智能手機的數(shù)據(jù)文件分析技術(shù)

歐陽偉　劉蔚

摘 要 本文主要研究了2種流行的智能手機類型： iPhone 3和三星i8000手機上使用的幾種不同的文件備份及加密技術(shù)，特別是針對其儲存格式及社交網(wǎng)絡(luò)通訊信息的電子文檔進(jìn)行了深入分析，給出了比對后的實驗結(jié)論。

關(guān)鍵字 智能手機 電子數(shù)據(jù) 備份技術(shù)

中圖分類號：TN92 文獻(xiàn)標(biāo)識碼：A

智能手機由于具有不斷增強的計算能力、巨大的儲存空間、便于使用、及利用日益增多的Wi-Fi網(wǎng)點覆蓋可以隨時上網(wǎng)等特點，已經(jīng)在世界范圍得到普及。智能手機越來越強大的功能使得其對人們的生活影響愈發(fā)明顯，比如經(jīng)由社交網(wǎng)絡(luò)平臺像微信、微博、陌陌等使用手機可以和朋友共享電子文件等信息。正因如此，利用手機為通訊中介（或工具）進(jìn)行犯罪呈高發(fā)態(tài)勢，這種現(xiàn)象也引起犯罪偵查等職能部門的高度重視，因此對智能手機的電子信息取證已經(jīng)成為偵查分析人員及信息安全專家工作的重中之重。隨著新刑事訴訟法第48條第2款規(guī)定：“證據(jù)包括‘視聽資料、電子數(shù)據(jù)” ，在當(dāng)前的技術(shù)偵查中，調(diào)查人員從智能手機中提取電子數(shù)據(jù)已經(jīng)成為最重要的數(shù)字證據(jù)來源。

1背景介紹

智能手機電子取證技術(shù)（又名數(shù)字設(shè)備取證技術(shù)）是一門新興且快速發(fā)展的交叉學(xué)科技術(shù)。根據(jù)不同手機品牌和操作系統(tǒng)類型，甚至是同一手機品牌不同階段產(chǎn)品（比如iPhone 2與iPhone 3），其取證方法和程序仍不盡相同。筆者認(rèn)為在目前手機品牌眾多的環(huán)境下很有必要制定一套“從智能手機進(jìn)行數(shù)字取證的標(biāo)準(zhǔn)”，這樣的一套標(biāo)準(zhǔn)能夠給具有資質(zhì)的執(zhí)法人員手機取證的所有程序規(guī)范，讓執(zhí)法人員知曉如何合法的從智能手機里讀取電子資料，也能用來進(jìn)一步設(shè)定對智能手機取證的標(biāo)準(zhǔn)及后續(xù)行動。目前主流的智能手機其取證技術(shù)分為兩大類：大數(shù)據(jù)設(shè)備及小數(shù)據(jù)存儲設(shè)備，本文只對后一種技術(shù)進(jìn)行分析。

小數(shù)據(jù)存儲設(shè)備取證是電子取證中一個比較新的名詞。它包括了目前客戶終端新型的通訊方式取證，例如從社交網(wǎng)絡(luò)平臺（前文提到的微信、微博、陌陌等）、短信、及電子郵件上截取信息。據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）“第34次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告（2014年7月）”最新統(tǒng)計，我國網(wǎng)民規(guī)模達(dá)到6.32億，智能手機用戶達(dá)到5.9億，手機網(wǎng)民達(dá)到5.27億，手機上網(wǎng)的網(wǎng)民比例達(dá)到83.4%，首次超越80.9%的傳統(tǒng)PC上網(wǎng)率。可見目前利用智能手機進(jìn)行通訊和上網(wǎng)已經(jīng)成為了現(xiàn)代社會人們社交聯(lián)系的最主要方式，這使得利用手機進(jìn)行技術(shù)偵查的工作越來越重要和必要。但由于智能系統(tǒng)軟件的發(fā)展和反病毒掃描軟件使用的低門檻，手機用戶可以容易的刪除保存在手機上的電子資料，但即便如此，我們也可以用專門應(yīng)用程序來讀取被刪除或在系統(tǒng)里備份的短信和電子郵件，這些應(yīng)用軟件包括EverRun、Cell phone spy和 iRecovery stick。在進(jìn)行取證時，取證人員使用硬盤復(fù)制機讀取所有資料，然后使用特殊的電子取證機分析所獲得的數(shù)字資料。目前大部分通訊或網(wǎng)絡(luò)設(shè)備是利用電板供電，里面再使用微電池對一些耗電低的存儲記憶晶片供電，一旦取出電板就容易造成數(shù)據(jù)的丟失。這就需要取證人員使用可攜式設(shè)備讀取被刪除的數(shù)據(jù)，如郵箱地址、短信、個人資料、電話聯(lián)絡(luò)簿、多媒體文件等。

本文結(jié)構(gòu)如下：首先我們列出從社交網(wǎng)絡(luò)平臺截取信息的軟件工具，然后我們分析從iPhone和其他智能手機上讀取的信息，檢查智能手機的備份技術(shù)，用來幫助電子取證的工作。最后給出結(jié)論。

2工具介紹

實驗步驟包含以下。首先我們選擇了不同的智能手機，包括iPhone 3，三星i8000。其次，我們選取不同的軟件來備份這些智能手機里的數(shù)據(jù)。例如我們用Converter和Device Seizure軟件來備份iPhone3數(shù)據(jù)，使用ActiveSync軟件備份三星i8000數(shù)據(jù)。智能手機數(shù)據(jù)備份完以后，我們就截取利用這些手機進(jìn)行社交網(wǎng)絡(luò)平臺通訊時保存在手機中的通訊資料，最后對其分析。從iPhone里讀取出來的數(shù)據(jù)文件包括Plist， Localstorage，Unix Executable file，Data Base File等。我們用Mobiledit軟件來讀取三星i8000的備份數(shù)據(jù)。需要說明的是所有的數(shù)據(jù)文件分析都在微軟的XP系統(tǒng)下完成。

3數(shù)據(jù)讀取分析實驗

（1）IPhone 3實驗說明

對iPhone 3數(shù)據(jù)備份會導(dǎo)出六類文檔，這需要我們使用plist Editor、SQLite Database Browsers、Hex Editor Neo等工具來讀取這些文件。在使用plist Editor后發(fā)現(xiàn)在“tencent/micromsg/download”“tencent/micromsg/camera”中的郵件文件和圖片文件都沒有加密，其它資料是加密了的，比如iPhone3里的“friends file” 文檔已經(jīng)加密。iTune 的Metadata文檔可由Plist Editor 軟件讀出，但文檔中只有使用人登入時間、日期、及登入的郵箱地址。最后我們用Hex Editor Neo軟件讀取iTune Artwork文件時，發(fā)現(xiàn)Artwork文檔最前面有一個JFIF頭但有任何有關(guān)安全的設(shè)置， “http_pagead2.googlesyndication.com” 文件也是這樣。如果使用者翻墻訪問了推特，并且使用過的話就會留下大量有價值的信息，比如我們從推特截取出 “AC6164F9-D2A6-4DA3BD3E5F14128367C5”、“app.state”、“com.atebits.Tweetie2.plist”、“Cookies.plist”、“iTunesArtwork”、“iTunesMetadata.plist”等7個文件夾。這些從推特備份文件夾讀取出來信息非常有用，文檔都是完全不加密的 PropertyList （.plist） XML 文件。該使用者訪問的所有推特使用人的公開資料都存儲在“045FCA62-723A-4C50-A828-9B831D9078FC”、“app.state”文件夾中。在“iTunesMetadata.plist”文檔中，使用者的蘋果帳戶ID（用來下載各應(yīng)用程序的ID）是明文顯示的。

（2）三星i8000實驗說明

對三星i8000安卓智能手機，我們用Mobiledite應(yīng)用程序來截取一些通訊的有關(guān)文檔。所有通訊下載的資料存儲在 “micromsg.vol”的文件中，但此文件被加密，無法獲得更多信息。

4實驗結(jié)論

首先我們用iTunes備份程序?qū)Phone 3進(jìn)行備份。第二是檢查社交網(wǎng)站的備份儲存文件夾。我們在iPhone 3手機上使用plist Editor 讀取了“app.state”、“Cookies.plist”、 “Unix Executable”、“iTunesMetadata.plist”和“iTunesArtwork” 等文件?？梢缘弥?lián)網(wǎng)不同社交平臺保存的通訊文件會存儲在不同的文件夾內(nèi)，并且一些文件名的不同跟所用的軟件版本不同也有關(guān)。如我們使用SQLite Database Browser 2.0來讀取“friends.db”文件時，只能用Hex editor編譯“iTunesArtwork”文檔，而使用Plist則無法打開文檔。這個檔案有一個JFIF頭，但是沒有任何隱藏的信息可被讀取。在使用三星i8000智能手機時，沒有在手機上找到任何推特的蹤跡。但使用Mobiledite應(yīng)用程序會還原一個notepad文件，里面包含通訊產(chǎn)生過的短信、照片名稱、撥打的電話號碼、以及沒有接到的電話，除此之外就都是加密的。

可以得知蘋果iPhone 是比較容易收集數(shù)據(jù)資料進(jìn)行電子取證的手機。這是因為從iPhone 上我們能讀取到很多沒有加密的有用信息。并且iPhone上有其它很多開源程序的應(yīng)用軟件，這些數(shù)字證據(jù)是可以供法庭分析調(diào)查所用。比較起來，三星的安卓手機雖然也有很多應(yīng)用軟件可以讀取手機上的一些資料，但是默認(rèn)情況下，系統(tǒng)會自動對這些文件加密。

本文只涉及對移動設(shè)備取證技術(shù)方面的研究，可以給取證人員提供具體的方法路線，用來改進(jìn)和優(yōu)化有關(guān)的程序及技術(shù)。但是對于個案或程序中涉及的電子證據(jù)提取的法律問題應(yīng)該咨詢法律方面的有關(guān)人士。

本文是2014年度湖南省科技廳科研項目《基于LBS的動通信技術(shù)在偵查實戰(zhàn)中應(yīng)用與研究》（課題編號：2014FJ6089）階段性成果。

參考文獻(xiàn)

[1] 王海平，陳丹偉，孫國梓.電子數(shù)據(jù)取證有效性關(guān)鍵技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2006，（12）：51-53.

[2] 許榕生.中國數(shù)字取證的發(fā)展現(xiàn)狀[J].中國教育網(wǎng)絡(luò)，2U07，（08）：26-27.

[3] 崔凈齊.“電子數(shù)據(jù)”初探[J].商品與質(zhì)量，2012，（S5）：272-273.

[4] 米佳，劉浩陽.計算機取證技術(shù)[M].北京：群眾出版社，2007.

[5] SveinYngvar Willassen，F(xiàn)orensics and the GSM mobile telephone system [J].International Journal of Digital Evidence，2008，2（1）.2