手機取證研究

魏龍飛 楊柳 任夢雅

摘 ?要：手機在作為日常通訊工具的同時也成為了犯罪分子實施違法犯罪的作案工具，開展手機取證研究有利于固定犯罪證據，提供偵查線索，本文根據目前手機取證現狀開展調查研究，探討了手機取證的特點、面臨的困難，并就取證方法進行闡述。

關鍵詞：手機取證;違法犯罪;證據收集

0 ?引言

在互聯網高速發(fā)展的大數據時代，手機作為日常通訊、娛樂及存儲工具已成為人們的生活必須品，手機性能的提升給人們的生活帶來了便利，但也為犯罪分子開展詐騙、制假售假、黑客攻擊、傳播病毒、侵犯個人隱私等違法犯罪活動提供了新型高效的作案工具。因此，加強手機取證研究，從犯罪分子手機的存儲空間及運營商數據庫中還原、分析、固定電子證據并作為案件偵查線索或被法庭認可的證據，對于打擊犯罪、懲治不法分子、保障人民生命和財產安全及維護社會和諧穩(wěn)定有重要意義。

1 ?手機取證的特點

手機取證是指利用電子數據檢驗鑒定的技術方法、工作程序及體系，全面、準確、系統(tǒng)地恢復、分析及提取受檢手機中有價值的信息，并制作成為法庭認可或偵查機關需要的證據的過程。相對于計算機取證，手機取證是鑒定工作新興的業(yè)務范疇，手機數據標準不統(tǒng)一、操作系統(tǒng)復雜多樣、生產廠家品牌眾多、更新換代速度飛快等特點均對手機取證工作提出了較高的要求，盡管現有的計算機取證有一定的成功經驗可以運用到手機取證中來，但由于大部分手機均使用專有協(xié)議，國內電子數據鑒定機構只能對部分品牌的主流手機進行取證，且取證的效果并不理想，同我國司法工作所要求的證據標準相距甚遠，所以開展手機取證研究的意義重大。

2 ?手機取證面臨的困難

當前手機取證仍處于探索嘗試階段，不同于計算機電子取證，手機取證面臨的以下問題，制約了手機取證的發(fā)展及為司法實踐服務的效能。

2.1 ?手機生產管理缺失

目前，主流手機生產廠商在每一部手機出廠時均會授予一個移動設備國際識別碼（IMEI），此碼猶如人類的指紋，具有唯一性。但一些小的手機生產商，受利益驅使，在監(jiān)管部門的視線外進行著仿照、生產同主流手機外觀雷同、功能相似的山寨手機，并通過偽造IMEI碼為成百上千的手機打上相同的設備識別碼。而且此種廠家屢禁不止，由于監(jiān)管缺失，導致此類手機源源不斷流入市場，在對此類手機進行取證時，必定位出現IMEI號碼對應多個手機的現象，影響取證工作的權威性。

2.2 ?手機信息提取難度大

一是手機操作系統(tǒng)多。目前，手機使用的主流操作系統(tǒng)有Android、iPhoneOS、Windows mobile、Symbian、Blackberry等，由于上述操作系統(tǒng)來源于不同的公司，不同操作系統(tǒng)文件的存儲和管理途徑均不相同，導致提取、恢復、解密手機文件及數據也需要尋找不同的方法。二是取證軟件兼容性不足。目前市場上的手機取證軟件有很多，如盤石、Cellseizure、Celldek等，但一般取證軟件只針對部分手機操作系統(tǒng)，缺乏一種取證軟件能夠兼容所有廠商、所有型號及所有操作系統(tǒng)的手機，導致手機取證費用高昂。三是接口不統(tǒng)一。我國未建立統(tǒng)一的手機數據連接線標準，導致不同品牌、型號的手機充電接口及數據線存在差異，在開展鑒定工作時需要準備不同品牌、型號手機的數據線及充電器。

2.3 ?手機取證意識不足

在司法實踐中，辦案人員對手機取證的認識仍停留在短信、話單上，對手機存儲的圖片、音視頻、交易信息等數據視而不見，經常忽略重要的案件線索;在鑒定工作中，由于受經費限制，很多實戰(zhàn)單位使用破解或盜版手機取證軟件開展鑒定工作，經常出現因軟件缺陷導致取證結果不正確的現象。

3 ?手機取證方法

手機存儲了大量使用人的信息和數據，將手機內的電子數據分析提取并制作成有效證據，應按遵循以下幾個步驟：

3.1 ?取證前的準備

開展手機取證首先要針對案件的情況成立取證專班，科學分配取證成員角色，確定項目負責人，為取證工作提供組織保障;同時要對取證設備進行檢查，全面檢查手機的電量是否滿足取證需求、手機網絡連接是否斷開、手機信號是否屏蔽、手機數據是否進行備份等情況，最后還要全面了解相關法律法規(guī)及規(guī)章條例，為手機取證工作明確方向。

3.2 ?手機證據收集

手機中的電子證據主要從手機設備內置存儲、擴展存儲卡、SIM卡、手機移動運營商（包括手機網絡、通話記錄、短信等數據）等渠道獲取。

（1）手機內存取證

對手機內存的取證可分為手機設備內置存儲和擴展存儲卡（閃存卡）兩種。目前尚無如同Encase那樣的計算機取證軟件直接備份手機內置存儲，需要通過手機廠家或操作系統(tǒng)廠商提供的接口與手機主板連接進行讀取或者將手機拆解得到儲存芯片再用專門設備進行讀取，由于手機的品牌、型號眾多，獲取手機內置存儲數據對取證的軟硬件條件均有較高要求。相對于手機內置存儲的取證，擴展存儲卡（閃存卡）的取證就要容易的多，可直接使用設備接入計算機，再用諸如Encase、Smart、Winhex等這樣取證軟件進行備份分析。

（2）SIM卡取證

SIM卡為手機移動運營商提供的用戶識別卡，主要記錄IMSI、MIN、PIN碼、密鑰Ki、加密算法和其他用戶相關信息，因此，SIM卡含有用戶存儲的電話號碼、日程安排、動畫、聲音、日期與時間、上網緩存記錄、通話記錄、文本消息等電子證據。由于SIM卡是移動運營商統(tǒng)一提供，是一種標準統(tǒng)一的智能卡，可以用SIMCON、ForensicSIM、SIM-Manager、TULP2G等軟件分析取證。

（3）移動運營商網絡取證

手機通訊需要移動運營商提供網絡及技術支持，故移動運營商網絡也包含了很多手機用戶有價值的數據信息，手機取證要重點針對移動運營商CDR數據庫進行提取，CDR數據庫記錄手機用戶的主叫號碼、被叫號碼，主叫、被叫手機的IMEI號及BTS（服務基站）等信息。過濾CDR數據，就可以獲取SIM卡的通話記錄，分析BTS信息，可以獲取用戶撥打、接聽電話及發(fā)送、接受短信的精確地理位置。

3.3 ?取證結果保護

手機取證分析工作的同時要查明所有證據的來源并對元器件進行封裝，期間要注意防塵、防水、防靜電、防電磁輻射、防震等事項，同時要要實時記錄取證結果，保證所有收集電子數據的收集及鑒定過程符合規(guī)定程序，沒有被更改、轉移或銷毀，確保提供的證據準確有效。

4 ?結束語

本文重點針對手機取證的特點、存在的困難及取證步驟進行研究，本文提出的具體觀點還需要鑒定專家及實戰(zhàn)單位的執(zhí)法人員進行評價、分析及進一步完善。目前，我國手機取證目前仍處于起步探索階段，手機取證技術的發(fā)展速度遠遠達不到智能手機更新及4G網絡推廣的要求，需要鑒定部門進一步提高重視程度，加大對手機取證人力、物力、財力的投入，全面提升手機取證工作的水平。

參考文獻：

[1]戴士劍，李運策，梅越.電子物證溯源性研究[J].專題研究，2010（11）.

[2]田成亞.智能手機取證研究[D].山東輕工業(yè)學院：楊英，2011.

[3]吳葉科，宋如順，陳波.基于手機取證的調查模型研究[J].計算機時代，2012（12）.