移動終端基本框架及電子數據提取方式

沈燕峰 王鴻南

摘 要：在我國互聯網的發展過程中，PC互聯網已日趨飽和，但移動互聯網卻呈現噴井式發展，移動通訊產業走到了真正的移動信息時代，以此背景下，移動終端正在從簡單的通話工具變成一個綜合信息處理平臺，數以萬計的信息在移動終端上處理，關系著人們生活的方方面面。與此同時，各類違法犯罪活動也大量在移動終端上體現，如何從移動終端上獲取與案件有關聯的電子數據，本文就移動終端進行了一些概述。

關鍵詞：電子取證；移動終端；電子數據；操作系統

移動終端，最具代表性的為手機與筆記本電腦，其中筆記本電腦又分為超級本與平板計算機。移動終端在方便人們快捷地數據傳遞外，也為犯罪分子作案提供了便利。不僅僅在非法侵入計算機、非法控制計算機、非法獲取計算機數據等專業領域犯罪，在一些普通聚眾斗毆、盜竊等案件中使用移動終端串聯、銷贓。由于移動終端軟硬件更新速度快，運行機制不盡相同，移動終端取證已經成為公安工作中的一個重點、難點，本文將詳細闡述移動終端的一些結構、框架等知識，為后期取證工作提供一個理論基礎。

一、移動終端的定義

移動終端，又叫移動通信終端是指可以在移動中使用的計算機設備，廣義的講包括手機、筆記本、平板計算機、POS機甚至包括車載計算機。本文所指的移動終端為手機及平板計算機。

二、移動終端的分類

由于這里探討有關電子數據取證方面方向，分類從系統角度出發，主要分為二種類型：

1）非智能終端。在安卓、IOS、Winds Phone等移動操作系統未面試前，幾乎主流移動設備都是非智能終端，各個操作系統也是有各家廠商獨立開發或者合作開發，最為典型的廠商有諾基亞、摩托多拉、LG、三星、等廠商。

2）智能終端。目前市場上的主流移動設備，自帶獨立的操作系統，主要的系統有安卓、IOS、塞班、Windows Phone等系統。從市場占有率看，主要是谷歌的安卓與蘋果的IOS系統，工作中遇到的移動設備絕大多數為這類操作系統的移動終端。

三、移動終端的存儲方式

移動終端通過兩種方式存儲內部數據：只讀存儲ROM、隨機存儲RAM。ROM用來存儲和保留永久數據，設備關閉電源后其內的信息仍舊保存。一般來講，手機操作系統及用戶個人等信息存儲在ROM中；RAM用于系統加載、執行程序、保存動態數據等，設備電源一旦關閉，RAM中的數據不會保存。

四、移動終端的一些基本常識

1）解鎖（unlock）：通過軟件或者硬件手段解除移動通訊設備對于運營網絡的限制。一些移動通訊設備運營商為維護自身利益，使某些特定產品與自身的網絡進行綁定，使得通過自身購得此產品的用戶只能使用自身網絡，對于其他網絡無效。

2）越獄（jailbreak）：“越獄”指的是繞過蘋果在其設備上對操作系統施加的很多限制，從而可以“Root訪問”基礎的操作系統。簡單來說，“越獄”可以讓iPhone用戶從蘋果應用商店外下載其他非官方的應用程序，或者對用戶接口進行定制。

3）Root：針對Android系統對于手機而言，它使得用戶可以獲取Android操作系統的超級用戶權限。root通常用于幫助用戶越過手機制造商的限制，使得用戶可以卸除手機制造商、運營商、第三方管道商預裝在手機中某些應用，以及運行一些需要超級用戶權限的應用程序。Android系統的root與Apple iOS系統的越獄類似。

五、移動終端數據取證的特點

移動終端數據取證作為電子數據取證的一部分，相比傳統計算機，有自身的數據存儲特點，主要表現在以下幾個方面：

（一）存儲數據的動態性

由于移動終端本身存儲是集成存儲，存儲空間有限，用戶所存儲的數據主要是嵌入式動態存儲，其存儲的數據隨時更新，而且各廠商產品的存儲方式也不盡相同，故移動終端的數據更容易被影響甚至篡改，很難保證數據的原始性及完整性。

（二）存儲形式差異性

移動互聯網發展迅速，終端的更新速度快，主流廠商更新硬件的周期一般在六個月左右，每次更新都在不斷優化設備運行方式、存儲結構等；APP應用開發商更新速度更是在硬件之上，各個版本的軟件存儲方式截然不同。

（三）系統的封閉性

計算機設備的存儲介質一般是單獨部件，但移動終端的存儲基本上固化在主板上；除了安卓等少數系統開源之外，其余的操作系統廠商都是私有系統，具體系統結構和存儲方式不公開，甚至對安卓系統的優化各個廠商也存在巨大的差異。

六、目前主流移動終端的取證方式

筆者從事電子取證工作多年，從日常工作中總結了幾種移動終端的取證方式。

（一）人工提取

偵查人員直接在移動終端上查看相關數據，并使用相機等翻拍設備記錄證據。手工提取的優點在于門坎底，且總會存在工具無法提取的移動終端，局限性在于只能提取已有數據，無法提取已刪除的數據。

（二）邏輯分析

移動終端通過連接線（USB、RS232）或無線（藍牙、紅外、WiFi）等方式與取證專用硬件或安裝軟件的工作站連接，提取移動終端中的邏輯數據。大多數的邏輯提取都是由取證工具發出指令并由移動終端的處理器接收并返回相應的數據。雖然邏輯獲取可以在一定程度上提取到已刪除的數據，但是不能恢復在未分配空間的數據。

（三）十六進制鏡像和JTAG提取

JTAG是一種國際標準測試協議，原先涉及的目的主要用于芯片內部測試。目前，JTAG提取方式常常用于處理已被密碼鎖定，或無法正常提取的設備。它使用標準JTAG（Joint TestAction Group）埠來訪問已連接設備的原始數據。通過特殊的JTAG數據線和相關設備，以及對特定內存/芯片組型號或設備型號相匹配的引導檔，對兼容設備進行完整內存內容的提取。

（四）Chip-off芯片提取

Chip-Off技術是當前移動設備檢驗中，最復雜且最底層的數據采集技術。這種方法需要將移動終端中的存儲芯片通過熱風槍或拆焊臺與主板剝離，清理芯片表面的焊錫，然后將芯片安裝到芯片讀取設備上，直接對芯片本身的電路和協議進行分析，獲取其原始鏡像或相關資料。

參考文獻：

[1] 劉曉宇，李錦，劉浩陽，等.電子數據檢驗技術與應用，2015.

[2] 林遠進，吳世雄，劉浩陽，徐志強.電子數據勘驗取證與鑒定——數據恢復與取證，2012.