歐陽(yáng)偉　劉蔚

摘 要 本文主要研究了2種流行的智能手機(jī)類型： iPhone 3和三星i8000手機(jī)上使用的幾種不同的文件備份及加密技術(shù)，特別是針對(duì)其儲(chǔ)存格式及社交網(wǎng)絡(luò)通訊信息的電子文檔進(jìn)行了深入分析，給出了比對(duì)后的實(shí)驗(yàn)結(jié)論。

關(guān)鍵字 智能手機(jī) 電子數(shù)據(jù) 備份技術(shù)

中圖分類號(hào)：TN92 文獻(xiàn)標(biāo)識(shí)碼：A

智能手機(jī)由于具有不斷增強(qiáng)的計(jì)算能力、巨大的儲(chǔ)存空間、便于使用、及利用日益增多的Wi-Fi網(wǎng)點(diǎn)覆蓋可以隨時(shí)上網(wǎng)等特點(diǎn)，已經(jīng)在世界范圍得到普及。智能手機(jī)越來(lái)越強(qiáng)大的功能使得其對(duì)人們的生活影響愈發(fā)明顯，比如經(jīng)由社交網(wǎng)絡(luò)平臺(tái)像微信、微博、陌陌等使用手機(jī)可以和朋友共享電子文件等信息。正因如此，利用手機(jī)為通訊中介（或工具）進(jìn)行犯罪呈高發(fā)態(tài)勢(shì)，這種現(xiàn)象也引起犯罪偵查等職能部門的高度重視，因此對(duì)智能手機(jī)的電子信息取證已經(jīng)成為偵查分析人員及信息安全專家工作的重中之重。隨著新刑事訴訟法第48條第2款規(guī)定：“證據(jù)包括‘視聽(tīng)資料、電子數(shù)據(jù)” ，在當(dāng)前的技術(shù)偵查中，調(diào)查人員從智能手機(jī)中提取電子數(shù)據(jù)已經(jīng)成為最重要的數(shù)字證據(jù)來(lái)源。

1背景介紹

智能手機(jī)電子取證技術(shù)（又名數(shù)字設(shè)備取證技術(shù)）是一門新興且快速發(fā)展的交叉學(xué)科技術(shù)。根據(jù)不同手機(jī)品牌和操作系統(tǒng)類型，甚至是同一手機(jī)品牌不同階段產(chǎn)品（比如iPhone 2與iPhone 3），其取證方法和程序仍不盡相同。筆者認(rèn)為在目前手機(jī)品牌眾多的環(huán)境下很有必要制定一套“從智能手機(jī)進(jìn)行數(shù)字取證的標(biāo)準(zhǔn)”，這樣的一套標(biāo)準(zhǔn)能夠給具有資質(zhì)的執(zhí)法人員手機(jī)取證的所有程序規(guī)范，讓執(zhí)法人員知曉如何合法的從智能手機(jī)里讀取電子資料，也能用來(lái)進(jìn)一步設(shè)定對(duì)智能手機(jī)取證的標(biāo)準(zhǔn)及后續(xù)行動(dòng)。目前主流的智能手機(jī)其取證技術(shù)分為兩大類：大數(shù)據(jù)設(shè)備及小數(shù)據(jù)存儲(chǔ)設(shè)備，本文只對(duì)后一種技術(shù)進(jìn)行分析。

小數(shù)據(jù)存儲(chǔ)設(shè)備取證是電子取證中一個(gè)比較新的名詞。它包括了目前客戶終端新型的通訊方式取證，例如從社交網(wǎng)絡(luò)平臺(tái)（前文提到的微信、微博、陌陌等）、短信、及電子郵件上截取信息。據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）“第34次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告（2014年7月）”最新統(tǒng)計(jì)，我國(guó)網(wǎng)民規(guī)模達(dá)到6.32億，智能手機(jī)用戶達(dá)到5.9億，手機(jī)網(wǎng)民達(dá)到5.27億，手機(jī)上網(wǎng)的網(wǎng)民比例達(dá)到83.4%，首次超越80.9%的傳統(tǒng)PC上網(wǎng)率?？梢?jiàn)目前利用智能手機(jī)進(jìn)行通訊和上網(wǎng)已經(jīng)成為了現(xiàn)代社會(huì)人們社交聯(lián)系的最主要方式，這使得利用手機(jī)進(jìn)行技術(shù)偵查的工作越來(lái)越重要和必要。但由于智能系統(tǒng)軟件的發(fā)展和反病毒掃描軟件使用的低門檻，手機(jī)用戶可以容易的刪除保存在手機(jī)上的電子資料，但即便如此，我們也可以用專門應(yīng)用程序來(lái)讀取被刪除或在系統(tǒng)里備份的短信和電子郵件，這些應(yīng)用軟件包括EverRun、Cell phone spy和 iRecovery stick。在進(jìn)行取證時(shí)，取證人員使用硬盤復(fù)制機(jī)讀取所有資料，然后使用特殊的電子取證機(jī)分析所獲得的數(shù)字資料。目前大部分通訊或網(wǎng)絡(luò)設(shè)備是利用電板供電，里面再使用微電池對(duì)一些耗電低的存儲(chǔ)記憶晶片供電，一旦取出電板就容易造成數(shù)據(jù)的丟失。這就需要取證人員使用可攜式設(shè)備讀取被刪除的數(shù)據(jù)，如郵箱地址、短信、個(gè)人資料、電話聯(lián)絡(luò)簿、多媒體文件等。

本文結(jié)構(gòu)如下：首先我們列出從社交網(wǎng)絡(luò)平臺(tái)截取信息的軟件工具，然后我們分析從iPhone和其他智能手機(jī)上讀取的信息，檢查智能手機(jī)的備份技術(shù)，用來(lái)幫助電子取證的工作。最后給出結(jié)論。

2工具介紹

實(shí)驗(yàn)步驟包含以下。首先我們選擇了不同的智能手機(jī)，包括iPhone 3，三星i8000。其次，我們選取不同的軟件來(lái)備份這些智能手機(jī)里的數(shù)據(jù)。例如我們用Converter和Device Seizure軟件來(lái)備份iPhone3數(shù)據(jù)，使用ActiveSync軟件備份三星i8000數(shù)據(jù)。智能手機(jī)數(shù)據(jù)備份完以后，我們就截取利用這些手機(jī)進(jìn)行社交網(wǎng)絡(luò)平臺(tái)通訊時(shí)保存在手機(jī)中的通訊資料，最后對(duì)其分析。從iPhone里讀取出來(lái)的數(shù)據(jù)文件包括Plist， Localstorage，Unix Executable file，Data Base File等。我們用Mobiledit軟件來(lái)讀取三星i8000的備份數(shù)據(jù)。需要說(shuō)明的是所有的數(shù)據(jù)文件分析都在微軟的XP系統(tǒng)下完成。

3數(shù)據(jù)讀取分析實(shí)驗(yàn)

（1）IPhone 3實(shí)驗(yàn)說(shuō)明

對(duì)iPhone 3數(shù)據(jù)備份會(huì)導(dǎo)出六類文檔，這需要我們使用plist Editor、SQLite Database Browsers、Hex Editor Neo等工具來(lái)讀取這些文件。在使用plist Editor后發(fā)現(xiàn)在“tencent/micromsg/download”“tencent/micromsg/camera”中的郵件文件和圖片文件都沒(méi)有加密，其它資料是加密了的，比如iPhone3里的“friends file” 文檔已經(jīng)加密。iTune 的Metadata文檔可由Plist Editor 軟件讀出，但文檔中只有使用人登入時(shí)間、日期、及登入的郵箱地址。最后我們用Hex Editor Neo軟件讀取iTune Artwork文件時(shí)，發(fā)現(xiàn)Artwork文檔最前面有一個(gè)JFIF頭但有任何有關(guān)安全的設(shè)置， “http_pagead2.googlesyndication.com” 文件也是這樣。如果使用者翻墻訪問(wèn)了推特，并且使用過(guò)的話就會(huì)留下大量有價(jià)值的信息，比如我們從推特截取出 “AC6164F9-D2A6-4DA3BD3E5F14128367C5”、“app.state”、“com.atebits.Tweetie2.plist”、“Cookies.plist”、“iTunesArtwork”、“iTunesMetadata.plist”等7個(gè)文件夾。這些從推特備份文件夾讀取出來(lái)信息非常有用，文檔都是完全不加密的 PropertyList （.plist） XML 文件。該使用者訪問(wèn)的所有推特使用人的公開(kāi)資料都存儲(chǔ)在“045FCA62-723A-4C50-A828-9B831D9078FC”、“app.state”文件夾中。在“iTunesMetadata.plist”文檔中，使用者的蘋果帳戶ID（用來(lái)下載各應(yīng)用程序的ID）是明文顯示的。

（2）三星i8000實(shí)驗(yàn)說(shuō)明

對(duì)三星i8000安卓智能手機(jī)，我們用Mobiledite應(yīng)用程序來(lái)截取一些通訊的有關(guān)文檔。所有通訊下載的資料存儲(chǔ)在 “micromsg.vol”的文件中，但此文件被加密，無(wú)法獲得更多信息。

4實(shí)驗(yàn)結(jié)論

首先我們用iTunes備份程序?qū)Phone 3進(jìn)行備份。第二是檢查社交網(wǎng)站的備份儲(chǔ)存文件夾。我們?cè)趇Phone 3手機(jī)上使用plist Editor 讀取了“app.state”、“Cookies.plist”、 “Unix Executable”、“iTunesMetadata.plist”和“iTunesArtwork” 等文件。可以得知聯(lián)網(wǎng)不同社交平臺(tái)保存的通訊文件會(huì)存儲(chǔ)在不同的文件夾內(nèi)，并且一些文件名的不同跟所用的軟件版本不同也有關(guān)。如我們使用SQLite Database Browser 2.0來(lái)讀取“friends.db”文件時(shí)，只能用Hex editor編譯“iTunesArtwork”文檔，而使用Plist則無(wú)法打開(kāi)文檔。這個(gè)檔案有一個(gè)JFIF頭，但是沒(méi)有任何隱藏的信息可被讀取。在使用三星i8000智能手機(jī)時(shí)，沒(méi)有在手機(jī)上找到任何推特的蹤跡。但使用Mobiledite應(yīng)用程序會(huì)還原一個(gè)notepad文件，里面包含通訊產(chǎn)生過(guò)的短信、照片名稱、撥打的電話號(hào)碼、以及沒(méi)有接到的電話，除此之外就都是加密的。

可以得知蘋果iPhone 是比較容易收集數(shù)據(jù)資料進(jìn)行電子取證的手機(jī)。這是因?yàn)閺膇Phone 上我們能讀取到很多沒(méi)有加密的有用信息。并且iPhone上有其它很多開(kāi)源程序的應(yīng)用軟件，這些數(shù)字證據(jù)是可以供法庭分析調(diào)查所用。比較起來(lái)，三星的安卓手機(jī)雖然也有很多應(yīng)用軟件可以讀取手機(jī)上的一些資料，但是默認(rèn)情況下，系統(tǒng)會(huì)自動(dòng)對(duì)這些文件加密。

本文只涉及對(duì)移動(dòng)設(shè)備取證技術(shù)方面的研究，可以給取證人員提供具體的方法路線，用來(lái)改進(jìn)和優(yōu)化有關(guān)的程序及技術(shù)。但是對(duì)于個(gè)案或程序中涉及的電子證據(jù)提取的法律問(wèn)題應(yīng)該咨詢法律方面的有關(guān)人士。

本文是2014年度湖南省科技廳科研項(xiàng)目《基于LBS的動(dòng)通信技術(shù)在偵查實(shí)戰(zhàn)中應(yīng)用與研究》（課題編號(hào)：2014FJ6089）階段性成果。

參考文獻(xiàn)

[1] 王海平，陳丹偉，孫國(guó)梓.電子數(shù)據(jù)取證有效性關(guān)鍵技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2006，（12）：51-53.

[2] 許榕生.中國(guó)數(shù)字取證的發(fā)展現(xiàn)狀[J].中國(guó)教育網(wǎng)絡(luò)，2U07，（08）：26-27.

[3] 崔凈齊.“電子數(shù)據(jù)”初探[J].商品與質(zhì)量，2012，（S5）：272-273.

[4] 米佳，劉浩陽(yáng).計(jì)算機(jī)取證技術(shù)[M].北京：群眾出版社，2007.

[5] SveinYngvar Willassen，F(xiàn)orensics and the GSM mobile telephone system [J].International Journal of Digital Evidence，2008，2（1）.2