方劍鋒

[摘要]為了有效打擊犯罪，手機取證逐漸得到了應(yīng)用。通過手機取證的手段收集的信息就是電子證據(jù)，此類證據(jù)同樣具有法律效力，可以作為定罪的參考依據(jù)。因此，從這方面來講，手機取證的應(yīng)用是新時期打擊犯罪的有效手段，對于維護社會穩(wěn)定秩序有著重要意義。本文對手機取證及電子證據(jù)獲取中涉及的一些重要問題進行了探討。

[關(guān)鍵詞]手機取證;電子證據(jù);取證源

1、前言

當前，利用手機從事犯罪活動的形式多種多樣，但從大的方面來講，手機在此類案件中充當?shù)慕巧饕腥N，即通信工具、存儲媒質(zhì)、實施犯罪的工具[1]。在這樣的情況下，傳統(tǒng)的取證方式，已經(jīng)無法有效獲得有力證據(jù)，而手機取證作為一種新興的取證方式，逐漸推廣開來。

2、取證源

2.1SIM卡

對于通信網(wǎng)絡(luò)來講，終端設(shè)備由SIM卡和手機構(gòu)成。前者是SubscriberIdentityModule的縮寫，主要功能在于識別用戶。利用這個識別卡，移動網(wǎng)絡(luò)能夠鑒別用戶身份、加密通話。以存儲內(nèi)容為依據(jù)，該卡中的信息可細分為下述幾種：一、原始數(shù)據(jù)，此類數(shù)據(jù)由廠家存儲進去，屬于其中最基本的信息。二、固有信息，此類信息由手機存儲，通常包括MIN碼、加密信息、IMSI碼等。三、個人數(shù)據(jù)，此類信息是手機使用過程中由用戶存儲進去的，主要包括通話記錄、短信等。四、網(wǎng)絡(luò)數(shù)據(jù)，此類信息主要是服務(wù)更新信息以及用戶數(shù)據(jù)、自動保存的信息等，主要是由用戶自身設(shè)置以及系統(tǒng)更新而來。五、參數(shù)信息，此類信息包括很多種，比如身份識別號、解鎖號等。

2.2存儲卡

這里所說的存儲卡實際上包含兩種：內(nèi)置卡、外置卡[2]。手機的更新?lián)Q代速度非?？?，不僅功能在不斷擴充，存儲空間也在持續(xù)增大。以數(shù)據(jù)差異為依據(jù)，可將手機存儲區(qū)細化為動態(tài)、靜態(tài)兩個部分。其中，前者存儲的主要是臨時數(shù)據(jù)（臨時數(shù)據(jù)源于手機執(zhí)行系統(tǒng)命令的過程和手機程序應(yīng)用的過程），后者存儲的則主要是用戶數(shù)據(jù)以及相關(guān)的配置數(shù)據(jù)等。所以，對于手機取證來講，后者顯然更具證據(jù)價值。手機識別號、短信和通話記錄等均可作為電子證據(jù)，而這些信息都存在靜態(tài)區(qū)。盡管手機不一樣或者網(wǎng)絡(luò)不一樣，讀取上述信息的形式會存在一些差異，內(nèi)容格式也可能因此不同，但并不妨礙這些數(shù)據(jù)的證據(jù)功能。

在現(xiàn)實中，手機與人們生活的聯(lián)系越來越密切，甚至正在不知不覺改變現(xiàn)代人的生活方式。在這樣的情況下，人們對手機的依賴性越來越強[3]，不少商家為了進一步擴充手機功能，滿足消費者心理需求，都開始在存儲容量上下功夫。外置卡可以根據(jù)消費者的需求，將手機容量擴充至消費者滿意為止，所以，此種卡比較受歡迎。比如SD卡，已經(jīng)成為了很多手機的“標配”。在版權(quán)處理案件中，外置卡可作為有效取證源，對保證判定結(jié)果的公正性具有重要意義。

2.3運營商

運營商有兩個對手機取證而言非常重要的數(shù)據(jù)庫，一個存儲的是用戶注冊的相關(guān)信息，另一個存儲的則是用戶使用手機過程中的個人信息（比如通話記錄等）。這些數(shù)據(jù)和信息在犯罪調(diào)查中均屬于非常重要的潛在證據(jù)，尤其是后者，有效性更為突出。而前者盡管目前在犯罪調(diào)查中應(yīng)用的比較少，但是，考慮到其中涉及用戶身份信息和位置信息，在實名制落實后，這些信息就能夠幫助有關(guān)部門盡早破案，可顯著提高破案效率。

3、獲取電子證據(jù)的方法

3.1從SIM卡中獲取有用證據(jù)的方法

SIM卡存儲器實際上是三層樹結(jié)構(gòu)，節(jié)點由主文件、專用文件、基本文件構(gòu)成。其中，主文件屬于根節(jié)點，基本文件以及專用文件均包含在內(nèi)。在GSM移動網(wǎng)絡(luò)標準中定義GSM專用文件、DCS1800專用文件和Telecom專用文件等為主文件的子節(jié)點，這個標準還定義了與這些專用文件相對應(yīng)的基本文件。標準定義的嚴格性，是導(dǎo)致SIM卡具有通用系統(tǒng)架構(gòu)的主要原因之一。但此種通用性只是在某種程度上而言，發(fā)行商不同，SIM卡的系統(tǒng)架構(gòu)依舊存在細微的差異。目前，從SIM卡中獲得電子證據(jù)的方式主要包括兩種：一、借助讀卡器將卡中的有用信息、數(shù)據(jù)提取出來。二、借助操作指令獲取有用信息。

3.2從存儲卡中獲取有用證據(jù)的方法

存儲卡有內(nèi)置卡與外置卡兩種，取證方式也各不相同。對于后者，取證時可借助相應(yīng)的軟件（比如Encase）獲取信息和數(shù)據(jù)，比較簡單。前者的取證則相對復(fù)雜一些，具體實施中，有效途徑包括兩種：一、拆解法。此種方法實施步驟包括兩步，第一步是將手機拆解開來以獲得芯片，第二步是借助相應(yīng)的讀取工具，將芯片中存儲的數(shù)據(jù)提取出來。二、直接法。此種方式無需拆解手機，可直接通過數(shù)據(jù)纜線連接主板的方式，獲得所需要的存儲信息。以上方法均屬于物理途徑，在現(xiàn)實中已經(jīng)多次實踐，較為有效。但這些方法依舊存在一些局限性，比如，上述方法盡管能夠?qū)?shù)據(jù)受到的外力干擾有效降低，但是執(zhí)行取證的人員必須具有專業(yè)水準。所以，此種方法應(yīng)用效果尚可，但應(yīng)用范圍比較有限。在實際的犯罪調(diào)查取證中，通常采取的取證方式還是以指令集法以及軟件法為主。

常用的取證軟件除了專門軟件之外，還有SIMcon、ForensicSIM、CellSeizure、XRY等。每一種軟件都有其自身的特點，以CellSeizure為例，其能夠檢驗手機數(shù)據(jù)的完整性，并以分析報告的形式展現(xiàn)出來。現(xiàn)實中，該軟件通常用于獲取存儲卡內(nèi)的信息，其可從用戶刪除過的文檔以及保存的通話記錄等信息中獲取電子證據(jù)。當前，可用于手機取證的指令集包括AT、OBEX、JTAG等。另外，利用廠商軟件包也能夠達到取證目的。

3.3從運營商處獲得有效證據(jù)的方法

從運營商處獲得所需證據(jù)，是一種比較有效的取證方式。具體實施中，方法有兩種：一、取證人員只需明確SIM卡注冊的手機號，就可以通過搜索運營商的通話記錄數(shù)據(jù)庫獲得所需信息。此種方式能夠獲得的信息包括短信與通話記錄。二、將IMEI號作為依據(jù)對運營商的注冊信息數(shù)據(jù)庫進行搜索，獲得手機持有者的相關(guān)信息。手機實名制如果得到落實，運營商取證的方式將會顯現(xiàn)出巨大優(yōu)勢：只要將搜索來的信息對比居民身份證系統(tǒng)數(shù)據(jù)庫中的信息，就可以獲得真實、詳細的有用信息。但是，此種取證方式應(yīng)用時，應(yīng)注意保證取證的時效性，以免因為數(shù)據(jù)更新影響到電子證據(jù)的可靠性。

4、結(jié)語

當前，犯罪調(diào)查手機取證中，取證軟件的使用頻率已經(jīng)比較高了。盡管很多軟件本身依舊存在某些不足，但是在使用過程中若能夠根據(jù)軟件缺陷進行綜合利用，還是能夠獲得有效信息的。從應(yīng)用效果來看，手機取證的實行對相關(guān)部門開展打擊違法犯罪活動有很大的幫助作用，對于保證社會秩序有著重要意義。

參考文獻

[1]楊陽，張耀，尤志龍.基于電子證據(jù)的智能手機取證APP的合法性研究[J].黑龍江科技信息.2015，（19）：147.

[2]楊雪.Android手機取證技術(shù)研究綜述[J].計算機時代.2015，（06）：07-09.

[3]危蓉.鎖屏Android智能手機取證方法的研究[J].中國司法鑒定，2015，（01）：67-70.