首页 理论教育 可信移动数字设备取证技术

可信移动数字设备取证技术

时间:2023-08-10 理论教育 版权反馈
【摘要】:(一)移动数字设备取证的研究对象无线通信技术的普及和智能终端应用的便捷带来了诸多的安全问题以及针对智能终端的犯罪活动。移动支付等涉及个人财产和隐私信息的应用层出不穷,导致针对移动通信系统的犯罪激增,移动数字取证也成为当前数字取证的主要工作之一。(二)移动数字设备取证技术近年来,利用移动终端尤其是智能手机进行各类非法活动或犯罪的行为不断出现,与此同时,手机取证工具的发展也尤为迅速。

可信移动数字设备取证技术

(一)移动数字设备取证的研究对象

无线通信技术的普及和智能终端应用的便捷带来了诸多的安全问题以及针对智能终端的犯罪活动。移动支付等涉及个人财产和隐私信息的应用层出不穷,导致针对移动通信系统的犯罪激增,移动数字取证也成为当前数字取证的主要工作之一。根据移动互联网的组成方式,移动数字取证分为4类,主要包括:移动设备取证,包括各种不同型号品牌的手机平板电脑PDA、自带设备办公BYOD、各种不同的物联网终端等;移动数字系统取证,包括各种移动终端操作系统的取证;移动网络取证,包括对各种协议的分析和网络中传输的数据包的截取与提取分析;移动应用取证,包括对各种不同的应用采取不同的技术方法有针对性地进行证据获取和分析。[23]

从移动设备的证据源角度看,移动设备的数字数据分为3个部分,包括易变性数字数据、固定性数字数据及文件系统之数字数据。[24]易变性数字数据包括设备识别记录器上的移动用户暂时识别码(TMSI)、区域识别码、基地台与手机位置电信讯息,GPS轨迹记录器上卫星位置、接收机所在位置的坐标、移动速度、时间,RAM上的密码、加密秘钥、用户名、应用程序数据、系统进程和服务数据。固定数据包括SIM卡上的电话号码、电话簿,国际移动用户识别号(IMSI)、国际移动设备识别码(IMEI),个人识别码(PIN码)、解锁码(PUK)。文件系统数字数据包括个人讯息管理系统(PIM),包括电话簿、个人笔记、日志、地址簿、重要日期日历、通信、项目管理、Web E-mail、浏览网页记录、网络连接记录;Map Display地图显示记录数据;文字、图形、声音、影像等格式文件与删除文档;个人电话联络、SMS与MMS短讯、手机电子邮件等接收与传送记录,移动设备安装的各类APP,系统状态、系统设置或配置等。

(二)移动数字设备取证技术

近年来,利用移动终端尤其是智能手机进行各类非法活动或犯罪的行为不断出现,与此同时,手机取证工具的发展也尤为迅速。国外的技术产品主要有以色列Cellebrite公司的UFED Touch、瑞典MicroSystemation公司的XRY、俄罗斯Oxygen Forensics公司的Oxygen Forensic Suite、美国AccessData公司的Mobile Phone Examiner Plus(简称MPE+)、美国Susteen公司的Secure View、美国Paraben公司的Device Seizure、捷克COMPELSON公司的Mobiledit Forensic、韩国FINALDATA公司的FINALMobile Forensics等。仅国产工具就有厦门美亚柏科的DC-4501系列、上海盘石软件的SafeMobile、广州高奈特的全采通108系列、公安部第三研究所的取证先锋、大连睿海的RH-6900、效率源的SCE9168等。[25]

移动设备取证分析可分为逻辑数据取证分析及物理数据取证分析。根据提取数字数据的不同手段和方式,自底向上可以将移动设备取证分为5个层次:人工分析、逻辑分析、十六进制镜像/JTAG、芯片分析,以及微读。[26]

1.手工提取

手工提取是指直接在移动终端上通过按钮、触屏等方法浏览查看相关数据,并使用相机等翻拍设备记录证据。这种技术手段简单方便,但不足在于其只能在移动终端未设置密码或已知密码能正常开机的状态下提取,这种方式仅能获取已有数据,对于删除的数据无法进行提取和固定。

2.逻辑提取(www.xing528.com)

类似计算机系统中文件的拷贝,移动终端的逻辑提取就是当移动终端连接电脑后,对手机进行数据的同步传输,将移动终端设备中的短信、通话记录等传输到电脑中。在当前的移动数字设备取证中,大多数移动终端取证工具都能支持逻辑提取方式。

3.十六进制镜像和JTAG提取

目前多数智能移动终端的CPU的底层协议是JTAG,JTAG的技术原理是通过向移动终端背后的JTAG点,向移动终端的CPU发指令,通过JTAG指令控制CPU,将FLASH所有数据发给CPU。[27]取证实践中采用JTAG技术手段提取移动终端的完整镜像文件,可进行深度数据恢复。对移动终端进行十六进制镜像可以完整地获取移动终端存储芯片中的数据,只要在未覆盖的情况下,被删除数据通常都可以被提取。

4.芯片分析

使用拆机清洗套件把移动终端存储芯片从移动终端设备上取出并清洗,把芯片放入适配器或置入芯片读取设备上,采用取证软件对芯片数据进行读取,或直接分析芯片本身的电路和协议,获取并分析原始镜像或相关数据。这种数据提取方式具有一定的破坏性,对于设备和检验人员来说都有相当的技术挑战。

5.微读

FLASH芯片被大量用于数字移动终端设备,FLASH分为NAND FLASH和NOR FLASH,NAND FLASH芯片和NOR FLASH芯片用于存储资料,微读技术就是使用电子显微镜观察NAND FLASH芯片和NOR FLASH芯片在微观状态下的存储层,并进行数据还原的技术。这种技术属于电子数据取证技术领域的最尖端领域,目前还没有商业性的微读技术设备。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈