基于智能手機(jī)照片屬性的溯源研究

滿超 郭永帥 李正道

摘? 要：隨著智能手機(jī)的日益普及，利用智能手機(jī)進(jìn)行犯罪的案件不斷增多，智能手機(jī)取證成為了為刑事訴訟提供證據(jù)的重要手段。文章對(duì)智能手機(jī)照片的溯源性信息進(jìn)行了研究，分析得到智能手機(jī)照片拍攝的時(shí)間、地理位置、手機(jī)生產(chǎn)廠商、手機(jī)型號(hào)等信息，對(duì)偵查辦案人員重建犯罪現(xiàn)場(chǎng)，刻畫犯罪嫌疑人的犯罪軌跡起到的重要作用，為刑事訴訟提供了重要證據(jù)，對(duì)服務(wù)公安實(shí)際工作有較強(qiáng)的研究意義。

關(guān)鍵詞：智能手機(jī);照片屬性;溯源性;證據(jù)

Abstract：With the increasing popularity of smartphones，cases of using smartphones to commit crimes continue to increase，and smartphone forensics has become an important means of providing evidence for criminal action. The article studies the traceability information of smartphone photos，analyzes the time，geographic location，mobile phone manufacturer，mobile phone model and other information that the smartphone photo was taken，which plays an important role in reconstructing the crime scene and portraying the criminal suspects criminal trajectory for the investigators. It provides important evidence for criminal action and has strong research significance for the actual work of serving public security.

Keywords：smartphone;photo attribute;traceability;evidence

0? 引? 言

隨著智能手機(jī)電子取證技術(shù)不斷發(fā)展，智能手機(jī)照片所包含的信息成為公安機(jī)關(guān)偵查破案過程中的重要線索。通過智能手機(jī)照片溯源性分析得到的拍攝的時(shí)間信息、地理位置信息、拍攝照片的手機(jī)生產(chǎn)廠商、手機(jī)型號(hào)成了為刑事訴訟的重要證據(jù)，這些信息為辦案人員獲取案件線索起到重要作用。通過本次安徽省公安教育研究院的課題研究，分析照片屬性信息，提取溯源信息，可以更加直觀的展現(xiàn)出犯罪嫌疑人的活動(dòng)軌跡。

1? 智能手機(jī)照片溯源性研究意義

智能手機(jī)照片當(dāng)中有著大量關(guān)于照片的溯源性信息，獲取拍攝時(shí)的時(shí)間、地點(diǎn)、手機(jī)廠商、手機(jī)型號(hào)等信息，并充分利用這些信息能夠?yàn)榘讣膫刹楣ぷ鲙砗艽蟮膸椭鶾1]。在智能手機(jī)拍攝的照片屬性信息中，可以看到該照片的文件大小、圖片類型、文件存儲(chǔ)路徑、圖片文件的MD5值，以及拍攝時(shí)的拍攝時(shí)間、地理位置等信息，因此可以對(duì)智能手機(jī)拍攝的照片提供一種可以認(rèn)證溯源及真實(shí)性的檢驗(yàn)信息，同時(shí)也可以為智能手機(jī)拍攝的照片的同一認(rèn)定和電子取證提供可靠的技術(shù)支持及保障。使用智能手機(jī)中的相機(jī)拍照已經(jīng)成為時(shí)下最為方便快捷的一種拍照方式，智能手機(jī)拍攝的照片中的數(shù)字圖像信息可以給辦案人員提供照片現(xiàn)場(chǎng)信息[2]，是現(xiàn)在犯罪案件智能手機(jī)數(shù)據(jù)提取的重要內(nèi)容。

2? 智能手機(jī)照片文件的提取

智能手機(jī)取證準(zhǔn)備工作包括對(duì)案件進(jìn)行初步了解分析，掌握犯罪目的、犯罪動(dòng)機(jī)、犯罪原因等犯罪案件的基本情況，同時(shí)對(duì)案件組織專門人員成立專門的案件調(diào)查小組，分工實(shí)施案件的取證工作。并且根據(jù)要進(jìn)行取證手機(jī)的手機(jī)品牌、手機(jī)的型號(hào)、手機(jī)操作系統(tǒng)及軟硬件特征，選取合適的手機(jī)取證工具，充分做好手機(jī)的調(diào)查取證工作。智能手機(jī)中照片文件提取的操作規(guī)范流程如圖1所示。

在對(duì)待取證的智能手機(jī)的取證準(zhǔn)備工作、案件初步分析等犯罪案件的基本情況了解清楚后，電子數(shù)據(jù)提取的工作人員常用手機(jī)大師（DC-4501手機(jī)取證系統(tǒng)）軟件進(jìn)行取證，DC-4501手機(jī)取證系統(tǒng)具有快捷性、全面性、易操作性等特點(diǎn)，貼近公安實(shí)戰(zhàn)工作。

2.1? 待取證手機(jī)證據(jù)的封存

在公安實(shí)際工作中，當(dāng)需要對(duì)目標(biāo)手機(jī)進(jìn)行取證時(shí)，公安辦案機(jī)關(guān)需要將待取證手機(jī)裝入防靜電手機(jī)物證袋進(jìn)行封存，防止待取證的智能手機(jī)在從犯罪現(xiàn)場(chǎng)提取后到取證的電子物證檢驗(yàn)室的過程中發(fā)生靜電干擾，導(dǎo)致手機(jī)數(shù)據(jù)變化進(jìn)而影響到手機(jī)數(shù)據(jù)的取證結(jié)果。

2.2? 待取證手機(jī)證據(jù)的提取記錄

在公安實(shí)際辦案過程中，當(dāng)需要從犯罪現(xiàn)場(chǎng)提取手機(jī)時(shí)，需要填寫犯罪現(xiàn)場(chǎng)物證提取清單，并對(duì)提取的智能手機(jī)的手機(jī)型號(hào)、手機(jī)顏色、手機(jī)數(shù)量、提取物證的工作人員信息在物證提取清單中填寫清楚，并對(duì)待取證的智能手機(jī)進(jìn)行編號(hào)、拍照記錄。

2.3? 待取證手機(jī)的證據(jù)轉(zhuǎn)交

當(dāng)辦案機(jī)關(guān)工作人員把待取證手機(jī)封存完成、犯罪現(xiàn)場(chǎng)物證提取清單填寫完畢后，要把待取證手機(jī)移交到電子物證提取的工作人員，在對(duì)待取證的智能手機(jī)的移交時(shí)，電子物證提取的工作人員要對(duì)辦案機(jī)關(guān)送檢的智能手機(jī)進(jìn)行登記，填寫電子物證登記記錄表，注明送檢的時(shí)間、送檢的辦案單位、送檢的辦案人員等信息。

2.4? 待取證手機(jī)的拆封

電子物證檢驗(yàn)人員對(duì)送檢手機(jī)的完整性進(jìn)行檢查，檢查待取證手機(jī)的封條是否完好，并在電子數(shù)據(jù)取證實(shí)驗(yàn)室的取證攝像頭下進(jìn)行檢查拆封，在取證工作手冊(cè)上記錄下待取證手機(jī)的封存編號(hào)、機(jī)型信息等。

2.5? 待取證手機(jī)的手機(jī)模式狀態(tài)

將待取證手機(jī)調(diào)至飛行模式。防止在對(duì)手機(jī)的取證過程中有電話打入待取證手機(jī)或者待取證手機(jī)接收短信[3]，造成待取證手機(jī)的取證數(shù)據(jù)的數(shù)據(jù)原始性遭到破壞。

2.6? 待取證手機(jī)的原始數(shù)據(jù)備份

在對(duì)手機(jī)進(jìn)行取證的時(shí)候，首先要對(duì)手機(jī)的SD卡和內(nèi)存中的原始數(shù)據(jù)進(jìn)行備份，然后在對(duì)原始手機(jī)備份好的數(shù)據(jù)進(jìn)行分析，保護(hù)手機(jī)數(shù)據(jù)的原始性。

2.7? 查看檢材手機(jī)拍攝照片的信息

在手機(jī)大師中對(duì)送檢的待取證手機(jī)的手機(jī)信息、送檢信息等進(jìn)行填寫后，開始取證。筆者以某檢材為例，打開圖片位置信息后，會(huì)出現(xiàn)待取證手機(jī)中照片的文件大小、圖片類型、日期、文件存儲(chǔ)路徑、經(jīng)度信息、緯度信息和圖片文件的MD5值等信息，如圖2所示。

3? 智能手機(jī)中照片文件的數(shù)據(jù)分析

在智能手機(jī)拍攝的照片屬性中，智能手機(jī)照片的文件格式、EXIF屬性信息包含了許多關(guān)于照片拍攝時(shí)重要的溯源信息。

3.1? 智能手機(jī)中照片文件的格式

在智能手機(jī)拍攝的照片中絕大部分圖片為JPEG格式，在手機(jī)大師取證結(jié)果中的檢材列表中的媒體文件選項(xiàng)中選擇圖片，右鍵打開文件目錄，選擇一個(gè)圖片文件，查看該圖片文件的標(biāo)記碼信息屬性，對(duì)照二進(jìn)制文檔結(jié)構(gòu)，如表1所示，得出照片文件格式信息。

筆者通過查看分析該圖片文件的JPEG標(biāo)記碼信息屬性，并與二進(jìn)制文檔結(jié)構(gòu)表對(duì)比發(fā)現(xiàn)在JPEG文件的格式中0xFFD9表示該照片的所包含的照片數(shù)據(jù)信息的結(jié)束，在字符串信息0xFFD8和字符串信息0xFFD9之間是該照片拍攝時(shí)的GPS信息，光圈信息，曝光值信息，照片對(duì)比度等信息，如圖3所示。

3.2? 智能手機(jī)中照片文件的EXIF信息

在智能手機(jī)拍攝的照片屬性中，智能手機(jī)照片中的EXIF屬性信息包含了許多關(guān)于照片拍攝時(shí)的重要信息[4]，通過分析智能手機(jī)照片文件的EXIF信息可以獲取所拍攝手機(jī)的手機(jī)制造商信息[5]，攝像機(jī)鏡頭參數(shù)信息、攝像機(jī)鏡頭的光圈曝光時(shí)間、攝像機(jī)鏡頭的曝光值、照片的拍攝時(shí)間、地理位置信息等[6]。以通過手機(jī)大師（DC-4501手機(jī)取證系統(tǒng)）軟件分析某一圖片顯示出來的EXIF信息為例，可以看出該圖片在智能手機(jī)拍攝時(shí)的EXIF信息如表2所示。

4? 結(jié)? 論

隨著智能手機(jī)照片的溯源性在打擊犯罪中的地位日益重要，智能手機(jī)拍攝照片的數(shù)據(jù)信息成為偵破案件的重要線索和刑事訴訟的重要證據(jù)，通過對(duì)智能手機(jī)照片EXIF信息的溯源性分析研究，得到犯罪嫌疑人經(jīng)常拍攝的時(shí)間信息和常去的地理位置信息，構(gòu)造描繪出犯罪嫌疑人的犯罪路徑，為辦案人員重建犯罪現(xiàn)場(chǎng)提供信息，對(duì)實(shí)際偵破案件中起到重要作用。

參考文獻(xiàn)：

[1] 尹東偉.淺析手機(jī)取證在職務(wù)犯罪案件中的應(yīng)用 [J].電腦知識(shí)與技術(shù)，2015（30）：37-38.

[2] 劉景云.探尋隱藏在照片中的“秘密”信息 [J].電腦知識(shí)與技術(shù)（經(jīng)驗(yàn)技巧），2015（12）：102-107.

[3] 王宇.手機(jī)拍攝照片的原始性問題研究 [J].信息系統(tǒng)工程，2016（1）：99+101.

[4] 李杰，郝會(huì)民，石瑜，等.Exif數(shù)據(jù)格式淺析及其讀取應(yīng)用 [J].城市勘測(cè)，2016（2）：136-138.

[5] 亓旭龍，鄭媛.通過查看EXIF信息對(duì)數(shù)碼照片進(jìn)行原始性檢驗(yàn) [J].科技展望，2016，26（34）：240-241.

[6] 申川.數(shù)碼照片真實(shí)性鑒定中Exif信息應(yīng)用分析 [J].影像技術(shù)，2017，29（3）：74-76.

作者簡(jiǎn)介：滿超（1995—），男，漢族，安徽合肥人，助教，碩士在讀，研究方向：網(wǎng)絡(luò)安全;郭永帥（1992—），男，漢族，安徽合肥人，講師，碩士研究生，研究方向：網(wǎng)絡(luò)安全;李正道（1995—），男，漢族，安徽合肥人，助教，本科，研究方向：網(wǎng)絡(luò)安全技術(shù)。