智能手機數據提取淺析

覃衛　肖葉

摘 要：移動通信技術的快速發展，使得手機，特別是智能手機迅速浸透到人們生活工作中。網民中持智能手機參與網絡活動亦占很大比例。與此同時，針對或利用智能手機的犯罪也與日俱增，如何快速利用專業手段提取智能手機數據，為偵查犯罪工作提供有價值的線索成為了鑒定部門亟待解決的問題。該文通過總結日常手機數據提取工作經驗，嘗試找到一種快速獲取大量智能手機數據的工作思路。

關鍵詞：智能手機 手機檢驗 數據提取

中圖分類號：TN011 文獻標識碼：A 文章編號：1672-3791（2017）02（b）-0025-02

1 手機檢驗基本流程

該文的操作流程，僅針對線索的提取，如果需要取證，注意應先做鏡像。

（1）與送檢人員或熟悉案件的偵查員充分溝通，了解受檢手機獲取時現場情況，包括手機為何人持有，該人在案件中角色，案件涉及手機的可能關鍵時間點、是否獲得手機開機密碼等。制作手機基本信息記錄表，詳細記錄以上溝通所得信息。

（2）制訂手機數據提取調查詳單，做好詳細的步驟，指導我們的取證工作，以確保不遺漏任何細節。

（3）準備檢測取證的設備及軟件。

為滿足基本檢驗需要，需配備一臺專用計算機，安裝自動手機取證軟件，如美亞的手機取證軟件DC4500及ROOT大師、豌豆夾、itune等常用手機連接電腦軟件。必要時可配備國外手機鏡像工具套。

（4）根據手機型號，準備相關驅動程序，通過USB連接線將手機連接到電腦。這里有幾點需要注意：

①確保手機電量，切勿因手機電量不足而意外關機造成數據不必要的損壞。避免方法可以準備手機電源線，及時對手機進行充電。例如采用Android系統的手機有些數據在刪除后并不會立即清除，只有在下次重啟以后，才會被完全清除掉，這是因為Android系統手機在數據處理上與傳統手機存在差異。

②將手機設置為飛行模式，防止取證過程中有電話打入或短信接收，造成手機原始數據的破壞。無線網連接需斷開，因為如果手機在取證過程中連上網絡，也可能造成數據破壞。進入開發人員選項，勾選USB調制模式。

③首先對手機SIM卡、SD卡和內存的原始數據進行備份。

④針對Iphone手機，開機后，為避免數據污染，在取證前，進入Iphone之后，將syncing設置為不自動同步。因為當Iphone與電話同步連接時，Iphone可能復制電腦中的電話本、照片、音樂及其它數據，電腦也可能將它的數據復制給Iphone。

（5）先使用國產自動取證設備進行自動取證，以期在最短的時間內快速提取數據，形成報告。同時查看安裝的程序，特別是通聯工具，如QQ、微信、微博、skype、T、V、DIDI等，因為目前手機主要的功能還是用來通信聯系，從手機的通聯信息中能獲許多有利于案件偵查的線索。

以上這些通聯軟件，國產自動取證設備已可以自動取出相關通聯信息。至此，可根據提取到的初步信息，形成第一份分析材料在最短的時間內提供給辦案部門開展下一步工作。

（6）對手機信息的深入挖掘。針對手機中已安裝的通聯軟件，尋找自動取證中沒有取出的通信軟件信息。這一步工作中，需要相關檢驗人員熟悉手機的文件系統，找到相關通信軟件數據庫及語音、圖片等信息存儲位置。因為手機的通信軟件常使用嵌入式系統常用的微型數據庫SQLite（如QQ的[QQ號碼].db聊天記錄數據庫），這類數據庫使用SQLite相關軟件，就能瀏覽、導出數據表，如SQLite Database Browser、SQL Compact Query Analyzer、Navicat Premium等工具。

2 手機檢驗的幾個小經驗

（1）盡可能準備不同廠商，國外國內的手機取證工具。由于手機的協議各不相同，而目前取證工具大多數對手機取證并不全面性。在我國常用的手機有好幾百種，它們屬于不同的廠商，各自擁有自己的知識產權，此外還有很多的山寨機，以及不在生產的手機，關于他們的協議是未知的。國外手機取證產品，如美國、俄羅斯、以色列等，也只是對本國的主流手機進行取證，取證內容并不全面，而我國的大部分手機他們是不支持的。因此，工作中準備同時國內和國外的取證工具是必要的。

（2）開機密碼的獲取。常規的從嫌疑人、綜合取證工具破解外，還有兩種方法可以嘗試，一是根據手機持有人的身份生活習慣和近親好友的身份信息，嘗試輸入常用的數字密碼（如8888，9999，生日等）或圖形手勢密碼（如Z等）；二是使用adb工具進行鎖屏密碼解鎖（主要針對安裝安卓系統的手機，之前已root并且usb調試模式處于打開狀態）。具體使用方法：①手機連接電腦，在充電模式下進行。②下載ADB解壓到電腦C盤根目錄。 ③點擊電腦開始>運行>輸入cmd>再就進cmd： 依次輸入命令：

cd c：＼adb

adb shell

cd data/system

ls

可以看到有一個password.key（文件密碼）或gesture.key（圖形密碼）的文件，這就是密碼文件，我們就是把這個給刪除或是取出！最后輸入命令：

rm password.key （或rm gesture.key）

④輸入reboot或手動重啟手機生效。

此外還可利用第三方軟件如“刷機精靈”的清除密碼工具。

（3）我們在日常手機的檢驗中，安卓系統常遇到需打開手機“開發者選項”問題，一般這一選項在手機的設置菜單中就可以看到，然而安卓版本升級到4.2以后，系統里默認是將“開發者選項”隱藏著的，因此需要我們手動開啟，才能打開“USB調試模式”。經過查找和測試，可以按以下驟設置：打開手機“ 設置”菜單，找到“ 關于手機-版本號”（最下方）-連續點擊 4～7次 ，回到設置界面，開發者選項菜單就回來了。

3 國產山寨手機的數據提取

在日常手機檢驗工作中，我們常會碰到取證軟件中沒有對應手機型號（國外的取證軟件針對中國的手機沒有對應的情況是常有的）或是提示型號不對的情況，這是因為國內的手機品牌部分是從山寨機起家，或者我們檢驗的手機就是山寨機。出現這種情況時，我們可以嘗試從查找手機CPU芯片入手。

（1）MTK芯片手機。MTK手機系統是現在市場上所有國內手機設計、制造商使用最多的一個完整手機產品的解決方案，MTK手機系統曾經是黑手機和部分國內廠家使用的平臺，MTK手機，在低端手機市場中占有巨大份額。如果一部待檢驗手機，在網上查到其CPU是MTK的，那么我們在取證軟件中，可以使用（如以色列的Cellebrite便攜式手機司法分析工具，手機型號就可選擇chinese android phone）。

（2）非MTK芯片手機。其他芯片手機可嘗試使用相同芯片型號的其他型號手機替代，這樣的嘗試也可能需要多次，多做手機檢驗多積累經驗很重要，希望與同行在這方面多多交流。

當今社會智能手機系統發展迅速，系統復雜而多樣，針對手機系統取證，需要我們掌握深入了解智能手機的存儲方式和文件結構，不斷更新知識，針對新出現的問題，必須有效地去解決，唯有這樣才能做好手機檢驗工作，打擊手機犯罪現象。

參考文獻

[1] 陳德俊，丁紅軍.手機取證研究概述[J].中國公共安全：學術版，2012（3）：100-102.

[2] 王海英，周長倫，亓丕水，等.智能手機數據的提取與恢復[J].機械管理開發，2012（1）：189-191.