不法分子、保障人民生命和财产安全及维护社会和谐稳定有重要意义。
1 ;手机取证的特点手机取证是指利用电子数据检验鉴定的技术方法、工作程序及体系,全面、准确、系统地恢复、分析及提取受检手机中有价值的信息,并制作成为法庭认可或侦查机关需要的证据的过程。
相对于计算机取证,手机取证是鉴定工作新兴的业务范畴,手机数据标准不统一、操作系统复杂多样、生产厂家品牌众多、更新换代速度飞快等特点均对手机取证工作提出了较高的要求,尽管现有的计算机取证有一定的成功经验可以运用到手机取证中来,但由于大部分手机均使用专有协议,国内电子数据鉴定机构只能对部分品牌的主流手机进行取证,且取证的效果并不理想,同我国司法工作所要求的证据标准相距甚远,所以开展手机取证研究的意义重大。
2 ;手机取证面临的困难当前手机取证仍处于探索尝试阶段,不同于计算机电子取证,手机取证面临的以下问题,制约了手机取证的发展及为司法实践服务的效能。
2.1 ;手机生产管理缺失目前,主流手机生产厂商在每一部手机出厂时均会授予一个移动设备国际识别码(IMEI),此码犹如人类的指纹,具有唯一性。
Android系统手机取证分析
Computer Knowledge and Technology 电脑知识与技术第8卷第5期(2012年2月)Android 系统手机取证分析裴珊珊(山东政法学院信息科学技术系,山东济南250014)摘要:现代社会中,手机犯罪现象作为高科技犯罪的一种,亟待研究相应的对策加以应对,智能手机的普及使对手机取证技术的研究迈向新的高度,越来越多的智能手机采用Android 系统,针对Android 系统手机取证的电子证据来源以及取证分析方法进行了相应地介绍和研究,最后提出采用Android 系统的手机取证应解决的问题。
关键词:手机犯罪;手机取证;Android中图分类号:TP309文献标识码:A 文章编号:1009-3044(2012)05-1052-05The Forensic Analysis of Android Mobile Phone SystemPEI Shan-shan(Department of Information Science and Technology,ShanDong University of Political Science and Law,Jinan 250014,China )Abstract:In modern society,mobile phone crime phenomenon as a high-technology crime,need to study and the corresponding counter ⁃measures to deal with,the popularity of intelligent mobile phone make the mobile phone on evidence research to a new height,wherein more and more intelligent mobile phone use Android system.this paper mainly introduces the Android system mobile phone forensics elec ⁃tronic sources of evidence and forensic analysis method,finally puts forward using Android system should solve the problem of mobile phone forensics.Key words:mobile phone crime;mobile phone forensics;Android 1概述信息技术迅猛发展的今天,作为当今最为普及的信息技术产品,各种手持设备发展日新月异。
Android手机取证技术研究综述
Android手机取证技术研究综述作者:杨雪来源:《计算机时代》2015年第06期摘要: Android智能手机的广泛应用使其成为备受关注的数字取证源,近年来取证技术不断发展,Android手机取证标准日臻成熟。
研究了Android手机存储设备NAND闪存的异步更新策略这一有利于取证的特性,详细描述了符合国际标准的Android手机取证过程,以及Android手机取证技术的国内外研究现状和面临的挑战。
在此基础上展望未来发展趋势,为进一步研究Android手机取证提供参考性意见。
关键词: Android智能手机;数字取证;取证标准;取证现状中图分类号:TN929.53 文献标志码:A 文章编号:1006-8228(2015)06-07-03Abstract: The widely used Android smartphones have become main source of digital forensic. In recent years, standard of forensic procedure has become matured and forensic technology is constantly evolving. This article describes the usage of NAND flash chip as storage device in Android phone and its out-of-place-write strategy that forensic officers can take advantage of. Then this article illustrates the international guidelines of mobile phone forensic process, provides an overview of the state-of-the-art mobile phone forensic technology and the challenges investigators are facing,proposes possible trends in this field. Hope this work can serve as an effective support for future in-depth study of Android phone forensics.Key words: Android smartphone; digital forensic; forensic guidelines; state-of-the-art0 引言网络与信息技术的蓬勃发展使智能手机市场迅速扩张。
智能手机取证
智能手机取证作者:王松敏来源:《环球市场信息导报》2016年第03期随着科学技术的不断进步,智能手机的功能愈加完备,其推陈出新的设计受到人们的广大追捧。
如今,智能手机已成为人们日常生活中不可或缺的一部分。
与此同时,手机犯罪的几率也不断增加,手机取证成为打击此类犯罪的有效手段,对于刑侦工作的开展具有重要意义。
本文着重探讨智能手机中证据表现形式、取证原则及流程、常用取证工具以及现存问题,以期对于智能手机取证有所帮助。
兼具娱乐性与实用功能的智能手机为人们的生活提供了极大便利,已成为人们日常生活必不可少的一部分。
如今,为了满足人们的需要,各种品牌的手机不断开发新技术,智能手机的功用愈加完备。
然而,随之而来的手机犯罪案件也水涨船高,呈现上升趋势。
智能手机中含有大量的用户信息,因此手机取证对于打击手机犯罪发挥着重要的作用。
研究智能手机取证技术具有显著的社会意义。
证据形式分析随着科学技术的不断进步,智能手机的功能越来越强大。
在日常生活中,智能手机成为人们学习、工作、娱乐等一切活动的重要工具。
由于智能手机的强大性能以及其体积小便于携带的优势,智能手机逐渐取代电脑成为人们爱不释手的电子工具。
因此,存储于手机的信息数量庞大且多种多样,因而电子证据形式亦不断增多。
由于智能手机的功能繁多而优良,电子证据的表现形式也有所不同。
通讯录。
由于手机的不断研发,更新换代,智能手机的通讯录文件摆脱了以往的单一模式,具有多样化的功能,能够存储大量信息。
首先,智能手机中的联系人信息十分齐全,包括姓名,电话号码、邮编、电子信箱、最后修改日期时间等一系列全面细化的内容。
其次,智能手机的设置讲求客户意识,在为用户提供便利的同时为手机取证提供了极大便利。
例如:智能手机中包含联系人群组信息、已设置的快速拨号列表信息等,这些信息为手机取证提供了直接而有利的内容。
信息传递功能。
智能手机的信息传递功能多种多样,因此其证据形式也丰富多样,包括短信、彩信、电子邮件、信息文件夹内容等。
手机取证若干问题分析
手机取证若干问题分析作者:贾林媛莫海来源:《环球市场信息导报》2015年第12期在司法实践中,越来越多的犯罪案件都是利用现今的手机通讯技术进行作案,因此,手机已成为了当今时代发展中电子取证所最常使用的新对象。
手机犯罪也是高科技犯罪的其中一种,是近期新涌现出来的问题,急需相对应的政策对该行为进行制止。
从手机中提取证据从而对于该问题的解决方法进行分析,有利于减少该违法行为的发生。
本文从手机取证方面进行分析,最后提出手机取证应解决的问题,随着当今时代的不断发展,技术也不断的日益先进,手机在当今时代的发展中起到了越来越重要的作用。
但也正是由于手机技术的发展,也从而引发了一些利用手机进行犯罪的情况出现,例如诈骗、造谣等违法犯罪活动日益增多。
因此,司法机关需要通过手机取证的方式来对于犯罪人员进行惩治。
手机取证即利用手机内存、SIM卡以及短信等电子证据来进行提取,从而得到有价值的线索,从而对于手机诈骗行为进行管理。
1电子证据的来源手机取证主要来源为手机内存、SIM卡、闪存卡和移动运营商以及短信服务提供商系统。
手机内存。
随着时代的不断发展,手机内存的功能也随着不断的发展。
手机中的大量信息都存储在内存上,因此也可作为电子证据。
其主要包括手机号的识别,电话簿中存有的联系人资料,发送和接受的短信,通话记录,备忘录以及日历中的待办事项,上网时所浏览内容的缓存记录以及各种图片、声音和动画等文件。
内存在能存储大量的信息,而信息也可以被删除,但可利用软件进行数据的恢复,或者由手机的制造商来进行数据恢复。
SIM卡。
SIM卡中包含大量的潜在电子证据,主要包括用户识别号、服务提供商、用户储存的电话号码列表以及近期呼叫的电话号码和一些文本信息。
文本信息和通话记录的信息价值较大,因此SIM卡中包含了大量有价值的信息。
移动运营商网络。
移动运营商网络中也包含了大量的有价值的证据。
主要有用户的呼叫记录以及能根据号码查找到该用户的基本信息。
其中CDR数据库包含了大量的信息。
手机数据取证技术概述
手机数据取证技术概述
赵广明 李雷 赵森
( 河南省唐 河县人 民检察 院,河 南 南阳 4 7 3 4 0 0 )
摘要 :本 文具体探讨了手机取证对象的现状、取证 的 内容、方式,并以 1 0S 和A n d r o i d手机 为倒介绍 了手机取证的 实战运用步骤 。
一
的智 能机是我们需要 重点研究的对象 , 下面 以此两系统为例来分析 : i O S :苹果公 司开发 的移 动操 作系统 , 最初是设计给 i P h o n e 使用 的, 后来 陆续套用 到i P o d t o u c h 、 i P a d 以及 A p p l e T V等产 品上 , 属于封 闭性 系统 ,不开放源代码 。目前只有 部分 l O S 手机型号 , 可 以通过 D F U模式 , 上
关键词 :电子数据 ;手机取证
2 0 1 2年修订后 的 《 刑事诉讼法 》第 4 8 条将 电子数据规定为第八种证据类型 ,电子 数据 的收集、固定 、检验、分析工作逐渐成 为职务犯罪案件的重要取证手段 。 涉及 电子 证据 的案件量快速增长 ,特别是手机取证 , 几乎成 了每案必走的常规取证程序 。由于手 机品牌及型号繁多 , 手机数 据的提 取和固定 成了取证 的难点 , 本文结合检察系统工作 特 点及 自身多年工作的积累 , 试探讨 手机取证 的主要技术方法 。
密码 , 提 取邮件信息 ;查看网上交易信息 , 如淘宝 、京东等购物记录 , 可 以分析资金流
向。
P h o n e 、S y m b i a n 、B l a c k B e r r y 、L i n u x等 ,这
些 系统覆盖 智能手机市 场超过 9 8 %。2 0 1 4 年8 月 6日,E n f o d e s k 易观智库发 布的 《 中 国手机市场季度数据监测报告 2 0 1 4年第 2 季度 》 显示 ,第 2 季度 中国手机市场 ( 不含 水货和山寨机 ) 销量为 l 1 2 1 2 万 台,其中智 能手机销量为 1 0 2 9 8 万台 。占比整体手机市 场达到 9 1 . 9 %。由此可 以看 出,主流用户使 用 的都是智能手机 , 也就是说手机取证 的主 要对象是智能手机。 ( 二) 非智能手机 。功能简单 , 仅具有 拨打接听 电话、收发短信 、内置存储可存 电 话 号码和通话记录 、日 期时间功能 、 计算 器 功能;主要用户群 为老年人 、 儿 童及农 村用 户, 取证实践中很少遇到。 ( 三) 国产山寨机 。一些小的手机厂商 依靠模仿并加 以创新 ,以极低的成本模仿主 流手机品牌产 品的外观或功能 , 具有外观漂 亮 、功 能多 、价 格低 等方 面 优 势 ,例 如 N O K I R 、S A M S I N G这样的一些擦边球 品牌 。 山寨机大多是基 于联发科 M T K 平 台的杂牌 手机 ,主要用户是学生 、打工者等低收入用 户, 取证实践 中遇到一些 , 但是也 比例不高 。
手机取证精品PPT课件
SIM卡中的存储信息
SIM卡是GSM网手机的基本单元,包含了特定用户的信息。它是一种特 殊的智能卡,通常包含了16K到64K的内存、一个处理器、一个操作系 统,在移动通信网络中,手机与SIM卡共同构成移动通信终端设备。
SIM卡即为客户识别模块,也被称为用户身份识别卡,它记录着 IMEI(国际移动设备识别号)、密钥、PIN码(个人身份识别码)、加 密算法和 其他用户相关的信息,移动通信网络通过此卡来对用户身 份进行鉴别以及对用户通话时的语音信息进行加密。一个SIM卡惟一 的标识出用户,决定电话的号码,包 含一个授权用户连上网络的算 法。SIM卡文件系统的组织是为了存放姓名和电话号码,发送和接收 文本信息,和进行网络配置,这些信息也可以共存于电话的内存中。 跟所有的智能卡一样,SIM卡的内容是被保护的,通过设置PIN码来限 制访问。因此,SIM卡包含着大量有价值的潜在电子证据。
的数据不被改变。
中国手机的一些概况 • 国产机都是中国一些公司设计建立的他们自己的品牌 • 一些山寨机品牌也最终被建立。 • 在中国销售,而且出口到世界。在世界手机市场上占到30%左右。 • 有时以原始制作商的身份直接卖给西部的一些手机制造商。
Lenovo, Huawei, ZTE, K-Touch, 金立, CoolPad, 长虹.
CellXtract手机取证设备的介绍 功能与特点:
综合数据提取。包括提取未接电话、已拨电话、已接电话、电话薄、短 信息、从SIM卡中删除的信息、多媒体信息、日程表、备忘录、待办事项、 照片、视频、音频和其他文件。
支持对超过2000多款移动设备进行逻辑提取,包括Apple iPhone、 Android、Blackberry、SmartPhones、 Palm、Palm WebOS、 Symbian、 Windows 系统和GPS设备。
移动设备取证及其面临的挑战
种数字移动设备已经成为新型犯罪工 具,它们在操作系统、数据存储等方 面与传统的手机不同,其证据获取和
分析需要使用更先进的工具和技术。
(三)Final Data公司的Final
Mobile
下面我们将讨论几个深受欢迎的商用
取证工具。
Forensics产品
该产品是美国加利福尼亚'少l'lFinal
(一)Cellebrite公司U FED手 机取证分析系统
作为呈堂证供数据的合法性。UFED 支持CDMA、GSM、IDEN和TDMA
63
万方数据
(五)Logicube公司CellXtract 手机取证器
该产品是美[]Logicube公司201 1 年推出的一款专门用于手机、PDA和 GPS设备数据提取的便携设备,用户
取证调查人员面临的挑战是在获
对于首先获取移动设备的调查人
所获取的移动设备普遍包含着诸如电 子邮件、文字处理文件、电子表格、
文本消息、GPS跟踪信息和图片之类 的电子记录信息,而犯罪分子也常使 用移动设备进行诸如股票交易、航班 预订、酒店入住、手机通信之类的活 动,这些信息往往能够作为犯罪分子
较大挑占|
新的速廖 其软硬俐 使得移剥 往往跟才 度,从币 人员完塞
等移动设备的取证调查一般需要得到适
受困于取证工具、取证结果和取证过 程的标准化等问题。
为了让移动设备取证工作向着更 好的方向发展,制定取证工具的评价
标准和取证工作的操作规范是非常必 要的。有关标准问题,美国国家标准
和技术研究所(NIST)公布了((手 机取证指南(Guidelines
on
电池很快失效。特别是对于iPhone来 说,由于其具备远程擦除功能选项,
移动设备取证及其面临的挑崮
智能手机取证应用初探
智能手机取证应用初探作者:李敬伟来源:《法制博览》2015年第10期摘要:智能手机普及以来,通过手机进行犯罪活动的案例也屡见不鲜,所以为了有效打击手机犯罪行为,通过智能手机取证行为提供司法依据,在刑侦破获过程中也起到了重要支持作用。
基于此,本文针对智能手机取证的一般流程内容、常用取证工具等进行了简要阐述。
关键词:智能手机;电子证据;取证;工具中图分类号:TN929.53 文献标识码:A 文章编号:2095-4379-(2015)29-0169-01作者简介:李敬伟(1976-),男,吉林通化人,大学学历,通化市公安局刑警支队电子物证工程师、痕迹检验工程师,研究方向:电子取证、痕迹检验。
智能手机的普及,诸如近年来常见的电子邮件诈骗、短信骚扰、挂马网站非法交易等违法犯罪行为也再逐渐激增。
基于智能手机包含大量用户基数的基本信息,所以这些信息数据也能够为打击、指控这些犯罪行为提供有力司法依据。
为此,智能手机取证工作的现实意义十分重大,值得我们对其予以高度重视。
一、智能手机取证的基本概述智能手机取证技术是通过智能手机新兴起来的电子取证应用技术,它的技术取证来源主要通过手机内存、SIM卡、以及运营商获得。
在电子证据提取时一般会通过利用这三种来源渠道的基本信息进行初步的数据提取,并且从中获得一些隐藏数据,即一些系统缓存存在的数据信息、或是空间日志、记录等。
二、智能手机取证的一般流程智能手机在取证时遵循以上几点取证原则时的一般流程主要有:(一)取证准备该阶段的重心目的在于通过准备工作能够对其从属的案件展开初步分析,以掌握该案件的犯罪行为具有的动机、目的等基本状况;同时这一阶段的后续工作需要成立相关调查小组,明确必要的小组分工;然后会考虑到各类手机品牌、应用型号、应用软件、系统硬件等的特征,选用适用的常见取证工具,为取证调查案件提供充分准备。
(二)证据提取证据提取阶段工作内容是针对收集到的检材样本进行编号,同时通过拍照、记录等方式用以确认智能手机的型号、系统软硬件信息,屏蔽通讯信号等,从而避免手机系统内部数据信息发生变化使其不影响到提取结果的准确性。
浅谈电子物证现场勘查工作中手机物证的提取与固定
浅谈电子物证现场勘查工作中手机物证的提取与固定摘要电子物证作为刑事技术新兴的专业,在越来越多的执法实务中发挥着不可或缺的作用。
虽然电子证据检验分析的工作主战场在实验室中,但现场勘查却是电子证据检验最重要的前端环节。
在新刑诉法等一系列法律法规中,对电子物证送检流转流程要求愈加严格,因此在现场勘查中对电子物证的规范提取和固定成为电子物证检验技术人员新的要求。
基于电子物证有别于其他传统证据类型的特点,在电子物证现场勘查务实中需要更加严格遵守规范流程和方法。
关键词电子物证;手机取证;现场勘查;一长四必1 前言电子物证现场勘查取证是指受办案部门委托,在犯罪嫌疑人办公场所、住所等地点,对可能含有与犯罪案件相关电子物证的电子设备、存储介质等进行现场勘查取证。
电子物证取证现场勘查取证工作中应当严格遵守国家法律、法规和其他相关规定,并遵循相关技术规范[1]。
在电子物证现场勘查取证过程中,应当保证电子物证的安全性、可溯源性、真实性和完整性。
若采取的现场勘查措施不可避免会对电子物证产生影响的,应当告知委托人员,并在电子物证现场勘查笔录中进行记录并说明原因[2]。
目前中国智能手机的普及率已达58%,并且在实际办案务实中,手机类检材也要远远多于计算机类检材。
随着智能手机地不断发展,在现场勘查工作中有更多的规范技术方法也需要随之改进。
2 手机类检材现场勘查准备工作在进行电子物证现场勘查取证前期准备时,应了解以下几方面情况,主要包括以下几点:(1)充分了解案件的基本案情;(2)观察并记录现场所在位置及相关环境;(3)听取痕迹检验技术员对现场勘查情况的介绍;(4)其他应事先掌握的与现场勘验相关的情况。
在赶赴现场勘查前,应准备好现场勘验取证设备及工具,包括但不限于电磁信号屏蔽物证袋、信号屏蔽器、手机取证检验工具、专用安全访问接口、专用案件数据存储介质、充电宝、数据线包等。
3 手机类检材现场勘查工作到达现场后,应采取措施保护现场,以保证电子物证的完整性,主要包括以下几个方面[3]:(1)进入现场前,应带好有防静电功能的手套、鞋套;(2)立即制止在场人员一切操作电子设备的行为;(3)启用小型信号屏蔽器阻断手机通信信号;(4)针对现场情况进行必要的拍照和信息记录(5)检查手机的开关机状态,并进行相应的记录;(6)如手机类检材处于开机状态的,不得进行关机操作。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3.JTAG/ISP
4.chip-off
二.手机取证的技术难点
2.1 手机取证的技术现状
随着人们智能手机不断地技术革新和APP应用普及,电子数据安全与备 份也不断地随之变化,同时我国电子取证标准与规范不断完善中,这些都给 手机取证带来新的机遇和挑战。目前我国手机取证技术仍然存在些瓶颈难点, 总的来说归纳如下: 手机投资、 交易及支 付等金融 交易记录 解析
不受手机好坏限制、不受手机操作系统限制、不受手机是否有锁限制; 不区分脱离手机操作环境,直接读取手机FLASH存储芯片内容,提取最
4
5
原始数据;手机型号,只针对FLASH型号,产品适用范围广泛; 加密数据、未加密数据、已删除数据、未删除数据,均可完整提取,生 成镜像文件兼容其他厂家分析工具软件,进行数据分析及数据恢复工作;
3、3rd recovery,
data分区加密。即使我们 拿到无法解析,而且从安卓5.0时代开始,3rd recovery的备份能力明显不足, 不少数据已无法获取; 4、基于chipoff的芯片提取。第一步,针对UFS2.0架构,尚无支持的配套硬件 设备,第二步,镜像获取之后,全盘数据加密,无法解析。
一的解决办法。这种检验手段仅能获取已有数据, 对于删除的数据无法进行提取和固定,同时对于手 机加密和破损的情况也无法应对。其次,必须保证 该设备能正常开机,同时并未设置密码或者已知密 码。图中北京瑞源的EDEC1030小型数码翻拍仪就 是人工提取的辅助设备。
一.手机取证的技术手段
1.3逻辑提取
手机通过连接线(USB、RS232)或无线 (蓝牙、红外、WiFi)等方式与取证专用硬件 或安装软件的工作站连接,提取逻辑数据。常见 的如kingroot、360手机助等代理软件和专业的 商业软件可以实现开机连接获取基本用户数据信 息,在一定程度上逻辑提取可以获得删除数据记
3.JTAG/ISP 2.逻辑提取
式和技术做出了5个层次分类:
1.人工提取
一.手机取证的技术手段
1.2 人工提取
移动终端取证在专业化的取证设备出现之前, 都是直接在移动终端上查看相关数据,并使用相机 等翻拍设备记录证据。人工提取的优点在于门槛底, 且总会存在工具无法提取的移动终端,对于那些缺
少其他提取固定手段的取证人员来说,这无疑是唯
3.3 大连睿海 RH-6900是一套可应用于国产 山寨手机、品牌功能手机、新型智能 手机等全品牌、各种操作系统的手机 数据综合提取分析系统。系统内置通 用型芯片物理数据提取模块、EMMC 物理数据提取模块、JTAG物理数据提 取模块、智能终端数据分析模块、手 机SIM卡/存储卡数据分析模块等多个功能模块,该产品是一款集成 了软件提取手段、JTAG方式、底层芯片级数据提取方式等多种方式 的、可全面应对各种复杂需求的综合型手机数据提取分析系统。
一.手机取证的技术手段
1.7 取证技术手段的优先级 目前的人工、逻辑、JTAG/ISP及chip-off的技术应用分析,无论
是从取证的难易程度、电子数据的深度,还是取证固定的司法规范,
普遍遵循着这4个取证手段(由于微读手段只是行业发展的预测,不 做为应用现状的讨论)的应用优先级:
1.人工提取
2.逻辑提取
手机解锁、 文件加密的 解析
历史浏览 及聊天删
安卓手机 root获取
除记录的
恢复
及无损检
材与解析
二.手机取证的技术难点
2.1.1 手机解锁与文件加密解析 现在用户的智能手机关系到太多的个人隐私信息,那么手机的图形 和数字锁、SIM卡PIN及PUK锁,指纹锁甚至手机存储芯片的文件加 密、声纹及虹膜识别技术都是用户手机加密的实现方式,而这些恰恰 给手机取证带来一定技术障碍。
三.手机取证工具简介
3.1 UFED Touch 以色列Cellebrite
公司是国际上最早生
产的手机取证工具的 厂商之一,其设备代 表着移动终端取证设 备的最高水平。 UFED Touch是其生 产的新一代、高性能 的独立便携式手机司法分析工具设备,也是目前国际主流的手机取证工具。 它支持以“位对位”的形式对手机、GPS、平板电脑以及中国山寨手机等 大部分移动设备中的数据进行物理获取和深度分析。
录,但不能恢复未分配空间的数据,同时对于目
前高版本的具有root权限的智能手机逻辑提取存 在一定的检材数据有损风险。
一.手机取证的技术手段
1.4 JTAG/ISP提取
对于低端智能机、国产机以及非智 能手机取证有时候需要JTAG/ISP测试协 议方式,利用手机主板触点连机进行数 据提取和解析。此种技术对于无法正常 开机、未获得root权限或者存在开机密 码的手机取证很有帮助。但数据被覆盖 或是被检手机进行过全盘加密,那么
三.手机取证工具简介
3.4 北京瑞源 2016年新款EDEC狼蛛6100手机检验系 统,涵盖主流品牌智能手机、功能机的数据 提取、数据恢复、手机APP解析能力,系统 配置国际手机检验工具和 EDEC狼蛛系列软件及工 具,是目前手机常规检验
中手段最丰富,支持种类
数量最多,删除数据恢复能 力最强的产品。
二.手机取证的技术难点
目前常用的解决办法是都是recovery模式下清锁或者物理方
式绕过解锁限制,或许国产OPPO等机型简锁进行一定的软件破解, 这些都可能会面临获取root权限或者解锁中对检测数据取证固定
带来一定的影响。
二.手机取证的技术难点
1.苹果手机从4S以后都采用了全盘加密、如果需要进行物理芯片数据获 取,除了要先破解密码以外,还需要对手机越狱,同时需要安装SSH, 目前的技术手段还是无解的。虽然曾经的FBI通过cellebrite 对苹果5C进 行密码破解,这也是仅仅是利用苹果手机开机密码次数漏洞; 2.从Android 5.0开始,谷歌已经引入了全盘加密的设置,但并未强制要
三.手机取证工具简介
3.5 上海盘石
SafeMobile Lab盘石手机取证分
析系统试验室版是盘石公司面向实
验室等专业级用户开发的针对移动 设备电子数据的取证获取和分析工 具,通过专用的硬件工具获取手机 内存镜像和内存卡镜像,对镜像进 行数据分析和数据恢复。
The end
三.手机取证工具简介
3.2 厦门美亚柏科 DC-4501手机取证系统是厦门美 亚柏科信息股份有限公司自主研 制生产的、用于手机数据提取和 恢复并进行深度分析及数据检索 的调查取证产品。该产品作为 DC-4500手机取证系统的升级换代产品,集成了更高性能的主机设备, 采集速度更快。
三.手机取证工具简介
二. 一 .LED 手机取证的技术手段 显示屏的常用术语
1.5.1 功能机芯片布局实物图
一.手机取证的技术手段
1.5.2 智能机芯片布局实物图
一.手机取证的技术手段
1.5.3 chipp-off技术特点
1 2 3
手机FLASH芯片为陶瓷密封封装,在极端情况下(如手机被摔裂、破坏 、进水、腐蚀),仍可通过对FLASH芯片的数据提取来获得所需信息; 脱离手机操作环境直接读取手机FLASH存储芯片内容提取最原始数据;
深圳市先创数字技术有限公司
目 录
一.手机取证的技术手段
1. 1手机取证的应用背景
随着移动终端的迅速发展,利用移动终端进行各
类非法或犯罪行为的犯罪行为不断出现,而且呈现 出高速增长的势头,这使得电子数据取证的主要 目标从存储介质向移动终端延伸。美国科研机 构电子数据取证包括手机在内的取证实现方
5.微读 4.chip-off提取
JTAG/ISP也仅仅获得是的全盘加密的镜
像文件。
一.手机取证的技术手段
1.5物理提取
chip-off技术是最复杂且最底层的数据获取技术。这种方法需要将移动终 端中的存储芯片通过热风枪或拆焊台与主板剥离,清理芯片表面的焊锡, 然后将芯片安 装到芯片读取 设备上,直接 对芯片本身的 电路和协议进 行分析,获取 其原始镜像或相关数据。常见的手机存储芯片如图
求开启,但在一定算法上要突破,还是需要很长的路要走;同时安卓最新
版的微信的声音识别解锁都是目前面临的解锁挑战。
二.手机取证的技术难点
2.1.2 历史浏览及聊天删除记录的恢复 目前智能手机上的浏览器历史记录和微信聊天记录对于司法取证 人员来说可能存在很有价值的线索信息,然而伴随高智商的网络犯罪, 一些用户可能会定期的清除历史缓存或者删除历史聊天记录,这给取 证工作带来一定的麻烦。 1.苹果手机操作系统对用户只读模式无法对其历史浏览及聊天删除记
录恢复也是无法镜像解析,而且系统
本身为保持操作流畅性能也会定期对 应用缓存和垃圾清理;
2.即使我们获得全部镜像文件,但是
对于高版本的微信聊天记录本身就有 加密,这就存在破解难题。
二.手机取证的技术难点
2.1.3 手机投资、交易及支付等金融交易记录解析 智能手机在满足用户基本通话、聊天和娱乐的同时,也方便了用 户一些投资理财和交易支付,可谓真正的足不出户。然而涉及用户金 融安全的加密更是手机重中之重,司法取证对于金融交易更是一筹莫 展,即便是我们通过层层方式获取了类似支付宝、京东及淘宝网购等 其他APP镜像文件,目前软件也是无法解析其交易记录和密码。据业
都难免存在有 损检材的风险,
无法严格进行
存储芯片的数 据读写保护。 在安卓2.3.4版 本以前都是可以 一键root, 但是从6.0以后,以下几点都是需要突破的:
二.手机取证的技术难点
1、难以root,存在很大 的风险变砖; 2、在线备份,可以获 取部分逻辑数据,对于 删除数据,甚至手机中 能看到的微信、支付宝, 但是都无法提取;
内人士说智能支付和交易平台的公司进行协助获悉
二.手机取证的技术难点
2.1.4 安卓手机root获取及无损检材与解析 司法取证中对于电子数据的有效性有严格DM5校验规定,这就限 制了提取的镜像文件必须是原始数据。但是现在升级版本的安卓系 统都有root,无论是通过第三方代理软件,或者直接物理方式提取,