安卓手機取證方法的有效性分析

文/代城濤

隨著信息技術的不斷發展，智能手機的功能也越來越全面，能夠像傳統計算機系統一樣根據用戶的基本需求安裝各類實用軟件，能夠同時滿足用戶的游戲娛樂、影視觀看、信息、網絡連接等多種需求，是一個綜合全面的信息終端設備。據相關統計顯示，我國安卓手機的市場占有率以及達到了86.4%，僅2017年第一季度，安卓手機的全國銷量統計便已達到了3.271億臺，可見安卓手機在我國使用的普遍性。隨之而來的安卓手機在各類犯罪活動中所占的比例也在不斷增加，可見，對犯罪分子安卓手機的查調查在當今犯罪偵查中的重要性。

1 安卓手機取證的現狀

安卓手機是移動信息技術的終端設備，與傳統手機相比，安卓智能手機的作用更多，能夠根據用戶需求自行安裝各類溝通、游戲以及辦公等軟件，為人們的生活工作提供了更多的便利條件。實際調查工作過程中，各類職務犯罪中安卓手機中包含的信息證據也越來越多，對犯罪分子手機中各類信息數據的調查和取證也越來越重要。因此，提高安卓手機的取證質量在是檢驗鑒定工作中各類技術的重點關注內容。

2 安卓手機取證的難點

（1）由于手機的社會需求量巨大，有大量的手機生產廠商比如“三星、華為、小米、OPPO、vivo”等等，這些我們熟知的手機廠商。這些廠商都不同的對安卓的源代碼進行的加工，這些加工與優化，都給我們取證工作帶來了很多困難。

（2）安卓手機常見手芯片有：聯發科、高通、三星Exynos、華為海思等。這些芯片都有其特點，取證方式也有不同之處，譬如高通芯片的手機在9008模式下，一般可以獲取其手機鏡像，而聯發科芯片的手機是通過MTK模式下獲取手機鏡像。

3 安卓手機取證方法

安卓手機取證工作主要是對手機內各類信息內容進行手機和分析，獲取有效的線索和證據支持，安卓手機取證工作開展中主要包括以下幾點：

（1）確保手機包含充足電量，或配備好手機充電器，以備隨時充電，以確保能夠配合完成整個取證流程，防止手機取證過程中因電量過低而關機。大部分安卓手機中各類數據刪除后并不會被及時清除掉，多數信息是在重啟后才會徹底清除，這是安卓手機獨有的特點，因此，在安卓手機取證中首先要確保電量充足。

（2）手機在取證過程中需設置為飛行模式并且將手機自身的無線網絡連接關閉，防止在手機取證過程中由于各類信號干擾影響正常取證或者對手機內各類數據信息造成破壞。

4 安卓手機取證工具

安卓手機取證工具類型比較多，不同取證工具的操作方式以及取證重點也有所區別，本文主要介紹了DC-4501和Final Shield手機取證軟件的特點。

4.1 DC-4501手機取證軟件

DC-4501 手機取證系統是一款便攜式手機調查取證勘察箱設備。采用GPU運算技術用于手機微信數據等各類手機相關密鑰解析。支持手機數據提取、刪除數據恢復，支持幾十種手機應用程序解析，提供近20個手機取證工具集，可有效解決手機取證過程中遇到的權限提升、密碼解析等疑難問題。另可做為后臺系統的數據采集前端。這款軟件筆者認為在自動取證方面是做的很不錯的，其交互界面也比較簡潔。

4.2 Final Shield

Final Shield與XRY相比差別較大，Final Shield屬于信號屏蔽工具，該工具有其自備的內部USB連接點，由此將Final Shield工具與安卓手機進行聯合，進而鏈接到電腦端，使用Final Shield的PC端軟件對安卓手機內容進行研究分析，從而獲取相關的信息內容。而Final Shield技術中的屏蔽作用能夠防止操作取證過程中受到各類通過信號傳輸的影響，導致原始取證結果受到影響，同時，手機信號的屏蔽還能夠將以獲取的數據信息進行標記鎖定。

5 安卓手機取證工具的發展趨勢

隨著安卓手機中各類信息技術的不斷發展，手機中存儲的軟件以及數據內容也在不斷增多，職能手機在取證過程中面臨的難度也在不斷增加，傳統取證工具在實際應用過程中所面臨的問題也在不斷增加，很容易出現操作不細致，取證不徹底等情況。由此可見安卓取證工作在未來的發展過程中需要不斷完善優化取證工具，引入更加先進的信息技術。

5.1 融入交互界面

當前安卓手機取證工具在實際應用中操作較為繁瑣，步驟較為復雜，很多工具在實際應用中都需要人工修改各類參數，就要求工作人員具備相關的操作能力，且須熟練了解各類安卓手機的系統內容，不利于安卓手機中各類數據信息的統計和處理。將交互界面融入到安卓手機取證工具之中，能夠有效提升電子取證的操作性，簡化手機取證操作步驟，為工作人員提供良好的操作環境，對于操作人員的要求不高，即使不具有相關知識技巧也能夠熟練使用并且起到信息收集處理的效果。

5.2 加強數據挖掘

數據挖掘技術在安卓手機取證工具中的融入和應用，能夠有效提升安卓手機取證的精準性。數據挖掘技術的應用能夠在傳統取證工具內容的效果上提升信息挖掘效果，幫助研究人員獲取更加精細的數據信息。數據挖掘技術在實際操作中的應用是完全自動的，操作人員不需要進行手動控制。根據不同的犯罪類型可以指定相適合的模塊，以此來完成不同的取證工具。將不同的取證要求及條件輸入到模塊中，能夠達到多種犯罪取證的目的。

6 結束語

綜上可知，安卓手機作為移動通信工具應用面較廣的工具，對人們生活及工作的影響都是不容忽視的。安卓手機取證過程中需要不斷引入多種數據工具，根據不同的犯罪類型制定相適合的數據模塊，以滿足相應調查需求。