Android智能手機(jī)中刪除短信的提取

龍 源，邢桂東，郭麗莉，楚川紅，仲利靜

（公安部物證鑒定中心，北京 100038）

Android智能手機(jī)中刪除短信的提取

龍 源，邢桂東，郭麗莉，楚川紅，仲利靜

（公安部物證鑒定中心，北京 100038）

本文介紹了對Android手機(jī)物理內(nèi)存鏡像進(jìn)行關(guān)鍵字搜索獲取刪除短信數(shù)據(jù)的案件檢驗(yàn)實(shí)例。本案中嫌疑人已對涉案手機(jī)進(jìn)行了數(shù)據(jù)刪除操作，現(xiàn)有手機(jī)取證工具只能獲取部分刪除短信數(shù)據(jù)。但通過獲取該手機(jī)物理存儲鏡像，并結(jié)合案情選定關(guān)鍵詞對鏡像進(jìn)行關(guān)鍵字搜索，最終提取到了與案件相關(guān)的刪除短信數(shù)據(jù)，為Android手機(jī)檢驗(yàn)中刪除短信檢驗(yàn)提供了一種新的方法。

手機(jī)取證；Android智能手機(jī)；刪除短信；空余空間

1 案例資料

某日，某市公安局將一起涉嫌殺人案件中的嫌疑人手機(jī)送我單位進(jìn)行技術(shù)檢驗(yàn)，辦案單位要求對手機(jī)中的涉案短信等數(shù)據(jù)進(jìn)行恢復(fù)固定。該案中兩名犯罪嫌疑人具有一定的相關(guān)專業(yè)基礎(chǔ)知識及反偵查意識，對使用的手機(jī)進(jìn)行了數(shù)據(jù)刪除操作，這給涉案手機(jī)中短信等數(shù)據(jù)的恢復(fù)固定工作帶來了很大難度。

采用DC-4500手機(jī)取證系統(tǒng)（廈門美亞柏科公司，廈門）與Oxygen Forensic Suite2014（Oxygen Software，俄羅斯）對涉案手機(jī)中一部Android智能手機(jī)數(shù)據(jù)提取恢復(fù)，能夠恢復(fù)并獲取到部分已刪除短信數(shù)據(jù)，但其中并未發(fā)現(xiàn)與辦案單位提供嫌疑人口供對應(yīng)的短信內(nèi)容，考慮到采用的手機(jī)檢驗(yàn)軟件在對Android智能手機(jī)進(jìn)行檢驗(yàn)時(shí)可能僅分析了手機(jī)內(nèi)現(xiàn)有短信數(shù)據(jù)庫文件的內(nèi)容，而進(jìn)行數(shù)據(jù)刪除操作后sqlite數(shù)據(jù)庫可能會將數(shù)據(jù)庫存儲空間回收［1］，這種情況下數(shù)據(jù)刪除痕跡將不會留存在數(shù)據(jù)庫文件中，因此調(diào)整檢驗(yàn)方法，結(jié)合嫌疑人口供內(nèi)容對該手機(jī)進(jìn)行進(jìn)一步檢驗(yàn)。……