手机取证论文

1、 手机取证技术研究李健 摘要：手机在犯罪的过程中出现的频率越来越高了,对手机的取证也显得越来越重要。本文简述手机取证的概念、原则、特征，对目前手机取证在当前侦查取证中的现状进行介绍，同时，根据手机取证的取证源详细介绍手机取证的方法，详细介绍一些常用的手机取证工具软件的特点和适用情况以便于侦查人员的实际选择与应用，介绍当前主流的手机系统Android和苹果iOS的分析方法和取证的注意事项，另外，对手机用户提供一些保护手机的建议，最后对手机取证的研究及应用前景进行展望。 关键词：手机取证；取证方法；取证工具；对比实验 随着当今社会移动通信技术的飞速发展，手机已经走进千家万户，据工信部统计，截止20

2、14年1月，我国使用手机的的人数已达12.53亿，用户数占全国人口的90.8%，可以说手机已经成为人们日常联系的必备工具。然而，伴随着手机业迅猛发展和手机功能不断强大的同时，利用手机进行违法犯罪的案件牵涉到手机的违法犯罪案件的比例逐年升高，对于公安机关办案，通过手机提取线索、证据也逐渐成为一种非常有效和重要的侦查手段。因此，侦查人员系统的认识手机取证，掌握手机取证的基本方法，了解一些常见的手机取证工具软件，从而打击与手机相关的各类犯罪活动，对于维护社会稳定、保障人民生命财产安全、打击犯罪行为具有重大现实意义。1、 手机取证的概念、原则、特征 （一）手机取证的概念 手机取证是数字取证中的一种，所

3、谓手机取证就是对存在于手机SIM卡、手机内存卡、外置存储卡、短信服务提供商系统和移动网络运营商保存的电子证据进行提取、保存、分析,整理出有价值的案件线索或能被法庭所采纳的证据的过程。 （二）手机取证的原则1.合法原则 手机取证的合法原则和传统取证一样，所谓合法主要包括以下四种：（1）参与侦查取证的人员必须要有法定的权限和资格；（2）取证过程中的程序和手段必须规范；（3）取证所采用的工具也必须符合法律规定；（4）获取到的证据信息要以合法形式运用到司法程序中。对于各国都普遍适用的判断电子证据是否合法有效的标准，联合国电子商务示范法第九条第二款之规定规定提供了指导性原则。该指导原则强调审查电子证据获

4、取、存储、传输、保存方法的可靠性和发送人身份的确定。手机取证作为电子证据的取证方式的一种毫无疑问的适用此项原则。手机取证的目的是把从手机中获取的电子数据进行分析整理，从而可以作为符合法律规定的证据使用。因此，手机取证的合法性原则是进行手机取证的前提。如果没有在取证的过程中就意识到其合法性，就极可能造成花费了大量的精力和财力获取的案件信息、线索不能作为合法证据使用，从而使本来就不足的基层警力更加紧张。 2.客观原则 手机取证的客观性亦是与传统取证基本相同的，具体而言，客观性包括真实性和全面完整性。其中，真实性是指获取的证据是客观存在的、有正确来源的事实，并且它是不以人们的主观意志的改变发生变化的

5、客观存在。这就要求侦查取证人员有较高的职业和道德修养，做到以事实为依据，以法律为准绳，绝不歪曲事实。全面完整性是指能够完全的反映出侦查取证人员第一次接触到涉案手机时手机所处的状态及属性。这就要求侦查取证人员必须具有专业的计算机网络与安全及通信知识，同时还应当熟悉相关法律知识。除此之外，侦查取证人员还应当注重细节，争取做到一丝不苟。从而确保证据不会因为侦查人员的知识不足或者操作失误而不能真实的反映出来。 3.及时原则及时取证是手机取证的必要原则。手机取证获取的证据作为电子证据的一种，具有天然的脆弱性。如果不及时取证，稍有不慎就易造成其被破坏，修改，甚至删除，从而导致获取的手机电子信息的失去有效性

6、。对于侦查取证人员，应当注意避免以下几点来遵循手机取证的及时原则：（1）手机保存的数据具有天然的脆弱性，很容易因为外界高磁场、高温、静电等环境的改变而破坏；（2）手机的状态是在时刻变化着的，多数手机的内存容量较小。一些实时产生的相关信息，系统日志、相关的系统进程，会占据大量内存，进而覆盖原来的信息，导致原来存在的潜在的电子电子证据不能恢复；（3）众所周知，一台手机的电量也是十分有限的，如果没有及时对手机及时分析取证，又没有及时充电，导致手机电量消耗完后关机，很有可能引起的数据丢失；（4）网络供应商处的某些手机用户数据是周期性更新的，有些手机用户对手机的系统及手机中的软件的设置也是自动更新的。

7、（三）手机取证的特点 手机取证是电子证据的一部分，作为一项新型取证手段，在实际应用中，参照证据学中物证鉴定的原理、方法和程序。其与计算机取证有很多相似之处，可以说，手机取证是在计算机取证的基础上发展起来的。随着手机取证业务量的增大，迫切需要对于这一领域进行专门研究，以适应社会发展的需要，提高手机取证的效率。与计算机取证相比，手机取证也有着其自身的取证特点，主要表现在：1.监管难度大：手机是一种移动终端设备，手机的移动性特点使得手机很难得到随时监管；2.涉及范围广：手机品牌和手机操作系统多样性以及不断升级，存储卡种目繁多，使得手机取证的范围较大 ；3.数据不易存储：文件系统存在于具有非易失性的存

8、储设备中，数据规范不统一；4.取证技术滞后性：手机信息技术更新换代快，产品周期短，使手机取证技术和工具软件不能完全适应一些新的手机产品。 二、手机取证的现状 近年来，根据公安机关办理的案件来看，牵涉到手机的违法犯罪案件的比率日益明显上升，通过手机获取案件线索、证据也逐渐成为侦查人员侦查取证不可获取的一种侦查手段。随着手机技术的发展和手机功能的日益强大，牵涉到手机的违法犯罪行为的范围也愈发广泛目前，与手机有关的违法犯罪行为大致有三种情形：第一，用手机充当违法犯罪活动的通信联络工具（如与同伙交流的短信、通话记录、即时通讯软件记录的文字、语音、影像等）；第二，把手机用作存储犯罪证据（如文档、照片、视

9、频等）的媒介；第三，直接把手机作为实施犯罪活动的工具（如盗窃手机、短信诈骗、窃取支付宝和传播恶意软件等）。虽然，牵涉到手机的案件的发案率近年来日益增多，但是破案率却不是特别理想。原因主要有四种：一是基层侦查取证人员利用手机进行取证的意识不高；二是基层侦查取证人员缺乏进行手机取证的相关技术方法；三是当前的手机取证的软件工具大多或多或少还存在缺陷且价格比较昂贵；四是与手机取证相关的法律法规不健全，使手机取证难以得到法律的支持与保障。因此，手机取证技术应当引起相关侦查人员、研发人员、立法部门以及手机用户的足够重视。三、手机取证源及对应取证方法 目前来看，手机的取证源有用户识别卡、内置存储卡、外置存储

10、卡和手机移动网络运营商业务数据库四种。从这四个方面我们可以获取手机的品牌、型号、电子串号、电话簿、已拨电话、已接电话、未接电话、发送及接收短信的电话号码和内容、照片、视频、录音、日历中的安排等信息，这些信息就成了潜在的电子证据。众所周知，近几年智能手机的发展非常迅速，根据2013-2014年中国手机市场研究年度报告，全球市场研究公司Gartner数据显示，2013年全球智能手机销量接近10亿部，占整个手机市场销量的比例超过50%。手机的功能的强大使得逐渐具备电脑很多功能，可以利用手机上网、聊天、购物、转账等活动，由于手机相对于电脑的方便性，使得这些活动呈现出一种趋势。因此，对第三方软件中的账户

11、信息、聊天记录（包括语音）、操作使用记录的提取对侦查工作也非常重要。 （一）用户识别卡及取证方法 每台手机都有用户识别卡，也称SIM，SIM卡是数字移动电话的资料卡。SIM卡本身就具有证据价值，卡面上通常印有网络服务商名称和惟一识别号，通过后者可以从服务商那里获得SIM卡用户资料，如姓名和地址等信息。此外，存储容量一般在864K的SIM卡，虽然容量相对有限，但其中包含着大量有价值的潜在电子数据，主要有：1、SIM卡生产厂商存储的产品原始数据；2、手机存储的固有信息，如手机串号IMSI、密钥、PIN、个人解锁号PUK、各种鉴权和加密信息，加密密钥算法和其他用户信息；3、最近一次位置登记时手机所处

12、位置识别号、设置的周期性位置更新间隔时间、使用SIM过程中的临时移动用户号等；4、用户使用手机所存储的个人数据，如用户存储的电话号码，短（彩）消息（包括一些被删除的信息），最近的通话记录以及行程表；5、SIM中的一些密码，包括SIM卡个人身份识别码（PIN）和解开锁定用的个人解锁码（PUK）等相关手机参数。 手机SIM卡是一种标准的智能卡，它不像手机有很多品牌、型号和系统，因此，取证起来所要获取的信息很明确。如今常用的对手机 SIM卡进行取证有两种方法。一个是通过智能读卡器的设备来提取SIM卡中的数据。在此方法中读卡器只要使用符合欧洲电信标准协会TS31. 10和TS51. 011标准的数据访

13、问指令集就可获取SIM卡中的数据。另外一种方法是直接通过指令操作来获得S IM卡中的数据。在GSM手机的TS27. 007标准中特别定义了一个指令集来访问SIM卡上的数据。在一般情况下，可以用一些工具软件包来获取数据，常见的有商业软件SIMCon,ForensicSIM,SIM-Manager等。 （二）手机内存及取证方法手机本身有容量比SIM大的内置存储卡，其中存储着大量的信息，这些信息在不同系统、不同型号的手机中的格式可能也存在差异，随着手机功能的增强,手机内置的存储芯片容量呈现不断扩充的趋势。存储在手机内置存储卡中的信息主要有：1.手机识别号：即GSM手机的IMEI，CDMA手机的ESN

14、；2.手机通讯录；3.发送、收到或编辑存储的短信和MMS（多媒体信息服务）信息；4.声音、图像、影像视频；5.APP软件安装包；6.拨出、接收或未接收电话的记录；7.日历中的日程安排信息；8.被存储的可执行文件；9.GPRS、WAP和Internet 的设置信息以及上网的历史记录和缓存记录。 手机内存根据存储数据的差异可分为动态存储区和静态存储区两部分 (见图1 )。动态存储区中主要存储执行操作系统指令和用户应用程序时产生的临时数据,而静态存储区保存着操作系统、各种配置数据以及一些用户个人数据。因此，对于取证而言，静态存储区的数据更具有价值。从手机内存中提取数据相对比较复杂。一般利用手机操作系

15、统或者手机制造商提供的接口软件来读取手机内存中的数据，这很有可能造成数据的破坏，并且，被删除的数据也不能被恢复出来。最好的方法就是镜像备份手机内存的数据，然而，目前还没有这样的工具。目前有两种通过物理途径获取其中数据的方法：一是通过拆解手机获取内存芯片 ,进而使用专门的芯片读取设备来获得其数据镜像，但这样很可能会毁坏手机；另一种是使用专门的数据线与手机系统主板连接 , 从中读取内存芯片的数据信息。这些方法虽可获取手机中的最原始数据，减少外界因素对取证数据的干扰,但对侦查取证人员的手机硬件知识的要求很高。 （三）外置存储卡及取证方法随着手机功能的逐步增强，特别是近几年智能手机的迅速发展，用户对手

16、机容量的要求越来越大。当前，用户多使用闪存卡来弥补手机自身内存的不足。常见的外置存储卡有Micro SD卡和mini SD卡。一般用来存储MMS消息、APP软件安装包、文本文件、图片、音乐文件、声音、影像视频等。对于外置存储卡 (如闪存卡 )，一般采用FAT32或者Ext2/3文件系统，EnCase可以正确解析。因此，可使用诸如 Encase的取证软件工具来获取存储卡上的数据镜像。 （四）移动网络运营商及取证方法移动网络运营商的数据库中存储着大量的数据信息，其主要包括，这些都是潜在的证据信息。随着“手机实名制”的不断完善，在依法履行职务、手续合法情况下，可以从移动网络运营商处获取用户的通话记录

17、数据信息和用户注册信息，这些信息主要从移动网络运营商的与用户注册信息数据库中获取： 1.用户注册信息数据库：用户姓名、身份证号码、性别、家庭住址、手机号码、SIM卡号及其PIN和PUK、IMSI号和所开通的服务信息 2.通话记录数据库：主/被叫用户的手机号码、主/被叫手机的IMEI号、通话时长 、服务类型和通话过程中起始端与终止端网络服务基站信息在内的记录信息。 调查取证人员通过法律程序，与移动网络运营商联系，根据 SIM 卡所注册的手机号码通话记录数据库进行数据的过滤和搜索，不管手机是否处于被使用状态，都可以数据库中完整的获取用户的通话记录数据信息，从而得到此号码的所有通话记录与短消息记录。

18、在有些案件中，对手机进行定位从而锁定违法犯罪嫌疑人十分重要，运用BTS信息，可以精确的定位到用户任何时刻的地理位置。手机在非正常关机时，即便是导致HLR无法注销，在技术手段的支持下，也能通过用户跟踪或定位服务，找到其所在位置。另外，在现行的“手机实名制 ”的制度下 , 侦查取证人员还可以方便地对用户注册信息数据库中的相关数据和居民身份证系统数据库中的数据进行比对分析。4、 常见不同手机系统的取证特点 （一）Android手机系统 Android手机系统的市场占有率可谓独占鳌头，作为当前的主流手机操作系统，从手机取证的角度来看，对其进行相关方面的研究很有现实意义。 1.针对Android手机系统

19、的取证分析（1）电话本信息电话本信息存储在/data/data/viders.contacts/databases里面的contacts2.db文件中。（2）通话记录信息/data/data/viders.contacts/databases里面的contacts2.db数据库文件中存在通话记录信息，包括通话联系人，接打电话的，未接电话，甚至可以准确的查看接通时间以及通话时间长短。（3）短信息短信息可以从/data/data/viders.telephony/databases里面的mmssms.db文件

20、中获取，除此之外，还可以得到短信方号码、发送或者接收时间、短信类型（发送、接受）和短信的内容等。（4）多媒体信息多媒体信息是在/data/data/viders.media/databases里面做了个链接文件external-f6f21cel.db，实际是存储到了SD卡中了，打开该文件可清晰的看到，其中手机录音也存储在这个文件中。（5）浏览的网页信息浏览网页信息存储在/data/data/com.android.browser/databases里面的browser.db文件中。（6） 第三方软件信息 2.Android手机系统取证的注意事项(1）保证手机电量，

21、切忌因电量不足意外关机。可以准备手机电源线，及时对手机进行充电；采用Android系统的手机有些数据在删除后并不会立即清除，只有在下次重启以后，才会被完全清除掉，这是因为Android系统手机在数据处理上与传统手机存在差异。所以说，在Android系统手机取证的过程中，保证充足的电量是十分必要的。(2）将手机设置为飞行模式，防止取证过程中有电话打入或短信接收，造成手机原始数据的破坏。(3）无线网连接需断开，因为如果手机在取证过程中连上网络，也可能造成数据破坏。(4）首先对手机SD卡和内存的原始数据进行备份，然后再开始分析备份好的数据。(5）成功备份手机内存数据后，可以单独分析SIM卡和SD卡中

22、的数据。 根据2013-2014年中国手机市场研究年度报告，当前，手机市场特别是对于如中国、印度等发展中国家的市场，可谓是异常火爆。众所周知，手机操作系统以Android和苹果iOS为主。其中，Android以80%左右的关注度独占鳌头，苹果iOS以10%左右的关注度稳居第二。不同的手机操作系统的取证方式也有很多差异，针对手机系统的市场占有率，将介绍对Android和苹果iOS这两种主流手机操作系统的取证分析，以及取证时应当注意的一些事项。 （二）苹果iOS 手机系统 Iphone手机作为手机用户最喜爱的手机之一，其采用的苹果iOS 手机系统是市场占有率仅次于Android手机系统的第二大手机

23、操作系统。不仅如此，Iphone手机的用户也呈现日益增长趋势，特别是对于当代年轻人，在经济条件允许的情况下，更偏向于选择Iphone手机。因此，把苹果iOS手机系统作为手机取证研究的重要对象对获取案件信息是很有价值的。 1.针对苹果iOS手机系统的取证分析 （1）电话本信息 电话本中记录着手机的联系人信息，存在于“Library/AddressBook”路径中，其包含AddressBook.sqlitedb(联系人数据库)和AddressBookImages.sqlitedb（联系人头像数据库）。 （2）通话记录信息 Iphone手机的通话记录位于路径“Library/Call History”下。 （3）短信息 （4）地图信息 除了自己安装的第三方软件外，Iphone手机一般使用手机自带的Google地图，我们可以在“Library/Maps”下查看地图信息，在其属性文件History.plist中有搜索信息的历史记录。 （5）Sa