智能手機數(shù)據(jù)提取淺析

覃衛(wèi)　肖葉

摘 要：移動通信技術(shù)的快速發(fā)展，使得手機，特別是智能手機迅速浸透到人們生活工作中。網(wǎng)民中持智能手機參與網(wǎng)絡(luò)活動亦占很大比例。與此同時，針對或利用智能手機的犯罪也與日俱增，如何快速利用專業(yè)手段提取智能手機數(shù)據(jù)，為偵查犯罪工作提供有價值的線索成為了鑒定部門亟待解決的問題。該文通過總結(jié)日常手機數(shù)據(jù)提取工作經(jīng)驗，嘗試找到一種快速獲取大量智能手機數(shù)據(jù)的工作思路。

關(guān)鍵詞：智能手機 手機檢驗 數(shù)據(jù)提取

中圖分類號：TN011 文獻標(biāo)識碼：A 文章編號：1672-3791（2017）02（b）-0025-02

1 手機檢驗基本流程

該文的操作流程，僅針對線索的提取，如果需要取證，注意應(yīng)先做鏡像。

（1）與送檢人員或熟悉案件的偵查員充分溝通，了解受檢手機獲取時現(xiàn)場情況，包括手機為何人持有，該人在案件中角色，案件涉及手機的可能關(guān)鍵時間點、是否獲得手機開機密碼等。制作手機基本信息記錄表，詳細記錄以上溝通所得信息。

（2）制訂手機數(shù)據(jù)提取調(diào)查詳單，做好詳細的步驟，指導(dǎo)我們的取證工作，以確保不遺漏任何細節(jié)。

（3）準(zhǔn)備檢測取證的設(shè)備及軟件。

為滿足基本檢驗需要，需配備一臺專用計算機，安裝自動手機取證軟件，如美亞的手機取證軟件DC4500及ROOT大師、豌豆夾、itune等常用手機連接電腦軟件。必要時可配備國外手機鏡像工具套。

（4）根據(jù)手機型號，準(zhǔn)備相關(guān)驅(qū)動程序，通過USB連接線將手機連接到電腦。這里有幾點需要注意：

①確保手機電量，切勿因手機電量不足而意外關(guān)機造成數(shù)據(jù)不必要的損壞。避免方法可以準(zhǔn)備手機電源線，及時對手機進行充電。例如采用Android系統(tǒng)的手機有些數(shù)據(jù)在刪除后并不會立即清除，只有在下次重啟以后，才會被完全清除掉，這是因為Android系統(tǒng)手機在數(shù)據(jù)處理上與傳統(tǒng)手機存在差異。

②將手機設(shè)置為飛行模式，防止取證過程中有電話打入或短信接收，造成手機原始數(shù)據(jù)的破壞。無線網(wǎng)連接需斷開，因為如果手機在取證過程中連上網(wǎng)絡(luò)，也可能造成數(shù)據(jù)破壞。進入開發(fā)人員選項，勾選USB調(diào)制模式。

③首先對手機SIM卡、SD卡和內(nèi)存的原始數(shù)據(jù)進行備份。

④針對Iphone手機，開機后，為避免數(shù)據(jù)污染，在取證前，進入Iphone之后，將syncing設(shè)置為不自動同步。因為當(dāng)Iphone與電話同步連接時，Iphone可能復(fù)制電腦中的電話本、照片、音樂及其它數(shù)據(jù)，電腦也可能將它的數(shù)據(jù)復(fù)制給Iphone。

（5）先使用國產(chǎn)自動取證設(shè)備進行自動取證，以期在最短的時間內(nèi)快速提取數(shù)據(jù)，形成報告。同時查看安裝的程序，特別是通聯(lián)工具，如QQ、微信、微博、skype、T、V、DIDI等，因為目前手機主要的功能還是用來通信聯(lián)系，從手機的通聯(lián)信息中能獲許多有利于案件偵查的線索。

以上這些通聯(lián)軟件，國產(chǎn)自動取證設(shè)備已可以自動取出相關(guān)通聯(lián)信息。至此，可根據(jù)提取到的初步信息，形成第一份分析材料在最短的時間內(nèi)提供給辦案部門開展下一步工作。

（6）對手機信息的深入挖掘。針對手機中已安裝的通聯(lián)軟件，尋找自動取證中沒有取出的通信軟件信息。這一步工作中，需要相關(guān)檢驗人員熟悉手機的文件系統(tǒng)，找到相關(guān)通信軟件數(shù)據(jù)庫及語音、圖片等信息存儲位置。因為手機的通信軟件常使用嵌入式系統(tǒng)常用的微型數(shù)據(jù)庫SQLite（如QQ的[QQ號碼].db聊天記錄數(shù)據(jù)庫），這類數(shù)據(jù)庫使用SQLite相關(guān)軟件，就能瀏覽、導(dǎo)出數(shù)據(jù)表，如SQLite Database Browser、SQL Compact Query Analyzer、Navicat Premium等工具。

2 手機檢驗的幾個小經(jīng)驗

（1）盡可能準(zhǔn)備不同廠商，國外國內(nèi)的手機取證工具。由于手機的協(xié)議各不相同，而目前取證工具大多數(shù)對手機取證并不全面性。在我國常用的手機有好幾百種，它們屬于不同的廠商，各自擁有自己的知識產(chǎn)權(quán)，此外還有很多的山寨機，以及不在生產(chǎn)的手機，關(guān)于他們的協(xié)議是未知的。國外手機取證產(chǎn)品，如美國、俄羅斯、以色列等，也只是對本國的主流手機進行取證，取證內(nèi)容并不全面，而我國的大部分手機他們是不支持的。因此，工作中準(zhǔn)備同時國內(nèi)和國外的取證工具是必要的。

（2）開機密碼的獲取。常規(guī)的從嫌疑人、綜合取證工具破解外，還有兩種方法可以嘗試，一是根據(jù)手機持有人的身份生活習(xí)慣和近親好友的身份信息，嘗試輸入常用的數(shù)字密碼（如8888，9999，生日等）或圖形手勢密碼（如Z等）；二是使用adb工具進行鎖屏密碼解鎖（主要針對安裝安卓系統(tǒng)的手機，之前已root并且usb調(diào)試模式處于打開狀態(tài)）。具體使用方法：①手機連接電腦，在充電模式下進行。②下載ADB解壓到電腦C盤根目錄。 ③點擊電腦開始>運行>輸入cmd>再就進cmd： 依次輸入命令：

cd c：＼adb

adb shell

cd data/system

ls

可以看到有一個password.key（文件密碼）或gesture.key（圖形密碼）的文件，這就是密碼文件，我們就是把這個給刪除或是取出！最后輸入命令：

rm password.key （或rm gesture.key）

④輸入reboot或手動重啟手機生效。

此外還可利用第三方軟件如“刷機精靈”的清除密碼工具。

（3）我們在日常手機的檢驗中，安卓系統(tǒng)常遇到需打開手機“開發(fā)者選項”問題，一般這一選項在手機的設(shè)置菜單中就可以看到，然而安卓版本升級到4.2以后，系統(tǒng)里默認是將“開發(fā)者選項”隱藏著的，因此需要我們手動開啟，才能打開“USB調(diào)試模式”。經(jīng)過查找和測試，可以按以下驟設(shè)置：打開手機“ 設(shè)置”菜單，找到“ 關(guān)于手機-版本號”（最下方）-連續(xù)點擊 4～7次 ，回到設(shè)置界面，開發(fā)者選項菜單就回來了。

3 國產(chǎn)山寨手機的數(shù)據(jù)提取

在日常手機檢驗工作中，我們常會碰到取證軟件中沒有對應(yīng)手機型號（國外的取證軟件針對中國的手機沒有對應(yīng)的情況是常有的）或是提示型號不對的情況，這是因為國內(nèi)的手機品牌部分是從山寨機起家，或者我們檢驗的手機就是山寨機。出現(xiàn)這種情況時，我們可以嘗試從查找手機CPU芯片入手。

（1）MTK芯片手機。MTK手機系統(tǒng)是現(xiàn)在市場上所有國內(nèi)手機設(shè)計、制造商使用最多的一個完整手機產(chǎn)品的解決方案，MTK手機系統(tǒng)曾經(jīng)是黑手機和部分國內(nèi)廠家使用的平臺，MTK手機，在低端手機市場中占有巨大份額。如果一部待檢驗手機，在網(wǎng)上查到其CPU是MTK的，那么我們在取證軟件中，可以使用（如以色列的Cellebrite便攜式手機司法分析工具，手機型號就可選擇chinese android phone）。

（2）非MTK芯片手機。其他芯片手機可嘗試使用相同芯片型號的其他型號手機替代，這樣的嘗試也可能需要多次，多做手機檢驗多積累經(jīng)驗很重要，希望與同行在這方面多多交流。

當(dāng)今社會智能手機系統(tǒng)發(fā)展迅速，系統(tǒng)復(fù)雜而多樣，針對手機系統(tǒng)取證，需要我們掌握深入了解智能手機的存儲方式和文件結(jié)構(gòu)，不斷更新知識，針對新出現(xiàn)的問題，必須有效地去解決，唯有這樣才能做好手機檢驗工作，打擊手機犯罪現(xiàn)象。

參考文獻

[1] 陳德俊，丁紅軍.手機取證研究概述[J].中國公共安全：學(xué)術(shù)版，2012（3）：100-102.

[2] 王海英，周長倫，亓丕水，等.智能手機數(shù)據(jù)的提取與恢復(fù)[J].機械管理開發(fā)，2012（1）：189-191.