李軍輝　李金月　鄧強(qiáng)

摘要：手機(jī)作為目前社會(huì)最普遍的通訊工具，其中存儲(chǔ)著大量有利于直接舉證或間接提供破案線索的有價(jià)值信息，其重要性已不必再強(qiáng)調(diào)，本文便以手機(jī)為主要客體，以電子取證的檢驗(yàn)流程為基礎(chǔ)，針對(duì)不同情況，不同檢材條件，不同辦案階段，結(jié)合目前的檢驗(yàn)技術(shù)對(duì)手機(jī)取證的實(shí)戰(zhàn)與應(yīng)用進(jìn)行介紹。

關(guān)鍵詞：保護(hù)手機(jī)證據(jù)；提取手機(jī)證據(jù)

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）20-0179-02

In the Introduction to Electronic Evidence Protection and Extraction of Mobile Data

LI Jun-hui，LI Jin-yue，DENG Qiang

（Shijiazhuang City of Hebei Province People's Procuratorate， Shijiazhuang 050072， China）

Abstract： As the most common social communication tools， which stores a lot of beneficial to proof directly or indirectly provide valuable information investigation clue， already no longer have to emphasize the importance， with a mobile phone as the main object， this paper is based on electronic evidence of inspection process， according to different situations， different material conditions， different working stages， combined with the current inspection technology to introduce the practice and application of mobile phone forensics.

Key words： protect mobile phone evidence； extract the phone evidence

手機(jī)數(shù)據(jù)檢驗(yàn)屬于小型電子設(shè)備檢驗(yàn)工作中的一個(gè)主要分支，小型電子設(shè)備英文統(tǒng)稱SSDD（Small Scale Digital Device Forensics），是目前國際司法檢驗(yàn)行業(yè)投入最大、發(fā)展最快，也是面對(duì)困難最多、最具挑戰(zhàn)的一個(gè)檢驗(yàn)項(xiàng)目，具體課題包括：手機(jī)取證、PDA取證、GPS取證、MP3-MP4等等。手機(jī)作為目前社會(huì)最普遍的通訊工具，其中存儲(chǔ)著大量有利于直接舉證或間接提供破案線索的有價(jià)值信息，其重要性已不必再強(qiáng)調(diào)，本文便以手機(jī)為主要客體，以電子取證的檢驗(yàn)流程為基礎(chǔ)，針對(duì)不同情況，不同檢材條件，不同辦案階段，結(jié)合目前的檢驗(yàn)技術(shù)對(duì)手機(jī)取證的實(shí)戰(zhàn)與應(yīng)用進(jìn)行介紹。

手機(jī)檢驗(yàn)雖然在細(xì)節(jié)的處理方式上與傳統(tǒng)計(jì)算機(jī)取證存在差異，但在取證步驟上同樣遵循證據(jù)固定、提取，備份和后期分析的檢驗(yàn)流程，檢驗(yàn)前提同樣是要在保證原始檢材不被污染的前提下最大程度提取證據(jù)。

1 保護(hù)手機(jī)證據(jù)的方式

保護(hù)證據(jù)是電子取證需要考慮的第一個(gè)問題，也是所有后續(xù)工作可以順利開展的前提條件。在實(shí)戰(zhàn)中，保護(hù)目標(biāo)手機(jī)最為重要的手段就是信號(hào)屏蔽。其意義有三：一是避免污染檢材。由于不同手機(jī)對(duì)于數(shù)據(jù)存儲(chǔ)設(shè)有不同的存儲(chǔ)上限，任何新電話的打入和信短的接收都會(huì)對(duì)手機(jī)原有內(nèi)容進(jìn)行覆蓋導(dǎo)致永久性丟失，甚至在一定程度上影響原始證據(jù)的可信性。二是科學(xué)手段阻斷溝通渠道。主要體現(xiàn)在避免辦案人員在沒有準(zhǔn)備的情況下接到其他疑犯或團(tuán)伙成員的試探性電話，此時(shí)只有在信號(hào)得到屏蔽的情況下才能消除其他疑犯的戒心避免打草驚蛇，同時(shí)防止手機(jī)遭到竊聽或定位等高端反偵查手段，強(qiáng)調(diào)了案件偵破的嚴(yán)謹(jǐn)性和科學(xué)性。三是安全保障。在很多恐怖活動(dòng)中手機(jī)都充當(dāng)了重要的操控和觸發(fā)手段，及時(shí)對(duì)犯罪嫌疑人的手機(jī)進(jìn)行信號(hào)控制是某些恐怖活動(dòng)案件中首當(dāng)其要的任務(wù)。

實(shí)現(xiàn)信號(hào)屏蔽的手段大體分為四種，檢驗(yàn)人員可以根據(jù)以下每種方法的特點(diǎn)和不足，在不同情況不同辦案條件下運(yùn)用不同手段。

1.1 屏蔽箱方式

借助電子取證專業(yè)屏蔽箱。此類屏蔽箱一般體積較小便于攜帶，箱體頂層采用透明屏蔽材料使檢驗(yàn)人員可以對(duì)手機(jī)內(nèi)容進(jìn)行直接翻看，高端設(shè)備還能支持?jǐn)?shù)據(jù)同步，也就是屏蔽箱的內(nèi)部提供數(shù)據(jù)接口與手機(jī)相連，從箱體外部引出一條數(shù)據(jù)線與其他同步設(shè)備相連，在保證信號(hào)屏蔽的條件下將數(shù)據(jù)同步至其他設(shè)備或計(jì)算機(jī)。這種方式的優(yōu)點(diǎn)是可靠性高，但透過屏蔽膜翻看手機(jī)操作較為不便。

1.2 屏蔽袋方式

原理與屏蔽箱一致，采用的材料是穿插金屬絲的絲織材料。優(yōu)點(diǎn)是攜帶方便，使用簡單，更適用于室外取證，但缺點(diǎn)是不支持?jǐn)?shù)據(jù)傳輸，不能直接翻看手機(jī)內(nèi)容，在反復(fù)使用或清洗后可能由于金屬絲斷裂導(dǎo)致性能衰減。

1.3 屏蔽卡方式

利用SIM卡克隆機(jī)制作帶有信號(hào)屏蔽功能的SIM卡，此卡插入原始證手機(jī)后可以正常開機(jī)，翻看內(nèi)容，同時(shí)不會(huì)接收到信號(hào)，效果與物理屏蔽一樣。關(guān)鍵在于克隆卡的IMSI、ICCID等唯一性標(biāo)示信息與原SIM卡一致，插入原手機(jī)后不會(huì)清除通話記錄等證據(jù)信息。

1.4 拆除電池

在沒有任何設(shè)備的情況下辦案人員通常采用拔電池的方法使手機(jī)斷電，這種方式可以達(dá)到讓呼叫方聽到“您撥打的手機(jī)暫時(shí)無法接聽”或“用戶不在服務(wù)區(qū)”的效果，但直接的弊端是手機(jī)內(nèi)容無法察看，如果嫌疑人設(shè)有PIN碼或手機(jī)密碼則無法后期開機(jī)檢驗(yàn)。

2 提取手機(jī)中證據(jù)的方法

在通過正確方式方法將原始證據(jù)保護(hù)好之后，下一步工作則是通過技術(shù)手段對(duì)證據(jù)進(jìn)行固定，提取和備份留檔。目前最有效可行的方法是借助專業(yè)手機(jī)數(shù)據(jù)提取設(shè)備。其主要功能是快速高效的將手機(jī)數(shù)據(jù)，包括電話本、短信、通話記錄、文檔日至、多媒體信息，以及SIM卡ID等信息提取至移動(dòng)存儲(chǔ)介質(zhì)，或直接提取至計(jì)算機(jī)便于證據(jù)留檔和后期分析。

對(duì)于手機(jī)數(shù)據(jù)的提取方法可以按照設(shè)備支持與非設(shè)備支持粗分為兩種：

方法一、設(shè)備支持型號(hào)的提取

在設(shè)備支持的情況下一定要首先嘗試設(shè)備提取，除了提高效率節(jié)省人力外，設(shè)備不會(huì)出現(xiàn)人為錯(cuò)誤。雖然不同設(shè)備的操作方式有所區(qū)別，難易程度也有所差異，但主要圍繞以下幾個(gè)操作步驟。具體操作方法需要參考設(shè)備說明書，這里只是對(duì)技巧和方法進(jìn)行說明。

2.1 選擇手機(jī)

通常情況下檢驗(yàn)人員都需要在設(shè)備上輸入具體手機(jī)的品牌和型號(hào)，使設(shè)備能夠調(diào)用正確的驅(qū)動(dòng)和數(shù)據(jù)協(xié)議。問題在于除了常見或流行的幾種型號(hào)，很少有人能夠通過外觀判斷所有手機(jī)的型號(hào)，有些手機(jī)將型號(hào)印在外殼上，比較直觀，而有些從外觀上是不能看出型號(hào)的。這里的技巧在于絕大多數(shù)手機(jī)都會(huì)將型號(hào)標(biāo)簽貼在手機(jī)機(jī)殼內(nèi)部電池的背面，只要扣開電池都可以找到，但缺點(diǎn)在于需要斷電，如果手機(jī)上有密碼就無法重新開機(jī)。一種保守的方法是通過手機(jī)品牌的官方網(wǎng)站查找。

2.2 選擇連接線

如果設(shè)備支持一款手機(jī)型號(hào)，一般都會(huì)提供對(duì)應(yīng)的數(shù)據(jù)線。而好的設(shè)備會(huì)根據(jù)檢驗(yàn)人員輸入的手機(jī)型號(hào)提示相對(duì)應(yīng)的數(shù)據(jù)線。如果設(shè)備不提供提示，此類信息可以從官方網(wǎng)站上查找。

2.3 設(shè)置手機(jī)

一般情況下設(shè)備需要通過USB、藍(lán)牙，或紅外三種方式與手機(jī)建立連接，有些手機(jī)在USB線纜接入后自動(dòng)調(diào)節(jié)至數(shù)據(jù)傳輸狀態(tài)，有些則要用戶自己設(shè)置。高端設(shè)備往往會(huì)提供所支持的每款手機(jī)的設(shè)置步驟，也就是說在檢驗(yàn)人員輸入手機(jī)型號(hào)后會(huì)自動(dòng)提示該款手機(jī)的設(shè)置方法。

2.4 選擇獲取內(nèi)容

在數(shù)據(jù)傳輸之前，設(shè)備會(huì)讓用戶選擇所提取數(shù)據(jù)的范圍，內(nèi)容包括：短信、電話本、通話記錄、日志、圖片視頻等等，用戶可以根據(jù)需要和時(shí)間情況決定，電話本、通話記錄和短信往往是最為關(guān)鍵的幾種信息，而且文本內(nèi)容的提取速度很快，總而言之提取內(nèi)容越多，獲取時(shí)間越長。有些高端設(shè)備在數(shù)據(jù)傳輸過程中還可以提示檢驗(yàn)員某些數(shù)據(jù)的具體大小，獲取時(shí)間等信息，詢問是否跳過以節(jié)省時(shí)間。

方法二、非設(shè)備支持型號(hào)的提取

手機(jī)檢驗(yàn)設(shè)備的一個(gè)固定發(fā)展規(guī)律是設(shè)備永遠(yuǎn)落后于市場，設(shè)備支持的手機(jī)型號(hào)永遠(yuǎn)要追趕市場供應(yīng)的手機(jī)型號(hào)，主要原因是手機(jī)行業(yè)日益更新的推進(jìn)速度，和手機(jī)檢驗(yàn)開發(fā)的技術(shù)兼商業(yè)難度。所以檢驗(yàn)人員永遠(yuǎn)會(huì)面對(duì)被檢手機(jī)不被設(shè)備所支持的問題，而以不變應(yīng)萬變的解決方案同樣存在。

2.5 利用同步軟件

市面上大多數(shù)手機(jī)都支持同步功能，也就是將手機(jī)數(shù)據(jù)導(dǎo)入電腦的一種功能。而具備這種功能的手機(jī)供應(yīng)商都會(huì)在其官方網(wǎng)站上免費(fèi)提供數(shù)據(jù)同步軟件，現(xiàn)在同步功能已經(jīng)成為手機(jī)的一項(xiàng)基本功能，而這種運(yùn)用同步軟件逐個(gè)解決問題的方式很可能在相當(dāng)一段時(shí)間里作為手機(jī)檢驗(yàn)設(shè)備的替補(bǔ)方法。缺點(diǎn)是同步軟件獲取的內(nèi)容大都比較有限，有些僅僅支持電話本的獲取，且數(shù)據(jù)輸出格式不標(biāo)準(zhǔn)，無法導(dǎo)入分析軟件進(jìn)行后期分析，最關(guān)鍵的是檢驗(yàn)手段非正規(guī)手段，同步軟件具有污染檢材的潛在危險(xiǎn)。

2.6 運(yùn)用手機(jī)翻拍設(shè)備

該方法是以傳統(tǒng)文件檢驗(yàn)的證據(jù)固定技術(shù)作為參考推出的，同時(shí)參考了國外處理小型電子設(shè)備的檢驗(yàn)方法，目的就是將嫌疑人手機(jī)屏幕顯示的信息用照相的方法固定提取下來，將嫌疑信息落實(shí)為證據(jù)檔案。除此之外，手機(jī)翻拍設(shè)備可以將手機(jī)外觀拍照固定，對(duì)手機(jī)圖片進(jìn)行拍照，錄制視頻，與電腦結(jié)合運(yùn)用軟件將不同內(nèi)容的照片進(jìn)行分類歸檔，生成MD5哈希校驗(yàn)值等等。這種方法雖然需要配合大量的人工操作，卻非常實(shí)用，通用性最佳，只要屏幕可以顯示就能提取，如果可以結(jié)合OCR將照片內(nèi)容電子化，更有支持后期分析的潛在能力。

參考文獻(xiàn)：

[1] 張明旺. 基于手機(jī)的電子證據(jù)獲取技術(shù)研究[J]. 電腦知識(shí)與技術(shù)，2012（13）.