智能手机取证应用

智能手机取证应用（精选5篇）

智能手机取证应用 第1篇

近几年,智能手机已经成为手机发展市场的主流,其强大功能几乎可以和个人电脑相媲美。但与此同时,与手机有关的事件也逐年增多。这些事件既包括用户操作过程中对文件误删除等无意破坏,也包括病毒、黑客、垃圾文件等恶意程序的侵扰,还有一些犯罪案件中与手机信息有关的事件等。因此,针对手机的取证技术研究逐渐成为相关领域的研究热点。

智能手机主要的优点就在于支持大量的应用程序,能够帮助用户实现各种需求。这些应用或程序在运行的时候,会留下一些痕迹数据。像计算机一样,系统文件会有所改变,手机中的系统文件存在于内置存储卡中。然而,应用越复杂、功能越强大,所占用空间就越大。这就要求手机必须配备容量较大的外置存储卡。TF卡、MMC卡、SD卡等都可以作为手机存储卡来使用,手机中所安装的第三方应用程序基本都存在于这些存储卡内。因此,手机的取证主要针对内置和外置的存储卡,通过相应的取证技术可以获得较多的有价值信息。

该文以Andriod系统的智能手机为研究目标,重点关注手机存储卡中的信息。根据系统中所安装的应用程序,分析其在存储卡中的文件存储方式。以其获得有价值的资料,从而为相关事件提供技术依据。

2 智能手机中的典型应用程序

随着网络的逐渐普及,手机已经不仅仅局限于通话交流,使用手机中所携带的应用,或者利用手机的网络功能下载并使用应用程序,已经成为智能手机的主要功能。智能手机可以支持多种应用程序,主要分为以下几类:

交流类:即时通信、E_mail、各种交流网站(人人网、facebook等)。

休闲娱乐类:网络游戏、单机游戏、视频音频软件、网页浏览器等。

生活所需类:GPS、文件处理、日程安排、网上银行、股市交易等。

根据用户的需求,应用程序日新月异,但基本涵盖在以上几种类型中。不同的应用程序,其文件组织和含义不同,在取证的过程中,需要了解这些内容,并能够分析。该文仅针对常用的几个应用程序进行研究和介绍,其它类似软件读者可以举一反三。

2.1 网页浏览器

手机中的网页浏览器相对个人电脑来说所占空间更小,但随着用户对智能手机需求的不断提高,智能手机浏览器的功能也逐渐加强。如今的手机浏览器不但能够浏览网页,还支持视频、音频、各种插件以及cookies功能,能够分享网页、收藏网页、设置主页,还可以进行书签管理,对网址进行安全检测等。

2.2 即时通信

手机即时通信是在手机等便携式设备中运行的移动即时通信软件,用户可以通过网络免费聊天。常用的应用程序有QQ、飞信等。目前,即时通信软件已经不仅仅局限于文字交流,还支持语音、视频,能够进行文件、图片等传送。

2.3 网上支付平台

随着电子商务的迅速兴起,网上支付似乎已经成为人们生活的一种方式,大量的资金通过网上支付平台进行流转。而利用手机进行电子支付的用户也越来越多。智能手机支持众多的网上银行业务,也支持各种电子支付平台。

3 针对常用应用程序的取证重点

根据上面介绍的几种应用程序,本节主要介绍有针对性的取证技术,以及在取证过程中需要关注的重点内容。

3.1 取证准备

对手机中的数据,可以采用逻辑获取或者物理获取。由于大部分用户并没有专业的取证工具,该文以逻辑获取的方法来介绍取证技术。

根据取证的目标不同,所关注的重点也不同。但取证的准备工作和步骤是一样的。首先,检查设备的连接状态。如图1。

然后,根据所需要把相应的文件拖出来,作进一步分析。如图2。在这里,提取了内置存储卡/data/data下的所有应用,以及外存储器上的腾讯应用。

3.2 针对网页浏览的取证

利用手机浏览器浏览网页是智能手机的重要功能。下面就以Andriod系统下浏览器的取证为例进行分析。

浏览器的书签、历史记录等数据位于/data/data下的com.android.browser下databases文件夹。在这个文件夹中,有三个db文件:browser.db、webview.db和webview Cache.db。其内容如图3、图4:

在这个数据库中,还可以得到浏览的历史网页、搜索引擎时所使用的关键词、网页中所包含的图片等信息。可以说涵盖的内容是比较多的,在取证时候可以根据用户的要求有重点的进一步分析。

3.3 针对即时通信的取证

在国内,最广泛使用的即时通信软件就属腾讯的QQ了。下面就以QQ为例,研究Andriod智能手机下即时通信的取证。

为了保护用户的隐私权,腾讯公司也在不断的对软件更新。这对于取证人员来说,是一件头疼的事情,需要不断的了解新版本的文件组织形式。如图5。

其中,Mobile QQ文件夹中包含了登录过的用户的好友头像、传送过的文件、语音、视频、所使用过的地理位置等信息。如图6。

而QQ文件夹中,包含了聊天记录等重要信息。如图7。

Qzone、Pengyou、weibo对应的是QQ空间、朋友网、微博的信息。如果需要,可以进一步分析。

3.4 针对网上银行的取证

支付宝是Andriod系统内置的网上银行软件,也是很多购物网站使用的网上支付平台。支付宝的信息位于/data/data下的com eg.android.Alipay Gphone文件夹。其中databases文件夹包含webview.db、webview Cache.db和Recent DB三个数据库,存储了登录支付宝的用户名、密码,交易对象的信息等内容。如图8。

4 总结

以上的介绍只是针对智能手机存储卡信息所提取的一部分内容,其中还有其它大量的用户数据。对于取证人员来说,需要把这些数据进行提取并加以固定。这些数据一方面可以印证某些事件的真实性,另一方面也是很多案件侦破所需要的重要证据。

目前,我国的手机用户数量已经突破了10亿。针对这支庞大队伍的手机取证技术也需要不断更新,才能够应对各种事件的发生。这不仅仅是专业取证人员需要研究的,也是手机用户保护个人隐私、提高生活质量所需具备的知识。希望该文能够对相关人员的研究工作起到一定的帮助作用。

参考文献

[1]Andriod智能手机的取证[J].中国司法鉴定,2012(1):47-49.

智能手机取证应用 第2篇

智能手机非常普及了，随着iOS、Android等新兴智能手机操作系统的流行，智能手机上的应用越来越有创意。这些新鲜、个性的应用，在给用户带来超级方便的同时，也成为玩家炫机的必备。

分享碰碰乐：Bump

摇一摇，碰一碰，就能交换联系人和图片，是不是很炫？Bump是最近很火的一个App，不仅在iOS平台很火，在Android平台也很火。Bump吸引人之处在于两个人手持安装有Bump的设备，在一起对碰一下就能够互相传输相应的数据，看上去充满趣味，操作也没有难度，解决了跨平台间传输资料的兼容问题和部分系统限制。在最新的iOS版本上，Bump甚至还能分享应用程序的链接。尤其是在聚会等场合，分享有趣的图片和应用程序，这款Bump的确是拉近距离，打开话题的利器。

听音识曲

走在街上，听到某首好听的或者熟悉的歌曲，却不知道歌曲名字和演唱者，这时，听音识曲就派上用场了。将手机对着正在播放的音乐，让手机帮你听一下，它就可以告诉你歌曲的名字、专辑的名称还有作者，是目前智能手机上颇为实用和受欢迎的软件之一。

目前在各个智能手机操作系统上都有相应的软件，如iOS、Android平台的SoundHound以及涵盖S60、Android、Windows Mobile平台的Shazam Encore等等。

乐器演奏

将智能手机当作乐器演奏，在iOS和Android等支持多点触摸的平台用手机屏幕模拟钢琴、吉它演奏，已经不再是什么新鲜事。更绝的是，还可以将手机变成笛子、埙等吹奏类乐器，为智能手机模拟乐器带来更多的玩法和乐趣。

软件推荐：

iOS平台：Ocarina（埙）、Virtual Piano（钢琴）、Virtual Guitar Pro（吉它）

Android平台：My Piano（钢琴）、Magic Flute（吹笛子）、Mobile Metronome（节拍器）

星空漫步

虽然城市里能看到的星星越来越少，但并不影响天文爱好者对星空的探索。目前，Android和iOS平台都有对应的星空观测软件，让智能手机成为星空观测的利器，了解星座的知识，带你探寻宇宙的神秘之处。而且，可以根据GPS或者网络定位和方向，显示当前能观测到的星座。

软件推荐：

iOS平台：Star Walk（原生中文版，E文不好的用户的福音）

Android平台：Google Sky Map

重力感应相关应用

重力感应已经配备在越来越多的手机上，在硬件性能的基础上，不少软件厂商开发出一些颇具创意的应用程序，如重力感应相关的游戏、摇晃开机等，甚至还能让桌面图标跟随重力感应实现运动。很有创意吧？现在这类软件数量众多，玩家可以自行发掘好玩有趣的应用，来玩一下或者恶搞一把。

软件推荐：

iOS平台：Graviboard（桌面图标“失控”重力感应）

智能手机取证应用 第3篇

关键词：手机取证；职务犯罪侦查

随着科学技术和移动通信网络的发展进步，手机成为现代人的“最贴身的设备”，而其经使用人的操作使用而产生、存储了大量信息，可以作为侦破具有隐蔽性高、关系网复杂、犯罪主体反侦查能力强、取证困难等特点的各类职务犯罪的关键证据，特别是在电子数据作为新的证据形式在新刑诉法中明确规定后，手机取证已逐渐成为各类司法实践活动中重要的技术手段。

一、职务犯罪侦查中手机取证的取证对象

职务犯罪侦查中的手机取证要解决的核心问题就是在获得具有法律效力并且可以被法庭所认可的证据的同时，从涉案手机大量的数据中提取和“挖掘”出尽可能多对案件有用的、有价值的信息，提取到能够推动案件发展甚至是锁定犯罪嫌疑人的犯罪事实。所以，在侦查取证过程中，对手机本身和与其附属的设备、数据源要进行尽可能全面的搜查、提取。

1、手机机身内存。根据存储数据的不同来说，手机内存可分为动态的存储区和静态的存储区。手机本身所带的内部存储介质，由存储芯片直接安装在手机内部，以支撑机器的正常运行，用于暂时存放运算数据，以及与外部存储器或ROM交换数据。当前最为普及的智能手机中的内存，其发展也符合摩尔定律，存储空间的上升速度极快，目前手机运行内存（RAM）最大已超过4G，存储内在（ROM）最大达128G以上。不同手机品牌型号，其内存的配置和限制也有很大不同，分以Android操作系统手机为主的可扩展（外置）存储和以iPhone为代表的不可扩展存储手机。从犯罪侦查角度讲，因静态存储（ROM）存储着用户使用中产生的各类数据，具有更大取证价值。

2、手机外接存储卡。目前主要是Android、Windows Phone操作系统手机具有这种配置，主要是来扩充手机的存储容量，目前常见的外接存储卡有MMC、SD、MiniSD、TF（micro SD）、MS几类，其中以TF最为主流，主要用以存储手机中音视频资料、软件数据，与手机机身ROM相同，也是手机取证中重要的取证区域。

3、SIM卡。Subscriber Identity Module客户识别模块的缩写，即我们大众所说的手机电话卡，GSM手机必须装上此卡方能使用，移动通信服务网络通过此卡对通信用户的身份信息进行鉴别，随着手机的设计发展，手机卡按尺寸大小目前也分标准卡、Micro SIM卡、Nano SIM卡，容量也有16kB、32kB和64kB等几种。上面存储了数字移动电话客户的信息，加密的密钥以及用户的电话簿、短信等内容。

4、移动通信运营商。移动通信运营商具有其客户的基本身份信息和通话信息，通话信息包括通话时间、地点、时长、通话类型、通话对点信息等，客户身份信息包括用户注册的完整信息数据库，包括用户的姓名、家庭住址、手机号码、开通服务的证件号码、PIN码和PUK码和所开通的服务类型信息，这些都存储着大量的潜在证据，在职务犯罪侦查中具有巨大的实际作用。

5、手机附属设备。手机附属设备有别于其他商品，一般它们并不独立存在，多数是为手机专门设计定制的，对手机的依赖性十分高，目前主要有穿戴类产品（手表、耳机等等）、输入输出类产品（可与手机通联打印、扫描和文字图片输入的设备）、功能扩展类产品（可与手机绑定来实现定位、监控联防功能的设备）。在职务犯罪侦查中我们重点关注具有存储或日志功能的输入输出设备和功能扩展类产品，用以从中发现和佐证相关证据。

二、职务犯罪侦查中手机取证流程

手机电子取证需遵循合法、全面、及时、无损取证原则。电子取证必须依法进行，否则取到的电子数据不能作为证据使用。再有就是确保对手机中的数据进行全面提取，做到不遗漏数据证据；因手机在开机状态下会不断自生成数据，应及时进行数据的提取固定，以防止原本的数据信息被覆盖；进行手机取证时，不能对取证的物品进行任何的修改，保持手机状态不变，同时要对手机实行物理屏蔽等措施，保证提取信息的真实。职务犯罪侦查中工作当中，手机取证流程主要有以下几点：

1、取证准备。初步了解分析案件，掌握案件职务犯罪案件当事人基本的情况，针对具体的手机品牌、型号以及软硬件特征，选取合适的手机取证工具，并做好现场调查取证的工作预案。根据案件需要，可提前向移动通信运营商查询调取相关数据，做到取证现场有的放矢。

2、证据的提取和分析。对所收集到的手机及相关附属品进行详细的查验记录，屏蔽手机信号。选取相应的软硬件提取方式，提取有效数据，记录下检材样本数据。分析手机内存、网络数据库、SIM卡以及手机软件的数据，提取案件相关联的数据信息并进行深入分析，与附属设备和运营商提供数据进行碰撞比对后，对可能被删相关的数据信息进行检测与恢复。

3、提交分析报告。证据分析工作之后，对收集的数据信息进行审查与转换，并作为证据提交。手机取证数据要在诉讼中发挥作用，必须要转化为刑诉法规定的八个证据种类中的一种，否则无法作为证据进入诉讼中。分析报告是手机取证转换后的一般形式。

三、提取手机证据的技术要求

由于当前仅SIM卡有较为严格的统一标准，其它协议各有不相同，包括采用同样操作系统的不同品牌型号手机也有很诸多异同，导致当前取证工具都不具有全面性，或多或少都存在着缺陷，无法满足所有类型的智能手机及其附属设备的数据提取需求。所以在职务犯罪侦查过程中，需要取证人员针对性地应用各种取证方式，在此仅做关于SIM卡和手机存储内的数据提取进行的简述。

1、SIM卡的证据获取。一个是在SIM卡专用读卡器对SIM卡中的数据进行有效的提取，要求读卡器使用的数据访问指令集完全符合欧洲电信标准协会TS31.101和TS51.011标准，否则无法获取。另外一种是通过软件指令操作，利用手机硬件本身来完成SIM卡中数据的获取。

2、手机存储卡的证据获取。（1）利用AT指令集。现在通过使用应用于手机的AT指令集，可获得手机生产企业、手机型号、操作系统类型、电话记录等多种手机信息；（2）使用手机生产商提供的软件包。很多手机里都会附带一些与手机同步数据的软件包，完成存储数据的镜像功能，在取得镜像文件后，再根据不同软件的存储机制进行更为细致全面的证据搜索。

四、结束语

目前，在职务犯罪侦查活动中，手机取证越来越显现出其优于传统侦查手段。虽然我国仍未有统一、有效的手机取证技术标准和规范，但是研究水平和试验的能力正不断缩小与其他发达国家的差距。在职务犯罪侦查过程中要充分运用法律赋予检察机关的技术侦查权，一是要取证人员认真用心学习先进手机取证手段，熟练掌握手机取证技能，并逐步将手机取证作为今后职务犯罪案件侦查工作普遍运用的有效途径；二是要严格遵守手机取证的法定的程序和规范，全力确保依靠技术侦查手段收集的证据的合法性和证明力；三是要在职务犯罪侦查过程中充分利用其他先进的技术侦查手段，全面掌握、准确运用，进而服务职务犯罪侦查工作。（作者单位：河北省衡水市桃城区人民检察院）

参考文献：

[1] 张明旺.基于手机的电子证据获取技术研究[J].电脑知识与技术，2012，08.

[2] 刘洋洋.手机取证技术研究[J].网络安全技术与应用，2011（05）：31-33.

[3] 赵小敏.手机取证概述[J].网络安全技术与应用，2005（12）：79-81.

智能手机取证研究 第4篇

1 证据形式分析

传统的手机取证,证据源主要来自于普通手机(手机内存、SIM卡、扩展卡)、移动运营商网络以及短信服务提供商系统,所提取的证据形式往往比较单一,受普通手机所能提供的简单功能以及人们的使用习惯所限制,证据形式往往表现为通话记录和来往短信息等。

随着智能手机的快速发展,手机与PDA的概念越来越难以区别,智能手机的功能变得越来越庞大,人们在日常工作中对智能手机的依赖性越来越强,智能手机已经慢慢变成了人们日常工作的个人数字助理,人们开始习惯于将各种信息数据存储于智能手机中[2]。智能手机俨然已成为一台小型个人电脑,在其中所存储的电子证据形式越来越多。根据智能手机所提供的各种功能的不同,其电子证据的表现形式也不相同。

1.1 智能手机作为普通手机

智能手机首先具备普通普通手机所能提供的各种信息。

1)基本信息:主要包括国际移动设备识别码IMEI、软硬件版本、网络信息;2)通讯事件日志:包括主叫、被叫、未接来电记录信息;已发送、已接受、已编辑等短信彩信记录信息;3)SIM卡信息:国际移动用户识别码ISMI、其它的身份识别数据,如服务提供商信息,SIM卡的识别和语言参数等。

1.2 智能手机作为通讯录

区别于传统手机,智能手机通讯录文件功能不再单一,它可被操作系统以及各种第三方应用程序调用,因此通讯录中可所存储的信息较传统手机多很多。

1)联系人信息:包括姓名、联系人图片及铃声、电话号码(移动、家庭、工作、传真、Vo IP、一键通等号码)、邮编、个人主页、电子信箱、公司部门职务信息、个人信息(生日、配偶、子女等)、文字注释信息、各种自定义信息、最后修改日期时间信息等;2)联系人群组信息(群组列表及成员信息)、已设置的快速拨号列表信息。

1.3 智能手机作为工作提醒工具

1)日程事件:会议及纪念日的开始、结束日期时间、提醒时间及次数、最后修改日期时间等;2)工作信息:工作描述、截止日期、优先待办事项、提醒时间、完成时间等;3)记事本:日记、时间等。

1.4 智能手机作为消息传递工具

证据形式主要表现为:短信息、彩信、电子邮件及附件、BIO信息(包括v Card、v Cal、配置及其它信息)、广播信息(包括通过蓝牙、红外线、usb数据线传送的文件等)、信息文件夹中内容、信息服务中心标记的日期时间、删除的短信信息等。

1.5 智能手机作为GPS导航器

对配备有GPS的智能手机来说,取证时还可以提取其GPS导航相关信息。

1)GPS导航信息:最后一次调整信息、搜索路径历史记录、保存的地图、最后显示的地图、经常去的地点;2)位置标签信息。

1.6 智能手机作为上网客户端

1)网页浏览器:网页缓存文件、书签、历史页面、最后一次浏览网页、搜索历史、网页cookies;2)即时消息:用户账号及密码、联系人列表、聊天记录等。

1.7 智能手机作为个人电脑

1)操作系统:本手机拍摄的照片及视频、录音记录、连接过的Vi-Fi网络列表、匹配过的蓝牙设备、使用的SIM卡信息、虚拟专用网信息等;2)第三方应用程序:安装的应用程序信息、应用使用日志、数据库信息、文本文档信息等。

2 取证方法

取证是对所有潜在的电子证据进行提取分析,分析出案件线索或有效的证据,对智能手机进行取证时应注意遵循以下几个步骤:

1)查看手机电量是否充足。如电量不足,应立即使用专用电源线对其进行充电,防止其因电量不足自动关机。

智能手机与传统手机对数据的处理机制不同,智能手机某些重要数据删除之后并不立即进行清除,而是在下次关闭电源重新开机后才完全被自动清除,因此在对智能手机取证分析中,保证其电量充足而不关机十分重要[3]。2)查看手机的是否有无线网络连接,如果有应及时断开连接,以免破坏原始数据。3)及时屏蔽信号,避免外来数据(电话呼入、短信息、电子邮件等)破坏原始数据。此步一般要使用专用的信号屏蔽设备。4)镜像备份手机内存及扩展卡中的原始数据,然后对备份的数据根据不同的操作系统进行相应的分析。5)在确定手机内存中的数据备份成功后,如果有需要可以关机取出扩展卡和SIM卡进行单独分析。

3 常用的取证工具

在实际手机取证过程中,各种取证软件已经使用的越来越普遍。目前的手机取证工具多少都存在一些缺陷,任何一种取证工具都不能满足所有要求,这就要求调查取证人员能有针对性地对各种取证工具加以综合利用,才可以达到令人满意的取证效果。

1)Final Shield:Final Shield是一款信号屏蔽工具,可有效屏蔽手机信号,防止手机取证过程中外来信号影响原始数据的完整性,造成有些重要数据丢失。手机放入Final Shield中,通过设备内部的USB接口与手机连接,再通过设备外部的USB接口与专用手机取证工具或计算机连接,配合取证工具或软件即可实现数据的获取。2).XRY:.XRY不但能在取证过程中提取手机存储卡中的数据,而且还会创建一个加密文件,以防止未授权人对数据进行任何操作[4]。它支持数据线、红外、蓝牙传输,sim卡克隆,此外.XRY也会在取证结束后向取证人员提供一份分析报告。3)Final Mobile Forensics:Final Mobile Forensics最大的优势是对CDMA制式的手机支持很好,也支持GSM型号的手机。可对呼叫记录、删除数据(部分型号)、电话本、记事本、短信、彩信、上网记录、网络连接信息、视频、录音等数据进行分析。此外还可以获取并显示大部分型号手机的加锁口令。支持Black Berry、i Phone和Windows Mobile等智能手机操作系统,并支持物理镜像的获取。4)CELLDEK:CELLDEK是一款便携式手机取证箱,支持Palm、Windows Mobile、Black Berry和Symbian操作系统智能手机的数据提取。内嵌一台笔记本电脑,通过内部软件可快速提取手机中的重要数据进行取证分析。5)Oxygen Forensic:Oxygen Forensic超越了对普通手机、智能手机、PDA的逻辑分析方法。通过采用高级的底层通讯方法,Oxygen可以比普通的逻辑分析软件获取到更多的数据,对于智能手机具有极佳的获取效果,支持i Phone、Palm、Windows Mobile、Black Berry、Symbian、Android操作系统。

4 面临问题

手机取证是打击利用手机进行犯罪活动的有效手段。随着智能手机的普遍应用,手机取证主要面临以下几个问题:

1)操作系统种类多:不同智能手机操作系统的数据传输和处理方法不很相同,这就需要要对不同操作系统的智能手机进行取证技术的研究,开发相应的工具。2)接口不统一:各厂家生产的手机,数据线接口标准不统一。一般来说,目前的手机取证工具都要配几十到上百条数据线,查找操作相当复杂,如果能通过国际合作或立法统一接口标准,那将大大提高手机取证工作的效率。3)驱动及连接方式不同:不同的型号的手机有相应的驱动程序,不同操作系统的手机又有相应的连接方式,没有驱动程序或连接方式设置错误是很难做到数据提取的,这就需要调查取证人员对各种型号及操作系统的智能手机进行分析学习。

5 结束语

该文对智能手机取证进行了研究,主要从对智能手机取证的证据表现形式以及取证方法进行分析,介绍了一些常用的取证软件,提出了目前智能手机取证技术所面临的一些问题。

参考文献

[1]Ronald van der Knijff,Ten Good Reasons Why You Should Shift Focus to Small Scale Digital Device Forensics Digital Forensic Re-search Workshop(DFRWS),Aug 2007.

[2]Wayne Jansen,Aurélien Delaitre,Mobile Forensic Reference Materials:A Methodology and Reification,NIST Interagency Report 7617,Oct 2009.

[3]Christopher V.Marsico,Marcus K.Rogers,iPod Forensics,International Journal of Digital Evidence,Fall 2005.

手机侦查取证策略研究 第5篇

随着科学技术的不断进步和人们生活水平的不断提高, 手机已经成为普通老百姓日常生活必不可少的通信工具。根据中华人民共和国工业和信息化部的数据, 截至2013年1月, 中国的移动电话用户总数已经突破11亿户。可以说, 手机与人们的生活密不可分。与此同时, 近年来利用手机和手机网络作为载体和工具进行犯罪的相关案件逐年增多。在各种案件的侦查过程中, 通过手机获取线索的情况越来越多, 手机数据证据对案件的侦破也越来越重要。因此, 从手机和手机相关业务中获取线索成为当前案件侦破过程中不可忽视的环节。

然而, 由于很多案件的案情复杂, 不定因素众多, 手机数据证据并不是在每个案件中都具备明显地作用。在此情况下, 手机取证是否需要进行, 怎样进行更加有效, 成为涉案手机侦查中研究的重点, 因此, 构建一个科学的手机侦查取证策略是非常有必要的。

1 手机取证对象介绍

1.1 手机存储数据

在案件侦查过程中, 手机取证其主旨就是从手机或手机相关设备中获取对案件侦查有用的电子数据, 作为案件侦查的线索或证据。随着手机的智能化, 大部分的手机都具备上网功能, 手机相关业务和应用功能的不断增多, 使得手机中能对案件侦查提供帮助的数据范围也在不断扩大。因此, 手机取证在当前已经成为案件侦查的一个重点, 甚至关键点。为了明确提取和分析哪些手机数据证据会对案件有所帮助, 首先要了解手机中存储的数据。

(1) 手机通用功能信息

电话簿, 用于存放联系人的姓名、电话号码等相关联系信息。电话簿通常由手机自身存储电话簿和SIM卡存储电话簿两个部分组成, 包括已删除电话簿的数据恢复, 是当前手机取证中重要的取证对象;

通话记录, 存储本机呼出、呼入及未接等所有相关通话记录, 包括已删除通话记录的数据恢复, 是当前手机取证中重要的取证对象;

短信及彩信, 已发送、已接收、已删除及草稿箱的短信及彩信, 包括已删除信息的数据恢复, 这些信息往往成为发现线索、证明事实的重要依据;录音、视频及图片文件;日程表、记事本中存储的文本信息;其它手机内部存储的各种类型文件。

(2) 常用应用软件信息:GPS地图导航信息, 明确具体地理位置信息;通讯软件 (如邮件、QQ、飞信、微博等) 应用记录, 包括登录账号密码, 聊天内容等;上网记录, 能够记录手机的上网时间、访问网址、以及登录网站缓存文件等相关信息; 连接wifi的账号和密码;蓝牙对接信息和传输文件信息。

(3) 手机基本信息、设备信息, 包括手机和SIM卡中的基本数据、各种程序运行时产生的缓存文件、数据库信息以及设备相关软件和硬件标识等;

(4) 应用服务在网络运营商服务器中产生的信息, 包括用户身份识别信息、基站位置信息和详细通话记录等重要证据信息。

1.2 手机数据存储位置

在手机取证侦查过程中, 必须明确该案件涉及到的手机证据可能存在于什么位置。通常手机数据存储于三种存储位置:

(1) 手机内部存储设备:内部存储设备通常包括SIM卡、ROM存储、RAM存储和闪存, 其中SIM卡是网络运营商为区分不同用户而为每一位用户建立的个人身份识别模块, 主要用途是存储国际移动台识别码 (用于识别手机用户的电话号码和计费账号) 以及通话过程中的加密运算等, 也能存储少量的信息如电话簿、短信及通话记录等。此外, SIM卡中还存有移动网络更新数据和位置识别号;ROM存储操作系统引导映像及各种配置数据;RAM主要存储执行操作系统指令和应用程序产生的临时数据;闪存中主要存放安装于系统中的程序文件以及网络或程序产生的数据。

(2) 手机外部存储设备:外部存储主要是指各种类型的扩展卡, 用于满足用户对手机功能和存储空间的个性化需求。另外, 与手机进行同步的个人计算机也可以归类为一种手机外部存储设备。

(3) 手机网络运营商:在网络运营商的基站系统和网络交换系统中可以获取用户和手机相关识别信息、通讯信息以及位置信息等。

2 手机数据证据类型分析

在案件侦查过程中, 不同的线索或证据会起到不同的作用, 手机中存在的电子数据证据也不例外。从手机中提取到的不同类型的电子数据证据往往可以证实一个人的身份或在事件中扮演的角色、获取重要事件的时间和物理位置信息、确定事件的动机或手段、描述事件的过程等。现将手机中各种数据可以推 断的证据类型总结如下:

(1) 身份证据, 可用以确定嫌犯身份特征的相关证据。如手机号、手机设备标识码、使用软件登录账户和手机持有人身份证号等。

(2) 位置证据, 可用于判断手机持有者位置的相关证据。如所处基站位置变换信息、通话和收发短信时所处基站位置信息和GPS应用程序定位地址信息等。该证据往往需要和时间证据结合判定什么时间点位于什么地方。

(3) 时间证据, 可用于推断事件发生时间的相关证据。如通话时间、短信收发时间、上网时间和基站变换时间等。时间证据通常并不是独立存在的, 需要结合位置证据、事件证据等明确具体事件内容。

(4) 事件证据, 可提供一个事件具体的描述或性质的相关证据, 如通话记录、上网记录、发信内容或网络通讯软件聊天内容等。事件证据往往是手机取证中最重要的内容, 所有涉案证据内容中最主要的部分就是明确事件证据。

(5) 动机证据, 用于推断一个行为动机的相关证据。如, 发送违法信息、传播手机病毒、骚扰电话或诈骗短信等。动机证据往往需要从具体的事件证据中进行提炼和挖掘, 即通过收集相关事件证据推断嫌犯的犯罪动机。

(6) 手段证据, 用于确定犯罪所采用的具体手段证据, 如诈骗类案件中短信内容或上网聊天记录等内容, 可确定嫌犯所采用的诈骗手段。该证据往往需要从事件证据中进行挖掘。

在上述六种证据类型中, 身份证据通常是独立存在的, 用以将网络虚拟身份和真实身份绑定。位置证据和时间证据相结合用以明确对应的位置信息。事件证据往往需要时间证据的支撑。而动机证据和手段证据均为事件证据的引申与推断, 所以也可以把两者看作事件证据的附属证据。几乎所有从手机中获取的数据都可以归纳为上述几种证据类型, 明确手机证据的具体证据类型可以更有效的取证和完善侦查策略。

3 手机侦查取证策略

3.1 手机取证策略分析

手机取证策略通常分为主动侦查取证策略和被动侦查取证策略。主动侦查往往在控制嫌犯手机之前, 通过技术监听手段从移动网络运营商处拿到有价值的证据, 属于一种秘密侦查手段。因此, 主动侦查策略的执行需要严格的审批程序, 用于在重大案件中对嫌犯的动向和有价值线索的掌握。被动侦查策略是在控制嫌犯手机以后, 通过合理的手机取证流程来获取各种手机内的证据, 在被动侦查取证过程中, 往往也需要配合调查手机在移动网络运营商处的一些信息, 但被动侦查所需的证据内容往往更有目的性而且也更加全面。所以主动侦查和被动侦查两者间的主要区别在于控制嫌犯手机这一时间点的前后, 主动侦查偏向与案情线索的收集, 而被动侦查侧重于犯罪证据的获取。

下面对各种不同类型案件中使用手机侦查策略进行分析, 目前牵涉到手机的犯罪行为主要有:

(1) 手机被用来充当嫌犯通信联络工具。此类案件可以采取主动侦查取证策略, 在前期布控嫌犯所用手机, 获取有价值证据。

(2) 利用手机存储犯罪证据, 如视频、照片、短信等文档信息。此类案件往往采用被动侦查策略。

(3) 利用手机诈骗, 如电信诈骗、短信诈骗等。这类案件的发生通常需要对涉案人员手机进行被动侦查取证。

(4) 利用手机网络功能进行犯罪, 如传播反动信息、淫秽色情信息、网络病毒等, 此类案件一般采用被动侦查取证。

此外, 当发生重大刑事案件时, 如杀人毁尸案等, 对现场遗留的被害人手机进行被动侦查取证, 往往可以明确被害人身份等有价值线索。

3.2 手机主动侦查策略构建

3.2.1 策略构建

主动侦查一般是在案件发生之前或案件正在发生过程中, 经过研判明确手机证据对案件侦查会起到绝对作用的前提下进行。在执行前必须进行调查申请, 一个严格的审批程序是手机主动侦查顺利实现的保障。一般将主动侦查分为三个阶段:调查申请阶段、调查阶段和调查结果分析阶段。

调查申请阶段主要包括向上级部门申请对涉案人员手机主动调查的许可, 以及完成与移动网络运营商的沟通工作。

调查阶段是在移动网络运营商的配合下, 对相关证据进行提取。通常包括通话记录内容、短信记录内容、上网记录内容等个人数据以及手机通讯和所处基站位置的实时监听, 此外, 随着监控技术的发展, 可以尝试远程获取手机内部存储文件, 并通过激活手机麦克风、摄像头等设备进行手机现场的语音和视频证据收集, 也可通过手机自带的GPS导航程序获取手机具体位置信息等。

调查结果分析阶段是将得到的证据进行整理分析和调查回顾, 通过证据分析得出案件相关线索, 并做出下一步的行动计划。

3.2.2 证据类型分析

在主动侦查中, 可以通过手机移动运营商处登记手机用户对应身份信息和手机通信记录中对应的电话身份信息, 明确嫌犯及其联系对象的具体身份。此种数据类型构成身份证据。通过手机移动运营商处得到手机所处基站信息、地址转换信息或通过远程激活嫌犯手机GPS获得详细地图信息, 可以明确嫌犯的实时位置数据, 此种数据类型构成位置证据。嫌犯的通话记录、短信记录和上网记录等与网络交互行为, 均会在手机移动运营商数据库中留有时间戳, 此类数据类型可以构成时间证据。嫌犯使用手机产生的具体通话, 短信、上网操作内容或远程激活手机麦克风摄像头功能获取的数据, 这些都可以构建出与案件相关的事件证据、动机证据和手段证据。

3.3 手机被动侦查策略构建

3.3.1 策略构建

手机被动侦查是在嫌犯手机被控制之后进行, 和其它电子数据证据获取方式基本一致, 但在整个过程中仍有很多应该注意的环节, 该过程主要分为以下几个阶段:

(1) 准备阶段:主要包括了解犯罪的目的和动机;成立取证小组;准备手机取证工具

(2) 物证获取阶段:此阶段的主要任务是保护现场证据和物证的完整存储。物证获取阶段大致有如下三个部分:

记录现场:记录犯罪现场的原始状态, 对准确记录所有的可疑证据。

搜集物证:对可疑手机及其相关设备 (如:手机SIM卡、蓝牙、外置存储卡等) 进行搜集。

存储物证:从发现物证开始, 应屏蔽手机信号, 防止与外界通信, 不能对物证的原始状态及其数据有任何的改动, 防止破坏手机数据证据的完整性。

(3) 证据提取阶段:是从手机及其相关设备中提取电子数据证据信息的过程, 该过程主要有:

确定手机型号:由于手机型号的不同, 提取证据的工具也不相同。因此, 首先必须弄清手机的品牌、型号及网络供应商等相关信息。在此过程中, 一定要避免对手机原始数据造成更改。

选择证据提取方法:确定手机型号后, 就选择相应的证据提取工具和方法, 同时, 为了最大限度的提取证据, 在取证中, 可以采用多种取证工具和方法相结合的方式对手机及其相关设备进行证据的提取。

提取证据:确定好适当的取证工具和方法后, 就可以通过取证步骤开始进行证据的提取。这里强调应该先提取手机易失性证据部分, 即如果手机断电关机后就会丢失的, 存储于内存中的程序数据和手机运行状态等。

(4) 证据分析阶段:是对所有提取出的潜在电子证据进行分析, 试图找出有用的线索或证据。对手机证据分析时, 可以从以下几点进行:

①对个人信息如通讯录、短信、备忘录等文本信息, 图片、音频、视频文件和网络记录等常用信息进行详细分析;

②对手机内存、闪存卡、SIM卡等存储介质进行证据分析;

③从移动运营商处获取证据并分析。

(5) 证据提交阶段:在对证据进行分析后, 应出具完整的分析报告。将电子数据证据以可接受的书证形式提供给法庭, 作为对违法犯罪进行认定的证据的一部分。

3.3.2 证据类型分析

在被动侦查中, 嫌犯的身份证据往往可以通过SIM卡配合手机移动运营商处登记数据来获取, 同时嫌犯所有联系人的身份证据也可以通过本机所存电话簿配合手机移动运营商处数据库进行匹配。嫌犯所处位置证据往往需要通过回顾手机移动运营商处对应基站信息进行匹配。此外, 本机自带的GPS程序的地图信息中往往也可能存在嫌犯曾经去过的具体位置, 同样构成位置证据。手机中每一个通话、信息、上网操作记录等都有对应的时间戳信息, 结合手机移动运营商处数据库匹配信息, 可以明确各个事件的时间信息, 构成时间证据。嫌犯手机中具体的通话记录, 短信内容, 上网内容可以归纳出案件相关内容, 归类为事件证据, 动机证据和手段证据。

4 总结

本文通过分析手机数据证据类型, 提出了手机主动侦查与被动侦查两种取证策略的构建。由以上分析看出, 主动侦查相对被动侦查在获取证据时间上有较大优势, 为案件侦破获取先机。但是由于监听技术和监控途径受限, 主动侦查获取数据证据内容并不全面。因此, 在实战中, 应根据不同案件的特点, 选择合适的手机侦查取证方式, 或将两种侦查策略相结合, 为案件侦查提供更好的帮助。

参考文献

[1]Mylonas A, Meletiadis V, Tsoumas B, et al.Smartphone Forensics:A Proactive Investigation Scheme for Evidence Acquisition[M].Information Security and Privacy Research.Springer Berlin Heidelberg.2012.

[2]S.H.Mohtasebi and A.Dehghantanha.Towards a Unified Forensic Investigation Framework of Smartphones.International Journal of Computer Theory and Engineering[J].2013.

[3]戴吉明.手机取证及其电子证据获取研究[J].计算机与现代化.2007.

[4]陈德俊, 丁红军.手机取证研究概述[J].法庭科学.2012.

[5]张明旺.手机取证调查模型研究[J].计算机工程应用技术.2012.