◆王丹 丁兆錕 史向東

實驗法探究影響安卓手機取證速度的主要因素

◆王丹 丁兆錕 史向東

（南京拓界信息技術有限公司 江蘇 210014）

本文通過實驗法分析影響安卓手機取證速度的主要因素，實驗中選用了103個樣本數(shù)據(jù)，利用“響尾雀”極速手機取證系統(tǒng)，依據(jù)電子數(shù)據(jù)取證相關國家規(guī)定流程，分別從手機的CPU、RAM、ROM、USB接口、Android版本、文件碎片化以及品牌七個因素進行了全面測試，并得出了結論，為后續(xù)手機取證方法的選擇提供一定的依據(jù)。

電子取證；手機取證；速度

1 引言

近年來，各類案件中手機提取的證據(jù)已經(jīng)成為重要證據(jù)組成部分。如何將手機中電子數(shù)據(jù)進行證據(jù)固定成為電子取證領導研究的重點工作。截至目前，GA/T1770—2014《移動終端取證檢驗方法》、GA/T1774—2014《電子證據(jù)數(shù)據(jù)現(xiàn)場獲取通用方法》等相關規(guī)范逐步在完善，圍繞這些國家規(guī)范進行的手機取證方法研究也已成為研究重點。科研院所、科技廠家相繼提出了多種取證方法，開發(fā)了手機取證工具。隨著反詐、禁毒、掃黑等團伙類案件的增多，案件中需要進行證據(jù)固定的手機量越來越大，很多案件不僅要對嫌疑人進行手機證據(jù)固定，還需要對傷害人進行證據(jù)固定，然而手機取證的速度卻相對較慢，對于一部64G的手機，進行數(shù)據(jù)提取往往需要2到3個小時。鑒于此，提高手機取證速度就成了手機取證方法研究的關鍵點。

通過文獻檢索發(fā)現(xiàn)，當前對手機取證應用及方法的研究逐漸增多，如滿超等（2020）以網(wǎng)絡犯罪案件為剖析點，對手機取證在這類案件中的應用做了研究。劉剛（2020）提出了一種基于元建模的移動取證領域的方法。然而對于解決手機取證速度的研究尚未檢索到，于是本文將重點從手機品牌、CPU、RAM等多個因素，利用實證研究的方法，分析和探討手機取證中影響取證速度的重要因素，從而對手機取證方法的研究提供一點的參考依據(jù)。

2 研究設計

2.1 實驗方法及器材選擇

本文采用實證分析的方法，通過選取103部手機樣本針對不同影響因素設計多種實驗進行測試。整個實驗中，手機取證流程嚴格按照GA/T1770—2014《移動終端取證檢驗方法》進行，實驗器材選用了業(yè)界普遍認為取證速度較快的南京拓界“響尾雀”極速手機取證系統(tǒng)（以下簡稱“響尾雀”系統(tǒng)）。

2.2 實驗樣本的選用

本次實驗選取了103部手機作為樣本，其中華為（含榮耀）24部、小米18部、OPPO 22部、VIVO 30部、一加2部、三星5部、朵唯1部、金立1部。所有手機中，除指定測試某一影響因素需要人工構建數(shù)據(jù)以外，其余手機存儲數(shù)據(jù)均為日常生活正常使用手機中產(chǎn)生的數(shù)據(jù)。

2.3 研究范圍及計算標準

本次實驗重點測試手機的CPU、RAM、ROM、USB接口、Android版本、文件碎片化以及品牌等七個因素對取證速度的影響，其中取證速度中涉及的取證時間是指“響尾雀”系統(tǒng)從點擊“數(shù)據(jù)獲取”到顯示“獲取完成”所用時長。其余計算公式如下：

手機取證速度=手機存儲實際使用容量÷取證時間

平均取證速度=N部手機的取證速度之和÷N

3 實證分析

3.1 CPU性能對手機取證速度的影響

實驗中選用了Vivo品牌的五部手機分兩組樣本進行觀察。

第一組為3部手機樣本，分別為Vivo IQOOZ3、Vivo S9和Vivo IQOO3。三部手機CPU性能分別為驍龍768、天璣 1100和驍龍865，其性能分數(shù)由低到高，手機其他配置基本一致[1]。為了保證實驗中待提取的手機數(shù)據(jù)一致性，本次實驗采用了Vivo官方“互傳”的方式將一部手機里的數(shù)據(jù)，分別復制到另外兩部手機。

表1 Vivo IQOOZ3、Vivo S9和Vivo IQOO3樣本對比

注：CPU性能分數(shù)來源于2021年手機CPU性能天梯圖，網(wǎng)址為http://www.ujiaoshou.com/upanjc/diannao/8498.html。

從實驗結果不難發(fā)現(xiàn)，在其他因素基本一致的情況下，手機取證速度因CPU性能的提升而提高。

第二組實驗的目的是進一步驗證每一組實驗得到的結果。實驗采用Vivo x21A和Vivo x21i兩部手機，CPU分別為驍龍660和聯(lián)發(fā)科Helio P60，兩個CPU性能相當，同時兩部手機RAM、ROM、USB接口、Android版本等因素基本一致，依然采用了Vivo官方“互傳”的方式將一部手機數(shù)據(jù)復制到另一部手機，保證兩部手機數(shù)據(jù)的一致性。

表2 Vivo x21A和Vivo x21i樣本對比

注：CPU性能分數(shù)來源于2021年手機CPU性能天梯圖，網(wǎng)址為http://www.ujiaoshou.com/upanjc/diannao/8498.html。

從結果可以看出，與第一組的結論相似，在手機CPU性能相當時，手機取證速度相近。

3.2 RAM對手機取證速度的影響

從103部手機樣本中選取兩臺除了RAM不同之外，其他配置都相同的同品牌手機，分別為小米note3（4+64）和小米note3（6+64）進行實驗。實驗前，利用小米換機將小米note3（6+64）的應用數(shù)據(jù)同步至小米note3（4+64），保證兩部手機數(shù)據(jù)量一致。

表3 小米note3（4+64）和小米note3（6+64）樣本對比

以小米手機為例的實驗結果（表3）可以看出，RAM從4GB變化到6GB對于手機取證的速度影響并不顯著。

3.3 ROM對手機取證速度的影響

與RAM的測試相同，依然用小米note3進行實驗，這次選用了小米note3（6+64）和小米note3（6+128），通過小米換機將小米note3（6+64）的應用數(shù)據(jù)同步至小米note3（6+128），保證兩部手機數(shù)據(jù)量一致。

表4 小米note3（6+64）和小米note3（6+128）樣本對比

與RAM的結論類似，同樣的小米手機ROM從64GB變化到128GB對于手機取證的速度影響并不顯著。

3.4 USB接口對手機取證速度的影響

本次實驗重點是針對Micro USB接口和USB Type C的手機，通過測試這些手機的取證速度，判斷這兩種接口對手機取證速度的影響。由于實驗中無法確認每個手機機型采用的是USB2.0還是USB3.0，所以實驗僅是對接口類型進行的測試。

第一組選取除USB接口外，其他因素基本一致的小米note3和Vivo X21a兩部手機樣本進行實驗。

表5 小米note3和Vivo X21a樣本對比

從表5的結論來看，在相同配置下，Type-C接口與Micro USB接口對取證速度的影響并不明顯，反而Type-C接口略慢了一些，很可能是因為手機接口雖然是Type-C，但實驗并非使用了USB3.1。于是考慮進行第二組實驗[2]。

第二組將103部手機樣本按接口不同劃分為兩類，分別計算每一類的平均速度。具體結果見表6。

表6 103部手機樣本按接口分類對比

可以看出，Type-C與Micro USB兩類接口的手機平均取證速度略有差別，但差別不大，其中Type-C接口的手機平均取證速度略高。

3.5 安卓版本對手機取證速度的影響

測試安卓版本對手機取證速度的影響時，首先考慮的方法是以一部手機分別安裝各Android版本的系統(tǒng)進行提取，比較取證速度，實驗在環(huán)境構造的過程中，難以構造成功，于是考慮利用第二種方法，從103部手機樣本中選擇相同安卓版本的手機進行統(tǒng)計，計算和比較各版本下平均取證速度[3]。由于安卓版本存在一些補丁更新，因此這里的安卓版本包括后續(xù)補丁修復的版本，如安卓5.1.1歸為安卓5.0版本。

表7 不同安卓版本手機的平均取證速度

從表7可以看出，隨著安卓版本的提高，手機取證平均速度有較明顯提升，特別是Android 8.0前后變化比較大。然而這種方法存在的不足是，安卓版本越高，手機性能越好，因此以上結論的客觀性還有待進一步驗證[4]。

3.6 碎片文件數(shù)量對手機取證速度的影響

本實驗以小米10手機為樣本，分別構造兩組數(shù)據(jù)進行對比。

第一組重點測試手機使用數(shù)據(jù)量較小時，碎片文件數(shù)量對手機取證速度的影響。小米10手機存儲使用總量為3.4GB，在保證系統(tǒng)文件和應用文件一致的情況下，分兩次將手機存儲中放入一個3.4G的大文件和1028個小文件進行取證測試，兩次測試的平均取證速度分別為每秒18.81MB和每秒18.42MB。

表8 第一組測試結果

第二組重點測試手機使用數(shù)據(jù)量較大時，碎片文件數(shù)量對手機取證速度的影響。同樣是小米10手機，存儲使用總量為19.5G，在保證系統(tǒng)文件和應用文件一致的情況下，分兩次將手機存儲中放入一個19.5G的大文件和5784個小文件進行取證測試，兩次測試的平均取證速度分別為20.41M和18.34M。

表9 第二組測試結果

從兩組的測試結果來看，當手機存儲使用總量較小時，碎片文件數(shù)量對手機取證速度的影響不大。當手機使用數(shù)據(jù)量較大，碎片文件數(shù)量越多，手機取證速度越慢。

3.7 品牌對手機取證速度的影響

通過對103部手機樣本按品牌進行測試，分別計算出小米、華為、OPPO、VIVO等品牌手機取證的平均速度，可以發(fā)現(xiàn)，VIVO的提取速度最快，華為、小米和OPPO手機的速度相當[5]。究其原因應該是“響尾雀”系統(tǒng)對各品牌手機采用的取證方法不同導致。

表10 不同品牌手機樣本測試平均速度對比

4 實驗結論

最后，我們對103部手機樣本的平均速度進行了統(tǒng)計，拓界“響尾雀”極速手機取證軟件（M6000）取證的平均速度為每秒20.99MB，約為每分鐘1.23GB。從實驗中可以得出以下結論：

（1）手機CPU的性能、Android系統(tǒng)版本、手機存儲中碎片文件數(shù)量等因素對手機取證速度有一定影響。

（2）手機RAM和ROM的大小、USB接口類型對手機取證速度的影響并不顯著。

（3）由于不同品牌手機采用的手機取證方法不同，導致品牌對手機取證速度也存在一定影響，而且這種影響關系可能會隨著手機取證方法的改變而發(fā)生改變。

5 實驗的局限性及說明

雖然本次實驗盡可能選用了常見的手機品牌及型號，但由于市場手機品牌型號眾多，且手機使用情況也存在差異，因此實驗結果難免存在一定的局限性。

局限一，手機數(shù)據(jù)的多樣性導致實驗結果不能以偏概全。受個人使用手機習慣的影響，手機數(shù)據(jù)存在多樣性，如數(shù)據(jù)量點手機存儲空間的比例，非結構化數(shù)據(jù)多少等因素，也將會對實驗結果產(chǎn)生一定影響[6]。為了避免這一點，實驗中去除了手機數(shù)據(jù)量導致空間有限、手機被ROOT等非常規(guī)情況，盡可能選用了常見手機作為實驗樣本。

局限二，手機測試的環(huán)境不夠理想導致結果客觀性受疑。例如USB接口測試中，無法區(qū)分出usb2.0還是usb3.0導致測試結果存在片面性。再比如對于CPU、安卓系統(tǒng)版本的測試中，無法構建出除了測試因素外其他因素都完全一樣的環(huán)境，從而無法避免其他因素的影響[7]。因此，本次實驗盡量保持除測試因素外其他因素的一致性，防止因為其他因素的變化而影響到結果。

手機取證速度是當前實戰(zhàn)案件中關注的重點，面對大量的待取證手機，每位取證人員都想提高取證速度。目前常用的方法就是通過將一路手機的提取變?yōu)槎嗦肥謾C同時提取，但對于每一路的速度沒有其他更好的方法。因此本文從手機的CPU、RAM、ROM、USB接口、Android版本、文件碎片化以及品牌等七個因素入手找到影響取證速度的原因，從而為后續(xù)手機取證方法的選擇提供一定的依據(jù)。

[1]滿超，郭永帥.網(wǎng)絡犯罪案件中智能手機取證的應用[J].現(xiàn)代信息科技，2020，4（21）：169-170+173.

[2]陳涌濤，管世奇，鄒蜀睿.手機取證及其應用——以職務犯罪偵查為剖析視角[J].重慶郵電大學學報（社會科學版），2015，27（05）：53-56.

[3]趙亞杰，陳龍.面向手機取證的細粒度數(shù)據(jù)完整性檢驗方法[J].計算機工程與設計，2012，33（11）：4091-4094+4148.、

[4]劉剛.國外刑事移動取證元模型技術研究啟示[J].云南警官學院學報，2020（01）：114-124.

[5]裴洪卿.基于應用版本降級的安卓數(shù)據(jù)提取技術方法及其規(guī)范性探討[J].信息與電腦（理論版），2020，32（06）：150-153.

[6]麥永浩，張若天.基于ADB調試的電子數(shù)據(jù)取證技術及研究[J].警察技術，2019（06）：57-60.

[7]陳丹.基于Android平臺的手機取證技術[J].信息與電腦（理論版），2019（05）：186-188.