手機(jī)取證技術(shù)

沈臻懿

自1973年起，人類歷史上第一臺(tái)手機(jī)——摩托羅拉DynaTAC問世以來，小小的手機(jī)已經(jīng)徹底影響了人類社會(huì)的方方面面。在不到半個(gè)世紀(jì)的時(shí)間里，手機(jī)從一種世人完全陌生的事物，已成為如今社會(huì)大眾不可或缺之物。如果人們?cè)谏罨虺鲂袝r(shí)只能攜帶一件隨身物品的話，想必絕大部分的人都會(huì)毫不猶豫地選擇手機(jī)。

據(jù)相關(guān)數(shù)據(jù)統(tǒng)計(jì)與分析表明，2015年全球范圍內(nèi)使用智能手機(jī)的用戶已達(dá)到19.1億，這一數(shù)據(jù)在2016年年度內(nèi)仍在持續(xù)上升，并將很快超過20億。智能化技術(shù)的不斷發(fā)展，令手機(jī)功能不再局限于早先單一的電話通信，而已變得豐富多彩。人們?cè)谑褂檬謾C(jī)進(jìn)行通信、聊天、辦公、學(xué)習(xí)、購物、娛樂、上網(wǎng)等過程中，手機(jī)等載體上也會(huì)隨之留下各類數(shù)據(jù)信息。這就為手機(jī)取證技術(shù)的應(yīng)用帶來了研究與發(fā)展的空間。

小小手機(jī)蘊(yùn)含大信息

當(dāng)前，手機(jī)在人們?nèi)粘Ｉ钪邪l(fā)揮著極為重要的作用，甚至已成為生命中“難以割舍”的一部分。據(jù)微信團(tuán)隊(duì)在其《2016微信數(shù)據(jù)報(bào)告》中顯示，在過去的一年中，微信平均日登錄的用戶已達(dá)到7.69億，有一半的用戶每天使用微信的時(shí)長達(dá)到了一個(gè)半小時(shí)。智能手機(jī)的普及以及各類功能的拓展，令手機(jī)得以取代并承擔(dān)原先電腦、銀行卡、錢包的功能。原先需要借助于電腦終端來進(jìn)行網(wǎng)絡(luò)聊天、即時(shí)通訊、收發(fā)郵件等活動(dòng)，目前只需一只小小的手機(jī)完全可以搞定。傳統(tǒng)經(jīng)濟(jì)交易活動(dòng)中，無論是現(xiàn)金支付、刷卡支付，抑或資金轉(zhuǎn)賬等方式，在當(dāng)前信息化時(shí)代的背景下，均可以通過手機(jī)來實(shí)現(xiàn)。手機(jī)功能的拓展，令其在從事這些活動(dòng)的同時(shí)，也留下了各類與手機(jī)活動(dòng)有關(guān)的信息。

當(dāng)前犯罪活動(dòng)中，手機(jī)的身影頻頻出現(xiàn)，且記錄下了大量與犯罪活動(dòng)有關(guān)的信息。不少犯罪人也已將其關(guān)注的目標(biāo)轉(zhuǎn)向了手機(jī)，并利用手機(jī)來從事不法活動(dòng)。智能手機(jī)的操作系統(tǒng)在給使用者帶來極大便利的同時(shí)，其內(nèi)部存在的漏洞亦為不法分子所挖掘。不少手機(jī)用戶都收到過陌生人發(fā)來的短信，甚至是偽裝成銀行、移動(dòng)通訊運(yùn)營商、司法機(jī)關(guān)、政府部門等單位發(fā)來的短信。手機(jī)用戶一旦打開這些短信中的鏈接地址或者安裝了其所提供的APP軟件，即有可能受到釣魚網(wǎng)站的侵害。其會(huì)開始搜集諸如手機(jī)用戶的銀行信息、個(gè)人賬戶密碼等隱私內(nèi)容，從而威脅到使用者的財(cái)產(chǎn)安全。

可以說，小小的手機(jī)中蘊(yùn)含著大量的重要信息。為了能夠有效提取到這些由犯罪人利用手機(jī)進(jìn)行作案所遺留的、對(duì)于案件偵破極為重要的證據(jù)，刑偵科技人員需要采用專門的技術(shù)手段來從各類聊天工具、支付工具、瀏覽器中的軟件通話記錄、網(wǎng)頁瀏覽痕跡中提取相應(yīng)數(shù)據(jù)信息，從而為案件偵破提供重要突破口。

多元化手機(jī)信息數(shù)據(jù)取證技術(shù)

手機(jī)密碼繞過技術(shù)

當(dāng)前，社會(huì)信息安全意識(shí)的提升以及手機(jī)功能的不斷強(qiáng)化，使得大部分的用戶在使用手機(jī)時(shí)，大多都會(huì)設(shè)置鎖機(jī)密碼。部分手機(jī)應(yīng)用軟件的開發(fā)商在開發(fā)相應(yīng)軟件時(shí)也會(huì)進(jìn)行加密處理，以保障信息數(shù)據(jù)的安全。設(shè)置手機(jī)密碼時(shí)，圖案密碼、字符密碼或是PIN碼等均是可供選擇的具體方法。正常情況下，人們唯有輸入準(zhǔn)確無誤的密碼，才能夠解鎖手機(jī)并進(jìn)入操作界面。諸如iPhone等智能手機(jī)，甚至具有連續(xù)輸錯(cuò)10次密碼后，手機(jī)自動(dòng)刪除所有數(shù)據(jù)的專門設(shè)置。

為了能夠有效提取設(shè)置了鎖機(jī)密碼的手機(jī)內(nèi)相關(guān)信息，刑偵人員首先需要做的就是越過密碼這道障礙。相對(duì)于破解密碼而言，手機(jī)密碼繞過技術(shù)無疑是一項(xiàng)更為適宜的獲取手機(jī)信息的專門技術(shù)。

所謂手機(jī)密碼繞過技術(shù)，包括了用戶自主設(shè)置的手機(jī)密碼繞過以及手機(jī)內(nèi)軟件密碼繞過兩方面。其是利用一定的技術(shù)手段，在不需要經(jīng)由密碼輸入的途徑，即可對(duì)已設(shè)置密碼的手機(jī)或軟件內(nèi)的數(shù)據(jù)信息進(jìn)行提取。

由于無需對(duì)密碼進(jìn)行破解，而只是在繞開密碼的前提下進(jìn)入手機(jī)系統(tǒng)中提取與作案活動(dòng)有關(guān)的信息，這使得手機(jī)密碼繞過技術(shù)的應(yīng)用更為隱蔽，且不易為作案人所察覺。

手機(jī)數(shù)據(jù)鏡像提取技術(shù)

通俗而言，鏡像就如同照鏡子一般，其利用文件存儲(chǔ)的形式，使一個(gè)磁盤上的數(shù)據(jù)在另一個(gè)磁盤上存在有一個(gè)完全相同的副本。刑偵科技人員在對(duì)包括手機(jī)SIM卡、內(nèi)存卡、閃存卡等介質(zhì)內(nèi)的數(shù)據(jù)信息進(jìn)行提取時(shí)，通常均需要采取鏡像提取技術(shù)，以確保數(shù)據(jù)信息的完整性。在進(jìn)行鏡像提取時(shí)，屏蔽盒是必不可少的一項(xiàng)工具，其可以將開機(jī)狀態(tài)下的手機(jī)進(jìn)行屏蔽與隔離，以避免外界短信及電話對(duì)手機(jī)的干擾，以保證鏡像技術(shù)提取到數(shù)據(jù)的原始性。

需要注意的是，手機(jī)數(shù)據(jù)鏡像提取的方式有較多，如JATG提取方式，或者將芯片拆下后直接讀取鏡像數(shù)據(jù)。但無論采用哪種方式，都需要通過文件解析，在保證手機(jī)數(shù)據(jù)原始性、完整性的基礎(chǔ)上，使其成為辦案所需要的文件。

手機(jī)數(shù)據(jù)恢復(fù)技術(shù)

手機(jī)數(shù)據(jù)被刪除的情形，是刑偵人員在破案時(shí)經(jīng)常面臨的難題之一。犯罪人在利用手機(jī)作案后，有時(shí)會(huì)故意刪除數(shù)據(jù)，以避免相應(yīng)犯罪證據(jù)為執(zhí)法人員所發(fā)現(xiàn)。通常，犯罪人會(huì)選擇對(duì)瀏覽器、聊天軟件、支付軟件中的信息及瀏覽記錄進(jìn)行銷毀，或者植入病毒，以破壞手機(jī)數(shù)據(jù)。不過，被執(zhí)行刪除操作后的手機(jī)數(shù)據(jù)，并非不復(fù)存在，而僅為暫時(shí)不可見。手機(jī)在進(jìn)行每一步操作后，都會(huì)以數(shù)據(jù)形式存在于手機(jī)SQLite數(shù)據(jù)庫中。當(dāng)操作者選擇刪除某些數(shù)據(jù)后，這些數(shù)據(jù)并沒有被刪除，而是被打上了已刪除記號(hào)，從而在手機(jī)應(yīng)用中不再顯示。譬如，當(dāng)操作者選擇手機(jī)通訊錄中的某一聯(lián)系人信息并予以刪除時(shí)，操作系統(tǒng)所做的工作僅是在該聯(lián)系人信息前添加已刪除記號(hào)。當(dāng)手機(jī)使用者此后瀏覽通訊錄時(shí)，被刪除的聯(lián)系人信息便不會(huì)在通訊錄中顯示。

針對(duì)前述暫時(shí)不可見，但實(shí)質(zhì)仍存在的手機(jī)數(shù)據(jù)，刑偵科學(xué)人員可以應(yīng)用SQLite數(shù)據(jù)庫文件恢復(fù)技術(shù)來對(duì)被刪除的手機(jī)數(shù)據(jù)予以取證。不過，如果手機(jī)操作者此前曾極為頻繁地進(jìn)行過刪除操作，即會(huì)造成被標(biāo)記的數(shù)據(jù)日益增多，或者刪除區(qū)域被其他文件所覆蓋等情形。在此背景下，手機(jī)數(shù)據(jù)恢復(fù)的難度也會(huì)隨之提升。

數(shù)字證據(jù)固定技術(shù)

手機(jī)中的信息，系以數(shù)字形式而存在。此類數(shù)字證據(jù)作為由0和1所組成的電磁記錄，難以為人們所直接認(rèn)識(shí)和理解。為了能使手機(jī)內(nèi)的數(shù)字記錄能為人們所掌握，且完整、真實(shí)反映出其記錄的內(nèi)容，就需要采用數(shù)字證據(jù)固定技術(shù)來予以實(shí)現(xiàn)。所謂數(shù)字證據(jù)固定技術(shù)，即是將計(jì)算機(jī)代碼轉(zhuǎn)換為人類可認(rèn)識(shí)和理解的信息，從而幫助刑偵科學(xué)人員來固定手機(jī)中與犯罪活動(dòng)有關(guān)的各類信息。

手機(jī)數(shù)據(jù)分析技術(shù)

手機(jī)取證過程中，不僅需要對(duì)手機(jī)中的數(shù)據(jù)進(jìn)行提取，亦需要對(duì)提取的數(shù)據(jù)予以智能分析，以呈現(xiàn)出該手機(jī)的“活動(dòng)軌跡”。為了實(shí)現(xiàn)這一目的，即需要采用地理分析技術(shù)和時(shí)間軸技術(shù)來對(duì)手機(jī)內(nèi)的數(shù)據(jù)予以分析。當(dāng)前智能手機(jī)中，通常均具有GPS功能。該功能能夠令手機(jī)進(jìn)行準(zhǔn)確定位。不過，當(dāng)GPS功能被關(guān)閉時(shí)，通過基站發(fā)射的信號(hào)，仍可實(shí)現(xiàn)手機(jī)定位。因而，刑偵科技人員在提取數(shù)據(jù)信息時(shí)，可以在手機(jī)GPS功能被關(guān)閉的情況下，借助于地理分析技術(shù)，通過基站定位，以呈現(xiàn)手機(jī)在某一特定時(shí)間段內(nèi)的所處位置，從而反映出手機(jī)使用者一段時(shí)間內(nèi)的“活動(dòng)軌跡”。此外，時(shí)間軸技術(shù)也是手機(jī)數(shù)據(jù)分析中的一項(xiàng)重要方式。通過這一技術(shù)，可以讓手機(jī)內(nèi)看似凌亂的數(shù)據(jù)，以時(shí)間為順序進(jìn)行有序排列。通過對(duì)橫軸和縱軸上的具體日期和時(shí)間進(jìn)行統(tǒng)計(jì)，從而分析出手機(jī)使用者在具體什么時(shí)間做了什么事情。

手機(jī)取證技術(shù)的應(yīng)用

提取數(shù)據(jù)載體

數(shù)據(jù)載體的提取，是手機(jī)取證技術(shù)的第一步。刑偵科技人員在對(duì)數(shù)據(jù)進(jìn)行提取時(shí)，首先需要了解和掌握取證對(duì)象設(shè)備的特性。為了避免與案件現(xiàn)場(chǎng)中發(fā)現(xiàn)的取證對(duì)象設(shè)備之間發(fā)生交互，刑偵人員應(yīng)當(dāng)關(guān)閉帶入現(xiàn)場(chǎng)輔助搜索的設(shè)備的藍(lán)牙、Wi-Fi等無線收發(fā)裝置。

當(dāng)發(fā)現(xiàn)手機(jī)設(shè)備后，若其通過數(shù)據(jù)線與電腦相連，則需拔出電腦一端的插頭以阻止數(shù)據(jù)同步蓋寫或傳輸。面對(duì)處于開機(jī)狀態(tài)的手機(jī)，則需將其與移動(dòng)通信網(wǎng)絡(luò)相隔離，以防新信息對(duì)現(xiàn)有數(shù)據(jù)的覆蓋。

在對(duì)數(shù)據(jù)載體進(jìn)行包裝與運(yùn)輸時(shí)，刑偵科學(xué)人員首先需要將待取證的手機(jī)設(shè)備封裝于防靜電袋中。為防止手機(jī)觸摸屏或按鍵被無意中壓到，通常均會(huì)使用硬質(zhì)容器來予以包裝。若手機(jī)在取證時(shí)，需要保持開機(jī)狀態(tài)，則應(yīng)使用無線電屏蔽袋來包裝手機(jī)，以屏蔽手機(jī)信號(hào)。考慮到開機(jī)狀態(tài)下的手機(jī)設(shè)備會(huì)消耗電量，在提取該設(shè)備時(shí)，應(yīng)同時(shí)連接一臺(tái)獨(dú)立的外部供電裝置來保證手機(jī)的充足電量。

手機(jī)身份信息驗(yàn)證

采集數(shù)據(jù)信息是手機(jī)取證技術(shù)中的一項(xiàng)核心工作。當(dāng)前市面上銷售的手機(jī)中，無論是手機(jī)型號(hào)，還是其所使用的操作系統(tǒng)都不盡相同。就市面上主流的手機(jī)操作系統(tǒng)而言，包括了Google公司開發(fā)的Android移動(dòng)操作系統(tǒng)以及蘋果公司開發(fā)的iOS移動(dòng)操作系統(tǒng)。這就需要刑偵科技人員在對(duì)手機(jī)身份予以驗(yàn)證的基礎(chǔ)上，才能采用相應(yīng)的軟件和設(shè)備進(jìn)行數(shù)據(jù)采集。

手機(jī)身份驗(yàn)證是刑偵科技人員在對(duì)數(shù)據(jù)信息進(jìn)行采集前所做的基礎(chǔ)工作。除了通過手機(jī)外觀、品牌標(biāo)識(shí)來確認(rèn)手機(jī)身份外，刑偵科學(xué)人員還可以利用手機(jī)內(nèi)貼有的標(biāo)簽進(jìn)行驗(yàn)證。這一標(biāo)簽上的內(nèi)容是手機(jī)制造商所列出的手機(jī)產(chǎn)品和型號(hào)的標(biāo)識(shí)符。在中國，經(jīng)正規(guī)渠道購買的手機(jī)，都會(huì)貼有相應(yīng)的進(jìn)網(wǎng)許可證。通過查詢?cè)S可證編號(hào)，即可以掌握該設(shè)備的身份信息。

Android手機(jī)取證系統(tǒng)

Android是由Google公司和開放手機(jī)聯(lián)盟開發(fā)的一種基于Linux的開放源代碼的操作系統(tǒng)，主要用于智能手機(jī)、平板電腦等移動(dòng)終端。據(jù)統(tǒng)計(jì)，全球范圍內(nèi)有超過20億的智能設(shè)備上安裝有Android操作系統(tǒng)，占到了市場(chǎng)份額總量的50%以上。Android操作系統(tǒng)因其強(qiáng)大的功能以及對(duì)于各類軟件的支持，使搭載有Android系統(tǒng)的移動(dòng)設(shè)備成為了記錄數(shù)據(jù)信息最多的電子產(chǎn)品。這些設(shè)備中記錄的數(shù)據(jù)不僅含文字、圖片、視頻、電子郵件，還包括GPS信息等大量數(shù)據(jù)。

因而，在針對(duì)手機(jī)數(shù)據(jù)進(jìn)行取證時(shí)，Android手機(jī)取證系統(tǒng)無疑是不容回避的一項(xiàng)重要內(nèi)容。這一取證系統(tǒng)從技術(shù)層面上可分為邏輯取證技術(shù)和物理取證技術(shù)。對(duì)于邏輯取證技術(shù)而言，其核心是通過對(duì)文件系統(tǒng)的訪問，來對(duì)所分配的數(shù)據(jù)予以深挖。這些所分配的數(shù)據(jù)即是未被刪除的手機(jī)數(shù)據(jù)。如對(duì)于已被刪除的數(shù)據(jù)庫記錄，都需要用手機(jī)數(shù)據(jù)恢復(fù)工具來予以恢復(fù)。

所謂物理取證技術(shù)，則是直接將存儲(chǔ)數(shù)據(jù)信息的物理介質(zhì)作為取證目標(biāo)。其優(yōu)點(diǎn)在于無需依賴于文件系統(tǒng)即可訪問到大量已被刪除的數(shù)據(jù)。不過，若存在不當(dāng)操作來提取設(shè)備數(shù)據(jù)時(shí)，即有可能使設(shè)備終端無法繼續(xù)使用或訪問。

iOS手機(jī)取證系統(tǒng)

iOS是蘋果公司為其旗下的移動(dòng)設(shè)備所開發(fā)的一款操作系統(tǒng)。蘋果公司最初在2007年時(shí)公布的該系統(tǒng)。其原先為iPhone設(shè)計(jì)所使用，之后逐步套用至iPad，iPod touch以及Apple TV等產(chǎn)品之上。由于該操作系統(tǒng)并不對(duì)外公開，因此針對(duì)iOS操作系統(tǒng)的取證也成了手機(jī)取證過程中的一項(xiàng)難點(diǎn)問題。不少手機(jī)取證廠商也專門研發(fā)了針對(duì)蘋果手機(jī)進(jìn)行取證的工具和產(chǎn)品。

iOS系統(tǒng)中，通常均含有大量數(shù)據(jù)信息。除了移動(dòng)設(shè)備配置信息、通話記錄、短消息、通訊錄外，還包括大量有關(guān)用戶行為、習(xí)慣性偏好以及地理軌跡等隱私信息。在挖掘此類數(shù)據(jù)時(shí)，需要通過攻破或繞過iOS的安全防護(hù)設(shè)置，以捕捉到那些甚至連手機(jī)用戶自身都不知曉的隱私信息，從而為罪案調(diào)查提供重要線索。此外，在進(jìn)行取證時(shí)，刑偵科技人員還需要尤為關(guān)注iOS系統(tǒng)中的用戶習(xí)慣信息。這些信息是該用戶最為經(jīng)常使用的應(yīng)用程序APP所留下的痕跡。通過對(duì)此類痕跡的獲取和分析，可以從中為案件偵破提供相應(yīng)方向。

編輯：黃靈 yeshzhwu@foxmail.com