（通信与信息系统专业论文）面向windows+mobile系统的取证数据恢复技术研究.pdf

重庆邮电大学硕士论文摘要 摘要 随着信息技术的不断发展，利用手机作为犯罪工具的案件在司法案件中逐年 增多，因此手机取证已经越来越多地出现在司法程序中。大量的手机犯罪活动， 使得传统的手机取证方式已经满足不了办案需求，犯罪嫌疑人往往会删除手机中 相关的重要证据信息，影响手机取证工作，削弱手机取证的效果。面对这种情况， 如何能有效地获取手机中的电子证据，包括删除的证据，已经日益成为一个迫切 需要解决的问题。 本文所讨论的w m d o w sm o b i l e 系统是微软应用于智能手机的一个操作系统， 是目前市场上常见的智能手机操作系统之一。随着手机技术的快速发展，智能手 机正在逐步取代传统手机，常见的智能手机操作系统不外乎几种，这使得手机在 操作系统层面上逐渐出现了规范统一，给研究手机取证中的数据恢复指明了方向 可以从不同的操作系统入手。 本文主要研究对于w i n d o w sm o b i l e 系统，如何进行正确的手机取证工作，如 何从p i m v o l 文件中恢复出包括已经删除的联系人在内的所有联系人信息，以及如 何实现，主要完成以下的工作： 首先介绍了手机取证技术的研究背景和数据恢复技术在手机取证中的重要 性，并对手机取证技术的相关知识进行了介绍，为研究手机取证数据恢复提供了 基础。 其次，分析了g r m d o w sm o b i l e 系统的系统架构，对w i n d o w sm o b i l e 系统下的 重要文件及目录进行了分析，重点研究了p i m v o l 文件，解析了文件中关键字段的 含义，如何从该文件中恢复取证数据，提出了一种w m d o w sm o b i l e 系统下取证数 据恢复的技术方法，并通过代码设计实现了一款p i m 通讯录恢复工具，对该技术 方法进行了验证。 最后通过设置了不同的测试环境及场景，分别在g r m d o w sm o b i l e 模拟器和真 实的取证环境中，对设计的数据恢复软件进行了测试和总结，验证了面向g r m d o w s m o b i l e 系统的取证数据恢复技术的正确性，软件的功能和性能都达到了设计要求。 关键词：手机取证，数据恢复，智能手机，g r m d o w sm o b i l e ，取证数据 重庆邮电大学硕士论文 a b s t r a c t a b s t r a c t d e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g ym a k e st h eu s eo f am o b i l ep h o n ea sat o o l o rt a r g e to fc r i m ee a s e si nt h ej u d i c i a lc a s e si n c r e a s i n gy e a rb yy e a r t h e r e f o r e ，m o r e a n dm o r em o b i l ef o r e n s i c sh a sb e e na p p e a r e di nt h ej u d i c i a lp r o c e s s al a r g en u m b e ro f m o b i l ep h o n ec r i m e ，m a k e st h et r a d i t i o n a lw a yo fm o b i l ep h o n ef o r e n s i c sd i f f i c u l tt o m e e td e m a n d , t h es u s p i e c t so f t e nd e l e t et h er e l a t e de v i d e n c ei nt h e i rm o b i l ep h o n e s ， i n f o r m a t i o no nt h ee f f e c t so fm o b i l ep h o n ef o r e n s i c s , w h i c hc a nr e d u c et h ee f f e c t so f m o b i l ep h o n ef o r e n s i c s f a c i n g 、析t l lt h i ss i t u a t i o n , h o wt oe f f e c t i v e l yo b t a i nt h e e l e c t r o n i ce v i d e n c ei nm o b i l ep h o n e s ，i n c l u d i n gt h ed e l e t e de v i d e n c e ，h a si n c r e a s i n g l y b e o o m ea l lu r g e n tp r o b l e mt ob es o l v e d t h ew i n d o w sm o b i l es y s t e md i s c u s s e di nt h i sa r t i c l ei sas m a r tp h o n eo p e r a t i n g s y s t e mm a d eb ym i c r o s o f t , i ti so n eo ft h ec o m m o ns m a r tp h o n eo p e r a t i n gs y s t e mi nt h e m a r k e t w i t ht h er a p i dd e v e l o p m e n to fm o b i l ep h o n et e c h n o l o g y ，s m a r tp h o n e sa r e g r a d l l a l l yr e p l a c i n gt h et r a d i t i o n a lc e l lp h o n e c o m m o n s m a r tp h o n eo p e r a t i n gs y s t e mi s n o t h i n gm o r et h a ns e v e r a l ，w h i c h m a k e sm o b i l e p h o n e si n c r e a s i n g l y b o o o m e s t a n d a r d i z e di nt h eo p e r a t i n gs y s t e ml e v e l i tg i v e sc l e a rd i r e c t i o no fr e s e a r c ho nd a t a r e c o v e r yi nm o b i l ef o r e n s i c s - - - c a ns t a r tf r o md i f f e r e n to p e r a t i n gs y s t e m s t h i sp a p e rm a i n l ys t u d i e sh o wt om a k er i g h tm o b i l ep h o n ef o r e n s i c so ft h e w i n d o w sm o b i l es y s t e m , a n dh o wt or e c o v e ra l lc o n t a c ti n c l u d i n gd e l e t e di n f o r m a t i o n f r o mp i m v o lf i l e s ，a n dh o wt oi m p l e m e n t , a n dm a i n l yc o m p l e t et h ef o l l o w i n gt a s k s ： f i r s t l y ，i n t r o d u c e dt h er e s e a r c hb a c k g r o u n do fm o b i l ep h o n ef o r e n s i c sa n dt h e i m p o r t a n c eo fd a t ar e c o v e r yt e c h n o l o g yi nt h em o b i l ep h o n ef o r e n s i c s k n o w l e d g e r e l a t e dm o b i l ep h o n ef o r e n s i c st e c h n o l o g yw a si n t r o d u c e df o rt h es t u d yo fd a t ar e c o v e r y i nm o b i l ep h o n ef o r e n s i c s s e c o n d l y ，a n a l y z e dt h es y s t e ma r c h i t e c t u r eo f w i n d o w sm o b i l e ，a n dt h ei m p o r t a n t f i l e sa n dp a t h , f o c u s i n go nt h ep i m v o lf i l e ，p a r s et h em e a n i n go ft h ek e yw o r d s ，h o wt o r e c o v e re v i d e n c ef r o mt h ef i l e ，t h e nd e s i g n e da n di m p l e m e n t e dt h et h e o r yt h r o u g hc o d e f i n a l l y ，t e s t e da n ds u m m a g i z e dt h ed e s i g n e dd a t ar e c o v e r ys o f t w a r e f u n c t i o n a l i t y a n dp e r f o r m a n c eh a v er e a c h e dt h ed e s i g nr e q u i r e m e n t s k e yw o r d s ：m o b i l ep h o n ef o r e n s i c s ，d a t ar e c o v e r y ，s m a r t p h o n e ，w i n d o w sm o b i l e ， f o r e n s i cd a m 重庆邮电大学硕士论文 插图目录 插图目录 第一章 图1 1 手机取证流程3 第二章 图2 1g s m 系统结构1 l 图2 2 手机通信过程：1 2 图2 3s i m 卡的接口l6 第三章 图3 1w i n d o w sm o b i l e 根目录文件结构关系2 3 图3 2 存储1 6 0 个联系人的p i m v o l 文件大小2 6 图3 3 联系人全部删除后的p i m v o | 文件大小2 7 图3 4p i m v o l 文件中联系人信息残留2 7 图3 5 联系人删除重启系统后的p i m v o l 文件大小2 8 图3 6 联系人记录头标识2 9 图3 7 联系人开始位置标识3 0 图3 8 联系人结束位置标识l 3 0 图3 9 联系人结束位置标识2 3 l 图3 1 0 联系人结束位置标识3 。3 1 图3 1 1 联系人姓名3 2 图3 1 2 被破坏的联系人号码3 2 图3 1 3 姓氏单独存储的联系入3 2 图3 1 4p i m v o l 文件中姓氏单独存储的方式3 3 图3 1 5d a t a h a n d e r 类3 4 图3 16g e t f i r s t r e c o r d 函数的实现。3 5 图3 17g e t n e x t r e c o r d 函数的实现3 5 图3 1 8g e t l n f o 函数的实现3 6 第四章 图4 1 创建联系人3 9 图4 2p i m 通讯录恢复工具查看原始p i m v o l 文件3 9 图4 3 删除联系人4 0 图4 4p i m 通讯录恢复工具恢复出所有联系人4 0 图4 5 通过f i n a l m o b i l ef o r e n s i c s 导出p i m v o l 文件。4 1 图4 6p i m 通讯录恢复工具恢复出所有联系人4 2 图4 7 对恢复出所有联系人进行保存。4 2 图4 8 保存成功4 3 v 重庆邮电大学硕士论文 第一章绪论 1 1 研究背景 1 1 1 手机取证简介 第一章绪论 十几年前，大部分人都想不到手机会成为我们日常生活必不可少的一部分。 在现代社会中，手机作为人类最重要的通讯工具之一，正被越来越广泛的使用着。 与此同时，利用手机作为犯罪工具进行违法犯罪的活动越来越多地呈现在人们面 前。在此类案件中，就手机的性质而言，它只是犯罪过程中的使用到的工具，本 身并不一定与犯罪活动有直接关系，但它却是潜在的存储和记录证据的场所，分 析相关手机中存储的数据对破获案件往往有重大帮助。 从广义上来说，手机犯罪属于电子犯罪范畴，世界上最早的电子犯罪被认为 出现在2 0 世纪7 0 年代，大部分发生在金融领域l l l 。这个时代的计算机基本都是大 型机，操作大型机的人们大多是受过良好教育或培训，并且具备专业技能的特殊 人群，他们一般在银行、工程或学术界工作，他们看到了通过操控计算机数据获 取利益的途径，于是电子犯罪开始出现。 近几年，随着全球移动运营商网络从g s m g p r s 、c d 燃d m a l x 标准升 级过度到3 g 标准，手机的发展也取得了巨大进步，具备的功能也越来越多。手机 已经从单纯的语音通信工具演变成为可支持多频多卡、多媒体通信、具备上网功 能、允许内存扩展的现代化个人通信工具。随着手机与计算机功能越来越接近， 手机和手机网络正逐渐被违法犯罪分子利用。与手机相关的犯罪活动对社会造成 了极大的危害，已经引起了有关部门的高度重视。 目前涉及到手机的犯罪行为主要有三种：一是在犯罪行为实施过程中，手机 被用来当作联络通信的工具；二是手机被用作为储存犯罪证据的介质：第三种方 式是手机被作为诈骗、骚扰和病毒传播等新型手机犯罪活动的实施工具。所有这 些都充分表明，手机取证技术对于社会稳定的维持、人民权益的保障和犯罪行为 的打击具有充分的必要性和极大的迫切性。 鉴于手机取证是- - f 新兴学科，相关技术研究并不成熟，目前手机取证面临 的难题主要有； ( 1 ) 犯罪份子使用的手机、银行卡等作案工具一般都没有实名登记，调查相当 困难。 ( 2 ) 犯罪份子警惕性一般很高，取证困难。犯罪份子通常将使用过的手机卡、 银行卡销毁、丢弃，将手机数据删除，即使侦破案件，由于缺少足够的证据，法 重庆邮电大学硕士论文第一章绪论 律上也很难认定其罪行。 ( 3 ) 破案的成本高。由于手机犯罪调查涉及的技术面很广，调查机关需要花费 大量人力、物力、财力进行取证工作。 为了更加有效的打击手机犯罪，执法人员需要从手机及相关的设备中寻找案 件的线索和证据，同时也需要借助一定的取证技术和取证工具。在这种情况下， 手机取证这个概念和学科就应运而生了。 1 1 2 手机取证的概念 首先手机是一种电子设备中，因此“手机取证劳也是一种“电子取证”。在 n i s t ( n a t i o n a li n s t i t u t eo fs t a n d a r d sa n dt e c h n o l o g y ) 的 g u i d e l i n e so nc e l lp h o n e f o r e n s i c s ) 中，对手机取证的定义是：手机取证是指在健全的取证环境中，使用恰 当的手段从手机及相关设备中恢复电子证据的- i - j 科学。 从手机取证的定义中我们可以看出，这里的“手机取证 的对象是“手机及 其相关设备一，也就是说要从犯罪现场和犯罪嫌疑人手中获得的手机及其设备中提 取和恢复电子证据1 2 】1 3 】。具体来说，手机取证中的电子证据来源主要有：手机内存、 s i m 卡、扩展卡、移动运营商系统和短信服务提供商系统。只有调查人员明确如 何进行有效的取证，后续工作才能顺利进行。 “手机取证一的定义也明确的指出了对取证环境和取证手段的要求应该是健 全和恰当的，也就是说，手机取证同计算机取证和网络取证一样，为了保证电子 证据的完整性和有效性，取证过程须要遵循一定的原则，进行调查取证相关工作 的人员需要掌握一定的专业技术，以保证取证过程有效进行i 删。 1 1 3 手机取证原则 手机取证的概念中要求，取证过程必须。在健全的取证环境中，使用恰当的 手段，因此手机取证需要遵循相关的原则才能进行。 国际相关组织和部门都对处理电子证物的原则提出了建议，这些建议虽然表 述侧重的角度不同，但却有着共同的目标，那就是为了保证电子证据在整个取证 过程中的完整性、有效性1 7 1 1 8 1 。作为电子证物的一种，对手机进行取证时同样需要 遵循基本的取证原则，以使提取的电子证据具有最大化的法律效力。在此，参考 相关规范原则，将手机取证的原则简要描述如下： ( 1 ) 取证合法：手机取证必须要由专门的人员进行，提取手机及相关设备中的 数据，取证人员必须具有相关的资质，并且能够解释其行为并对其行为负责； ( 2 ) 取证及时：脆弱易逝性是电子证据所具备的一个显著特点。手机中存储的 2 重庆邮电大学硕士论文第一章绪论 信息是用二进制数据形式表示的，以数字信号的形式存在，而数字信号具有非连 续性，人为故意、操作失误或环境因素都又可能对电子证据产生破坏，而这一点 从技术上讲也很难查清； ( 3 ) 取证备份：作为证据的手机和其相关设备中的数据在整个取证生命期中必 须保证其原始性和完整性，不能经过任意改动，对证据手机的任何操作都要保证 原始数据的完整性。因此严格意义上的手机取证工作，首先应该镜像备份证据手 机中的原始数据，将证据手机封存备案，然后对备份数据进行分析； ( 4 ) 环境安全：手机取证不同于计算机取证，在整个取证过程中，证据手机可 能会接收到外来信号的干扰，例如电话的呼入、短信的接收、无线网络数据的接 入等等。所有这些因素都将可能改写或覆盖手机中的原始数据，对手机中电子证 据的原始性造成极大破坏。因此，在手机取证中一般要求在一个信号隔离的安全 环境中进行，以屏蔽外部无线网络对正常取证工作的干扰，保证电子数据的原始 性； ( 5 ) 证据保管流转链完善：所有对证据手机及其相关设备的操作，包括对证据 手机的获取、访问、数据提取、证据备份、取证分析等，都必须由第三方建立日 志档案，进行审计，并完全归档保存，以备日后查询。 1 1 4 手机取证流程 手机取证要遵循一定的流程进行，鉴于手机取证是一门新兴学科，目前国际 上也没有一套统一的流程规范可循1 9 1 。通过比较大量手机犯罪案件的侦破过程，总 结经验，手机取证可遵循以下流程进行： 圃日圆日回日固 图i 1 手机取证流程 1 获取证物 获取证物指的是在不改变手机及其相关设备和可扩展存储卡中原始数据的前 提下，对可疑物品进行获取的过程。获取证物由以下几个部分构成： ( 1 ) 保护调查现场：尽早冻结现场中的一切设备，隔离目标设备、禁止没有被 授权的人员靠近可疑设备、检查明确设备的工作状况。例如，不要随便对证据手 机进行开机或关机操作。如果证据手机处于开机状态，且电量已明显不足，应立 即使用证据手机专用的线缆充电器接到电源上对其充电，保证证据手机不会自动 关机。现场要特别注意记录以下几点：手机的日期时间设置、手机正在发送和接 收的短信息、手机密码保护以及加密的电子钱包等等。 3 重庆邮电大学硕士论文 第一章绪论 ( 2 ) 记录现场：对犯罪现场创建永久性的记录，准确记录相关的电子证据以及 常规证据。采用的方法可以是对现场及证物进行拍照或录像，记录证物原始的特 征状态( 包括手机的日期时间设置、手机正在发送和接收的短信息、彩信或邮件等) ， 并制作证据标签。该部分记录的数据将会在很大程度上决定以后提取电子证据的 方式，以及所提取的证据在法律上的有效性，因此应该由专门的调查取证相关人 员尽可能详细准确的进行记录。 ( 3 ) 搜集证物：搜集可疑的手机设备，同时注意搜集与手机相关的设备，比如 数据线、扩展卡、蓝牙、耳机等。虽然手机取证的证据源主要是证据手机，但手 机及相关设备上也有可能存在非电子证据，比如指纹、毛发、血迹等。因此在进 行手机取证的同时也不能忽略传统的常规取证方法。 ( 4 ) 封装运输、存储证据手机：证据手机获取之后要将其带离调查现场，严禁 对证据手机的状态、设置做任何的改动【l o j 。为了避免在此过程中证据手机接收到 新数据，防止原始数据遭到破坏，应采用屏蔽信号的措施，切断证据手机与外界 网络之间的连接，同时也要避免各种物理的损坏。为了维持整个电子证据保管流 转链，此操作的全部过程应详细记录进档案进行保存。 2 提取数据 提取数据是指对证据手机及其扩展存储器进行镜像制作，并从中提取数据的 过程，该过程主要包括： ( 1 ) 确定证据手机型号：为了有效地进行数据提取，需要对证据手机的品牌、 型号、网络服务提供商等信息进行确认1 1 1 1 5 1 。调查取证人员可以根据这些信息选 择正确的工具或设备提取数据。手机的品牌信息通常可以从外观上识别出来，手 机开机的状态下，一般可以从屏幕上看出网络服务提供商；手机关机状态下，可 以在安装电池的区域中查找到如型号、国际移动设备识别码( i m e i 码) 等信息。国际 移动设备识别码亦可在开机状态下输入“拌0 甜一，通过屏幕显示出来。 对于传统手机来说，由于证据手机很有可能设置有开机密码保护功能，所以 对手机做关机操作很可能在重新开机时需要输入开机密码，所以对证据手机进行 关机操作需要慎重考虑。实际上，许多品牌和型号的手机都提供有解锁功能的说 明，通过使用组合键，我们可以在忘记或不知道开机密码的时候继续访问手机， 但是这种解锁操作实际上已经改变了证据手机中电子证据的原始性，所以使用该 方法需要谨慎确定； 对于某些型号或系统的智能手机来说，关机操作很有可能将犯罪份子之前删 除过的数据完全清除掉，导致数据恢复困难或造成无法恢复。因此，在对智能手 机进行取证时，如果获取到的证据手机处于开机状态，一定要保证其不被关机， 包括电量不足导致的自动关机，以期望能够恢复出更多的证据信息。 4 重庆邮电大学硕士论文 第一章绪论 ( 2 ) 选择数据提取方式：在确定证据手机的品牌和型号后，可以通过查阅相关 厂家提供的说明书等信息，确定该手机支持的数据连接方式( 数据线、蓝牙、红外 等) 。如果有必要，需要从网上下载证据手机的驱动程序进行安装，然后选择合适 的工具或设备，连接手机进行数据提取。通常情况下，需要利用不同的工具或设 备来对同一证据手机进行数据提取，因为目前存在的手机取证工具或设备都不完 善，不同的手机取证工具或设备在功能上可以相互补充，最大限度的将电子证据 提取和恢复。当然，也很有可能无法找到支持某款手机的取证工具，这时候就需 要使用人工操作的方式，浏览并拍照或录像记录下重要的信息，但人工操作往往 容易对电子证据造成破坏，因此并不建议使用此方法，可以通过联系手机生产厂 家提供技术支持。 ( 3 ) 连接设备提取数据：在确定了正确的数据连接方式和取证工具之后，就可 以将证据手机与取证工具连接并提取数据了。手机取证中，对数据的提取过程应 该进行证据的完整性验证，保证证据手机中的原始数据没有受到任何改动，因此 最好选择具有h a s h 校验和写保护功能的取证工具。 3 数据分析 数据分析指的是对数据提取阶段所提取的数据副本进行分析，整理出对案件 侦破有用的数据。取证工具将数字证据恢复并解析成可理解的形式( 如电话本、通 话记录、短信息以及多媒体信息等) ，并且完整地展示出这些数据所具有的各种属 性( 包括数据的来源和表示的意义) 。调查取证人员再对恢复出来的数据做进一步进 行分析，找到有效证据以分析案情重建犯罪过程。在这个过程中，往往需要结合 案件调查的目标来进行。 4 出具报告 、 出具报告指的是对取证过程中所有的操作步骤及调查结果进行详细说明阐 述，目的是为日后的司法诉讼提供数字证据。报告的生成依赖于对所有操作过程、 调查和检查结果的详细记录，因此必须严格地记录所有原始证据的使用和转移情 况，并采取有效的校验手段进行管理。报告的内容包括证据手机的原始状态，提 取并恢复出的数字证据的属性、进行的相关操作的所有过程及过程中证据手机的 状态反应、取证操作人员以及采用的工具、设备等，并且标明取证操作的时间、 地点以及采取的信号屏蔽措施等。 1 1 5 手机取证发展方向 目前，我国打击手机犯罪活动的相关法律法规很不完善，存在很多漏洞和空 白，也没有完全符合法律上取证要求的手机取证工具和方法，很多手机取证软件 重庆邮电大学硕士论文第一章绪论 也不能保证提取证据的完整性和一致性。所以，至今还没有统一、有效的手机取 证技术标准和规范来对不同厂商生产的不同型号和操作系统的手机进行取证。并 且随着3 g 网络的日益普及，智能手机逐渐替代了传统手机，手机从单纯通话工具 演变成数据终端，可以遇见到未来的手机是智能手机的天下。因此，对于手机取 证未来的发展方向，可以重点从以下几个方面考虑： ( 1 ) 继续加强对手机取证工具、软件的研发，研究有效的取证方法，并将重点 转移到对智能手机取证技术的研究上改善它们的取证效果，使其符合法庭取证的 各项要求。 ( 2 ) 手机取证专家与各个手机生产厂商进行交流协作，制定出统一有效的手机 取证技术标准和规范。 ( 3 ) 立法部门加强涉及到手机犯罪方面的立法工作，从法律法规上不给犯罪分 子留下任何空子，切实有效的打击手机犯罪。 1 2 课题来源 本课题来源于重庆市爱思网安信息技术有限公司的手机取证项目，主要研究 如何开发一个满足公安机关需求的手机取证系统。本课题是该项目后续研发工作 的准备，为项目的后续研发工作提供理论上的支持，目的是完善与公司合作的韩 国f i n a ld a t a 公司( f d 公司) 的手机取证软件f i n a l m o b i l ef o r e n s i c s 的功能。 此项目中，本人是研发人员之一，负责项目的需求分析、软件设计、测试、 维护等工作，以及为项目后续研发做理论研究，分析w i n d o w sm o b i l e 系统取证数 据被删除后恢复的可行性并提供理论支持。 f i n a l m o b i l ef o r e n s i c s 是韩国f d 公司的一款全球通用的手机取证分析软件， 其最大的优势是对c d m a 制式的手机支持很好，也支持g s m 型号的手机。可对 呼叫记录、删除数据( 部分型号) 、电话本、记事本、短信、彩信、上网记录、网络 连接信息、视频、录音等数据进行分析。此外还可以获取并显示大部分型号手机 的加锁口令。支持b l a c k b e r r y 、i p h o n e 和w i n d o w sm o b i l e 等智能手机操作系统， 并支持物理镜像的获取。f i n a l m o b i l ef o r e n s i c s 目前版本对于w i n d o w sm o b i l e 系 统的智能手机支持其物理镜像的获取，可获取w i n d o w sm o b i l e 系统整个文件目录 信息，但缺乏对手机取证中需要提取及恢复的重要数据( 电话本、呼叫记录、短 信息、任务提醒等) 的分析。 1 3 课题研究现状 与计算机取证不同，手机取证是近几年出现的- - i - j 新兴学科，对手机取证技 6 重庆邮电大学硕士论文 第一章绪论 术的研究也刚刚起步。 目前国际上已经出现各种手机取证工具【1 6 - 1 5 ，如m o b i l e d i tf o r e n s e c 、 c e l l d e k 、f i n a l m o b i l ef o r e n s i c s 、o x y g e nf o r e n s i c 等，但这些取证工具的功能 基本停留在对手机中现有数据的提取层面上，并不能对某些重要删除数据( 联系 入、通话记录、短信息等) 进行恢复，而这部分数据往往是手机取证工作的重点 所在，对破获案件起着至关重要的作用。本文提出了在g r m d o w sm o b i l e 系统上进 行手机取证的新方法：通过数据恢复技术恢复被删除的数据，并在此基础上实现 手机取证。 1 3 1 手机取证工作原理 手机取证就是调查那些从手机或手机扩展存储卡中可以提取恢复的数据。如 同考古学家挖掘一块遗址一样，手机取证调查人员从手机或手机扩展卡中抽取数 据。你想要得到的信息可能已经存在于手机或扩展卡中，但要找到或者破译这些 信息却不大容易，手机取证的任务是将用户存储或删除的数据提取或恢复出来， 目的是从提取或恢复出来的数据中寻找到对破获案件有用的蛛丝马迹。证据能够 证明嫌疑人有罪还是无罪。通常手机取证调查人员调查手机时，并不知道该手机 是否包含有证据，他们必须搜查手机及扩展存储介质，如果找到了数据，就将这 些数据合并在一起形成证据，并最终出具证据报告。 1 3 2 数据恢复在手机取证中的重要地位 手机取证技术的发展，使取证人员发现，当前无论是传统犯罪还是新型犯罪， 都有可能与数字化信息有关。如手机犯罪，作案时不可避免地会在手机中留下数 据“犯罪痕迹铮。随着手机犯罪的日益增多，犯罪份子也变得越来越狡猾，在被调 查前他们会删掉手机中任何与犯罪相关的证据，这给取证工作带来了巨大的困难。 因此，数据恢复将成为手机取证中必不可少的元素。在一定条件下，通过数据恢 复技术可以将犯罪份子删除的数据恢复出来，再现其“犯罪痕迹 。 由于传统的手机品牌种类繁杂，各手机生产厂家生产手机都有自己的一套技 术规范，即使是同一品牌的手机更新换代也非常频繁，这给研究手机数据恢复带 来巨大的难题。随着智能手机的普遍应用，手机在操作系统层面上开始出现统一， 这给研究手机取证数据恢复提供了切入点。目前国际上主流的智能手机操作系统 主要有w m d o w sm o b i l e 、s y m b i a n 、a n d r o i d 、i o s 等，本文研究的即是针对w m d o w s m o b i l e 系统的数据恢复技术。 7 重庆邮电大学硕士论文 第一章绪论 1 4 论文组织结构 本文研究的目的是致力对w m d o w sm o b i l e 系统下的重要文件进行研究，分析 该系统下取证数据被删除后恢复的可行性，提供恢复技术的理论支持，并通过实 验验证理论的正确性。基于以上目的，本文主要内容安排如下： 第一章绪论，简要介绍了手机取证的概念、原则流程等相关知识，给出了手 机取证的现状和本文的研究内容： 第二章手机取证技术相关知识，介绍了与手机取证相关的各种技术知识，为 研究手机取证中需要从何处提取数据提供了理论依据； 第三章g r m d o w sm o b i l e 系统取证数据恢复的研究与实现，对w m d o w sm o b i l e 系统做了简要介绍，并重点介绍了g r m d o w sm o b i l e 系统下取证数据的存储位置， 研究了基于p i m v o l 文件取证数据删除后的恢复技术，以及对恢复技术的实现； 第四章测试分析，针对w i n d o w sm o b i l e 系统下取证数据恢复技术的研究， 根据设计的预期目标，进行测试； 第五章总结及未来的工作，阐述了w m d o w sm o b i l e 系统下取证数据恢复技 术目前还存在的问题以及未来可能的改进方案。 8 重庆邮电大学硕士论文 第二章手机取证技术相关知识 第二章手机取证技术相关知识 手机取证是- - f - j 交叉学科，所涉及的知识面包括：移动通信知识、手机软硬 件知识、计算机知识以及法律知识。因为涉及的知识面很广，对于研究人员和调 查取证人员来说都是一个极大的挑战。下面就手机取证所涉及的基础知识作简单 的介绍，这些基础知识能帮助调查取证人员更有效、更充分地挖掘手机及相关设 备中的数字证据。 2 1 移动通信相关知识 2 1 1 移动通信技术的发展 第一代移动通信系统采用蜂窝组网技术，蜂窝概念由贝尔实验室提出，2 0 世 纪7 0 年代在世界许多地方得到研究。当第一个试运行网络在芝加口哥开通时，美 国第一个蜂窝系统a m p s ( 高级移动电话业务) 在1 9 7 9 年成为现实。 由于模拟蜂窝移动通信的模拟制式存在多种缺点，2 0 世纪9 0 年代人们开发了 以数字传输、时分多址和窄带码分多址为主体的数字移动通信系统，称之为第二 代移动通信系统一一g s m 系统。g s m 全名为g l o b a ls y s t e mf o rm o b i l e c o m m u n i c a t i o n s ，中文为全球移动通信系统，俗称“全球通一。g s m 是一种源于欧 洲的移动通信技术标准，开发目的是让全球各地可以共同使用一个移动通信网络 标准，让用户使用一部手机就能行遍全球。我国从9 0 年代初引进和使用该技术标 准，并于2 0 0 1 年1 2 月3 1 日关闭了基于第一代移动通信技术的模拟移动网络。目 前，中国移动、中国联通各拥有一个g s m 网，为世界最大的移动通信网络。g s m 系统包括g s m9 0 0 、g s m l 8 0 0 及g s m 1 9 0 0 等几个频段。 第三代数字通信技术，即3 g ，正成为当前移动通信领域新的研究热点。3 g 与前两代移动通信网络的主要区别在于传输声音和数据的速率上有了相当大的提 升，它能够处理图像、音乐、视频流等多种媒体形式，提供包括网页浏览、电话 会议、电子商务等多种信息服务。为提供这些服务，无线网络必须能够支持不同 的数据传输速度，也就是说在室内、室外和行车的环境中能够分别支持至少2 m b p s 、 3 8 4 k b p s 以及1 4 4 k b p s 的传输速度。国际电信联盟( i t u ) 在2 0 0 0 年5 月确定 w c d m a 、c d m a 2 0 0 0 和t d s c d m a 三大主流无线接口标准，写入3 g 技术指导 性文件1 2 0 0 0 年国际移动通信计划( 简称i m t - 2 0 0 0 ) ，对第三代移动通信技术做 出了详细的规定和说明。由于3 g 是个相当浩大的工程，牵扯的层面非常多而且复 杂，要从目前的2 g 迈向3 g 不可能一下就衔接得上，因此，为了有效地利用2 g 9 重庆邮电大学硕士论文第二章手机取证技术相关知识 移动通信技术和保护运营商的既有投资，移动通信采用了从2 g 向3 g 技术平滑过 渡的方案。因此也出现了介于2 g 和3 g 之间的2 5 g 技术。h s c s d 、g p r s 、w a p 、 e d g e 、蓝牙( b l u e t o o t h ) 、e p o c 等技术都是2 5 g 技术。 2 1 2g s m 系统 g s m 是应用最为广泛的移动通信标准。为了更好地进行手机取证相关工作的 研究，我们需要了解g s m 标准的一些关键知识。 1 g s m 系统结构浅析 g s m 网络结构和g s m 系统后面的网络被人们看做是极其庞大和复杂的，这 是因为g s m 系统涉及的实体较多，通信过程较复杂，下面首先对g s m 网络结构 进行宏观的描述。 g s m 的网络包含许多基站，每一个基站发射不同频段的微波信号，形成一个 个好似蜂窝状的网络。由基站发射的微波始终跟踪手机，当用户从一个区域过渡 到另一区域时，手机将自动切换到另一个基站，也就是说，手机始终在基站的“监 视之中。 基站只是起着发射和接收信号的作用，而进行数据处理、转换的中心则是网 络运营商的中央机房计算机系统，计算机担负着数据的处理、传输及计算费用等 各项任务。基站与系统时刻保持着联系，基站将用户的信息及时反馈给系统，并 在用户进行数据业务的同时将数据传输给系统，然后系统再进行中转。由此，我 们可以了解g s m 网络中的手机用户、基站、中央计算机系统之间的关系。 2 g s m 网络实体 对g s m 网络实体及功能职责的了解有助于调查取证人员确定在哪些网络实体 中存有所需的数字证据。以下是对g s m 网络实体和实体功能的描述。 g s m 系统主要由网络交换子系统( n e t w o r ks u b - s y s t e m ，n s s ) 、无线基站子系 统( b s s ) 币f l 移动台( m s ) 三大部分组成。其中n s s 与b s s 之间的接e l 为a 接口，b s s 与m s 之间的接口为u m 接口。g s m 网络结构如图2 1 所示。 ( 1 ) 网络交换子系统主要完成交换功能、客户数据与移动性管理、安全性管理 所需的数据库功能。n s s 由一系列功能实体所构成，各功能实体介绍如下： m s c ( 移动交换中心) ：g s m 系统的核心，对位于它所覆盖区域中的移动台进 行控制和完成话路交换的功能，也是移动通信系统与其他公用通信网之间的接口。 它完成网络接口、公共信道信令系统和计费等功能，还可完成b s s 、m s c 之间的 切换和辅助性的无线资源管理、移动性管理等功能。另外，为了建立至移动台的 呼叫路由，每个m s 还应能完成入口m s c ( g m s c ) 的功能，即查询位置信息的功能。 1 0 重庆邮电大学硕士论文第二章手机取证技术相关知识 每 图2 1g s m 系统结构 v l r ( 访问位置寄存器) ：是一个数据库，存储m s c 中为了处理所管辖区域 m s ( 统称访问客户) 的来话、去话呼叫所需检索的信息，例如客户的号码、所处位 置区域的识别、向客户提供的服务等参数。v l r 是一个动态用户数据库。v l r 从 移动用户的归属位置寄存器( h l r ) 处获取并存储必要的数据，一旦移动用户离开该 v l r 的控制区域，则重新在另一个v l r 登记，原v l r 将取消该移动用户的数据 记录。 h l r ( 归属位置寄存器) ：也是一个数据库，存储管理移动客户的数据。每个移 动客户都在其归属位置寄存器( h l r ) q h 注册登记，主要存储两类信息：一是有关客 户的参数；二是关于客户目前所处位置的信息，以便建立至移动台的呼叫路由。 a u c ( 鉴权中心 ) ：a u c 属于h l r 的一个功能单元部分，专门用于g s m 系统 的安全性管理。鉴权中心产生加密的三组参数( 随机数r a n d 、符号响应s r e s 、 加密键k c ) ，用来鉴别用户身份的合法性以及对无线接口上的话音、数据、信令 信号进行加密，防止无权用户接入和保证移动用户通信的安全。 e i r ( 移动台设备识别寄存器) ：也是一个数据库，存储有关移动台设备参数。 主要完成对移动设备的识别、监视、闭锁等功能，以防止非法移动台的使用。 ( 2 ) 无线基站子系统是在一定的无线覆盖区中由m s c 控制，与m s 进行通信 的系统设备，它主要负责完成无线信号的发送接收和无线资源管理等功能。功能 实体可分为基站控制器( b s c ) 和基站收发信机( b t s ) 。 b s c - 具有对一个或多个b t s 进行控制的功能，主要负责无线网络资源的管 理、小区配置数据管理、功率控制、定位和切换等，是个很强的业务控制点。 b t s 无线接口设备，完全由b s c 控制，主要负责无线传输，完成无线与有 重庆邮电大学硕士论文 第二章手机取证技术相关知识 线的转换、无线分集、无线信道加密、跳频等功能。 ( 3 ) 移动台就是移动客户设备部分，由两部分组成，移动终端( m e ) 和客户识别 卡( s i m ) 。 m e ：就是“手机设备”，主要完成话音编码、信道编码、信息加密、信息的 调制和解调、信息发射和接收。 s i m 卡：就是“身份卡 ，类似于我们现在所用的i c 卡，因此也称作智能卡， 存有认证客户身份所需的所有信息，并执行一些与安全保密有关的重要信息，以 防止非法客户进入网络。s i m 卡还存储与网络和客户有关的管理数据，只有插入 s i m 卡后移动终端才能接入网络。 2 1 3 手机的通信过程 明确上述g s m 功能实体后，调查取证人员还需要进一步了解g s m 系统的通 信过程，以避免不良的操作破坏相关数据，使取证操作更加有效。 手机的通信过程，是根据手机发射接收信号所使用的b t s 基站而确定的，手 机通话的过程如图2 2 所示。 ， - j 图2 2 手机通信过程 手机通过m s c 连接到接入网，再通过交换机连接市内电话。 手机开机后，从天线接