針對智能手機應用程序的取證技術芻議

代禮維 李奧

【 摘 要 】 隨著科技的進步和發展，我國智能手機的發展進入了高速期，針對新型的移動通信設備，要建立有效的管理和取證措施，才能保證取證程序的完整，如何優化運行有效的取證機制，是需要研究人員在實際問題處理過程中深化思考的。論文針對智能手機取證原則、取證過程以及具體取證工具進行了詳細的闡釋，并且對數據分析結構展開了討論，旨在為管理人員提供有效的技術指導。

【 關鍵詞 】 智能手機；應用程序；取證技術

【 中圖分類號 】 TP311

【 文獻標識碼 】 A

【 Abstract 】 With the progress and development of science and technology， the development of China's smart phone entered the period of rapid， for new mobile communication equipment， it is necessary to establish effective management and measure of evidence， in order to ensure complete forensic procedures， how to optimize the operation of effective forensics mechanism， is required to researchers in a practical problem processing in the process of deepening thinking. In this paper， the principle of smart phone forensics， evidence collection process and the specific tools for a detailed explanation， and the data analysis of the structure is discussed， designed to provide effective technical guidance for the management staff.

【 Keywords 】 smart phone； application； forensic technology

1 引言

隨著科學技術的不斷發展，針對手機取證工作的研究，也在不斷地深入。在進行智能手機取證時，項目研究人員要集中遵循幾項原則。

第一，合法取證原則。進行智能手機取證的前提就是相應的項目符合法規，只有在合法授權條件下，才能建立相應的取證行為。在建立取證活動過程中，要設立取證人員、取證物品、取證技術手段以及取證基本程序等，保證取證行為在手段和技術合法的機制下運行。

第二，全面取證原則[1]。在進行手機取證的過程中，項目管理人員要保證建立有效的項目處理機制，運行高效的信息提取技術，真正實現完整的數據鏈，通過對手機上相應的瀏覽記錄進行跟蹤和取證，保證整體數據信息的完整。

第三，無損取證原則。在對數據信息進行集中取證的過程中，管理人員要根據實際情況建立建立有效的項目處理機制，從根本上確保信息數據的完整和真實有效。特別要注意的是，在信息取證的過程中，智能手機要保證開機狀態，且不能對手機日志進行自行的刪改，也要遠離高磁場以及高溫地區，避免由于載體損傷才造成的信息受損。

第四，及時取證原則。在信息收取的過程中，管理人員要針對手機即時生成的系統日志和系統進程進行有效跟蹤，一定要避免由于手機本身容量導致的信息覆蓋問題。

2 智能手機取證技術運行過程

在實際智能手機取證時，研究人員要根據實際情況建立最優化的項目分析機制，保證整體取證過程符合具體要求。

首先，取證人員要針對取證項目建立相應的取證單據，以保證整體取證行為的合法化，針對取證工作進行有效的標注和分析，建立最優化的取證登記。

其次，取證人員要對收集進行基本的物理處理。在處理過程中，相應的處理人員要利用具體技術保證信息的完整和真實有效，物理處理中要對指紋解鎖的手機進行指紋處理，以保證有權對手機能信息進行讀取和收集，將SIM卡取下，放置在屏蔽器內，以保證收集停止接受外界信息，并且有效的保留原始狀態。由于手機不能進行鏡像處理，智能利用專業連接收集的信息收集芯片進行信息的處理，保證手機能實現有效的物理和網絡連接，進行工具包的實時恢復。

再次，進行數據恢復，針對于整個取證過程，數據的恢復是重中之重，取證人員要利用鏡像專門檢查，保證手機內相應的數據得到很好的留存，利用相應的技術手段對數據進行優化提取，保證對SIM卡內的內容進行及時的智能讀寫，或者是在實際信息取證過程中利用TULP2G技術以及SimBrush技術等，利用MMC軟件以及SD技術對存儲卡內的信息進行讀取。特別要注意的是兩方面信息的收集和讀?。浩湟皇荝OM存儲，主要存儲的系統操作軟件[2]；其二是RAM，主要存儲的是及時運行數據，在手機實際運行過程中，主要是利用內存形式進行數據的擦除和寫入，相應運行操作也是需要次數限制的，因此，取證人員要運行最優化的信息收集方案。

最后，是所有的相應技術操作完畢后，利用相應的技術進行證據的有效提取和分析，保證文件得到有效的恢復。

3 智能手機取證工具

本文針對蘋果的IOS系統進行取證工具的分析，蘋果手機內部存在閃存區，多數信息都存儲在閃存區內部，大約空間為300M，主要是實際操作系統和應用軟件，并且其默認數據都存儲在存儲器內部，始終保持出廠設置，剩余部分劃分為用戶使用區，用戶將自身使用信息以及運行內容直接存儲進去。這樣的設計時蘋果公司為了優化客戶的實際體驗而建立的，旨在手機兩個區域內進行相應活動。出廠設置區域內部安裝取證工具具有非常安全的工作環境，第二區有大量使用者的實際信息，是取證工作的重點。

在對取證工具進行劃分的過程中，管理人員要根據實際情況建立最優化的通信方式選擇，不僅包括串口通信，也包括WiFi以及藍牙結構，都能實現信息的傳輸，在達成串口協議后，通過指令的發送就是實現模式的恢復。

另外，還要進行數據的恢復模型和數據完整性保存，在智能手機開機后，只有利用相應的措施才能保證不會受到數據的污染，但是若是電話和其他設備進行同步連接，蘋果手機就能集中復制對接電話的電話號碼，照片以及其他數據，因此，在實際取證前，相應的管理人員要將Syncing設置為不能自動同步模式。以保證安裝取證工具后，不會損壞手機原有的分區。

在實際數據恢復過程中，相應的管理人員要利用必要的數據信息進行集中的處理，保證對相應操作系統進行有效的管控，其中最基本的Unix系統部分中，OpenSSH是基本的安全系統，Netcat是利用網絡發送數據的系統，The md5是建立硬盤鏡像的系統軟件，The dd是復制硬盤鏡像結構來訪問磁盤項目的。在實際取證工具建立的過程中，主要的步驟包括下載最新版本的系統軟件，叫做iLiberty+，直接運行至C：＼盤，然后利用相應的串口保證電腦USB接口的實時連接，一旦兩者建立相應的聯系，就能識別項目中的具體數據和信息，真正落實取證工具的安裝[3]。

4 智能手機數據分析

在手機中進行數據和信息的收集以及取證，需要研究人員針對不同問題進行不同軟件的運行，以保證整體信息傳遞的實效性。其中包括：users/Desktop/Recovered iphone files等目錄，且能實現相關聯數據在整體程序中有效運行，在數據處理過程中，相應管理人員要利用具體操作進行集中數據庫分析，利用SQLite對Addressbook、SQLitedb以及addressbookimages.sqlitedb兩個數據庫進行集中的數據處理，真正實現有效的取證技術整合。

取證人員能通過相應的瀏覽工具進行數據的處理和分析，真正實現主數據閾限的有效控制。除此之外，相關取證人員也可以利用GPS系統跟蹤進行有效的取證數據分析，保證對人員的時間信息以及空間信息進行直接的指引和運用，也能利用GPS系統對用戶的興趣點和愛好進行詳細信息的收集和整理沒保證利用歷史記錄進行有效信息的取證。

5 結束語

總而言之，在智能手機取證技術運行的過程中，取證人員要針對具體問題建立具體分析機制，保證對有效信息進行集中的收集，并且遵循信息取證原則，嚴格遵守相應的取證標準進行取證操作，在取證過程中優化運行相應的取證技術，提高取證工具的安裝行為，建立最為有效的取證操作。我國智能手機用戶已經突破了10億，要進行優化的取證工作，就需要相關取證人員在實際工作中不斷更新思路，建立最優化取證路徑，推動整體工作的可持續發展。

參考文獻

[1] 辛蔚妮.智能手機：醫學教育的新工具[C].第七屆東西方聯盟大會暨第十四屆海峽兩岸及香港地區醫學教育研討會論文集.2013：59，135.

[2] AnneDiNardo，周怡.掌上革命在繼續——零售商利用智能手機技術成為趨勢[C].第十五屆國際商業論壇論文集.2012：51-51.

[3] 蔣文明，楊志新，蔣敏等.智能手機應用程序圖標設計的可用性研究[J].人類工效學，2015，21（03）：21-24，30.

作者簡介：

代禮維（1983-），男，貴州遵義人；主要研究方向和關注領域：電子數據現場勘察、電子物證取證。

李奧（1984-），男，貴州安順人；主要研究方向和關注領域：電子數據現場勘察、電子物證取證。