手机数据取证方法：集成化设备一键采集，保护电子数据

手机数据取证就是运用集成化的手机取证专用软硬件设备，从手机SIM卡、手机内部存储、插入式存储卡以及移动网络运营商数据库中收集、保护相关电子数据的过程。针对手机未被烧损，能够提取数据时，根据手机系统不同、厂商不同、型号不同，需要运用不同的取证工具、不同的方法对被取证的手机设备进行取证。如手机已在火灾中烧毁，应及时从移动运营商和网络运营商处获取相关数据。

（一）拍照取证

在专业化的取证设备出现之前，都是直接在手机上查看相关数据，并使用相机等翻拍设备记录证据，这是最直接、最便捷的方式。这种取证手段仅能获取可以从屏幕上直观显示的数据，对于已删除的数据无法进行取证和固定。在实践中，当需要取证的内容较少，并且都是仅通过屏幕显示就能直观解读的简单数据时，可以使用直接拍照取证的方法。同时，对于一些特殊的手机，使用现有取证工具不能直接读取的，也可采用这种方法取证。

（二）逻辑取证

逻辑取证是指将手机通过数据线或无线网络等与取证工具连接，获取手机的基本信息、通话记录、短信、浏览器浏览记录、应用程序信息、地理位置信息等内容。一般应使用专业的手机提取软硬件工具对上述信息进行提取。对于低端智能手机和非智能手机逻辑取证时，需要连接手机主板对应触点进行数据取证和解析。

通常情况下，手机的逻辑数据主要包括以下几方面：

1.手机基本信息。IEM、IMSI、ESN、MSN和手机型号等。

2.通讯录（存储于手机或SIM卡中）。联系人姓名、号码、地址、照片、电子邮件和社交网络身份等。

3.信息（存储于手机或SIM卡中）。SMS短信、MMS彩信等。

4.通话记录（存储于手机系统中）。包括手机当中的已拨电话、已接来电、未接电话以及这些记录的时间和持续时长等信息。

5.应用程序信息。社交类应用程序，如微信、QQ等；互联网应用程序，如Web浏览器、RSS阅读器等；金融服务类应用程序，如支付宝、手机银行等；地理位置相关应用，如签到类、地理位置分享类应用等。

6.系统通信记录。移动通信基站记录、移动通信运营商记录、Wi-Fi连接记录、蓝牙连接记录、4G（5G）数据通信记录等。(www.xing528.com)

（三）物理取证

与处理传统的计算机证据一样，所谓物理取证（或称内存转储），就是使用特定的方法或软硬件工具将手机内存储（一般为Flash存储芯片）的电子数据完整的镜像，以便后期进行数据分析。从某种意义上，可以形象的理解为如同对计算机硬盘进行了完整的镜像文件制作。

一般来说，手机的物理取证可以分为两步：首先是转储，即将手机内部存储器中数据完整地读取，并在存储中进行位对位的复制；其次在复制完成后，由于其数据在Flash储存芯片中是按页或块等逻辑方式存储的，还需要将文件系统进行解析和重构，转换成常用易读的文件格式。

另外，为了满足人们对于手机功能的个性化需求，许多品牌型号的手机都提供了外置存储卡来扩充存储容量。当前市面上常见的外置存储卡有 SD、MiniSD 、TF和 Memory Stick，其取证方法参照存储卡的取证方法执行。

（四）注意事项

1.采用电磁屏蔽保护。现场对手机终端进行处置时，首先要将手机尽快置于电磁屏蔽环境中，比如置于信号屏蔽箱、屏蔽盒、屏蔽袋或专用的电磁屏蔽间中。如果不具备实施条件，可尽快将手机调至“飞行模式”。这是为了防止用户通过网络远程操控清除终端上的所有数据，导致潜在证据信息灭失，也是为了防止新的数据交互对保全的电子数据造成“污染”，影响电子数据的证明力。

2.防止自动锁码。现场取证取得手机终端后，调查人员应尽快进入手机的设置菜单，选择“通用”选项查看手机是否设置了“自动锁定”和“密码锁定”，如有这些设置应立即将其设置为“永不”状态，防止手机自动锁定后调查人员无法访问、影响取证操作。

3.防止电量不足。在进行手机取证时，对手机电池的处理是必要的，要防止手机电池电量不足自动关机。如果手机电量不足，应及时进行手机内部数据的获取，防止手机因电量不足自动关机后导致数据丢失；一些手机取证工具也为调查人员提供了便携电源及相应的数据线，在必要的情况下可以对手机进行充电。

（五）非智能手机的取证

针对使用MTK、SPD芯片等非智能手机，以及部分Symbian s60系统的智能手机进行数据恢复取证，一般通过手机复制设备制作手机镜像文件，再使用手机取证专业软件对制作成的镜像文件进行取证解析。对于无法制作镜像的手机，可以使用手机复制机直接连接数据线取证，获取通讯录、短信、通话记录等电子数据。手机数据存储在SIM卡时，可以通过介质取证工具读取存储在SIM卡芯片内的通讯录、短信、通话记录等电子数据。对于无法制作手机镜像又无法通过数据线取证的手机，可以采取照相拍屏方式取证。