Android智能手機(jī)中刪除短信的提取

2015-08-26 10:09:05邢桂東郭麗莉楚川紅仲利靜

刑事技術(shù) 2015年4期

關(guān)鍵詞：檢材物證鏡像

龍源，邢桂東，郭麗莉，楚川紅，仲利靜

（公安部物證鑒定中心，北京 100038）

Android智能手機(jī)中刪除短信的提取

龍源，邢桂東，郭麗莉，楚川紅，仲利靜

（公安部物證鑒定中心，北京 100038）

本文介紹了對Android手機(jī)物理內(nèi)存鏡像進(jìn)行關(guān)鍵字搜索獲取刪除短信數(shù)據(jù)的案件檢驗(yàn)實(shí)例。本案中嫌疑人已對涉案手機(jī)進(jìn)行了數(shù)據(jù)刪除操作，現(xiàn)有手機(jī)取證工具只能獲取部分刪除短信數(shù)據(jù)。但通過獲取該手機(jī)物理存儲鏡像，并結(jié)合案情選定關(guān)鍵詞對鏡像進(jìn)行關(guān)鍵字搜索，最終提取到了與案件相關(guān)的刪除短信數(shù)據(jù)，為Android手機(jī)檢驗(yàn)中刪除短信檢驗(yàn)提供了一種新的方法。

手機(jī)取證；Android智能手機(jī)；刪除短信；空余空間

1 案例資料

某日，某市公安局將一起涉嫌殺人案件中的嫌疑人手機(jī)送我單位進(jìn)行技術(shù)檢驗(yàn)，辦案單位要求對手機(jī)中的涉案短信等數(shù)據(jù)進(jìn)行恢復(fù)固定。該案中兩名犯罪嫌疑人具有一定的相關(guān)專業(yè)基礎(chǔ)知識及反偵查意識，對使用的手機(jī)進(jìn)行了數(shù)據(jù)刪除操作，這給涉案手機(jī)中短信等數(shù)據(jù)的恢復(fù)固定工作帶來了很大難度。

采用DC-4500手機(jī)取證系統(tǒng)（廈門美亞柏科公司，廈門）與Oxygen Forensic Suite2014（Oxygen Software，俄羅斯）對涉案手機(jī)中一部Android智能手機(jī)數(shù)據(jù)提取恢復(fù)，能夠恢復(fù)并獲取到部分已刪除短信數(shù)據(jù)，但其中并未發(fā)現(xiàn)與辦案單位提供嫌疑人口供對應(yīng)的短信內(nèi)容，考慮到采用的手機(jī)檢驗(yàn)軟件在對Android智能手機(jī)進(jìn)行檢驗(yàn)時(shí)可能僅分析了手機(jī)內(nèi)現(xiàn)有短信數(shù)據(jù)庫文件的內(nèi)容，而進(jìn)行數(shù)據(jù)刪除操作后sqlite數(shù)據(jù)庫可能會將數(shù)據(jù)庫存儲空間回收［1］，這種情況下數(shù)據(jù)刪除痕跡將不會留存在數(shù)據(jù)庫文件中，因此調(diào)整檢驗(yàn)方法，結(jié)合嫌疑人口供內(nèi)容對該手機(jī)進(jìn)行進(jìn)一步檢驗(yàn)。

檢驗(yàn)步驟：（1）將該Android智能手機(jī)打開USB調(diào)試模式，接入檢驗(yàn)工作站，使用DC-4500手機(jī)取證系統(tǒng)工具箱中Android一鍵root工具獲取該手機(jī)的root權(quán)限。（2）獲取該手機(jī)root權(quán)限成功后，使用DC-4500手機(jī)取證系統(tǒng)工具箱中Android鏡像下載該手機(jī)的物理內(nèi)存鏡像至檢驗(yàn)工作站。（3）將獲取的該手機(jī)物理內(nèi)存鏡像加載到X-Way Forensics（X-Way Software Technology，德國）軟件工具中，再根據(jù)辦案單位提供的嫌疑人口供選取數(shù)個(gè)關(guān)鍵詞，使用X-Way Forensics的同步搜索功能對物理內(nèi)存鏡像進(jìn)行底層關(guān)鍵字搜索［2］，可獲取數(shù)百個(gè)搜索命中結(jié)果（見圖1左）。（4）通過對搜索命中結(jié)果的進(jìn)一步人工篩選，在該手機(jī)物理內(nèi)存鏡像中系統(tǒng)分區(qū)的空余空間內(nèi)發(fā)現(xiàn)了嫌疑人在作案后串供及合謀銷毀證據(jù)的相關(guān)短信內(nèi)容片斷（見圖1右），這些短信內(nèi)容與嫌疑人口供相互印證，為案件的辦理提供了有力的證據(jù)。

圖1 部分搜索結(jié)果（左）和短信內(nèi)容片斷（右）Fig.1 Part of the search result (left) and deleted SMS data fragment (right)

2 討論

通過對本案件的檢驗(yàn)鑒定，有以下三點(diǎn)認(rèn)識和思考：一是目前常用的手機(jī)檢驗(yàn)軟件工具在進(jìn)行Android手機(jī)刪除短信恢復(fù)時(shí)通常只分析搜索現(xiàn)有短信數(shù)據(jù)庫中的刪除痕跡，并不會對空余空間進(jìn)行進(jìn)一步檢驗(yàn)，因此在對Android手機(jī)進(jìn)行短信數(shù)據(jù)檢驗(yàn)的過程中，不能過于依賴手機(jī)檢驗(yàn)軟件工具直接處理獲得的結(jié)果短信數(shù)據(jù)，應(yīng)考慮到本案中出現(xiàn)的這種情況［3］；二是近年來涉及電子物證檢材的案件不斷增多，很多犯罪嫌疑人也具備了一定的反偵查意識，會對電子物證檢材中的數(shù)據(jù)進(jìn)行刪除破壞處理，在案件檢驗(yàn)中針對此類數(shù)據(jù)被刪除破壞的檢材，應(yīng)深入研究各類檢材中數(shù)據(jù)的存儲機(jī)制及原理，充分利用現(xiàn)有技術(shù)，結(jié)合檢材實(shí)際情況進(jìn)行進(jìn)一步的分析檢驗(yàn)［4，5］；三是在電子物證案件檢驗(yàn)過程中，應(yīng)當(dāng)加強(qiáng)與辦案單位的溝通交流，充分了解案件詳細(xì)信息，在全面考慮檢材類型、目標(biāo)數(shù)據(jù)屬性、案情細(xì)節(jié)等信息后有針對性的設(shè)計(jì)檢驗(yàn)方案，這樣能夠大大提高檢驗(yàn)工作的效率，最大限度的獲取案件相關(guān)數(shù)據(jù)。

當(dāng)前對Android智能手機(jī)短信的檢驗(yàn)比較常見，在此類案件的檢驗(yàn)鑒定過程中，可以考慮獲取機(jī)身內(nèi)存鏡像并選取適當(dāng)關(guān)鍵詞進(jìn)行搜索分析，這一思路供今后工作參考。

［1］ SQLite Documents ［EB/OL］.［2014］.http://www.sqlite.org/docs.html.

［2］ X-Ways Forensics ［EB/OL］.［2014］.http://www.x-ways.net/winhex/manual.pdf.

［3］姚偉，沙晶.Android智能手機(jī)的取證［J］.中國司法鑒定, 2012 (1):45-49.

［4］王桂強(qiáng).手機(jī)物證檢驗(yàn)及其在刑事偵查中的應(yīng)用［J］.刑事技術(shù)，2006(1):25-31.

［5］丁紅軍，范瑋.手機(jī)物證檢驗(yàn)原則［J］.刑事技術(shù)，2012(3):46-47.

引用本文格式：龍?jiān)矗?邢桂東，郭麗莉，等.Android智能手機(jī)中刪除短信的提取［J］.刑事技術(shù)， 2015，40（4）:338-339.

Extracting the Deleted SMS Data from an Android Smart Phone

LONG Yuan, XING Guidong, GUO Lili, CHU Chuanhong, ZHONG Lijing
(Institute of Forensic Science, Ministry of Public Security, Beijing 100038, China)

This paper introduces a digital forensic examination on storage dump from an Android smart phone to access the deleted SMS data.The SMS data had been deleted by the suspect from the Android smart phone.Part of the deleted SMS data could be recovered using DC-4500 mobile phone forensic system and Oxygen Forensic Suite 2014, but proved to be irrelevant to the case.Commonly， the above software can only analyze the SMS database fle， thus the deleted data would no longer exist in the SMS database if the sqlite database had already recycled the storage space.Therefore, a new inspection method was deployed to access the deleted SMS data.At frst， the Android phone was rooted and its hex-dump got with DC-4500 mobile phone forensic system, and then some keywords were selected and searched through the hex-dump by X-Way Forensics.Subjected to further analysis, the evidentially deleted SMS data fragment that the suspects tried to destroy after committing their crime， was fnally found in the free space of hex-dump.Currently， Android smart-phones involved in cases are even more commonly emerging, resulting in the ever-increased necessity to get relevant hex-dumps from the phones and obtain data through keyword-searching into them.The method of this paper could be taken as a reference for future work.

smartphone forensics; Android smart phone; deleted SMS data; free space

DF793.2

1008-3650（2015）04-0338-02

10.16467/j.1008-3650.2015.04.021

龍源（1989—）, 男，江西永新人，碩士，助理研究員，研究方向?yàn)殡娮游镒C檢驗(yàn)。 E-mail: ga_ly@foxmail.com

2015-02-17

国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

Android智能手機(jī)中刪除短信的提取

1 案例資料

2 討 論

2 討論