新型智能移動(dòng)終端取證技術(shù)研究

趙曉松

（天津公安警官職業(yè)技術(shù)學(xué)院 計(jì)算機(jī)教研部，天津 300382）

0 引言

移動(dòng)互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，帶動(dòng)了移動(dòng)終端的使用與普及。新型智能移動(dòng)終端設(shè)備的研發(fā)入市，給人們的生活帶來(lái)了翻天覆地的變化。借助智能移動(dòng)終端，足不出戶便可滿足購(gòu)物、餐飲、娛樂、旅游等各種需求。中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）在2019年初發(fā)布的報(bào)告顯示，截至2018年底，中國(guó)網(wǎng)民規(guī)模已經(jīng)達(dá)到了8.29億，互聯(lián)網(wǎng)普及率達(dá)到59.6%。其中，使用手機(jī)上網(wǎng)的中國(guó)網(wǎng)民數(shù)量達(dá)到8.17億，網(wǎng)民通過移動(dòng)終端接入互聯(lián)網(wǎng)的比例高達(dá)98.6%。[1]

與此同時(shí)，智能移動(dòng)終端也成為了許多不法分子實(shí)施犯罪活動(dòng)的工具。一方面，他們借助智能移動(dòng)終端進(jìn)行溝通交流，例如使用電話、短信、即時(shí)通信軟件、電子郵件等，進(jìn)行文字、圖片、語(yǔ)音或視頻的傳輸，以團(tuán)伙分工合作的方式實(shí)施不法活動(dòng)；另一方面，利用智能移動(dòng)終端所提供的高科技功能為其做案提供幫助，如使用GPS功能在涉案路線上予以幫助，使用電子商務(wù)功能在電商平臺(tái)購(gòu)買作案工具，使用電子銀行、微信紅包等方式進(jìn)行財(cái)務(wù)往來(lái)。此外，有的不法分子還將智能移動(dòng)終端用于病毒傳播，進(jìn)行電信詐騙、釣魚欺騙、遠(yuǎn)程攻擊、數(shù)據(jù)截獲、信息盜取等惡劣的犯罪活動(dòng)，給廣大人民群眾帶來(lái)經(jīng)濟(jì)、物質(zhì)、心理上的傷害。不法分子利用移動(dòng)終端實(shí)施違法犯罪活動(dòng)的幾種常見途徑如圖1所示。

圖1 不法分子利用移動(dòng)終端的幾種常見途徑

通過對(duì)涉案智能移動(dòng)終端的研究發(fā)現(xiàn)，如果在偵破案件的過程中，能夠?qū)Ψ缸锵右扇说闹悄芤苿?dòng)終端進(jìn)行及時(shí)、完整、系統(tǒng)的電子數(shù)據(jù)取證，便可查找到許多與違法犯罪行為有關(guān)的證據(jù)及線索，了解犯罪嫌疑人的個(gè)人信息、行為習(xí)慣、社交網(wǎng)絡(luò)等，從而有效提高案件的偵破效率。但是，新型智能移動(dòng)終端技術(shù)發(fā)展迅速，為了更好地保障使用人信息的安全，不同操作系統(tǒng)的智能移動(dòng)終端設(shè)備都增強(qiáng)了自身的保密性、可靠性和安全性，這也給公安機(jī)關(guān)的取證工作帶來(lái)了新的挑戰(zhàn)，如何從新型的智能移動(dòng)終端獲得有關(guān)數(shù)據(jù)，成為取證工作的新難題。為了解決這一難題，本文擬從介紹新型移動(dòng)終端取證技術(shù)的概念、原則、特征及研究現(xiàn)狀入手，詳細(xì)分析目前應(yīng)用領(lǐng)域中主流的幾種智能移動(dòng)終端操作系統(tǒng)的特點(diǎn)及難點(diǎn)，分別提出取證的方案。辦案人員可以根據(jù)對(duì)電子證據(jù)的不同需求來(lái)選擇適合的解決方案。

1 新型智能移動(dòng)終端取證技術(shù)的概念、原則、特征及研究現(xiàn)狀

1.1 新型智能移動(dòng)終端取證技術(shù)的概念[2]

智能移動(dòng)終端取證，通俗的來(lái)說，就是對(duì)目前大家普遍使用的智能手機(jī)的取證，是電子數(shù)據(jù)取證技術(shù)領(lǐng)域中專門針對(duì)移動(dòng)通訊設(shè)備的一個(gè)取證分支。新型智能移動(dòng)終端取證技術(shù)主要是指借助于專用的硬件或者軟件，提取存貯在手機(jī)SIM卡、內(nèi)存卡、外存卡中的數(shù)據(jù)，或者借助于短信服務(wù)商、微信服務(wù)商、移動(dòng)網(wǎng)絡(luò)運(yùn)行商等服務(wù)器上保存的電子數(shù)據(jù)來(lái)提取、保存、分析、恢復(fù)、轉(zhuǎn)換信息等，從而整理出能夠提供犯罪嫌疑人作案證據(jù)、線索的有用信息，或者是能夠被法庭所采納的證據(jù)。

1.2 新型智能移動(dòng)終端取證技術(shù)的原則[3]

（1）合法性原則。合法性原則是取證的前提條件。要求取證的人員具有合法的授權(quán)和資格，取證的程序和手段符合法律規(guī)定，取證所借助的工具（包括硬件及軟件）是合法的，獲取的電子數(shù)據(jù)證據(jù)符合司法程序的證據(jù)信息要求。

（2）及時(shí)性原則。及時(shí)性原則是取證的必要條件。手機(jī)內(nèi)保存的數(shù)據(jù)具有易失性，隨著時(shí)間、環(huán)境的變化，數(shù)據(jù)會(huì)發(fā)生改變、丟失或增減等。如強(qiáng)磁場(chǎng)、強(qiáng)電場(chǎng)、高溫高濕等都會(huì)破環(huán)手機(jī)中存儲(chǔ)的數(shù)據(jù)；內(nèi)存中的臨時(shí)信息會(huì)因?yàn)榛镜母淖兌S之變化；電量耗盡后會(huì)造成內(nèi)存數(shù)據(jù)丟失；系統(tǒng)后臺(tái)的自動(dòng)更新則會(huì)不定時(shí)地替換原有設(shè)置。因此，只有及時(shí)取證，才能更好地獲得真實(shí)可靠的數(shù)據(jù)。

（3）客觀性原則?？陀^性是取證的基本要求。任何事物，只有符合其客觀性，才能夠反映事物的本質(zhì)。因此，只有提取涉案手機(jī)的真實(shí)信息，才能將案件還原到其原始狀態(tài)，方便辦案人員依據(jù)事實(shí)來(lái)進(jìn)行偵察工作。

（4）備份原則。手機(jī)信息存儲(chǔ)在電子介質(zhì)中，容易受到外界環(huán)境的干擾，具有易失性，所以需要及時(shí)將手機(jī)內(nèi)所存儲(chǔ)的信息進(jìn)行備份和固化，這樣才能避免因手機(jī)信息的丟失或者改變而造成信息的失真。

（5）物證保管鏈原則。手機(jī)作為取證對(duì)象，這就意味著對(duì)其保管要遵守法律辦案程序中的物證保管鏈原則，建立規(guī)范的證據(jù)流轉(zhuǎn)鏈記錄，詳細(xì)真實(shí)地記載手機(jī)取證過程中的每一個(gè)環(huán)節(jié)，直至取證結(jié)束。

1.3 新型智能移動(dòng)終端取證技術(shù)的特征[4]

手機(jī)取證是電子取證的一部分，在取證的某些環(huán)節(jié)，可以參照電子取證的程序。但同時(shí)，手機(jī)取證又有其自身的獨(dú)特性，比如手機(jī)的位置移動(dòng)性使得定位比較難，手機(jī)品牌、廠家的多樣性使得操作范圍較大，手機(jī)數(shù)據(jù)的易失性使得數(shù)據(jù)穩(wěn)定性較差，手機(jī)的性能技術(shù)發(fā)展迅速而取證技術(shù)相對(duì)滯后。

1.4 新型智能移動(dòng)終端取證技術(shù)的研究現(xiàn)狀

從近年來(lái)公安機(jī)關(guān)辦理的案件來(lái)看，目前手機(jī)取證已經(jīng)成為提供辦案線索的一種強(qiáng)有力的技術(shù)支持手段。在犯罪活動(dòng)中，手機(jī)有可能是嫌疑人用來(lái)聯(lián)絡(luò)的通訊工具，也有可能是記錄其犯罪事實(shí)的媒體介質(zhì)，還有可能是其實(shí)施犯罪活動(dòng)、傳播惡意程序的犯罪工具。手機(jī)取證已經(jīng)成為公安機(jī)關(guān)不可或缺的一種偵察手段，公安部近年來(lái)在這方面投入了大量的技術(shù)及資金力量。但是，智能手機(jī)技術(shù)的迅猛發(fā)展，數(shù)據(jù)安全性的提升，也給手機(jī)取證帶來(lái)了巨大的考驗(yàn)。目前在手機(jī)取證領(lǐng)域主要面臨三個(gè)方面的問題：一是取證人員的專業(yè)技術(shù)不過關(guān)，二是取證工具不夠先進(jìn)，三是國(guó)家在手機(jī)取證方面的法律法規(guī)還不夠健全。

2 主流新型智能移動(dòng)終端取證技術(shù)

2.1 IOS系統(tǒng)智能移動(dòng)終端的取證技術(shù)

2.1.1 IOS系統(tǒng)智能移動(dòng)終端取證的特點(diǎn)及難點(diǎn)

iPhone是用戶非常喜愛的手機(jī)品牌之一，這款智能終端以其完美的外觀和強(qiáng)大的功能設(shè)計(jì)，擁有了一定的市場(chǎng)占有率，尤其受到年輕人的喜愛。因此，研究iPhone手機(jī)數(shù)據(jù)取證技術(shù)，對(duì)于公安機(jī)關(guān)偵查辦案，具有非常大的實(shí)用價(jià)值。

iPhone手機(jī)采用的操作系統(tǒng)是IOS系統(tǒng)，這種系統(tǒng)具有獨(dú)特的安全性與封閉性，且具有較完善的數(shù)據(jù)權(quán)限保護(hù)機(jī)制。該智能終端的數(shù)據(jù)存儲(chǔ)分為三種：一是可共享的數(shù)據(jù)，如照片、視頻等；二是已下載至本機(jī)的App應(yīng)用程序所對(duì)應(yīng)的數(shù)據(jù)；三是系統(tǒng)內(nèi)核數(shù)據(jù)。

對(duì)于照片、視頻等可共享的數(shù)據(jù)，可以通過WPD模式直接讀取[5]。對(duì)于APP應(yīng)用程序?qū)?yīng)的數(shù)據(jù)，IOS8.2之前的版本，可以從AppDomain區(qū)域中的第三方程序目錄下提?。欢鳬OS8.2版本之后，便很少有APP程序還將數(shù)據(jù)存儲(chǔ)在AppDomain區(qū)域中了，這給數(shù)據(jù)提取帶來(lái)了不少麻煩。對(duì)于沒有獲得ROOT權(quán)限的智能終端來(lái)說，其中的數(shù)據(jù)，根本無(wú)法讀取。

2.1.2 IOS系統(tǒng)智能移動(dòng)終端取證的解決方案研究

選取適合的取證技術(shù)，是取證成功與否的關(guān)鍵。對(duì)不同的IOS智能終端設(shè)備進(jìn)行取證其復(fù)雜程度也各不相同，比如開機(jī)密碼的有無(wú)、密碼的復(fù)雜程度、指紋密碼、面部識(shí)別等，第三方APP應(yīng)用程序也會(huì)有其相應(yīng)的不同長(zhǎng)度及不同組合方式的密碼。目前在IOS系統(tǒng)取證的應(yīng)用領(lǐng)域中，常用的取證手段主要有下述三種。

（1）直接取證。即通過手機(jī)直接進(jìn)行取證，這要求取證人能夠以第一使用人的身份對(duì)手機(jī)進(jìn)行全權(quán)限的操作。這種獲取方式最為直接，數(shù)據(jù)也會(huì)最為完整。

（2）邏輯取證。借助于iTunes或者其他備份軟件工具，對(duì)手機(jī)數(shù)據(jù)進(jìn)行提取。這種方法需要借助于第三方軟件對(duì)手機(jī)上的數(shù)據(jù)進(jìn)行導(dǎo)出操作。這種方式便于對(duì)數(shù)據(jù)的分析及二次存儲(chǔ)。

（3）物理取證。利用專門的設(shè)備或者程序?qū)κ謾C(jī)中的存儲(chǔ)器進(jìn)行數(shù)據(jù)的鏡像拷貝，包括系統(tǒng)數(shù)據(jù)及應(yīng)用程序數(shù)據(jù)。這種方式可以實(shí)現(xiàn)位的拷貝，但對(duì)于數(shù)據(jù)格式的分析，有時(shí)候會(huì)因?yàn)閷?duì)其程序的規(guī)則不了解而無(wú)從入手。

在IOS設(shè)備中數(shù)據(jù)有不同的種類，分別是系統(tǒng)自帶數(shù)據(jù)、用戶設(shè)定數(shù)據(jù)以及第三方應(yīng)用程序數(shù)據(jù)。在IOS系統(tǒng)中，通話記錄、電話本信息、地圖信息、Safari瀏覽器信息、SMS/iMassage信息都位于路徑“Library/”下；音頻記錄、日歷、Email、圖片、記事本信息都位于路徑“private/var/mobile/”下。

2.2 Android系統(tǒng)智能移動(dòng)終端的取證技術(shù)

2.2.1 Android系統(tǒng)智能移動(dòng)終端取證的特點(diǎn)及難點(diǎn)

Android系統(tǒng)是當(dāng)今非常主流的智能手機(jī)操作系統(tǒng)之一，它的市場(chǎng)占有率非常高，超過了80%。其最大的特點(diǎn)是代碼平臺(tái)具有開源性，這種特性使得各個(gè)廠商可以根據(jù)自己的需求來(lái)開發(fā)產(chǎn)品，具有很大的靈活性。也正因?yàn)椴煌膹S家會(huì)個(gè)性化定制自己的智能移動(dòng)手機(jī)，造成了Android系統(tǒng)手機(jī)的多樣化、繁雜化，這給電子證據(jù)的獲取帶來(lái)了許多困難。同時(shí)，大量的APP開發(fā)商也看中了其代碼的靈活性，基于Android系統(tǒng)紛紛推出多樣化的APP，在方便易用的同時(shí)，不同的界面、不同的接口、不同的數(shù)據(jù)格式也給電子證據(jù)的獲取帶來(lái)了很多困擾。

2.2.2 Android系統(tǒng)智能移動(dòng)終端取證的解決方案研究

對(duì)于Android系統(tǒng)智能移動(dòng)終端進(jìn)行取證，一項(xiàng)關(guān)鍵的技術(shù)是Root。Root是一種專門獲得Android系統(tǒng)數(shù)據(jù)提取權(quán)的技術(shù)，獲取了Root權(quán)限之后，便可以從Android系統(tǒng)的手機(jī)中讀取整個(gè)文件系統(tǒng)。

目前網(wǎng)上流行的Android系統(tǒng)Root工具，方便易用的有：SuperOneClick[6]，z4root[7]，GingerBreak[8]，以及最新的zergRush[9]。在Android系統(tǒng)取證的應(yīng)用領(lǐng)域中，通常使用的取證手段主要有下述三種。

（1）在線取證。類似于IOS系統(tǒng)的直接取證，通過USB連線，將Android手機(jī)與電腦直接相連，開啟Android設(shè)備上的“USB調(diào)試模式”，即可開啟取證設(shè)備與Android設(shè)備的數(shù)據(jù)通訊模式[10]。

（2）Recovery模式取證。Recovery模式是設(shè)備生產(chǎn)商為了對(duì)自己的產(chǎn)品進(jìn)行系統(tǒng)初始化設(shè)置或恢復(fù)系統(tǒng)而設(shè)計(jì)的，這個(gè)功能不需要掌握開機(jī)密碼就可以直接以Root權(quán)限來(lái)讀取Android設(shè)備中的數(shù)據(jù)，其權(quán)限與在線取證方式是一樣的。不同的設(shè)備會(huì)有不同的進(jìn)入Recovery模式的方式，也有的設(shè)備廠商并不公開這種進(jìn)入系統(tǒng)的方式，僅僅是內(nèi)部工程技術(shù)人員在維修調(diào)試時(shí)使用。

（3）芯片級(jí)取證。如果前面介紹的破解方式失敗了，那么芯片級(jí)取證便是Android設(shè)備取證的終結(jié)者。這種技術(shù)需要利用JTAG“測(cè)試接口”[11]。JTAG是一種國(guó)際標(biāo)準(zhǔn)測(cè)試協(xié)議[12]，取證時(shí)需要打開Android設(shè)備的主板，在主板上找到JTAG接口（一般是隱藏在主板上的幾個(gè)小金屬觸點(diǎn)），利用專門的工具與觸點(diǎn)進(jìn)行焊接，便可直接利用調(diào)試協(xié)議驅(qū)動(dòng)CPU讀取存儲(chǔ)在Android設(shè)備中的數(shù)據(jù)，實(shí)現(xiàn)數(shù)據(jù)的全盤鏡像。

如同IOS系統(tǒng)，在Android設(shè)備中數(shù)據(jù)有三類，分別是系統(tǒng)自帶數(shù)據(jù)、用戶設(shè)定數(shù)據(jù)以及第三方應(yīng)用程序數(shù)據(jù)。在Android系統(tǒng)中，通話記錄、電話本信息、短信息、多媒體信息、瀏覽網(wǎng)頁(yè)信息都位于路徑“/data/data/com/android.*”下。

2.3 其他常見智能移動(dòng)終端操作系統(tǒng)的取證技術(shù)

目前，市場(chǎng)上還有其他一些智能終端移動(dòng)設(shè)備，使用的是非主流的操作系統(tǒng)，主要包括：Windows Phone、Symbian 和 BlackBerry。對(duì) Windows Phone系統(tǒng)的取證，可以采用直接聯(lián)接、數(shù)據(jù)備份及芯片級(jí)取證這三種手段。對(duì)Symbian系統(tǒng)的取證，可以采用Nokia PC Suite制作的設(shè)備備份來(lái)取證。對(duì)BlackBerry系統(tǒng)的取證，可以采用直接連接或者是備份后對(duì)數(shù)據(jù)進(jìn)行提取分析的方式。

3 新型智能移動(dòng)終端取證技術(shù)在電子數(shù)據(jù)取證技術(shù)中的作用

新型智能移動(dòng)終端取證技術(shù)是電子數(shù)據(jù)取證技術(shù)領(lǐng)域中專門針對(duì)移動(dòng)通訊設(shè)備的一個(gè)取證分支，在互聯(lián)網(wǎng)高速發(fā)展的時(shí)代，高科技、高智能的犯罪活動(dòng)呈現(xiàn)出高速增長(zhǎng)及多樣性變化的趨勢(shì)，公安機(jī)關(guān)在辦案過程中，可能會(huì)越來(lái)越多地把破案?jìng)刹焓侄谓⒃陔娮訑?shù)據(jù)取證的基礎(chǔ)之上，司法證據(jù)可以來(lái)源于不同方式的電子證據(jù)，司法證明將步入電子證據(jù)時(shí)代（如圖2所示）。這便意味著，深入研究新型智能移動(dòng)終端取證技術(shù)，將為電子取證技術(shù)提供強(qiáng)大的技術(shù)保障和支持。

圖2 電子證據(jù)時(shí)代司法證明取證方式

4 結(jié)語(yǔ)

本文介紹了新型智能移動(dòng)終端取證技術(shù)的概念、原則、特征及現(xiàn)狀，重點(diǎn)研究了主流的IOS系統(tǒng)與Android系統(tǒng)的取證技術(shù)難點(diǎn)及取證手段，簡(jiǎn)單提及了非主流的Windows Phone、Symbian和BlackBerry系統(tǒng)的取證技術(shù)。

目前，移動(dòng)終端取證技術(shù)的難點(diǎn)在于因權(quán)限的不足而導(dǎo)致信息的獲得不夠全面。而各個(gè)廠商為了提高自身產(chǎn)品對(duì)個(gè)人信息的安全保護(hù)級(jí)別，不斷地升級(jí)設(shè)備，給取證技術(shù)帶來(lái)了新的困擾。將來(lái)，隨著5G技術(shù)大規(guī)模投入使用，海量的數(shù)據(jù)存儲(chǔ)及高速的信息流轉(zhuǎn)，會(huì)給移動(dòng)終端取證帶來(lái)新的挑戰(zhàn)。因此，在技術(shù)上，應(yīng)該更注重于對(duì)破解技術(shù)的研究，針對(duì)智能移動(dòng)設(shè)備的數(shù)據(jù)保護(hù)及分析探索新的途徑，積極尋求云端服務(wù)等高端數(shù)據(jù)存儲(chǔ)模式的取證分析方法；在政策上，應(yīng)該進(jìn)一步完善取證流程、取證原則，建立適合我國(guó)國(guó)情的一系列取證制度。通過多方努力創(chuàng)建更具活力的新型智能移動(dòng)終端的取證技術(shù)系統(tǒng)，為我國(guó)司法鑒定工作提供強(qiáng)有力的保障。