苗得水夏　虹

Android系統(tǒng)手機(jī)電子數(shù)據(jù)取證研究

苗得水1夏虹2

（1南京市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊江蘇南京210000；2南京市公安局玄武分局江蘇南京210000）

手機(jī)在各種類型的犯罪活動中可以充當(dāng)聯(lián)絡(luò)甚至是用于實施犯罪行為的工具，對手機(jī)中電子數(shù)據(jù)進(jìn)行提取在案件偵破中具有重要意義。目前市場上的手機(jī)操作系統(tǒng)種類繁多，功能復(fù)雜，且網(wǎng)絡(luò)上存在海量第三方應(yīng)用軟件可供下載使用。選取Android操作系統(tǒng)手機(jī)的電子數(shù)據(jù)取證進(jìn)行實證研究，通過分析取證步驟，總結(jié)出取證過程中需要注意的幾點操作事項：安裝手機(jī)驅(qū)動程序、結(jié)合案情實際需要破解root權(quán)限、屏蔽信號取證操作。

Android手機(jī)取證電子證據(jù)

隨著無線通信技術(shù)及通信網(wǎng)絡(luò)的快速發(fā)展，人們已經(jīng)可以通過手機(jī)實現(xiàn)在任何時間、任何地點，向任何人發(fā)送任何信息。手機(jī)已經(jīng)從單一通訊工具發(fā)展為集通訊、娛樂、PDA功能為一身的多媒體通信工具。

手機(jī)在各種類型的犯罪活動中可以充當(dāng)聯(lián)絡(luò)甚至是用于實施犯罪行為的直接作案工具，手機(jī)取證正是打擊這類犯罪的一個有效手段。對手機(jī)內(nèi)存、SIM卡、閃存和運營商網(wǎng)絡(luò)中的電子證據(jù)進(jìn)行提取、保護(hù)與分析，整理出有價值的案件線索，對于案件偵查有重要作用。

1　Android系統(tǒng)手機(jī)取證步驟

Android系統(tǒng)手機(jī)取證就是對Android系統(tǒng)手機(jī)通過技術(shù)分析，確保收集手機(jī)內(nèi)的相關(guān)數(shù)據(jù)，并最終從中獲取具有法律效力、能夠幫助辦案人員破案的證據(jù)的過程。由于Android手機(jī)的協(xié)議各不相同，沒有統(tǒng)一標(biāo)準(zhǔn)，取證的全面性也有待進(jìn)一步提高，手機(jī)取證面臨的困難很多，需要完善相關(guān)的政策法律，為手機(jī)取證提供保障和支撐。根據(jù)手機(jī)取證的需要，可以依照以下步驟及方法進(jìn)行準(zhǔn)備及操作。

1.1確定取證方案

在取證開始之前，一般需要根據(jù)手機(jī)的操作系統(tǒng)來選擇適當(dāng)?shù)娜∽C方法，使用MTK系統(tǒng)的手機(jī)需要獲取手機(jī)鏡像，然后通過鏡像取證；使用Android系統(tǒng)的手機(jī)看是否已獲取root權(quán)限；iPhone手機(jī)則要弄清楚是否已經(jīng)越獄，因為iPhone未越獄和已越獄所使用的取證方法是不同的。

1.2安裝手機(jī)配套驅(qū)動程序

手機(jī)取證需要通過數(shù)據(jù)線或者藍(lán)牙設(shè)備將手機(jī)連接到取證計算機(jī)，手機(jī)對于計算機(jī)來說屬于外部硬件設(shè)備，由于生產(chǎn)廠家不同，有些手機(jī)需要安裝廠家提供的驅(qū)動程序計算機(jī)才可以識別。

目前，手機(jī)取證設(shè)備提供商的取證系統(tǒng)一般都集成了市場上常見的手機(jī)驅(qū)動程序，并且在版本更新的時候會提供更多的手機(jī)驅(qū)動。

1.3選擇數(shù)據(jù)線

當(dāng)通過數(shù)據(jù)線連接手機(jī)與取證計算機(jī)時，必須使用型號一致的數(shù)據(jù)線，有些山寨機(jī)和非智能手機(jī)，一般還需要通過“鏡像采集終端”連接取證計算機(jī)才可進(jìn)行取證操作。

可以通過取證系統(tǒng)的“數(shù)據(jù)線查詢”方便快捷的從數(shù)據(jù)線包中找到匹配的數(shù)據(jù)線。

1.4屏蔽手機(jī)信號后開始取證

當(dāng)前三步的準(zhǔn)備工作都完成以后，就可以根據(jù)具體情況開展工作了，為了避免取證過程中有電話和信息進(jìn)入對手機(jī)的原始數(shù)據(jù)造成丟失或破壞，需要在屏蔽手機(jī)信號并且關(guān)閉無線網(wǎng)絡(luò)的情況下進(jìn)行。

2　案例分析

2.1案情簡介

南京市某公安分局在辦的一起涉嫌迷奸的案件中，送檢主犯郭某涉案計算機(jī)硬盤一塊及手機(jī)一部。犯罪嫌疑人郭某通過網(wǎng)絡(luò)購買藥物，趁受害人不備，將藥物溶解在飲料中，受害人在飲用飲料后出現(xiàn)神志不清的情況，后被郭某強(qiáng)奸，受害人在中毒后兩天內(nèi)仍頻繁出現(xiàn)短暫失憶的情況。

2.2案情分析

主犯郭某不承認(rèn)其購買的是迷藥，并且對其購買藥物的名稱及網(wǎng)站也記不清楚，只交待藥物為“麻×散”。由于證據(jù)不足，對郭某的行為難以定性，此案很有可能出現(xiàn)從犯以“強(qiáng)奸罪”被逮捕，而主犯逍遙法外的情況，辦案單位需要在主犯硬盤和手機(jī)中尋找案件線索提供幫助。偵查人員對該手機(jī)的短信息、通話記錄及手機(jī)中安裝的IM軟件進(jìn)行取證。

2.3取證前準(zhǔn)備

首先需要在取證計算機(jī)安裝相關(guān)的手機(jī)驅(qū)動，還需要準(zhǔn)備與手機(jī)匹配的數(shù)據(jù)線（Android手機(jī)一般使用Mini USB接口）。此外，還需要手機(jī)信號屏蔽設(shè)備，如果條件不具備可以打開手機(jī)飛行模式關(guān)閉手機(jī)信號。使用手機(jī)取證系統(tǒng)即可對手機(jī)進(jìn)行取證。

送檢手機(jī)型號為摩托羅拉MB525，是2011年較為流行的“三防”手機(jī)，本案中這款手機(jī)安裝的是Android2.3操作系統(tǒng)，未取得root權(quán)限。

2.4實戰(zhàn)操作

（1）屏蔽手機(jī)信號后需要在設(shè)置菜單的“應(yīng)用程序”→“開發(fā)”設(shè)置頁面下，勾選“USB調(diào)試”選項，將手機(jī)與取證計算機(jī)相連接。

（2）用手機(jī)取證系統(tǒng)加載該手機(jī)設(shè)備。選擇需要提取的通信錄、短信、通話記錄等項目，本案不需要對手機(jī)文件進(jìn)行分析，所以這里不建議勾選文件系統(tǒng)，否則取證速度會非常慢。

由于該手機(jī)的root權(quán)限未破解，開始自動取證后，系統(tǒng)會提示我們是否需要破解root權(quán)限（圖1）。

圖2　取證結(jié)果

如果不破解root權(quán)限，將無法恢復(fù)已刪除的短信息、通話記錄等內(nèi)容。實現(xiàn)自動提取root后，可以進(jìn)行電話簿、短信、通話記錄等數(shù)據(jù)恢復(fù)，也可以進(jìn)行QQ、MSN、飛信、上網(wǎng)記錄、郵件、微博、Skype、Twitter、Facebook等應(yīng)用程序的解析，對手機(jī)進(jìn)行全方位的取證。注意：用手機(jī)取證系統(tǒng)破解手機(jī)root權(quán)限并不會改變手機(jī)內(nèi)容，在取證結(jié)束后會自動恢復(fù)至root前狀態(tài)。

至此，對于該手機(jī)通信錄、短信、通話記錄等取證工作已經(jīng)完成（圖2）?？梢钥吹?，包括已刪除的地址薄、短信息、通話記錄等內(nèi)容均已被成功取出。

在獲取證據(jù)的過程結(jié)束后，需要將獲取的電子數(shù)據(jù)以報告的形式導(dǎo)出，提供給偵查人員，為偵查人員的后續(xù)偵查及破案提供幫助。

2.5實戰(zhàn)總結(jié)

在此案中，先是通過分析嫌疑人硬盤中的數(shù)據(jù)，確定了可疑網(wǎng)站，后從可疑網(wǎng)站中找到賣家的手機(jī)及QQ號碼，在我們獲取到的手機(jī)通信錄中，存有賣家手機(jī)號碼，并且在手機(jī)QQ的聊天記錄中，有嫌疑人與賣家的QQ聊天記錄，有嫌疑人向賣家買藥、詢問藥效等內(nèi)容，最終確定了藥物來源、藥效、購買動機(jī)、購買方式、購買日期等證據(jù)。

日前，該案中的主犯、從犯皆以“強(qiáng)奸罪”被檢察機(jī)關(guān)批準(zhǔn)逮捕，電子證據(jù)在此案中發(fā)揮了至關(guān)重要的作用。

3　結(jié)語

通過實戰(zhàn)可以看出，對Android操作系統(tǒng)手機(jī)的取證過程中，安裝手機(jī)驅(qū)動是必備的前提操作，是否需要破解root權(quán)限則由案件決定，選擇在root或是非root的情況取證在于案件是否需要恢復(fù)已刪除的短信及電話簿。在勘驗人員的實際工作中，通常還會遇到一些突發(fā)來電干擾取證過程，因此有必要在屏蔽手機(jī)信號的情況下進(jìn)行工作。由于手機(jī)品牌眾多及Android的開源性特點，有些廠家會對Android系統(tǒng)的功能和模塊進(jìn)行定制及修改，這些都會對取證工作造成影響，需要我們在實際工作中摸索解決。

[1]黃步根．電子證據(jù)的鑒定[J]．信息網(wǎng)絡(luò)安全，2004，(9).

[2]麥永浩．計算機(jī)取證技術(shù)研究初探[J]．警察技術(shù)，2006，(4).

[3]王?。撾娮訑?shù)據(jù)鑒定[J]．證據(jù)科學(xué)，2008，(2).

（責(zé)任編輯：孟凡騫）

D918.2

A

2095-7939(2015)01-0049-02

2014-11-17

苗得水（1983-），男，江蘇沭陽人，南京市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊助理工程師，學(xué)士，主要從事手機(jī)取證、手機(jī)數(shù)據(jù)恢復(fù)研究。