於 躍,潘 程,陳 潮

（浙江警察學(xué)院，浙江杭州，310053）

?

安卓手機(jī)調(diào)查取證

於 躍,潘 程,陳 潮

（浙江警察學(xué)院，浙江杭州，310053）

摘要：由于社會(huì)中科技的高速發(fā)展，智能手機(jī)也普遍運(yùn)用在平時(shí)生活中。隨著智能手機(jī)的普及，網(wǎng)上購物、錢財(cái)收支都能用手機(jī)完成，也因此給了不法分子可乘之機(jī)。安卓系統(tǒng)作為居民生活中使用率最廣的手機(jī)系統(tǒng)，掌握安卓手機(jī)取證能力必不可少。

關(guān)鍵詞：安卓手機(jī)；密碼破解；電子證據(jù)；證據(jù)恢復(fù)

0　前言

智能手機(jī)的普及使絕大多數(shù)的一般群眾都開始使用智能手機(jī)。而且隨著智能手機(jī)功能的不斷優(yōu)化和發(fā)展，老百姓的生活更是和智能手機(jī)息息相關(guān)。鑒于智能手機(jī)操作的方便快捷，人們會(huì)傾向于將照片、個(gè)人信息、親友聯(lián)絡(luò)方式乃至更加私密的內(nèi)容存儲(chǔ)于手機(jī)內(nèi)。安卓手機(jī)系統(tǒng)作為主要的手機(jī)操作系統(tǒng)，區(qū)別于IOS是單獨(dú)系統(tǒng)，更加兼容各類應(yīng)用程序?？萍嫉难该桶l(fā)展，也增加了不法分子的犯罪伎倆。

1　電子取證評(píng)定流程

介于電子證據(jù)自身的多樣性、無形性、不穩(wěn)定性、易修改性和體系依附等特性，所有人為成分或外界力量都會(huì)對(duì)電子數(shù)據(jù)造成難以辨別的修正、刪改、覆蓋等改變。所以，和傳統(tǒng)數(shù)據(jù)取證的方式方法相比，電子數(shù)據(jù)取證要用特殊的技術(shù)手段來判斷、掌握，在電子證據(jù)的取證流程中尤其需要注意的是取證流程的規(guī)范，遵守基礎(chǔ)的取證原則和方式。

注意事項(xiàng)

1.獲取電子證據(jù)和司法鑒定主體一定要具備法定的取證與司法鑒定資格，需要具有合法的調(diào)查取證與司法鑒定身份，才能執(zhí)行相應(yīng)的取證和司法鑒定行動(dòng)。

2.調(diào)查對(duì)象合法，在調(diào)查取證中，關(guān)于和案件事實(shí)無關(guān)的內(nèi)容，不可隨意地獲取，以避免侵犯無關(guān)人員的隱私權(quán)等合法權(quán)益

3.取證手段合法，取證人員要須按照技術(shù)操作規(guī)范進(jìn)行取證，所使用的用具和流程要符合國(guó)家相關(guān)規(guī)定。

4.取證過程合法，須確保備份數(shù)據(jù)與源文件相同、在不變動(dòng)數(shù)據(jù)的情況下對(duì)其進(jìn)行判別、須使用執(zhí)法記錄儀等音視頻采集工具，對(duì)取證的整個(gè)經(jīng)過完整記錄，確?？尚纬赏暾淖C據(jù)鏈。在取證過程中須兩個(gè)合法取證人員共同在場(chǎng)，整個(gè)取證、鑒定過程必須主動(dòng)接受監(jiān)督。

2　鑒定軟件

2.1root explorer

root explorer是安卓一款文件管理工具，根資源管理器。支持常用文件管理功能、顯示隱藏文件、快速查找文件、在獲得root權(quán)限后可更改、查看系統(tǒng)文件、支持壓縮文件/后綴為zip的文件。

2.2winhex

Winhex是一個(gè)用來應(yīng)對(duì)內(nèi)存取證、恢復(fù)數(shù)據(jù)、檢測(cè)網(wǎng)絡(luò)安全性等各類日常突發(fā)情況的工具。它可以用來檢查和修復(fù)各類文件、恢復(fù)已刪除的文件、硬盤損毀形成的數(shù)據(jù)丟失等。本文中使用winhex進(jìn)行信息內(nèi)容的完整復(fù)原及相同性測(cè)驗(yàn)。

2.3DC-4501 手機(jī)取證系統(tǒng)

此取證系統(tǒng)是美亞柏科公司研發(fā)的用于收集數(shù)據(jù)的查找、提取、恢復(fù)、判別的系統(tǒng)。文中會(huì)使用此取證系統(tǒng)參與取證過程研究。

2.4SIMcon

SIMcon可使用標(biāo)準(zhǔn)智能卡的讀卡器完全地顯示GSM手機(jī)SIM卡上的信息內(nèi)容并提供分析報(bào)告。通過計(jì)算取證信息的Hash數(shù)值來確保前后取證內(nèi)容的相同性。同時(shí)還支持多種語言顯示。

2.5XRY

XRY不僅可以在取證過程中提取手機(jī)存儲(chǔ)卡中的信息,而且還能對(duì)提取出的信息進(jìn)行加密處理,以防止未授權(quán)人對(duì)數(shù)據(jù)進(jìn)行任何刪改。此外.XRY也會(huì)在取證結(jié)束后向取證人員提供一份分析報(bào)告。

3　取證方法

按照NIST定義，手機(jī)等移動(dòng)設(shè)備的取證是報(bào)告之后，存儲(chǔ)、收集、查驗(yàn)與分析的過程。2014年5月發(fā)布的《移動(dòng)設(shè)備取證指南》中把移動(dòng)設(shè)備的取證程序分為證據(jù)保全、證據(jù)獲取、證據(jù)分析和生成報(bào)告四個(gè)步驟。安卓手機(jī)也須遵循相應(yīng)規(guī)定進(jìn)行取證。

3.1證據(jù)保全

公安機(jī)關(guān)在取證調(diào)查之前，須特別注意移動(dòng)設(shè)備的完好，須保持手機(jī)設(shè)備的原形態(tài)，防止一切外力因素?fù)p壞；防止未經(jīng)授權(quán)人員的接近和損毀證據(jù)。這個(gè)階段除去使用移動(dòng)終端、SIM卡、移動(dòng)網(wǎng)絡(luò)及多媒體服務(wù)提供商系統(tǒng)來篩查、復(fù)制手機(jī)中的內(nèi)容外，還應(yīng)該留意突然打入的電話、短信息等破壞證據(jù)的完整性，因電子證據(jù)的易修改性，在采集證據(jù)的過程中，應(yīng)由調(diào)查人員或?qū)I(yè)司法鑒定人員查看硬件設(shè)備，斷開移動(dòng)設(shè)備的網(wǎng)絡(luò)等相關(guān)連接防止數(shù)據(jù)被遠(yuǎn)程刪改。

3.2證據(jù)獲取

獲得證據(jù)后應(yīng)先對(duì)原存放的物品備份處理，備份過程中，須保證只讀接口的安全性，操作時(shí)使用技術(shù)保護(hù)，使用安卓鏡像下載工具掃描手機(jī)分區(qū)，并備份處理為dd鏡像文件。此方式不會(huì)改變手機(jī)的原有數(shù)據(jù)，通過計(jì)算hash數(shù)值以確保數(shù)據(jù)的完好。

3.3證據(jù)分析

判別電子證據(jù)階段，應(yīng)使用相應(yīng)的備份文件展開非破壞性分析，公安機(jī)關(guān)還可以使用第三方軟件對(duì)設(shè)備中的內(nèi)容進(jìn)行證據(jù)分析。在經(jīng)過復(fù)原的備份文件中搜索并分析案件相關(guān)線索。與此同時(shí)，須仔細(xì)記錄數(shù)據(jù)復(fù)原采用的方法、操作流程、操作時(shí)間、場(chǎng)所及相關(guān)人員等，以保證證據(jù)的真實(shí)性。

3.4生成報(bào)告

全方位調(diào)查取證后，生成報(bào)告是收集電子證據(jù)的最后一個(gè)步驟，仔細(xì)分析電子證據(jù)的來源并且于各種角度認(rèn)真取證、分析，保證獲取的證據(jù)內(nèi)容和案件相關(guān)聯(lián)。最后將所獲得的包括其他證據(jù)的所有證據(jù)進(jìn)行整合，最后獲得的便是完整的證據(jù)鏈。便于其他破案人員等需要時(shí)可以快速查閱到相關(guān)證據(jù)內(nèi)容。

4　數(shù)據(jù)分析

4.1設(shè)備基礎(chǔ)信息

安卓設(shè)備中穩(wěn)定存儲(chǔ)區(qū)域內(nèi)的信息有很大價(jià)值的證據(jù)。獲得GSIM手機(jī)識(shí)別號(hào)IMEI、CDMA手機(jī)識(shí)別號(hào)ESN、設(shè)備響鈴、日期時(shí)間還有網(wǎng)絡(luò)參數(shù)等信息都是此存儲(chǔ)區(qū)中。

4.2通訊錄

data/data/com.android.provides.contacts/此文件目錄可獲取設(shè)備的通訊信息。

4.3通信記錄

/data/data/com.android.providers.contacts/ databases/Contacts2.d此文件目錄存儲(chǔ)著設(shè)備所有的通信記錄，同時(shí)可使用sqlite expert進(jìn)行翻查、獲取。通過DC4501進(jìn)行鏡像數(shù)據(jù)掃描掃描即可獲得包括已被刪改的所有通信記錄。

4.4短信息

/data/data/com.android.providers.telphony/databases下的mmssms.db和mmssms.db-wal文件目錄內(nèi)存儲(chǔ)設(shè)備接收、發(fā)出的短信息內(nèi)容及發(fā)件人手機(jī)號(hào)碼。

4.5圖片信息

可在/sdcard/dcim文件目錄中查閱全部設(shè)備中的圖片內(nèi)容，也可使用rm管理器將圖片內(nèi)容導(dǎo)出。通過DC4501軟件進(jìn)行鏡像數(shù)據(jù)掃描可獲得設(shè)備中的全部圖片內(nèi)容。其中包含著被損毀修改的圖片、網(wǎng)絡(luò)緩存下載的圖片及設(shè)備操作過的圖片。

4.6位置信息

GPS定位幾乎存在于所有軟件之中，軟件的運(yùn)行都會(huì)請(qǐng)求設(shè)備打開GPS定位，相機(jī)功能也相同。每次使用相機(jī)功能時(shí)，exif信息會(huì)自動(dòng)存于在照片數(shù)據(jù)內(nèi)，用過使用DC4501系統(tǒng)，便可以查閱exif信息中地理位置的相關(guān)數(shù)據(jù)，再通過手機(jī)設(shè)備內(nèi)操作過的網(wǎng)絡(luò)地圖便可查看移動(dòng)設(shè)備使用者曾出現(xiàn)過的位置信息，極大的便于公安機(jī)關(guān)掌握犯罪嫌疑人的動(dòng)向。

5　工具分析

經(jīng)過使用網(wǎng)絡(luò)第三方軟件與DC4501手機(jī)取證系統(tǒng)，兩種工具皆有利有弊。除此之外，還應(yīng)該針對(duì)性的使用相應(yīng)軟件。

5.1網(wǎng)絡(luò)第三方軟件種類繁多，只需使用網(wǎng)絡(luò)便可方便快捷的下載使用。Rm管理器和winhex軟件對(duì)于甄別恢復(fù)rom中存儲(chǔ)、損壞的文件操作簡(jiǎn)單且快捷，直接搜索相關(guān)信息的數(shù)據(jù)庫，再通過sqlite expert便可查看。然而這種方式卻對(duì)相關(guān)合法分析人員的專業(yè)性有較高要求，須了解所有相關(guān)內(nèi)容的具體儲(chǔ)存位置才可，且損壞數(shù)據(jù)的可能性較大。

5.2DC4501手機(jī)取證系統(tǒng)是電子信息鑒別方面的“專家”，整個(gè)取證系統(tǒng)集有數(shù)十種取證軟件，可直接對(duì)安卓設(shè)備、IOS設(shè)備及市面上大多數(shù)的手機(jī)設(shè)備進(jìn)行分析取證。

5.3不同鑒定內(nèi)容的軟件使用。

5.3.1甄別分析SIM卡的取證軟件

Cards4Labs、SIMIS、ForensicSIM、Forensic Card Reader、SIMCon、SIM Card Seizure等。

5.3.2對(duì)手機(jī)本身進(jìn)行操作的取證軟件

Oxygen Phone ManagerⅡ、BitPIM、CellBox等。

5.3.3綜合取證軟件

CellDEK、SVM、XPY、Oxygen Forensic Suite、Cellebrite、CellXtract、CellHunter、Cell Seizure、MOBILedit!Forensic等。

6　總結(jié)

安卓系統(tǒng)的移動(dòng)設(shè)備取證是打壓移動(dòng)設(shè)備犯罪最強(qiáng)有力的方式，在多方面和計(jì)算機(jī)取證相似，但因它的眾多特殊性及安卓系統(tǒng)手機(jī)的普遍及不斷完善更新，于取證領(lǐng)域的必要意義將會(huì)越來越大。對(duì)于不法分子的負(fù)隅頑抗，公安民警也將有更多方式執(zhí)法取證，使犯罪嫌疑人在多種犯罪證據(jù)面前認(rèn)罪服法，顯著提高公安民警偵查時(shí)的效率。

參考文獻(xiàn)

[1]石慧霞. 智能移動(dòng)信息設(shè)備電子取證算法及應(yīng)用研究[D].重慶理工大學(xué),2014.

[2]陳明艷. 手機(jī)信息取證系統(tǒng)的研究與設(shè)計(jì)[D].武漢理工大學(xué),2014.

[3]方冬蓉. 基于Android手機(jī)的數(shù)據(jù)恢復(fù)方法研究及應(yīng)用[D].蘭州理工大學(xué),2014.

[4]萬雪姣. 面向安卓移動(dòng)終端數(shù)字取證系統(tǒng)及其框架的設(shè)計(jì)與實(shí)現(xiàn)[D].北京工業(yè)大學(xué),2015.

[5]趙凱. Android系統(tǒng)取證關(guān)鍵技術(shù)研究[D].廣西民族大學(xué),2015.

項(xiàng)目：2014年國(guó)家級(jí)大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計(jì)劃項(xiàng)目（201411483004）

Android mobile phone investigation and evidence collection

Yu Yue,Pan Cheng,Chen Chao
(Zhejiang Police College, Hangzhou,Zhejiang,310053)

Abstract：Due to the rapid development of science and technology in society, the smart phone is also widely used in the daily life. With the popularity of smart phones, online shopping, money payments can done using a mobile phone, and thus gave the criminals an opportunity. Android system as the most widely used in the life of the mobile phone system, the ability to grasp the essential Android mobile phone forensics.

Keywords：Android mobile phone; password cracking; electronic evidence; evidence recovery