淺談電子物證中手機數(shù)據(jù)的保護(hù)與提取

李軍輝　李金月　鄧強

摘要：手機作為目前社會最普遍的通訊工具，其中存儲著大量有利于直接舉證或間接提供破案線索的有價值信息，其重要性已不必再強調(diào)，本文便以手機為主要客體，以電子取證的檢驗流程為基礎(chǔ)，針對不同情況，不同檢材條件，不同辦案階段，結(jié)合目前的檢驗技術(shù)對手機取證的實戰(zhàn)與應(yīng)用進(jìn)行介紹。

關(guān)鍵詞：保護(hù)手機證據(jù)；提取手機證據(jù)

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2015）20-0179-02

In the Introduction to Electronic Evidence Protection and Extraction of Mobile Data

LI Jun-hui，LI Jin-yue，DENG Qiang

（Shijiazhuang City of Hebei Province People's Procuratorate， Shijiazhuang 050072， China）

Abstract： As the most common social communication tools， which stores a lot of beneficial to proof directly or indirectly provide valuable information investigation clue， already no longer have to emphasize the importance， with a mobile phone as the main object， this paper is based on electronic evidence of inspection process， according to different situations， different material conditions， different working stages， combined with the current inspection technology to introduce the practice and application of mobile phone forensics.

Key words： protect mobile phone evidence； extract the phone evidence

手機數(shù)據(jù)檢驗屬于小型電子設(shè)備檢驗工作中的一個主要分支，小型電子設(shè)備英文統(tǒng)稱SSDD（Small Scale Digital Device Forensics），是目前國際司法檢驗行業(yè)投入最大、發(fā)展最快，也是面對困難最多、最具挑戰(zhàn)的一個檢驗項目，具體課題包括：手機取證、PDA取證、GPS取證、MP3-MP4等等。手機作為目前社會最普遍的通訊工具，其中存儲著大量有利于直接舉證或間接提供破案線索的有價值信息，其重要性已不必再強調(diào)，本文便以手機為主要客體，以電子取證的檢驗流程為基礎(chǔ)，針對不同情況，不同檢材條件，不同辦案階段，結(jié)合目前的檢驗技術(shù)對手機取證的實戰(zhàn)與應(yīng)用進(jìn)行介紹。

手機檢驗雖然在細(xì)節(jié)的處理方式上與傳統(tǒng)計算機取證存在差異，但在取證步驟上同樣遵循證據(jù)固定、提取，備份和后期分析的檢驗流程，檢驗前提同樣是要在保證原始檢材不被污染的前提下最大程度提取證據(jù)。

1 保護(hù)手機證據(jù)的方式

保護(hù)證據(jù)是電子取證需要考慮的第一個問題，也是所有后續(xù)工作可以順利開展的前提條件。在實戰(zhàn)中，保護(hù)目標(biāo)手機最為重要的手段就是信號屏蔽。其意義有三：一是避免污染檢材。由于不同手機對于數(shù)據(jù)存儲設(shè)有不同的存儲上限，任何新電話的打入和信短的接收都會對手機原有內(nèi)容進(jìn)行覆蓋導(dǎo)致永久性丟失，甚至在一定程度上影響原始證據(jù)的可信性。二是科學(xué)手段阻斷溝通渠道。主要體現(xiàn)在避免辦案人員在沒有準(zhǔn)備的情況下接到其他疑犯或團(tuán)伙成員的試探性電話，此時只有在信號得到屏蔽的情況下才能消除其他疑犯的戒心避免打草驚蛇，同時防止手機遭到竊聽或定位等高端反偵查手段，強調(diào)了案件偵破的嚴(yán)謹(jǐn)性和科學(xué)性。三是安全保障。在很多恐怖活動中手機都充當(dāng)了重要的操控和觸發(fā)手段，及時對犯罪嫌疑人的手機進(jìn)行信號控制是某些恐怖活動案件中首當(dāng)其要的任務(wù)。

實現(xiàn)信號屏蔽的手段大體分為四種，檢驗人員可以根據(jù)以下每種方法的特點和不足，在不同情況不同辦案條件下運用不同手段。

1.1 屏蔽箱方式

借助電子取證專業(yè)屏蔽箱。此類屏蔽箱一般體積較小便于攜帶，箱體頂層采用透明屏蔽材料使檢驗人員可以對手機內(nèi)容進(jìn)行直接翻看，高端設(shè)備還能支持?jǐn)?shù)據(jù)同步，也就是屏蔽箱的內(nèi)部提供數(shù)據(jù)接口與手機相連，從箱體外部引出一條數(shù)據(jù)線與其他同步設(shè)備相連，在保證信號屏蔽的條件下將數(shù)據(jù)同步至其他設(shè)備或計算機。這種方式的優(yōu)點是可靠性高，但透過屏蔽膜翻看手機操作較為不便。

1.2 屏蔽袋方式

原理與屏蔽箱一致，采用的材料是穿插金屬絲的絲織材料。優(yōu)點是攜帶方便，使用簡單，更適用于室外取證，但缺點是不支持?jǐn)?shù)據(jù)傳輸，不能直接翻看手機內(nèi)容，在反復(fù)使用或清洗后可能由于金屬絲斷裂導(dǎo)致性能衰減。

1.3 屏蔽卡方式

利用SIM卡克隆機制作帶有信號屏蔽功能的SIM卡，此卡插入原始證手機后可以正常開機，翻看內(nèi)容，同時不會接收到信號，效果與物理屏蔽一樣。關(guān)鍵在于克隆卡的IMSI、ICCID等唯一性標(biāo)示信息與原SIM卡一致，插入原手機后不會清除通話記錄等證據(jù)信息。

1.4 拆除電池

在沒有任何設(shè)備的情況下辦案人員通常采用拔電池的方法使手機斷電，這種方式可以達(dá)到讓呼叫方聽到“您撥打的手機暫時無法接聽”或“用戶不在服務(wù)區(qū)”的效果，但直接的弊端是手機內(nèi)容無法察看，如果嫌疑人設(shè)有PIN碼或手機密碼則無法后期開機檢驗。

2 提取手機中證據(jù)的方法

在通過正確方式方法將原始證據(jù)保護(hù)好之后，下一步工作則是通過技術(shù)手段對證據(jù)進(jìn)行固定，提取和備份留檔。目前最有效可行的方法是借助專業(yè)手機數(shù)據(jù)提取設(shè)備。其主要功能是快速高效的將手機數(shù)據(jù)，包括電話本、短信、通話記錄、文檔日至、多媒體信息，以及SIM卡ID等信息提取至移動存儲介質(zhì)，或直接提取至計算機便于證據(jù)留檔和后期分析。

對于手機數(shù)據(jù)的提取方法可以按照設(shè)備支持與非設(shè)備支持粗分為兩種：

方法一、設(shè)備支持型號的提取

在設(shè)備支持的情況下一定要首先嘗試設(shè)備提取，除了提高效率節(jié)省人力外，設(shè)備不會出現(xiàn)人為錯誤。雖然不同設(shè)備的操作方式有所區(qū)別，難易程度也有所差異，但主要圍繞以下幾個操作步驟。具體操作方法需要參考設(shè)備說明書，這里只是對技巧和方法進(jìn)行說明。

2.1 選擇手機

通常情況下檢驗人員都需要在設(shè)備上輸入具體手機的品牌和型號，使設(shè)備能夠調(diào)用正確的驅(qū)動和數(shù)據(jù)協(xié)議。問題在于除了常見或流行的幾種型號，很少有人能夠通過外觀判斷所有手機的型號，有些手機將型號印在外殼上，比較直觀，而有些從外觀上是不能看出型號的。這里的技巧在于絕大多數(shù)手機都會將型號標(biāo)簽貼在手機機殼內(nèi)部電池的背面，只要扣開電池都可以找到，但缺點在于需要斷電，如果手機上有密碼就無法重新開機。一種保守的方法是通過手機品牌的官方網(wǎng)站查找。

2.2 選擇連接線

如果設(shè)備支持一款手機型號，一般都會提供對應(yīng)的數(shù)據(jù)線。而好的設(shè)備會根據(jù)檢驗人員輸入的手機型號提示相對應(yīng)的數(shù)據(jù)線。如果設(shè)備不提供提示，此類信息可以從官方網(wǎng)站上查找。

2.3 設(shè)置手機

一般情況下設(shè)備需要通過USB、藍(lán)牙，或紅外三種方式與手機建立連接，有些手機在USB線纜接入后自動調(diào)節(jié)至數(shù)據(jù)傳輸狀態(tài)，有些則要用戶自己設(shè)置。高端設(shè)備往往會提供所支持的每款手機的設(shè)置步驟，也就是說在檢驗人員輸入手機型號后會自動提示該款手機的設(shè)置方法。

2.4 選擇獲取內(nèi)容

在數(shù)據(jù)傳輸之前，設(shè)備會讓用戶選擇所提取數(shù)據(jù)的范圍，內(nèi)容包括：短信、電話本、通話記錄、日志、圖片視頻等等，用戶可以根據(jù)需要和時間情況決定，電話本、通話記錄和短信往往是最為關(guān)鍵的幾種信息，而且文本內(nèi)容的提取速度很快，總而言之提取內(nèi)容越多，獲取時間越長。有些高端設(shè)備在數(shù)據(jù)傳輸過程中還可以提示檢驗員某些數(shù)據(jù)的具體大小，獲取時間等信息，詢問是否跳過以節(jié)省時間。

方法二、非設(shè)備支持型號的提取

手機檢驗設(shè)備的一個固定發(fā)展規(guī)律是設(shè)備永遠(yuǎn)落后于市場，設(shè)備支持的手機型號永遠(yuǎn)要追趕市場供應(yīng)的手機型號，主要原因是手機行業(yè)日益更新的推進(jìn)速度，和手機檢驗開發(fā)的技術(shù)兼商業(yè)難度。所以檢驗人員永遠(yuǎn)會面對被檢手機不被設(shè)備所支持的問題，而以不變應(yīng)萬變的解決方案同樣存在。

2.5 利用同步軟件

市面上大多數(shù)手機都支持同步功能，也就是將手機數(shù)據(jù)導(dǎo)入電腦的一種功能。而具備這種功能的手機供應(yīng)商都會在其官方網(wǎng)站上免費提供數(shù)據(jù)同步軟件，現(xiàn)在同步功能已經(jīng)成為手機的一項基本功能，而這種運用同步軟件逐個解決問題的方式很可能在相當(dāng)一段時間里作為手機檢驗設(shè)備的替補方法。缺點是同步軟件獲取的內(nèi)容大都比較有限，有些僅僅支持電話本的獲取，且數(shù)據(jù)輸出格式不標(biāo)準(zhǔn)，無法導(dǎo)入分析軟件進(jìn)行后期分析，最關(guān)鍵的是檢驗手段非正規(guī)手段，同步軟件具有污染檢材的潛在危險。

2.6 運用手機翻拍設(shè)備

該方法是以傳統(tǒng)文件檢驗的證據(jù)固定技術(shù)作為參考推出的，同時參考了國外處理小型電子設(shè)備的檢驗方法，目的就是將嫌疑人手機屏幕顯示的信息用照相的方法固定提取下來，將嫌疑信息落實為證據(jù)檔案。除此之外，手機翻拍設(shè)備可以將手機外觀拍照固定，對手機圖片進(jìn)行拍照，錄制視頻，與電腦結(jié)合運用軟件將不同內(nèi)容的照片進(jìn)行分類歸檔，生成MD5哈希校驗值等等。這種方法雖然需要配合大量的人工操作，卻非常實用，通用性最佳，只要屏幕可以顯示就能提取，如果可以結(jié)合OCR將照片內(nèi)容電子化，更有支持后期分析的潛在能力。

參考文獻(xiàn)：

[1] 張明旺. 基于手機的電子證據(jù)獲取技術(shù)研究[J]. 電腦知識與技術(shù)，2012（13）.