王即墨　计超豪

【摘 要】手机在犯罪的过程中出现的频率越来越高了,对手机的取证也显得越来越重要。本文介绍了手机机身内存、SIM卡、存储卡的取证方法及展望。

【关键词】手机取证 SIM卡 电子取证 数据恢复

一、引言

随着移动通信技术的不断发展以及服务水平和服务种类的不断提高,手机已日益成为人们工作生活中不可或缺的联系工具。犯罪嫌疑人所使用的手机上往往存储着大量的与案件有关的信息,能够为公安机关侦查破案提供一定的证据或线索。手机取证正是打击这类犯罪的一个有效手段。手机取证是从手机SIM卡、手机内存、闪存卡中提取短信、电话本、通话记录、多媒体等信息进行分析,整理出对案件有价值的线索且能被法庭所接受的证据的过程。目前,牵涉到手机的犯罪行为大致有三种:一是在犯罪嫌疑人的实施过程中用手机来充当通信联络工具;二是手机被用作一种犯罪证据的存储媒质,比如,照片、视频等;三是手机被当作短信诈骗、短信骚扰和病毒软件传播等新型手机犯罪活动的实施工具。

二、电子证据来源

手机取证的电子证据来源主要来自手机SIM卡、手机内存、闪存卡。

三、SIM卡信息的提取

1.短信息和电话号码的提取

每张SIM卡都提供了存储信息的空间,只是有些SIM卡之间提供的空间大小不一定,但是内部的结构基本都是一样的。SIM卡中提供给我们存放的空间就是短信息、电话本以及已拨电话。

每个短信息空间占176字节,一本64KB的SIM卡中有50个这样的空间。每个空间由这几个部分组成:第一个字节为Stat us (状态字节);第2-176字节为TPDU(传送协议数据单元)。状态字节的值如定义如下:00000000表示空间没有被使用;00000001表示已读的短消息;00000011表示未读的短消息;不同的手机删除短信的机制的不同,有的手机在短信删除时只是将短信存储区的第一个字节(状态字节)的值改为00000000,第2-176字节中的内容未作任何修改,所以这条短信还是存在的,只是在我们手机里面不能显示,只要没有被新接收的短信覆盖掉,我们可以通过SIM Card Seizure软件加上配套的SIM卡读卡器将其中的内容恢复出来。而另一些手机除了将短信存储区的第一个字节(状态字节)的值改为00000000外,第2-176字节中的内容全部修改为F,这样实际上短信的内容已经不存在了,因此,现在还没有软件能将其内容恢复。

在SIM卡中电话号码是以二进制的编码方式存储的,每个存储空间包含一个名字和一个号码。当电话号码删除后,存储空间的信息就被十六进制的F覆盖。因此,恢复被删除的电话号码是不可能的。存储空间是循环分配的,通过识别用过的空间之间的空闲空间通常可以发现存储的号码被删除过。SIM卡也能存储最近的已拨号码。这些号码是以二进制的编码方式存储的,前面提到的软件SIM Card Seizure可以将其读出。

2.实验结论

所用设备:一台电子物证检验工作站,SIM Card Seizure软件及配套SIM卡读卡器、Nokia6300手机、Nokia6120C手机、多普达S1手机、一张中国移动神州行SIM卡。利用上述设备,对有关信息反复地进行发送和删除,每一次利用软件工具进行检验,记录每次所得到的数据。实验发现Nokia6300、Nokia6120C删除的短信是可以被恢复的,多普达S1删除的短信不能被恢复,但是短信存在的位置显示空白,这个标明这里有原本的短信已经被删除。短信删除后当手机收到新的短信后的存储位置:通过实验发现是随机存储的,并无任何规律可循。另外,三部手机删除的通讯录全部不能被恢复。

四、手机内存卡数据的提取

手机内存卡的数据提取相对是比较简单的,我们可使用诸如Encase、FTK的取证软件工具来获取存储卡上的数据进行分析以及恢复。

五、手机机身数据的提取

从手机内置flash存储中提取数据就要显得复杂一些。目前,有两种途径获取其中数据的方法,一种是通过拆解手机,得到其内存芯片,接着使用专门的芯片读取设备来获得其数据镜像,然后,就可以对提取的数据镜像进行分析了。另一种是根据不同手机型号的数据线与手机主板连接,然后,从中读取内存芯片的数据信息。这些方法虽可减少在取证过程中外界因素对取证数据的干扰,但对取证人员的手机硬件知识以及对各类手机的操作要求很高。

第一种方法在办案过程中是没有办法应用的,因为在现实案件中,案犯所用的手机基本都是不相同的,而每款手机采用的芯片也是不一样的,所以,芯片读取设备也是不一样的。

第二种方法现在是可以实现,已经有越来越多的设备对各种手机品牌的支持。比如,Cellebrite UFED是独立主机手机取证设备,基于手机底层硬件规范和通讯协议核心技术,摆脱传统手机取证采用的“PC+软件+数据线”模式的诸多弊端。能够通过数据线、红外、蓝牙从1780多款品牌手机提取重要数据如电话薄、图文、视频、文本短消息、通话记录、ESN和IMEI信息。现在,对手机机身的数据恢复是一个难题,因为手机存储的格式及编码都是不统一的,所以很难对手机机身删除的信息进行恢复。到目前为止,还没有一个设备对机身删除信息的恢复有很好的支持。现在还有一个难题就是对山寨手机的数据获取,现在国内的山寨手机已经越来越多了,占据了很大的一个市场。而每一款山寨手机的通讯协议都是不一样的,所以大部分的手机取证设备对山寨手机的支持都不好。

六、结束语

手机取证现在还是一个不很成熟的技术,还需要不断地发展。SIM卡删除信息的恢复,这个也许随着深入的研究,有办法对所有SIM卡删除信息的恢复。手机外置存储卡的恢复,这是一个比较成熟的技术,专门针对这些存储卡的分析、恢复软件业很多。对山寨手机的取证,因为中国大部分的山寨手机内部采用的芯片是使用联发科的,我们可以试着开发针对联发科芯片的一个取证工具。现在,好像有些厂家对山寨机的取证技术已经有所突破。

参考文献:

[1]董立波,罗洁,邵永军.SIM卡中信息提取方法的研究[J].刑事技术,2007.

[2]赵小敏.手机取证概述[J].网络安全技术与应用,2005.

[3]戴吉明.手机取证及其电子证据获取研究[J].计算机与现代化,2007.

[4]米佳,刘浩阳.数字移动设备取证方法研究[J].湖南公安高等专科学校学报,2007.