秦志紅

摘要：針對(duì)智能手機(jī)的研究是近幾年相關(guān)領(lǐng)域的研究熱點(diǎn)。作為一種新型設(shè)備，智能手機(jī)的取證技術(shù)是取證人員面臨的新問(wèn)題。隨著用戶(hù)數(shù)量的暴漲，與手機(jī)相關(guān)的突發(fā)事件和犯罪案件逐年上升。深入研究智能手機(jī)的取證方法和取證技術(shù)已經(jīng)迫在眉睫。主要針對(duì)智能手機(jī)存儲(chǔ)卡的文件組織形式，有重點(diǎn)的介紹幾種常見(jiàn)手機(jī)應(yīng)用的取證方法。

關(guān)鍵詞：智能手機(jī)；應(yīng)用；手機(jī)取證

中圖分類(lèi)號(hào)：TF713文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)24-5869-03

Research on Application of Smartphone Forensics

QIN Zhi-hong

（Henan Police Colleage, Zhengzhou 450000, China）

Abstract:In recent years smartphone research is the hot point of research. As a new type of equipment, smartphone forensic technology is facing new problems. As the number of users has skyrocketed, mobile phone related incidents and crimes increased year by year. Study of smartphone forensics method and technology is imminent. The article mainly aims at the file organization form of smartphones memory card, have focused on the introduction of several common mobile phone application investigation method.

Key words: smartphone；application；phone forensics

1概述

近幾年，智能手機(jī)已經(jīng)成為手機(jī)發(fā)展市場(chǎng)的主流，其強(qiáng)大功能幾乎可以和個(gè)人電腦相媲美。但與此同時(shí)，與手機(jī)有關(guān)的事件也逐年增多。這些事件既包括用戶(hù)操作過(guò)程中對(duì)文件誤刪除等無(wú)意破壞，也包括病毒、黑客、垃圾文件等惡意程序的侵?jǐn)_，還有一些犯罪案件中與手機(jī)信息有關(guān)的事件等。因此，針對(duì)手機(jī)的取證技術(shù)研究逐漸成為相關(guān)領(lǐng)域的研究熱點(diǎn)。

智能手機(jī)主要的優(yōu)點(diǎn)就在于支持大量的應(yīng)用程序，能夠幫助用戶(hù)實(shí)現(xiàn)各種需求。這些應(yīng)用或程序在運(yùn)行的時(shí)候，會(huì)留下一些痕跡數(shù)據(jù)。像計(jì)算機(jī)一樣，系統(tǒng)文件會(huì)有所改變，手機(jī)中的系統(tǒng)文件存在于內(nèi)置存儲(chǔ)卡中。然而，應(yīng)用越復(fù)雜、功能越強(qiáng)大，所占用空間就越大。這就要求手機(jī)必須配備容量較大的外置存儲(chǔ)卡。TF卡、MMC卡、SD卡等都可以作為手機(jī)存儲(chǔ)卡來(lái)使用，手機(jī)中所安裝的第三方應(yīng)用程序基本都存在于這些存儲(chǔ)卡內(nèi)。因此，手機(jī)的取證主要針對(duì)內(nèi)置和外置的存儲(chǔ)卡，通過(guò)相應(yīng)的取證技術(shù)可以獲得較多的有價(jià)值信息。

該文以Andriod系統(tǒng)的智能手機(jī)為研究目標(biāo)，重點(diǎn)關(guān)注手機(jī)存儲(chǔ)卡中的信息。根據(jù)系統(tǒng)中所安裝的應(yīng)用程序，分析其在存儲(chǔ)卡中的文件存儲(chǔ)方式。以其獲得有價(jià)值的資料，從而為相關(guān)事件提供技術(shù)依據(jù)。

2智能手機(jī)中的典型應(yīng)用程序

隨著網(wǎng)絡(luò)的逐漸普及，手機(jī)已經(jīng)不僅僅局限于通話(huà)交流，使用手機(jī)中所攜帶的應(yīng)用，或者利用手機(jī)的網(wǎng)絡(luò)功能下載并使用應(yīng)用程序，已經(jīng)成為智能手機(jī)的主要功能。智能手機(jī)可以支持多種應(yīng)用程序，主要分為以下幾類(lèi)：

交流類(lèi)：即時(shí)通信、E_mail、各種交流網(wǎng)站（人人網(wǎng)、facebook等）。休閑娛樂(lè)類(lèi)：網(wǎng)絡(luò)游戲、單機(jī)游戲、視頻音頻軟件、網(wǎng)頁(yè)瀏覽器等。生活所需類(lèi)：GPS、文件處理、日程安排、網(wǎng)上銀行、股市交易等。

根據(jù)用戶(hù)的需求，應(yīng)用程序日新月異，但基本涵蓋在以上幾種類(lèi)型中。不同的應(yīng)用程序，其文件組織和含義不同，在取證的過(guò)程中，需要了解這些內(nèi)容，并能夠分析。該文僅針對(duì)常用的幾個(gè)應(yīng)用程序進(jìn)行研究和介紹，其它類(lèi)似軟件讀者可以舉一反三。

2.1網(wǎng)頁(yè)瀏覽器

手機(jī)中的網(wǎng)頁(yè)瀏覽器相對(duì)個(gè)人電腦來(lái)說(shuō)所占空間更小，但隨著用戶(hù)對(duì)智能手機(jī)需求的不斷提高，智能手機(jī)瀏覽器的功能也逐漸加強(qiáng)。如今的手機(jī)瀏覽器不但能夠?yàn)g覽網(wǎng)頁(yè)，還支持視頻、音頻、各種插件以及cookies功能，能夠分享網(wǎng)頁(yè)、收藏網(wǎng)頁(yè)、設(shè)置主頁(yè)，還可以進(jìn)行書(shū)簽管理，對(duì)網(wǎng)址進(jìn)行安全檢測(cè)等。

圖6好友號(hào)碼所對(duì)應(yīng)的頭像

而QQ文件夾中，包含了聊天記錄等重要信息。如圖7。圖7聊天記錄

Qzone、Pengyou、weibo對(duì)應(yīng)的是QQ空間、朋友網(wǎng)、微博的信息。如果需要，可以進(jìn)一步分析。

以上的介紹只是針對(duì)智能手機(jī)存儲(chǔ)卡信息所提取的一部分內(nèi)容，其中還有其它大量的用戶(hù)數(shù)據(jù)。對(duì)于取證人員來(lái)說(shuō)，需要把這些數(shù)據(jù)進(jìn)行提取并加以固定。這些數(shù)據(jù)一方面可以印證某些事件的真實(shí)性，另一方面也是很多案件偵破所需要的重要證據(jù)。

目前，我國(guó)的手機(jī)用戶(hù)數(shù)量已經(jīng)突破了10億。針對(duì)這支龐大隊(duì)伍的手機(jī)取證技術(shù)也需要不斷更新，才能夠應(yīng)對(duì)各種事件的發(fā)生。這不僅僅是專(zhuān)業(yè)取證人員需要研究的，也是手機(jī)用戶(hù)保護(hù)個(gè)人隱私、提高生活質(zhì)量所需具備的知識(shí)。希望該文能夠?qū)ο嚓P(guān)人員的研究工作起到一定的幫助作用。