滿超 郭永帥

摘 ?要：互聯(lián)網(wǎng)已經(jīng)越來越深地融入了人們的日常生活、工作中，移動(dòng)支付已經(jīng)深刻地改變了人們的生活方式，智能手機(jī)已經(jīng)成為人們?nèi)粘Ｉ钪斜夭豢缮俚奈锲罚弥悄苁謾C(jī)進(jìn)行網(wǎng)絡(luò)犯罪的案件也不斷增多。智能手機(jī)的廠商、型號(hào)及版本系統(tǒng)各不相同，數(shù)據(jù)存儲(chǔ)方式也不同，給取證人員進(jìn)行電子數(shù)據(jù)取證增加了難度。對(duì)網(wǎng)絡(luò)犯罪案件中智能手機(jī)的取證流程以及涉案手機(jī)數(shù)據(jù)包信息進(jìn)行研究，為公安機(jī)關(guān)在網(wǎng)絡(luò)犯罪案件中智能手機(jī)取證方面提供參考。

關(guān)鍵詞：網(wǎng)絡(luò)犯罪;智能手機(jī);電子數(shù)據(jù);取證

中圖分類號(hào)：TP316;D917.6 ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2020）21-0169-03

Application of Smartphone Forensics in Cybercrime Cases

MAN Chao，GUO Yongshuai

（Anhui Public Security Education Research Institute，Hefei ?230088，China）

Abstract：The internet has become more and more deeply integrated into peoples daily life and work. Mobile payment has profoundly changed peoples lifestyles. The smartphone has become an indispensable item in peoples daily lives，and the number of cybercrimes using smartphone has also increased. Smartphone manufacturers，models，and version systems are different，and data storage methods are also different，making it more difficult for forensics personnel to conduct electronic data forensics. Research on the evidence collection process of smartphone in cybercrime cases and the data packet information of the mobile phones involved in the case，to provide reference for public security organs in collecting evidence from smartphone in cybercrime cases.

Keywords：cybercrime;smartphone;digital data;forensics

0 ?引 ?言

隨著網(wǎng)絡(luò)逐步地融入我們的日常生活，網(wǎng)絡(luò)犯罪的形式將更加多樣，侵犯的領(lǐng)域?qū)⒗^續(xù)擴(kuò)展，造成的危害也將更加嚴(yán)重[1]。隨著智能手機(jī)的廣泛應(yīng)用和5G技術(shù)的發(fā)展，利用智能手機(jī)從事的售假、電信詐騙等違法犯罪活動(dòng)也隨之日益高發(fā)。由于智能手機(jī)儲(chǔ)存著使用者的銀行卡號(hào)、通訊錄、私人照片等大量重要信息，而且可以通過網(wǎng)絡(luò)與其他設(shè)備進(jìn)行通信[2]，因此，利用智能手機(jī)進(jìn)行的網(wǎng)絡(luò)犯罪案件形式多樣、犯罪獲利大、隱蔽性強(qiáng)，上述問題是網(wǎng)絡(luò)犯罪案件中辦案人員偵察取證的難點(diǎn)。通過本次安徽省公安教育研究院的課題研究，對(duì)網(wǎng)絡(luò)犯罪案件中智能手機(jī)的取證流程和取證數(shù)據(jù)進(jìn)行分析，挖掘案件線索，為案件偵查提供技術(shù)支持和證據(jù)支撐，對(duì)服務(wù)公安實(shí)戰(zhàn)部門有較強(qiáng)研究?jī)r(jià)值。

1 ?網(wǎng)絡(luò)犯罪案件中智能手機(jī)取證的研究意義

隨著網(wǎng)絡(luò)技術(shù)的不斷創(chuàng)新與發(fā)展，新的犯罪手法和犯罪趨勢(shì)不斷涌現(xiàn)，智能家居、物聯(lián)網(wǎng)等新興技術(shù)產(chǎn)業(yè)面臨著嚴(yán)峻的網(wǎng)絡(luò)安全威脅。伴隨著5G時(shí)代的來臨，人們?cè)诔鲂?、支付、?gòu)物、通信時(shí)更多的依賴智能手機(jī)。智能手機(jī)給人們帶來便利的同時(shí)，利用智能手機(jī)進(jìn)行的網(wǎng)絡(luò)犯罪也愈發(fā)猖獗。因智能手機(jī)存儲(chǔ)著使用者的銀行卡號(hào)、通訊錄、即時(shí)通信軟件賬號(hào)及大量私人照片，所以智能手機(jī)已經(jīng)成為犯罪分子進(jìn)行網(wǎng)絡(luò)犯罪的工具。但由于智能手機(jī)的生產(chǎn)廠商、機(jī)型型號(hào)、系統(tǒng)版本各不相同，其數(shù)據(jù)的存儲(chǔ)方式也有所不同，給公安機(jī)關(guān)辦案人員偵查取證帶來了新的挑戰(zhàn)[3]。更好地對(duì)網(wǎng)絡(luò)犯罪案件中的智能手機(jī)進(jìn)行取證，獲得全面、完整、客觀的電子證據(jù)，對(duì)服務(wù)公安實(shí)戰(zhàn)有較強(qiáng)的實(shí)踐研究意義。

2 ?網(wǎng)絡(luò)犯罪中的智能手機(jī)取證流程

智能手機(jī)是指內(nèi)嵌操作系統(tǒng)，具備運(yùn)算、通信、存儲(chǔ)、拍攝等功能的方便攜帶的智能化設(shè)備。智能手機(jī)生產(chǎn)廠商眾多，產(chǎn)品類型多種多樣，不能以廠商或者產(chǎn)品加以區(qū)別，但智能手機(jī)具備以下特點(diǎn)：（1）數(shù)據(jù)的動(dòng)態(tài)性;（2）存儲(chǔ)方式的多變性;（3）系統(tǒng)的封閉性。

2.1 ?智能手機(jī)取證流程

圖1為在偵查中對(duì)智能手機(jī)數(shù)據(jù)的收集提取的基本流程。

智能手機(jī)取證，是指針對(duì)智能手機(jī)的內(nèi)部存儲(chǔ)、外部存儲(chǔ)、附屬設(shè)備中的電子數(shù)據(jù)，進(jìn)行獲取、分析并固定的過程。

2.1.1 ?智能手機(jī)數(shù)據(jù)手機(jī)提取準(zhǔn)備

在對(duì)涉案的智能手機(jī)進(jìn)行取證前，偵查辦案人員需要全面、客觀地了解案情，根據(jù)掌握的手機(jī)數(shù)據(jù)情況以及可能存在的涉及手機(jī)數(shù)據(jù)的相關(guān)線索，提前做好相關(guān)準(zhǔn)備工作，包括人員準(zhǔn)備、案情了解、法律文書準(zhǔn)備、勘驗(yàn)工具準(zhǔn)備等。

2.1.2 ?智能手機(jī)現(xiàn)場(chǎng)保護(hù)

在辦案實(shí)踐中，需要對(duì)待檢手機(jī)進(jìn)行隔離和信號(hào)屏蔽。隔離手機(jī)首先是切斷目標(biāo)手機(jī)與其他設(shè)備的連接，防止數(shù)據(jù)同步導(dǎo)致新數(shù)據(jù)對(duì)當(dāng)前數(shù)據(jù)的污染。常見的手機(jī)同步是通過數(shù)據(jù)線與計(jì)算機(jī)同步，以及通過網(wǎng)絡(luò)與云端存儲(chǔ)空間進(jìn)行數(shù)據(jù)同步。一般對(duì)手機(jī)進(jìn)行隔離的方法有開啟飛行模式或直接關(guān)機(jī)。

2.1.3 ?智能手機(jī)現(xiàn)場(chǎng)勘驗(yàn)

在對(duì)涉案手機(jī)進(jìn)行現(xiàn)場(chǎng)勘驗(yàn)時(shí)，首先要對(duì)待檢的手機(jī)進(jìn)行拍照固定，然后確認(rèn)手機(jī)所處狀態(tài)，已經(jīng)開機(jī)的手機(jī)仍要保持開機(jī)狀態(tài)，處于關(guān)機(jī)狀態(tài)的手機(jī)可以對(duì)外部存儲(chǔ)進(jìn)行鏡像，然后對(duì)鏡像文件進(jìn)行分析取證。其次，確保手機(jī)信號(hào)處于屏蔽或者關(guān)機(jī)狀態(tài)，防止外界數(shù)據(jù)對(duì)待檢手機(jī)的原始數(shù)據(jù)造成污染。

2.1.4 ?智能手機(jī)的數(shù)據(jù)提取

對(duì)待取證的智能手機(jī)進(jìn)行數(shù)據(jù)提取一般通過數(shù)據(jù)線，將待取證手機(jī)與取證主機(jī)連接后，使用取證軟件，例如DC-4501等，對(duì)手機(jī)內(nèi)的信息進(jìn)行導(dǎo)出和固定，然后再對(duì)導(dǎo)出后的數(shù)據(jù)進(jìn)行分析，獲得與案件有關(guān)的線索。

2.2 ?iOS系統(tǒng)和Android系統(tǒng)智能手機(jī)取證模型

現(xiàn)階段智能手機(jī)基本都是使用iOS系統(tǒng)和Android系統(tǒng);iOS是由蘋果公司開發(fā)的操作系統(tǒng)，Android是Google開發(fā)的基于Linux平臺(tái)的開源移動(dòng)操作系統(tǒng)。下面以iOS和Android為例，介紹智能手機(jī)取證的模型。

2.2.1 ?iOS系統(tǒng)智能手機(jī)取證的基本流程

對(duì)iOS設(shè)備進(jìn)行數(shù)據(jù)提取，首先要安裝iTunes;其次要保證設(shè)備屏幕鎖已打開。使用iTunes提取智能手機(jī)中的文件系統(tǒng)備份來完成數(shù)據(jù)獲取操作，對(duì)提取到的數(shù)據(jù)進(jìn)行分析。圖2為iOS系統(tǒng)智能手機(jī)取證的一般模型。

并非所有的iOS智能手機(jī)中的數(shù)據(jù)都可以通過iTunes備份的方式進(jìn)行獲取，例如某些權(quán)限控制比較嚴(yán)格的即時(shí)通信工具，無法通過iTunes備份的方式獲取數(shù)據(jù)，則可以嘗試通過“越獄”的方式進(jìn)行獲取，但是對(duì)iOS智能手機(jī)進(jìn)行“越獄”操作存在一定的風(fēng)險(xiǎn)，可能會(huì)造成數(shù)據(jù)的損壞。

2.2.2 ?Android系統(tǒng)智能手機(jī)取證的基本流程

目前大部分取證工具對(duì)Android智能手機(jī)進(jìn)行取證一般都遵循這個(gè)步驟：首先對(duì)待取證手機(jī)進(jìn)行USB調(diào)試模式，USB調(diào)試模式是Android提供的一個(gè)用于開發(fā)工作的功能，使用該功能可在計(jì)算機(jī)和Android設(shè)備之間復(fù)制數(shù)據(jù)、讀取數(shù)據(jù)等等。在Android手機(jī)中，用戶獲取root權(quán)限后可以對(duì)手機(jī)中的文件數(shù)據(jù)進(jìn)行備份。一般在手機(jī)設(shè)置中會(huì)有“權(quán)限管理”設(shè)置，點(diǎn)擊打開，然后就可以獲取root權(quán)限，進(jìn)而提取數(shù)據(jù)進(jìn)行分析。圖3為Android系統(tǒng)智能手機(jī)取證的一般模型。

2.3 ?智能手機(jī)取證時(shí)注意事項(xiàng)

第一，在現(xiàn)場(chǎng)勘驗(yàn)階段，辦案取證人員應(yīng)首先確認(rèn)目標(biāo)手機(jī)安全，比如在一些案件中，手機(jī)是爆炸的引爆器;第二，待檢測(cè)的智能手機(jī)在進(jìn)行取證之前應(yīng)當(dāng)放在電磁信號(hào)屏蔽環(huán)境中或者關(guān)機(jī)，在取證過程中應(yīng)當(dāng)將SIM卡移除或者開啟飛行模式，保證智能手機(jī)的初始狀態(tài)不發(fā)生改變，原始數(shù)據(jù)不被污染;第三，仔細(xì)勘驗(yàn)現(xiàn)場(chǎng)，關(guān)聯(lián)現(xiàn)場(chǎng)中出現(xiàn)的其他物證、書證與智能手機(jī)使用者和智能手機(jī)之間的關(guān)系。

3 ?網(wǎng)絡(luò)犯罪中的智能手機(jī)取證的信息應(yīng)用

在網(wǎng)絡(luò)犯罪案件中，涉及智能手機(jī)的犯罪行為主要有三種，第一種是使用智能手機(jī)作為犯罪行為實(shí)施過程中的通信工具;第二種是將手機(jī)用作存儲(chǔ)介質(zhì);最后一種方式是通過智能手機(jī)發(fā)送信息進(jìn)行詐騙、騷擾和病毒傳播。而在這幾種犯罪的取證檢驗(yàn)工作中，手機(jī)取證的電子證據(jù)來源主要有三個(gè)：手機(jī)的SIM卡、手機(jī)內(nèi)存和手機(jī)的擴(kuò)展存儲(chǔ)卡。

3.1 ?SIM卡信息

智能手機(jī)與SIM卡共同構(gòu)成移動(dòng)通信終端設(shè)備[4]，并且SIM卡提供了存儲(chǔ)文本信息的空間。智能手機(jī)用戶可以將部分信息、通訊錄中常用聯(lián)系人信息等存儲(chǔ)在SIM卡上，可用常用的SIM卡取證軟件Cell Seizure、SIMcon、DC-4500等對(duì)SIM卡中的重要信息進(jìn)行獲取。圖4為DC-4500獲取到的SIM卡信息。

3.2 ?手機(jī)機(jī)身內(nèi)存信息

除了SIM卡中存儲(chǔ)的信息外，手機(jī)內(nèi)存也包含著用戶數(shù)據(jù)，它主要用來存放從SIM卡中釋放出來的數(shù)據(jù)[5]，還可以用于存儲(chǔ)通訊錄、通話記錄等。正常情況下手機(jī)內(nèi)存保存的數(shù)據(jù)主要包括電話設(shè)置信息，日歷信息，短信、彩信信息，呼叫記錄，時(shí)間日期應(yīng)用程序的可執(zhí)行文件等信息，使用較常用的取證系統(tǒng)如DC-4500手機(jī)取證系統(tǒng)對(duì)手機(jī)機(jī)身信息進(jìn)行提取，圖5為DC-4500獲取到的智能手機(jī)機(jī)身內(nèi)存信息。

3.3 ?手機(jī)擴(kuò)展卡信息

由于SIM卡與手機(jī)內(nèi)存的容量有限，手機(jī)存儲(chǔ)卡已經(jīng)成了手機(jī)的標(biāo)配之一。通常存儲(chǔ)卡中包含的多是音頻、視頻、圖片、文檔等信息[6]。對(duì)存儲(chǔ)卡進(jìn)行檢驗(yàn)時(shí)需要安裝有USB的只讀鎖，然后將存儲(chǔ)卡和讀卡器相連，繼而對(duì)存儲(chǔ)卡信息進(jìn)行讀取。圖6為DC-4500獲取到的智能手機(jī)擴(kuò)展卡信息。

4 ?結(jié) ?論

人們的日常生活已經(jīng)越來越離不開智能手機(jī)，針對(duì)智能手機(jī)取證的工作質(zhì)量將直接影響網(wǎng)絡(luò)犯罪案件的偵破效果。在網(wǎng)絡(luò)犯罪案件中對(duì)智能手機(jī)采用規(guī)范的流程進(jìn)行取證，并且全面、完整、客觀的獲取網(wǎng)絡(luò)犯罪案件中智能手機(jī)取證信息，可以為網(wǎng)絡(luò)犯罪案件的偵察提供電子數(shù)據(jù)支撐，與其他物證構(gòu)成完整的數(shù)據(jù)鏈，對(duì)實(shí)際偵破網(wǎng)絡(luò)犯罪案件起到重要作用。

參考文獻(xiàn)：

[1] 李建軍，熊俊.涉疫情類電信網(wǎng)絡(luò)詐騙犯罪案件偵查對(duì)策研究 [J].江西警察學(xué)院學(xué)報(bào)，2020（5）：15-21.

[2] 夷冰倩.智能手機(jī)中刑事電子數(shù)據(jù)搜查規(guī)范研究 [J].公安學(xué)刊（浙江警察學(xué)院學(xué)報(bào)），2019（4）：77-81.

[3] 陳瑞君.Android手機(jī)數(shù)據(jù)取證應(yīng)用研究 [D].蘭州：甘肅政法學(xué)院，2019.

[4] 董立波，羅潔，邵永軍.SIM卡中信息提取方法的研究 [J].刑事技術(shù)，2007（2）：29-31.

[5] 張鶴.電子數(shù)據(jù)取證勘查調(diào)研綜述 [J].電腦知識(shí)與技術(shù)，2020，16（28）：34-38.

[6] 顧偉超.手機(jī)數(shù)據(jù)應(yīng)用下的司法取證方法 [J].計(jì)算機(jī)產(chǎn)品與流通，2020（3）：102.

作者簡(jiǎn)介：滿超（1995—），男，漢族，安徽合肥人，助教，碩士在讀，研究方向：網(wǎng)絡(luò)安全;郭永帥（1992—），男，漢族，安徽合肥人，講師，碩士研究生，研究方向：網(wǎng)絡(luò)安全。