陳丹

摘要：隨著網(wǎng)絡(luò)信息技術(shù)的普及，利用手機(jī)進(jìn)行犯罪的案件呈上升的趨勢(shì)。智能手機(jī)取證成為司法行政機(jī)關(guān)用于偵破此類案件的關(guān)鍵。時(shí)下為了使用的安全性，所有的智能手機(jī)都設(shè)置了自動(dòng)鎖屏功能，而許多手機(jī)取證涉及的信息，都被這個(gè)鎖屏功能保護(hù)起來。通過對(duì)手機(jī)AT指令集的研究，找到一種在不破壞手機(jī)硬件軟件的基礎(chǔ)上，可以暫時(shí)解除手機(jī)屏幕鎖定，獲取手機(jī)信息的方法，即使用AT%KEYLOCK = 0指令刪除手機(jī)屏幕鎖定功能。沒有了屏幕鎖定功能的手機(jī)，猶如敞開著大門的房子，取證人員可以輕松“進(jìn)入”手機(jī)，從而獲取相應(yīng)的數(shù)據(jù)。

關(guān)鍵詞：手機(jī)取證;鎖屏;AT指令

中圖分類號(hào)：TP399? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）18-0013-02

Abstract：With the popularization of network information technology， Crimes committed by mobile phones are on the rise. Smartphone forensics has become the key for judicial administrative organs to detect such cases. Nowadays， in order to use security， all smart phones have set up automatic lock screen function， and many information related to mobile forensics are protected by this lock screen function. Through the research of AT instruction set of mobile phone， we find a method that can temporarily unlock the screen of mobile phone and obtain the information of mobile phone without destroying the hardware and software of mobile phone， that is use? instruction of AT% KEYLOCK = 0 to delete the mobile screen lock function. Mobile phones without screen lock function are like houses with open doors. Witness collectors can easily "enter" mobile phones to obtain corresponding data.

Key words：mobile forensics; lock screen; AT command

1 引言

隨著網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展，手機(jī)已成為人們不可或缺的生活必需品。手機(jī)的功能從最初的通信工具，變成現(xiàn)時(shí)人類全能的貼身朋友—能支付、能溝通交流、能休閑娛樂、能學(xué)習(xí)知識(shí)。

中國互聯(lián)網(wǎng)信息中心的統(tǒng)計(jì)報(bào)告顯示，截至2018年6月，我國網(wǎng)民數(shù)量為8.02億，其中手機(jī)網(wǎng)民規(guī)模達(dá)7.88億。

智能手機(jī)功能的不斷拓展，為用戶提供了越來越多、越來越智能的服務(wù)，與此同時(shí)，也為不法分子提供了更多的“機(jī)遇”，使用手機(jī)帶來的安全問題日益凸顯。中國互聯(lián)網(wǎng)信息中心于2018年6月發(fā)布的中國互聯(lián)網(wǎng)絡(luò)狀況調(diào)查顯示，使用手機(jī)過程遭遇的網(wǎng)上詐騙比例為26.3%，安全問題不容忽視。

由于手機(jī)的普遍使用，現(xiàn)在很多犯罪案例的取證，均需通過手機(jī)獲取犯罪信息，因此，手機(jī)信息的完整獲取，為各類案件的破解起著舉足輕重的作用。

2 手機(jī)取證現(xiàn)狀及難點(diǎn)

手機(jī)取證之關(guān)鍵是取得手機(jī)里的各種資料。為了保護(hù)個(gè)人數(shù)據(jù)的安全，各品牌的手機(jī)都設(shè)有自動(dòng)鎖屏保護(hù)的功能，如果能知道鎖屏密碼（無論是哪種鎖屏方式），就可以把手機(jī)接入取證設(shè)備，及時(shí)、完整地獲取手機(jī)里的數(shù)據(jù)。但是在不知道鎖屏密碼的情況下，想要完整無損地獲取手機(jī)數(shù)據(jù)是非常困難的?，F(xiàn)今，不論是安卓手機(jī)還是蘋果手機(jī)，鎖屏密碼是手機(jī)取證的最大障礙。

雖然已經(jīng)有不少方式可以繞過或破解手機(jī)鎖屏密碼，但是這些方法或多或少地都存在一定的缺陷和安全隱患。

文獻(xiàn)[1]指出，基于第三方recovery的提取方式，雖然不會(huì)改變用戶的數(shù)據(jù)分區(qū)，能保證獲取到原始的取證數(shù)據(jù)，但是隨著安卓系統(tǒng)的升級(jí)，在安卓手機(jī)鎖定Bootloader引導(dǎo)分區(qū)的前提下，這種方法已經(jīng)不再適用。

文獻(xiàn)[2]指出，通過連接手機(jī)的JTAG觸點(diǎn)，可以讀取手機(jī)的鏡像文件。該方法適用于手機(jī)主板可通電、CPU完好的情況。如果被檢設(shè)備開啟了“全盤加密”一類的功能，JTAG提取到的鏡像也還是加密鏡像，破解工作仍然很艱難。且JTAG的數(shù)據(jù)獲取方式還存在速度較慢、接入點(diǎn)難以尋找等缺點(diǎn)，有些設(shè)備商甚至屏蔽了JTAG的接入方式[3]。

文獻(xiàn)[4]介紹的Chipoff方法是指將手機(jī)存儲(chǔ)芯片取下，然后對(duì)其數(shù)據(jù)進(jìn)行直接讀取的方法。該方法的使用范圍是芯片必須完好，不足之處是無法解析“全盤數(shù)據(jù)加密”的手機(jī)、不能提取芯片損毀的手機(jī)。

3 AT指令技術(shù)依據(jù)

智能手機(jī)中除了處理器、內(nèi)存、電池等設(shè)備之外，還有一個(gè)很關(guān)鍵的模塊叫作Modem（調(diào)制解調(diào)器），它是手機(jī)與外界保持一切連接的主要橋梁。

智能手機(jī)作為一種多功能通訊工具，其最主要的功能就是“通訊”，Modem就是讓手機(jī)保持通訊的核心部件，是接受和輸出信息的通道。如果智能手機(jī)沒有了Modem，既不能打電話，也不能發(fā)短信，更不能上網(wǎng)。手機(jī)信號(hào)的強(qiáng)和弱，在一定程度上取決于Modem的性能。

任何一臺(tái)處于開機(jī)狀態(tài)但未解鎖的智能手機(jī)，其Modem都是處于實(shí)時(shí)運(yùn)行狀態(tài)。這也是為什么平時(shí)手機(jī)在鎖屏狀態(tài)下照常能夠收到短信、微信和電話的原因。當(dāng)把一臺(tái)未解鎖的智能手機(jī)通過USB插入電腦時(shí)，由于屏幕被鎖定所以無法選擇USB連接模式讀取手機(jī)數(shù)據(jù)，但是可以讀取到調(diào)制解調(diào)器的信息。因此，在手機(jī)取證時(shí)，遇到手機(jī)屏幕鎖屏，可以考慮通過Modem來獲取手機(jī)中相關(guān)的證據(jù)信息。

每種型號(hào)的手機(jī)都支持制造商定義的一些基本AT指令集。利用這些指令集就可以實(shí)現(xiàn)對(duì)手機(jī)相關(guān)信息的獲取。

4 AT指令取證方法

由于Hayes公司發(fā)明的AT指令得到了廣泛的應(yīng)用，大多數(shù)其他生產(chǎn)調(diào)制解調(diào)器的公司都使用Hayes公司的AT指令來控制調(diào)制解調(diào)器，因此，幾乎每個(gè)手機(jī)調(diào)制解調(diào)器都是Hayes兼容的，這就意味著Hayes在1977年開發(fā)的AT語言指令支持調(diào)用手機(jī)調(diào)制解調(diào)器。因此，即使手機(jī)受密碼保護(hù)，也可以使用AT指令獲取有關(guān)手機(jī)的一些有用信息。

AT指令在當(dāng)代手機(jī)通訊中起著重要的作用，能夠通過AT指令控制手機(jī)的許多行為，包括撥叫號(hào)碼、按鍵控制、傳真、GPRS等。表1列出了部分AT指令及其功能。

每一種手機(jī)廠商都可以設(shè)置不同的AT硬件指令，用于喚醒相應(yīng)的手機(jī)軟件功能。因此想要獲取手機(jī)相關(guān)信息，需要找到取證手機(jī)對(duì)應(yīng)廠商制定的指令集。

以LG手機(jī)為例，LG手機(jī)支持大多數(shù)基本的AT 指令集，可以用于提取一些公共信息。此外，LG手機(jī)還有自己品牌的專有指令集（AT%類型的指令），這些指令（包括AT%IMEIx，AT%SIMID，AT%SIMIMSI，AT%MEID，AT%HWVER，AT%OSCER，AT%GWLANSSID）可以返回有關(guān)手機(jī)的基本信息。指令集中包含一個(gè)AT%KEYLOCK指令，用于管理手機(jī)屏幕鎖定狀態(tài)。

當(dāng)調(diào)用指令A(yù)T%KEYLOCK時(shí)，根據(jù)參數(shù)不同，會(huì)從/system/lib/libatd_common.so庫中調(diào)用lge_set_keylock（）或lge_get_keylock（）函數(shù)。如果傳遞給函數(shù)lge_set_keylock（）的值為“0”= 0x30時(shí)，將最終調(diào)用該函數(shù)，然后返回字符串“[0] KEYLOCK OFF”。顯然，指令A(yù)T%KEYLOCK = 0允許刪除屏幕鎖定，無須進(jìn)行任何其他操作。至此，手機(jī)將移除屏幕鎖，無論手機(jī)使用的是PIN碼、鎖定圖案、密碼、抑或指紋來鎖定屏幕[5]。

這個(gè)指令的工作原理是：將零值（意味著解鎖）寫入特殊RAM區(qū)域，該區(qū)域存儲(chǔ)著負(fù)責(zé)屏幕鎖定的值。這意味著該命令不以任何方式修改ROM。

需補(bǔ)充說明的是，這個(gè)指令只會(huì)刪除屏幕鎖定，而不會(huì)影響任何用戶設(shè)置，因此能保證手機(jī)數(shù)據(jù)的完整性，可用于手機(jī)取證。并且，當(dāng)智能手機(jī)重啟后，將返回鎖定狀態(tài)，屏幕鎖定再次啟用。另外，該指令無法獲取屏幕鎖定密碼（無論是哪種密碼方式），它只是刪除密碼一段時(shí)間。

通過向Modem發(fā)送AT指令進(jìn)行解鎖取證的方法，僅適用于Android手機(jī)。由于Android手機(jī)平臺(tái)的開放性，使得其取證環(huán)境復(fù)雜多樣化，在具體的應(yīng)用過程中，應(yīng)仔細(xì)挑選合適的取證方法[6]。

5 結(jié)語

為了提高使用的安全性能，各手機(jī)廠商都給手機(jī)設(shè)置了相應(yīng)的安全措施，其中最普遍的是鎖屏功能，而手機(jī)取證往往受屏幕鎖定的限制，無法得到相關(guān)的證據(jù)信息。本文介紹了一種在不破壞手機(jī)硬件軟件的基礎(chǔ)上，可以暫時(shí)解除手機(jī)屏幕鎖定，獲取手機(jī)信息的方法，即使用AT%KEYLOCK = 0指令刪除手機(jī)屏幕鎖定功能，雖然這種刪除是暫時(shí)性的，但是沒有了屏幕鎖定功能的手機(jī)，猶如敞開著大門的房子，取證人員可以輕松“進(jìn)入”手機(jī)，從而獲取相應(yīng)的數(shù)據(jù)。

手機(jī)取證任重而道遠(yuǎn)，新的犯罪手段層出不窮，為了維護(hù)社會(huì)安定，打擊此類犯罪，仍需對(duì)手機(jī)取證方式方法進(jìn)行深入研究，比如引入機(jī)器學(xué)習(xí)，大數(shù)據(jù)分析等領(lǐng)域的技術(shù)，這將是手機(jī)取證下一步的研究方向。

參考文獻(xiàn)：

[1] 計(jì)超豪，王即墨，裴洪卿. 非root條件下獲取安卓手機(jī)物理鏡像[J]. 刑事技術(shù)， 2018（43）：464.

[2] 李剛. 案件偵辦中手機(jī)電子證據(jù)取證難點(diǎn)及解決方法[J]. 廣西警察學(xué)院學(xué)報(bào)， 2018（31）：68-72.

[3] 楊雪. Android手機(jī)取證技術(shù)研究綜述[J]. 計(jì)算機(jī)時(shí)代， 2015（6）：7-9.

[4] 孔攀，蔡睿奇. Android手機(jī)取證技術(shù)研究[J]. 網(wǎng)絡(luò)犯罪與取證， 2018（2）：153-154.

[5] 秦玉海， 孫奕. 智能手機(jī)取證[M]. 北京： 清華大學(xué)出版社， 2014： 125-130.

[6] 劉浩陽，李錦，等. 電子數(shù)據(jù)取證[M]. 北京： 清華大學(xué)出版社， 2015： 212-215.

【通聯(lián)編輯：李雅琪】