Android手機系統(tǒng)電子取證技術(shù)應(yīng)用與研究

張曉溪　梁海賀

摘要：隨著智能手機的普及和發(fā)展，不僅為人們提供了便捷的溝通、交流方式，同時也為犯罪分子提供了活動契機，智能手機中通常隱藏著很多的犯罪證據(jù)，為了進(jìn)一步拓展職務(wù)犯罪偵查手段，提升公訴人審查運用電子證據(jù)水平，電子手機取證就成為了檢察技術(shù)中的重要內(nèi)容。本文詳細(xì)地描述了Android手機系統(tǒng)電子取證的技術(shù)現(xiàn)狀，分析了這些技術(shù)的優(yōu)缺點，同時結(jié)合檢察辦案中取證工作實際，展望未來取證技術(shù)發(fā)展方向，比如引入機器學(xué)習(xí)、數(shù)據(jù)挖掘等，進(jìn)一步提升檢察機關(guān)電子證據(jù)鑒定人取證準(zhǔn)確度和速度。

關(guān)鍵詞：Android手機系統(tǒng)；電子取證；機器學(xué)習(xí)；犯罪活動

1 概述

Android智能手機是TDSCDMA、TDLTE等移動通信技術(shù)發(fā)展的階段性硬件設(shè)備，與傳統(tǒng)手機相比，智能手機更加便于人們安裝微信、QQ、金融銀行、企業(yè)辦公等軟件，便于人們通信、交流[1]。工作實際中，職務(wù)犯罪以及刑事犯罪涉及Android智能手機的電子證據(jù)比例非常之大，對犯罪嫌疑人的手機監(jiān)控和電子取證彰顯出重要意義。因此，為了提高破案成效，為公訴工作提供更加扎實有效的證據(jù)，提高Android智能手機取證成為檢察技術(shù)重點研究的方向[2]。Android智能手機取證至今沒有一個統(tǒng)一的標(biāo)準(zhǔn)，傳統(tǒng)的取證方法多是從系統(tǒng)中獲取數(shù)據(jù)，然后由鑒定人進(jìn)行手工分析和提取。但是，隨著Android智能手機的使用和普及，設(shè)備中保存的數(shù)據(jù)越來越多，人工分析工作量非常大，因此人們研發(fā)了一些取證工具，這些工具包括Final Shield、XRY、Oxygen Forensic、CELLDEK，可以自動化的從Android智能手機中發(fā)現(xiàn)潛在犯罪證據(jù)[3]。目前，Android智能手機通常劃分為三個階段，分別是數(shù)據(jù)提取、數(shù)據(jù)分析和證據(jù)展示，從短信、彩信、語音、通訊錄或移動軟件數(shù)據(jù)庫中提取信息，將這些信息交付給系統(tǒng)分析，極大的提高了數(shù)據(jù)取證的速度，將證據(jù)展示出來，供取證人員使用[4]。

2 Android手機系統(tǒng)電子取證技術(shù)現(xiàn)狀

Android智能手機取證技術(shù)發(fā)展時間長，誕生的取證工具也非常多，本文重點描述Final Shield、XRY等取證工具。

（1）Final Shield。Final Shield是一種屏蔽手機信號的輔助取證工具，可以將內(nèi)置的USB接口與Android智能手機連接在一起，然后利用數(shù)據(jù)線接入到PC上，利用Final Shield終端軟件分析智能手機，獲取有效的智能手機電子證據(jù)，同時能夠有效的防止取證過程打入電話或接收短信，從而避免原始數(shù)據(jù)遭受破壞，屏蔽手機信號能夠鎖定已經(jīng)發(fā)生的證據(jù)，具有重要的作用。

（2）XRY。XRY是一款非常便捷的Android智能手機取證箱，能夠?qū)⒅悄苁謾C存儲器上的數(shù)據(jù)實現(xiàn)轉(zhuǎn)儲功能，XRY設(shè)備包括五個組成部分，分別是SIM復(fù)制卡、記憶卡讀卡器、USB數(shù)據(jù)通信單元、SIM卡讀寫器、數(shù)據(jù)線等，安全模式下可以讀取Android智能手機中的電話號碼、通訊目錄、短消息、圖片和視頻等，這個取證箱操作簡單，易學(xué)易用，能夠快速的完成數(shù)據(jù)采集、分析和展示工作，還可以創(chuàng)建一個加密文件夾，將獲取的智能手機數(shù)據(jù)加密保存，避免機密證據(jù)外協(xié)。這個工具分析結(jié)果出來之后可以形成一個簡單的報告，便于工作人員仔細(xì)查看取證結(jié)果。

3 Android手機系統(tǒng)電子取證技術(shù)未來發(fā)展研究

隨著Android智能手機存儲器的增大，保存的軟件和數(shù)據(jù)也越來越多，智能手機取證面臨著海量的數(shù)據(jù)資源，傳統(tǒng)的取證技術(shù)面臨著操作復(fù)雜、取證不準(zhǔn)確等問題，因此未來Android智能手機取證需要引入更多的技術(shù)，比如模式識別、數(shù)據(jù)挖掘、機器學(xué)習(xí)等技術(shù)，以便能夠?qū)⑦@些技術(shù)與傳統(tǒng)取證工具結(jié)合在一起，綜合使用取證工具，提高取證準(zhǔn)確度，滿足檢察機關(guān)電子證據(jù)鑒定人的取證需求。因此，電子取證技術(shù)發(fā)展方向包括以下幾個方面：

（1）引入數(shù)據(jù)挖掘技術(shù)，提高證據(jù)分析準(zhǔn)確度。數(shù)據(jù)挖掘可以從海量的數(shù)據(jù)資源中獲取潛在的、有價值的目標(biāo)信息，挖掘過程是自動的，不需要人工操控，因此可以將數(shù)據(jù)挖掘應(yīng)用到電子取證中，面對職務(wù)犯罪等不同主題的犯罪活動建立模型，將這些犯罪活動常用的數(shù)據(jù)特征輸入到模型中，通過擬合Android手機中的數(shù)據(jù)，識別犯罪活動，準(zhǔn)確的獲取電子證據(jù)。

（2）引入友好的交互界面，提高電子取證的操作便捷性。目前，電子取證工具操作界面復(fù)雜，許多參數(shù)都要人工進(jìn)行設(shè)置，如果沒有專業(yè)的Android系統(tǒng)應(yīng)用知識，取證人員就無法準(zhǔn)確的獲取證據(jù)。因此，引入友好的交互界面，為取證人員提供一個良好的操作界面，即使取證人員沒有掌握操作技術(shù)依然可以準(zhǔn)確的獲取電子證據(jù)。

4 結(jié)語

Android智能手機作為一種先進(jìn)的通信社交工具，隨著TDLTE技術(shù)的發(fā)展已經(jīng)得到廣泛普及，不僅僅可以完成視頻語言通話，同時還可以承載微信、微博、QQ等軟件，產(chǎn)生的數(shù)據(jù)非常大，對于電子證據(jù)鑒定人取證帶來了嚴(yán)重的問題，必須引入先進(jìn)的數(shù)據(jù)挖掘技術(shù)，構(gòu)建面向不同犯罪主題進(jìn)行數(shù)據(jù)建模，從而可以自動化的發(fā)掘潛在的問題，才能滿足調(diào)查人員的特定需求。

參考文獻(xiàn)：

[1]苗得水，夏虹. Android系統(tǒng)手機電子數(shù)據(jù)取證研究[J].中國刑警學(xué)院學(xué)報，2015， 2（1）：4950.

[2]危蓉，麥永浩.鎖屏Android智能手機取證方法的研究[J]. 中國司法鑒定， 2015， 78（1）：6770.

[3]劉浩陽. Android設(shè)備取證研究[J].信息網(wǎng)絡(luò)安全， 2015， 11（9）：2932.

[4]鄭帥.基于Android系統(tǒng)的電子證據(jù)恢復(fù)技術(shù)探討[J].電子技術(shù)與軟件工程， 2016， 5（4）：181.