手机数据取证就是运用集成化的手机取证专用软硬件设备,从手机SIM卡、手机内部存储、插入式存储卡以及移动网络运营商数据库中收集、保护相关电子数据的过程。针对手机未被烧损,能够提取数据时,根据手机系统不同、厂商不同、型号不同,需要运用不同的取证工具、不同的方法对被取证的手机设备进行取证。如手机已在火灾中烧毁,应及时从移动运营商和网络运营商处获取相关数据。
(一)拍照取证
在专业化的取证设备出现之前,都是直接在手机上查看相关数据,并使用相机等翻拍设备记录证据,这是最直接、最便捷的方式。这种取证手段仅能获取可以从屏幕上直观显示的数据,对于已删除的数据无法进行取证和固定。在实践中,当需要取证的内容较少,并且都是仅通过屏幕显示就能直观解读的简单数据时,可以使用直接拍照取证的方法。同时,对于一些特殊的手机,使用现有取证工具不能直接读取的,也可采用这种方法取证。
(二)逻辑取证
逻辑取证是指将手机通过数据线或无线网络等与取证工具连接,获取手机的基本信息、通话记录、短信、浏览器浏览记录、应用程序信息、地理位置信息等内容。一般应使用专业的手机提取软硬件工具对上述信息进行提取。对于低端智能手机和非智能手机逻辑取证时,需要连接手机主板对应触点进行数据取证和解析。
通常情况下,手机的逻辑数据主要包括以下几方面:
1.手机基本信息。IEM、IMSI、ESN、MSN和手机型号等。
2.通讯录(存储于手机或SIM卡中)。联系人姓名、号码、地址、照片、电子邮件和社交网络身份等。
3.信息(存储于手机或SIM卡中)。SMS短信、MMS彩信等。
4.通话记录(存储于手机系统中)。包括手机当中的已拨电话、已接来电、未接电话以及这些记录的时间和持续时长等信息。
5.应用程序信息。社交类应用程序,如微信、QQ等;互联网应用程序,如Web浏览器、RSS阅读器等;金融服务类应用程序,如支付宝、手机银行等;地理位置相关应用,如签到类、地理位置分享类应用等。
6.系统通信记录。移动通信基站记录、移动通信运营商记录、Wi-Fi连接记录、蓝牙连接记录、4G(5G)数据通信记录等。(www.xing528.com)
(三)物理取证
与处理传统的计算机证据一样,所谓物理取证(或称内存转储),就是使用特定的方法或软硬件工具将手机内存储(一般为Flash存储芯片)的电子数据完整的镜像,以便后期进行数据分析。从某种意义上,可以形象的理解为如同对计算机硬盘进行了完整的镜像文件制作。
一般来说,手机的物理取证可以分为两步:首先是转储,即将手机内部存储器中数据完整地读取,并在存储中进行位对位的复制;其次在复制完成后,由于其数据在Flash储存芯片中是按页或块等逻辑方式存储的,还需要将文件系统进行解析和重构,转换成常用易读的文件格式。
另外,为了满足人们对于手机功能的个性化需求,许多品牌型号的手机都提供了外置存储卡来扩充存储容量。当前市面上常见的外置存储卡有 SD、MiniSD 、TF和 Memory Stick,其取证方法参照存储卡的取证方法执行。
(四)注意事项
1.采用电磁屏蔽保护。现场对手机终端进行处置时,首先要将手机尽快置于电磁屏蔽环境中,比如置于信号屏蔽箱、屏蔽盒、屏蔽袋或专用的电磁屏蔽间中。如果不具备实施条件,可尽快将手机调至“飞行模式”。这是为了防止用户通过网络远程操控清除终端上的所有数据,导致潜在证据信息灭失,也是为了防止新的数据交互对保全的电子数据造成“污染”,影响电子数据的证明力。
2.防止自动锁码。现场取证取得手机终端后,调查人员应尽快进入手机的设置菜单,选择“通用”选项查看手机是否设置了“自动锁定”和“密码锁定”,如有这些设置应立即将其设置为“永不”状态,防止手机自动锁定后调查人员无法访问、影响取证操作。
3.防止电量不足。在进行手机取证时,对手机电池的处理是必要的,要防止手机电池电量不足自动关机。如果手机电量不足,应及时进行手机内部数据的获取,防止手机因电量不足自动关机后导致数据丢失;一些手机取证工具也为调查人员提供了便携电源及相应的数据线,在必要的情况下可以对手机进行充电。
(五)非智能手机的取证
针对使用MTK、SPD芯片等非智能手机,以及部分Symbian s60系统的智能手机进行数据恢复取证,一般通过手机复制设备制作手机镜像文件,再使用手机取证专业软件对制作成的镜像文件进行取证解析。对于无法制作镜像的手机,可以使用手机复制机直接连接数据线取证,获取通讯录、短信、通话记录等电子数据。手机数据存储在SIM卡时,可以通过介质取证工具读取存储在SIM卡芯片内的通讯录、短信、通话记录等电子数据。对于无法制作手机镜像又无法通过数据线取证的手机,可以采取照相拍屏方式取证。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。