移動終端基本框架及電子數(shù)據(jù)提取方式

沈燕峰 王鴻南

摘 要：在我國互聯(lián)網(wǎng)的發(fā)展過程中，PC互聯(lián)網(wǎng)已日趨飽和，但移動互聯(lián)網(wǎng)卻呈現(xiàn)噴井式發(fā)展，移動通訊產(chǎn)業(yè)走到了真正的移動信息時代，以此背景下，移動終端正在從簡單的通話工具變成一個綜合信息處理平臺，數(shù)以萬計的信息在移動終端上處理，關(guān)系著人們生活的方方面面。與此同時，各類違法犯罪活動也大量在移動終端上體現(xiàn)，如何從移動終端上獲取與案件有關(guān)聯(lián)的電子數(shù)據(jù)，本文就移動終端進行了一些概述。

關(guān)鍵詞：電子取證；移動終端；電子數(shù)據(jù)；操作系統(tǒng)

移動終端，最具代表性的為手機與筆記本電腦，其中筆記本電腦又分為超級本與平板計算機。移動終端在方便人們快捷地數(shù)據(jù)傳遞外，也為犯罪分子作案提供了便利。不僅僅在非法侵入計算機、非法控制計算機、非法獲取計算機數(shù)據(jù)等專業(yè)領(lǐng)域犯罪，在一些普通聚眾斗毆、盜竊等案件中使用移動終端串聯(lián)、銷贓。由于移動終端軟硬件更新速度快，運行機制不盡相同，移動終端取證已經(jīng)成為公安工作中的一個重點、難點，本文將詳細闡述移動終端的一些結(jié)構(gòu)、框架等知識，為后期取證工作提供一個理論基礎(chǔ)。

一、移動終端的定義

移動終端，又叫移動通信終端是指可以在移動中使用的計算機設(shè)備，廣義的講包括手機、筆記本、平板計算機、POS機甚至包括車載計算機。本文所指的移動終端為手機及平板計算機。

二、移動終端的分類

由于這里探討有關(guān)電子數(shù)據(jù)取證方面方向，分類從系統(tǒng)角度出發(fā)，主要分為二種類型：

1）非智能終端。在安卓、IOS、Winds Phone等移動操作系統(tǒng)未面試前，幾乎主流移動設(shè)備都是非智能終端，各個操作系統(tǒng)也是有各家廠商獨立開發(fā)或者合作開發(fā)，最為典型的廠商有諾基亞、摩托多拉、LG、三星、等廠商。

2）智能終端。目前市場上的主流移動設(shè)備，自帶獨立的操作系統(tǒng)，主要的系統(tǒng)有安卓、IOS、塞班、Windows Phone等系統(tǒng)。從市場占有率看，主要是谷歌的安卓與蘋果的IOS系統(tǒng)，工作中遇到的移動設(shè)備絕大多數(shù)為這類操作系統(tǒng)的移動終端。

三、移動終端的存儲方式

移動終端通過兩種方式存儲內(nèi)部數(shù)據(jù)：只讀存儲ROM、隨機存儲RAM。ROM用來存儲和保留永久數(shù)據(jù)，設(shè)備關(guān)閉電源后其內(nèi)的信息仍舊保存。一般來講，手機操作系統(tǒng)及用戶個人等信息存儲在ROM中；RAM用于系統(tǒng)加載、執(zhí)行程序、保存動態(tài)數(shù)據(jù)等，設(shè)備電源一旦關(guān)閉，RAM中的數(shù)據(jù)不會保存。

四、移動終端的一些基本常識

1）解鎖（unlock）：通過軟件或者硬件手段解除移動通訊設(shè)備對于運營網(wǎng)絡(luò)的限制。一些移動通訊設(shè)備運營商為維護自身利益，使某些特定產(chǎn)品與自身的網(wǎng)絡(luò)進行綁定，使得通過自身購得此產(chǎn)品的用戶只能使用自身網(wǎng)絡(luò)，對于其他網(wǎng)絡(luò)無效。

2）越獄（jailbreak）：“越獄”指的是繞過蘋果在其設(shè)備上對操作系統(tǒng)施加的很多限制，從而可以“Root訪問”基礎(chǔ)的操作系統(tǒng)。簡單來說，“越獄”可以讓iPhone用戶從蘋果應用商店外下載其他非官方的應用程序，或者對用戶接口進行定制。

3）Root：針對Android系統(tǒng)對于手機而言，它使得用戶可以獲取Android操作系統(tǒng)的超級用戶權(quán)限。root通常用于幫助用戶越過手機制造商的限制，使得用戶可以卸除手機制造商、運營商、第三方管道商預裝在手機中某些應用，以及運行一些需要超級用戶權(quán)限的應用程序。Android系統(tǒng)的root與Apple iOS系統(tǒng)的越獄類似。

五、移動終端數(shù)據(jù)取證的特點

移動終端數(shù)據(jù)取證作為電子數(shù)據(jù)取證的一部分，相比傳統(tǒng)計算機，有自身的數(shù)據(jù)存儲特點，主要表現(xiàn)在以下幾個方面：

（一）存儲數(shù)據(jù)的動態(tài)性

由于移動終端本身存儲是集成存儲，存儲空間有限，用戶所存儲的數(shù)據(jù)主要是嵌入式動態(tài)存儲，其存儲的數(shù)據(jù)隨時更新，而且各廠商產(chǎn)品的存儲方式也不盡相同，故移動終端的數(shù)據(jù)更容易被影響甚至篡改，很難保證數(shù)據(jù)的原始性及完整性。

（二）存儲形式差異性

移動互聯(lián)網(wǎng)發(fā)展迅速，終端的更新速度快，主流廠商更新硬件的周期一般在六個月左右，每次更新都在不斷優(yōu)化設(shè)備運行方式、存儲結(jié)構(gòu)等；APP應用開發(fā)商更新速度更是在硬件之上，各個版本的軟件存儲方式截然不同。

（三）系統(tǒng)的封閉性

計算機設(shè)備的存儲介質(zhì)一般是單獨部件，但移動終端的存儲基本上固化在主板上；除了安卓等少數(shù)系統(tǒng)開源之外，其余的操作系統(tǒng)廠商都是私有系統(tǒng)，具體系統(tǒng)結(jié)構(gòu)和存儲方式不公開，甚至對安卓系統(tǒng)的優(yōu)化各個廠商也存在巨大的差異。

六、目前主流移動終端的取證方式

筆者從事電子取證工作多年，從日常工作中總結(jié)了幾種移動終端的取證方式。

（一）人工提取

偵查人員直接在移動終端上查看相關(guān)數(shù)據(jù)，并使用相機等翻拍設(shè)備記錄證據(jù)。手工提取的優(yōu)點在于門坎底，且總會存在工具無法提取的移動終端，局限性在于只能提取已有數(shù)據(jù)，無法提取已刪除的數(shù)據(jù)。

（二）邏輯分析

移動終端通過連接線（USB、RS232）或無線（藍牙、紅外、WiFi）等方式與取證專用硬件或安裝軟件的工作站連接，提取移動終端中的邏輯數(shù)據(jù)。大多數(shù)的邏輯提取都是由取證工具發(fā)出指令并由移動終端的處理器接收并返回相應的數(shù)據(jù)。雖然邏輯獲取可以在一定程度上提取到已刪除的數(shù)據(jù)，但是不能恢復在未分配空間的數(shù)據(jù)。

（三）十六進制鏡像和JTAG提取

JTAG是一種國際標準測試協(xié)議，原先涉及的目的主要用于芯片內(nèi)部測試。目前，JTAG提取方式常常用于處理已被密碼鎖定，或無法正常提取的設(shè)備。它使用標準JTAG（Joint TestAction Group）埠來訪問已連接設(shè)備的原始數(shù)據(jù)。通過特殊的JTAG數(shù)據(jù)線和相關(guān)設(shè)備，以及對特定內(nèi)存/芯片組型號或設(shè)備型號相匹配的引導檔，對兼容設(shè)備進行完整內(nèi)存內(nèi)容的提取。

（四）Chip-off芯片提取

Chip-Off技術(shù)是當前移動設(shè)備檢驗中，最復雜且最底層的數(shù)據(jù)采集技術(shù)。這種方法需要將移動終端中的存儲芯片通過熱風槍或拆焊臺與主板剝離，清理芯片表面的焊錫，然后將芯片安裝到芯片讀取設(shè)備上，直接對芯片本身的電路和協(xié)議進行分析，獲取其原始鏡像或相關(guān)資料。

參考文獻：

[1] 劉曉宇，李錦，劉浩陽，等.電子數(shù)據(jù)檢驗技術(shù)與應用，2015.

[2] 林遠進，吳世雄，劉浩陽，徐志強.電子數(shù)據(jù)勘驗取證與鑒定——數(shù)據(jù)恢復與取證，2012.