陳凱

在通訊技術(shù)迅猛發(fā)展的今天，手機(jī)作為現(xiàn)代社會(huì)最主要的通信工具之一。其使用越來越廣泛，在手機(jī)功能日益增強(qiáng)的同時(shí)，也成為了犯罪嫌疑人的一種新型作案工具。在司法實(shí)踐中，手機(jī)取證作為電子數(shù)據(jù)取證技術(shù)的一類，在檢察機(jī)關(guān)偵查職務(wù)犯罪中的作用日漸重要。

一、手機(jī)取證的概念和特點(diǎn)

所謂手機(jī)取證是指在健全的取證環(huán)境中，使用恰當(dāng)?shù)姆椒◤氖謾C(jī)及相關(guān)設(shè)備中恢復(fù)數(shù)字證據(jù)的科學(xué)技術(shù)。也就是從手機(jī)SIM卡、內(nèi)存、外置TF卡中提取有關(guān)數(shù)字犯罪的證據(jù)，并從中分析提取具備法律效力并能作為證據(jù)被法庭采納的一種取證方法

手機(jī)取證區(qū)別于計(jì)算機(jī)取證，由于手機(jī)設(shè)備的復(fù)雜性，給手機(jī)的完整性和精準(zhǔn)性帶來了很大的難度。所以有著其自身的取證特點(diǎn)，主要表現(xiàn)在：1、手機(jī)的品牌和型號(hào)很多，一種取證方法和工具只適用某些品牌和系統(tǒng)的手機(jī)，很難開發(fā)出適合所有型號(hào)手機(jī)的取證工具。2、取證時(shí)必須保持手機(jī)中的證據(jù)完整性，保持手機(jī)的原始狀態(tài)。所以要把手機(jī)放在信號(hào)屏蔽袋中進(jìn)行檢查檢驗(yàn)。3由于現(xiàn)有的關(guān)于手機(jī)取證的規(guī)范并不十分明確，而且可操作性較低，致使提取的證據(jù)可能證據(jù)效力較低，而不被法庭采納。

二、手機(jī)取證內(nèi)容及對(duì)象

手機(jī)的種類繁多，總體上趨于智能化，存儲(chǔ)內(nèi)容越來越多，目前主要采集的信息包括以下內(nèi)容：

1.應(yīng)用程序信息。⑴獲取社交信息。通過社交信息可以比手機(jī)通訊錄、短信、等更快、更全面的掌握犯罪嫌疑人社交愛好及朋友圈等信息。⑵獲取上網(wǎng)信息。通過對(duì)上網(wǎng)痕跡進(jìn)行檢測，能最快掌握犯罪嫌疑人網(wǎng)頁瀏覽習(xí)慣。⑶獲取出行信息。通過這些信息，可以掌握犯罪嫌疑人在某段時(shí)間內(nèi)的行為軌跡，找到與某案件密切相關(guān)的線索，給案件帶來突破性進(jìn)展。⑷獲取消費(fèi)信息。辦案人員掌握犯罪嫌疑人與消費(fèi)有關(guān)的信息，進(jìn)而掌控更多與案件分析有關(guān)的有用線索。⑸獲取娛樂信息?？梢匝杆僬莆辗缸锵右扇说膼酆门d趣，為審訊提供參考，給案件偵破提供輔助。通過對(duì)以上數(shù)據(jù)的分析，辦案人員可以更全面掌握犯罪嫌疑人的興趣愛好、社交圈子、交通出行、消費(fèi)情況等等，為案件提供更多的線索。

2.手機(jī)短信內(nèi)容。短信內(nèi)容是很關(guān)鍵的一項(xiàng)證據(jù)，同時(shí)也是比較直觀的一項(xiàng)內(nèi)容，有些犯罪嫌疑人利用短信聯(lián)系同伙，通過短信內(nèi)容的提取可以查找經(jīng)常聯(lián)系人，活動(dòng)時(shí)間、地點(diǎn)、賬號(hào)等具體內(nèi)容。

3.通話清單。職務(wù)犯罪分子通常利用手機(jī)與對(duì)方聯(lián)系，特別是一些隱形的職務(wù)犯罪中經(jīng)常遇到。將犯罪嫌疑人拘留后，應(yīng)立即將其手機(jī)的扣押，通過專用的話單分析軟件進(jìn)一步分析通話清單，通話基站信息等，確定嫌疑人的行動(dòng)軌跡，經(jīng)常聯(lián)系人等各方面的線索，為一下步工作提供偵查思路，確定偵查方向。

4.內(nèi)存數(shù)據(jù)。手機(jī)使用人通常會(huì)使用手機(jī)進(jìn)行拍照、錄像、對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)等。

在手機(jī)取證中，手機(jī)的SIM卡、內(nèi)存、外置存儲(chǔ)卡和移動(dòng)網(wǎng)絡(luò)運(yùn)營商業(yè)的業(yè)務(wù)數(shù)據(jù)庫是重要的取證來源。

三、手機(jī)證據(jù)獲取方法

不同的證據(jù)源有不同的取證方法，針對(duì)以上4種證據(jù)源分別闡述手機(jī)證據(jù)的獲取方法。

1.外置存儲(chǔ)器

外置存儲(chǔ)器證據(jù)的獲取可以使用諸如Encase、FTK Imager等取證軟件工具來獲取存儲(chǔ)卡上的數(shù)據(jù)鏡像，來對(duì)證據(jù)進(jìn)行分析。

2.SIM卡的證據(jù)獲取

SIM卡是一種標(biāo)準(zhǔn)的智能卡，現(xiàn)在對(duì)于SIM卡進(jìn)行取證的常用方法一般有兩種：一種是通過智能讀卡器讀取SIM卡中的數(shù)據(jù)，另外一種方法是直接通過指令操作來獲得SIM卡中的數(shù)據(jù)。

3.網(wǎng)絡(luò)運(yùn)營商的證據(jù)獲取

移動(dòng)網(wǎng)絡(luò)運(yùn)營商的數(shù)據(jù)庫中包含了大量的潛在價(jià)值的證據(jù)信息 ， 通過用戶注冊(cè)信息數(shù)據(jù)庫中可獲取包括用戶姓名、性別、身份證號(hào)碼、住址、手機(jī)號(hào)碼、SIM卡號(hào)等。這些信息記錄著主/被叫用戶的手機(jī)號(hào)碼、主叫和被叫手機(jī)的IMEI號(hào)、通話時(shí)長、服務(wù)類型和基站等信息。利用話單分析系統(tǒng)，可以篩選有用信息，對(duì)嫌疑人一段時(shí)期的通話進(jìn)行分析，查找活動(dòng)軌跡，經(jīng)常聯(lián)系人等有效信息。

4.手機(jī)內(nèi)存的證據(jù)獲取

目前有兩種物理途徑手機(jī)內(nèi)存中數(shù)據(jù)的方法，一是將手機(jī)拆解得到手機(jī)的內(nèi)在芯片，然后用專門的芯片讀取設(shè)備來獲得其數(shù)據(jù)鏡像。二是使用專門數(shù)據(jù)線與手機(jī)主板連接，然后從中讀取內(nèi)存芯片的數(shù)據(jù)信息。目前智能機(jī)用的最多的是第二種方法。

四、手機(jī)取證建議及挑戰(zhàn)

電子數(shù)據(jù)的提取和固定是一項(xiàng)專業(yè)性很強(qiáng)的工作，在目前的偵查實(shí)踐中相關(guān)取證程序還需規(guī)范、細(xì)化。

1.手機(jī)電子數(shù)據(jù)應(yīng)當(dāng)由專業(yè)人員提取。手機(jī)電子數(shù)據(jù)具有自動(dòng)生成性、易變性等特征，很容易被修改、刪除，非專業(yè)人士無法進(jìn)行識(shí)別和恢復(fù)，而且即使提取到也易被犯罪嫌疑人或辯護(hù)人提出質(zhì)疑。偵查人員扣押手機(jī)后，應(yīng)當(dāng)送交技術(shù)部門提取電子數(shù)據(jù)，以保證手機(jī)電子數(shù)據(jù)得到全面、客觀收集，被損毀、修改的數(shù)據(jù)信息能夠被正確識(shí)別和恢復(fù)。

2.手機(jī)電子數(shù)據(jù)提取應(yīng)當(dāng)分階段進(jìn)行。作為通訊工具的手機(jī)，本身是重要的物證，其品牌、型號(hào)、規(guī)格等物理屬性對(duì)于案件事實(shí)具有一定的證明作用。而手機(jī)內(nèi)的短信、通話記錄等電子信息是電子數(shù)據(jù)，能夠?qū)Π讣氖聦?shí)起到證明作用。因此，對(duì)于手機(jī)及手機(jī)內(nèi)的電子數(shù)據(jù)應(yīng)當(dāng)分階段提取，即首先依照物證收集程序?qū)κ謾C(jī)進(jìn)行提取，然后依照電子數(shù)據(jù)的收集程序?qū)κ謾C(jī)電子數(shù)據(jù)進(jìn)行提取，二者不能混同和互相替代。

3、證據(jù)的采用問題。電子數(shù)據(jù)作為一項(xiàng)獨(dú)立的證據(jù)類型列入刑訴法尚屬首次，在司法實(shí)踐中，探索運(yùn)用的腳步在加快，但在庭審質(zhì)證的實(shí)踐較少。應(yīng)當(dāng)加強(qiáng)手機(jī)取證的操作規(guī)范，使之本身符合證據(jù)使用的客觀真實(shí)性要求。另外，要加強(qiáng)其他物證、口供的關(guān)聯(lián)，加強(qiáng)其證明力。再次，轉(zhuǎn)化為間接證據(jù)甚至是偵查方向、線索，成為引導(dǎo)偵查的一項(xiàng)技術(shù)措施，也是信息化應(yīng)用給檢察機(jī)關(guān)辦案帶來的有益探索。

檢察機(jī)關(guān)的手機(jī)取證工作尚處于起步探索階段，還面臨著法律法規(guī)體系不健全，缺乏實(shí)戰(zhàn)經(jīng)驗(yàn)、分析數(shù)據(jù)的能力不足、流程不規(guī)范等許多問題。同時(shí)由于犯罪嫌疑人反偵查能力越來越強(qiáng)，在利用手機(jī)進(jìn)行一些犯罪活動(dòng)后，往往會(huì)將程序相關(guān)信息進(jìn)行刪除、破壞或加密處理，此時(shí)就需要更先進(jìn)的手機(jī)取證技術(shù)與手段。顯而易見，在信息技術(shù)飛速發(fā)展的今天和未來，針對(duì)應(yīng)用程序信息進(jìn)行取證的重要性越來越突出，而手機(jī)取證的地位也會(huì)越來越重要。