手機取證技術(shù)

沈臻懿

自1973年起，人類歷史上第一臺手機——摩托羅拉DynaTAC問世以來，小小的手機已經(jīng)徹底影響了人類社會的方方面面。在不到半個世紀的時間里，手機從一種世人完全陌生的事物，已成為如今社會大眾不可或缺之物。如果人們在生活或出行時只能攜帶一件隨身物品的話，想必絕大部分的人都會毫不猶豫地選擇手機。

據(jù)相關(guān)數(shù)據(jù)統(tǒng)計與分析表明，2015年全球范圍內(nèi)使用智能手機的用戶已達到19.1億，這一數(shù)據(jù)在2016年年度內(nèi)仍在持續(xù)上升，并將很快超過20億。智能化技術(shù)的不斷發(fā)展，令手機功能不再局限于早先單一的電話通信，而已變得豐富多彩。人們在使用手機進行通信、聊天、辦公、學習、購物、娛樂、上網(wǎng)等過程中，手機等載體上也會隨之留下各類數(shù)據(jù)信息。這就為手機取證技術(shù)的應(yīng)用帶來了研究與發(fā)展的空間。

小小手機蘊含大信息

當前，手機在人們?nèi)粘Ｉ钪邪l(fā)揮著極為重要的作用，甚至已成為生命中“難以割舍”的一部分。據(jù)微信團隊在其《2016微信數(shù)據(jù)報告》中顯示，在過去的一年中，微信平均日登錄的用戶已達到7.69億，有一半的用戶每天使用微信的時長達到了一個半小時。智能手機的普及以及各類功能的拓展，令手機得以取代并承擔原先電腦、銀行卡、錢包的功能。原先需要借助于電腦終端來進行網(wǎng)絡(luò)聊天、即時通訊、收發(fā)郵件等活動，目前只需一只小小的手機完全可以搞定。傳統(tǒng)經(jīng)濟交易活動中，無論是現(xiàn)金支付、刷卡支付，抑或資金轉(zhuǎn)賬等方式，在當前信息化時代的背景下，均可以通過手機來實現(xiàn)。手機功能的拓展，令其在從事這些活動的同時，也留下了各類與手機活動有關(guān)的信息。

當前犯罪活動中，手機的身影頻頻出現(xiàn)，且記錄下了大量與犯罪活動有關(guān)的信息。不少犯罪人也已將其關(guān)注的目標轉(zhuǎn)向了手機，并利用手機來從事不法活動。智能手機的操作系統(tǒng)在給使用者帶來極大便利的同時，其內(nèi)部存在的漏洞亦為不法分子所挖掘。不少手機用戶都收到過陌生人發(fā)來的短信，甚至是偽裝成銀行、移動通訊運營商、司法機關(guān)、政府部門等單位發(fā)來的短信。手機用戶一旦打開這些短信中的鏈接地址或者安裝了其所提供的APP軟件，即有可能受到釣魚網(wǎng)站的侵害。其會開始搜集諸如手機用戶的銀行信息、個人賬戶密碼等隱私內(nèi)容，從而威脅到使用者的財產(chǎn)安全。

可以說，小小的手機中蘊含著大量的重要信息。為了能夠有效提取到這些由犯罪人利用手機進行作案所遺留的、對于案件偵破極為重要的證據(jù)，刑偵科技人員需要采用專門的技術(shù)手段來從各類聊天工具、支付工具、瀏覽器中的軟件通話記錄、網(wǎng)頁瀏覽痕跡中提取相應(yīng)數(shù)據(jù)信息，從而為案件偵破提供重要突破口。

多元化手機信息數(shù)據(jù)取證技術(shù)

手機密碼繞過技術(shù)

當前，社會信息安全意識的提升以及手機功能的不斷強化，使得大部分的用戶在使用手機時，大多都會設(shè)置鎖機密碼。部分手機應(yīng)用軟件的開發(fā)商在開發(fā)相應(yīng)軟件時也會進行加密處理，以保障信息數(shù)據(jù)的安全。設(shè)置手機密碼時，圖案密碼、字符密碼或是PIN碼等均是可供選擇的具體方法。正常情況下，人們唯有輸入準確無誤的密碼，才能夠解鎖手機并進入操作界面。諸如iPhone等智能手機，甚至具有連續(xù)輸錯10次密碼后，手機自動刪除所有數(shù)據(jù)的專門設(shè)置。

為了能夠有效提取設(shè)置了鎖機密碼的手機內(nèi)相關(guān)信息，刑偵人員首先需要做的就是越過密碼這道障礙。相對于破解密碼而言，手機密碼繞過技術(shù)無疑是一項更為適宜的獲取手機信息的專門技術(shù)。

所謂手機密碼繞過技術(shù)，包括了用戶自主設(shè)置的手機密碼繞過以及手機內(nèi)軟件密碼繞過兩方面。其是利用一定的技術(shù)手段，在不需要經(jīng)由密碼輸入的途徑，即可對已設(shè)置密碼的手機或軟件內(nèi)的數(shù)據(jù)信息進行提取。

由于無需對密碼進行破解，而只是在繞開密碼的前提下進入手機系統(tǒng)中提取與作案活動有關(guān)的信息，這使得手機密碼繞過技術(shù)的應(yīng)用更為隱蔽，且不易為作案人所察覺。

手機數(shù)據(jù)鏡像提取技術(shù)

通俗而言，鏡像就如同照鏡子一般，其利用文件存儲的形式，使一個磁盤上的數(shù)據(jù)在另一個磁盤上存在有一個完全相同的副本。刑偵科技人員在對包括手機SIM卡、內(nèi)存卡、閃存卡等介質(zhì)內(nèi)的數(shù)據(jù)信息進行提取時，通常均需要采取鏡像提取技術(shù)，以確保數(shù)據(jù)信息的完整性。在進行鏡像提取時，屏蔽盒是必不可少的一項工具，其可以將開機狀態(tài)下的手機進行屏蔽與隔離，以避免外界短信及電話對手機的干擾，以保證鏡像技術(shù)提取到數(shù)據(jù)的原始性。

需要注意的是，手機數(shù)據(jù)鏡像提取的方式有較多，如JATG提取方式，或者將芯片拆下后直接讀取鏡像數(shù)據(jù)。但無論采用哪種方式，都需要通過文件解析，在保證手機數(shù)據(jù)原始性、完整性的基礎(chǔ)上，使其成為辦案所需要的文件。

手機數(shù)據(jù)恢復技術(shù)

手機數(shù)據(jù)被刪除的情形，是刑偵人員在破案時經(jīng)常面臨的難題之一。犯罪人在利用手機作案后，有時會故意刪除數(shù)據(jù)，以避免相應(yīng)犯罪證據(jù)為執(zhí)法人員所發(fā)現(xiàn)。通常，犯罪人會選擇對瀏覽器、聊天軟件、支付軟件中的信息及瀏覽記錄進行銷毀，或者植入病毒，以破壞手機數(shù)據(jù)。不過，被執(zhí)行刪除操作后的手機數(shù)據(jù)，并非不復存在，而僅為暫時不可見。手機在進行每一步操作后，都會以數(shù)據(jù)形式存在于手機SQLite數(shù)據(jù)庫中。當操作者選擇刪除某些數(shù)據(jù)后，這些數(shù)據(jù)并沒有被刪除，而是被打上了已刪除記號，從而在手機應(yīng)用中不再顯示。譬如，當操作者選擇手機通訊錄中的某一聯(lián)系人信息并予以刪除時，操作系統(tǒng)所做的工作僅是在該聯(lián)系人信息前添加已刪除記號。當手機使用者此后瀏覽通訊錄時，被刪除的聯(lián)系人信息便不會在通訊錄中顯示。

針對前述暫時不可見，但實質(zhì)仍存在的手機數(shù)據(jù)，刑偵科學人員可以應(yīng)用SQLite數(shù)據(jù)庫文件恢復技術(shù)來對被刪除的手機數(shù)據(jù)予以取證。不過，如果手機操作者此前曾極為頻繁地進行過刪除操作，即會造成被標記的數(shù)據(jù)日益增多，或者刪除區(qū)域被其他文件所覆蓋等情形。在此背景下，手機數(shù)據(jù)恢復的難度也會隨之提升。

數(shù)字證據(jù)固定技術(shù)

手機中的信息，系以數(shù)字形式而存在。此類數(shù)字證據(jù)作為由0和1所組成的電磁記錄，難以為人們所直接認識和理解。為了能使手機內(nèi)的數(shù)字記錄能為人們所掌握，且完整、真實反映出其記錄的內(nèi)容，就需要采用數(shù)字證據(jù)固定技術(shù)來予以實現(xiàn)。所謂數(shù)字證據(jù)固定技術(shù)，即是將計算機代碼轉(zhuǎn)換為人類可認識和理解的信息，從而幫助刑偵科學人員來固定手機中與犯罪活動有關(guān)的各類信息。

手機數(shù)據(jù)分析技術(shù)

手機取證過程中，不僅需要對手機中的數(shù)據(jù)進行提取，亦需要對提取的數(shù)據(jù)予以智能分析，以呈現(xiàn)出該手機的“活動軌跡”。為了實現(xiàn)這一目的，即需要采用地理分析技術(shù)和時間軸技術(shù)來對手機內(nèi)的數(shù)據(jù)予以分析。當前智能手機中，通常均具有GPS功能。該功能能夠令手機進行準確定位。不過，當GPS功能被關(guān)閉時，通過基站發(fā)射的信號，仍可實現(xiàn)手機定位。因而，刑偵科技人員在提取數(shù)據(jù)信息時，可以在手機GPS功能被關(guān)閉的情況下，借助于地理分析技術(shù)，通過基站定位，以呈現(xiàn)手機在某一特定時間段內(nèi)的所處位置，從而反映出手機使用者一段時間內(nèi)的“活動軌跡”。此外，時間軸技術(shù)也是手機數(shù)據(jù)分析中的一項重要方式。通過這一技術(shù)，可以讓手機內(nèi)看似凌亂的數(shù)據(jù)，以時間為順序進行有序排列。通過對橫軸和縱軸上的具體日期和時間進行統(tǒng)計，從而分析出手機使用者在具體什么時間做了什么事情。

手機取證技術(shù)的應(yīng)用

提取數(shù)據(jù)載體

數(shù)據(jù)載體的提取，是手機取證技術(shù)的第一步。刑偵科技人員在對數(shù)據(jù)進行提取時，首先需要了解和掌握取證對象設(shè)備的特性。為了避免與案件現(xiàn)場中發(fā)現(xiàn)的取證對象設(shè)備之間發(fā)生交互，刑偵人員應(yīng)當關(guān)閉帶入現(xiàn)場輔助搜索的設(shè)備的藍牙、Wi-Fi等無線收發(fā)裝置。

當發(fā)現(xiàn)手機設(shè)備后，若其通過數(shù)據(jù)線與電腦相連，則需拔出電腦一端的插頭以阻止數(shù)據(jù)同步蓋寫或傳輸。面對處于開機狀態(tài)的手機，則需將其與移動通信網(wǎng)絡(luò)相隔離，以防新信息對現(xiàn)有數(shù)據(jù)的覆蓋。

在對數(shù)據(jù)載體進行包裝與運輸時，刑偵科學人員首先需要將待取證的手機設(shè)備封裝于防靜電袋中。為防止手機觸摸屏或按鍵被無意中壓到，通常均會使用硬質(zhì)容器來予以包裝。若手機在取證時，需要保持開機狀態(tài)，則應(yīng)使用無線電屏蔽袋來包裝手機，以屏蔽手機信號。考慮到開機狀態(tài)下的手機設(shè)備會消耗電量，在提取該設(shè)備時，應(yīng)同時連接一臺獨立的外部供電裝置來保證手機的充足電量。

手機身份信息驗證

采集數(shù)據(jù)信息是手機取證技術(shù)中的一項核心工作。當前市面上銷售的手機中，無論是手機型號，還是其所使用的操作系統(tǒng)都不盡相同。就市面上主流的手機操作系統(tǒng)而言，包括了Google公司開發(fā)的Android移動操作系統(tǒng)以及蘋果公司開發(fā)的iOS移動操作系統(tǒng)。這就需要刑偵科技人員在對手機身份予以驗證的基礎(chǔ)上，才能采用相應(yīng)的軟件和設(shè)備進行數(shù)據(jù)采集。

手機身份驗證是刑偵科技人員在對數(shù)據(jù)信息進行采集前所做的基礎(chǔ)工作。除了通過手機外觀、品牌標識來確認手機身份外，刑偵科學人員還可以利用手機內(nèi)貼有的標簽進行驗證。這一標簽上的內(nèi)容是手機制造商所列出的手機產(chǎn)品和型號的標識符。在中國，經(jīng)正規(guī)渠道購買的手機，都會貼有相應(yīng)的進網(wǎng)許可證。通過查詢許可證編號，即可以掌握該設(shè)備的身份信息。

Android手機取證系統(tǒng)

Android是由Google公司和開放手機聯(lián)盟開發(fā)的一種基于Linux的開放源代碼的操作系統(tǒng)，主要用于智能手機、平板電腦等移動終端。據(jù)統(tǒng)計，全球范圍內(nèi)有超過20億的智能設(shè)備上安裝有Android操作系統(tǒng)，占到了市場份額總量的50%以上。Android操作系統(tǒng)因其強大的功能以及對于各類軟件的支持，使搭載有Android系統(tǒng)的移動設(shè)備成為了記錄數(shù)據(jù)信息最多的電子產(chǎn)品。這些設(shè)備中記錄的數(shù)據(jù)不僅含文字、圖片、視頻、電子郵件，還包括GPS信息等大量數(shù)據(jù)。

因而，在針對手機數(shù)據(jù)進行取證時，Android手機取證系統(tǒng)無疑是不容回避的一項重要內(nèi)容。這一取證系統(tǒng)從技術(shù)層面上可分為邏輯取證技術(shù)和物理取證技術(shù)。對于邏輯取證技術(shù)而言，其核心是通過對文件系統(tǒng)的訪問，來對所分配的數(shù)據(jù)予以深挖。這些所分配的數(shù)據(jù)即是未被刪除的手機數(shù)據(jù)。如對于已被刪除的數(shù)據(jù)庫記錄，都需要用手機數(shù)據(jù)恢復工具來予以恢復。

所謂物理取證技術(shù)，則是直接將存儲數(shù)據(jù)信息的物理介質(zhì)作為取證目標。其優(yōu)點在于無需依賴于文件系統(tǒng)即可訪問到大量已被刪除的數(shù)據(jù)。不過，若存在不當操作來提取設(shè)備數(shù)據(jù)時，即有可能使設(shè)備終端無法繼續(xù)使用或訪問。

iOS手機取證系統(tǒng)

iOS是蘋果公司為其旗下的移動設(shè)備所開發(fā)的一款操作系統(tǒng)。蘋果公司最初在2007年時公布的該系統(tǒng)。其原先為iPhone設(shè)計所使用，之后逐步套用至iPad，iPod touch以及Apple TV等產(chǎn)品之上。由于該操作系統(tǒng)并不對外公開，因此針對iOS操作系統(tǒng)的取證也成了手機取證過程中的一項難點問題。不少手機取證廠商也專門研發(fā)了針對蘋果手機進行取證的工具和產(chǎn)品。

iOS系統(tǒng)中，通常均含有大量數(shù)據(jù)信息。除了移動設(shè)備配置信息、通話記錄、短消息、通訊錄外，還包括大量有關(guān)用戶行為、習慣性偏好以及地理軌跡等隱私信息。在挖掘此類數(shù)據(jù)時，需要通過攻破或繞過iOS的安全防護設(shè)置，以捕捉到那些甚至連手機用戶自身都不知曉的隱私信息，從而為罪案調(diào)查提供重要線索。此外，在進行取證時，刑偵科技人員還需要尤為關(guān)注iOS系統(tǒng)中的用戶習慣信息。這些信息是該用戶最為經(jīng)常使用的應(yīng)用程序APP所留下的痕跡。通過對此類痕跡的獲取和分析，可以從中為案件偵破提供相應(yīng)方向。

編輯：黃靈 yeshzhwu@foxmail.com