手机取证研究
2014-12-30魏龙飞杨柳任梦雅
魏龙飞 杨柳 任梦雅
摘 要:手机在作为日常通讯工具的同时也成为了犯罪分子实施违法犯罪的作案工具,开展手机取证研究有利于固定犯罪证据,提供侦查线索,本文根据目前手机取证现状开展调查研究,探讨了手机取证的特点、面临的困难,并就取证方法进行阐述。
关键词:手机取证;违法犯罪;证据收集
0 引言
在互联网高速发展的大数据时代,手机作为日常通讯、娱乐及存储工具已成为人们的生活必须品,手机性能的提升给人们的生活带来了便利,但也为犯罪分子开展诈骗、制假售假、黑客攻击、传播病毒、侵犯个人隐私等违法犯罪活动提供了新型高效的作案工具。因此,加强手机取证研究,从犯罪分子手机的存储空间及运营商数据库中还原、分析、固定电子证据并作为案件侦查线索或被法庭认可的证据,对于打击犯罪、惩治不法分子、保障人民生命和财产安全及维护社会和谐稳定有重要意义。
1 手机取证的特点
手机取证是指利用电子数据检验鉴定的技术方法、工作程序及体系,全面、准确、系统地恢复、分析及提取受检手机中有价值的信息,并制作成为法庭认可或侦查机关需要的证据的过程。相对于计算机取证,手机取证是鉴定工作新兴的业务范畴,手机数据标准不统一、操作系统复杂多样、生产厂家品牌众多、更新换代速度飞快等特点均对手机取证工作提出了较高的要求,尽管现有的计算机取证有一定的成功经验可以运用到手机取证中来,但由于大部分手机均使用专有协议,国内电子数据鉴定机构只能对部分品牌的主流手机进行取证,且取证的效果并不理想,同我国司法工作所要求的证据标准相距甚远,所以开展手机取证研究的意义重大。
2 手机取证面临的困难
当前手机取证仍处于探索尝试阶段,不同于计算机电子取证,手机取证面临的以下问题,制约了手机取证的发展及为司法实践服务的效能。
2.1 手机生产管理缺失
目前,主流手机生产厂商在每一部手机出厂时均会授予一个移动设备国际识别码(IMEI),此码犹如人类的指纹,具有唯一性。但一些小的手机生产商,受利益驱使,在监管部门的视线外进行着仿照、生产同主流手机外观雷同、功能相似的山寨手机,并通过伪造IMEI码为成百上千的手机打上相同的设备识别码。而且此种厂家屡禁不止,由于监管缺失,导致此类手机源源不断流入市场,在对此类手机进行取证时,必定位出现IMEI号码对应多个手机的现象,影响取证工作的权威性。
2.2 手机信息提取难度大
一是手机操作系统多。目前,手机使用的主流操作系统有Android、iPhoneOS、Windows mobile、Symbian、Blackberry等,由于上述操作系统来源于不同的公司,不同操作系统文件的存储和管理途径均不相同,导致提取、恢复、解密手机文件及数据也需要寻找不同的方法。二是取证软件兼容性不足。目前市场上的手机取证软件有很多,如盘石、Cellseizure、Celldek等,但一般取证软件只针对部分手机操作系统,缺乏一种取证软件能够兼容所有厂商、所有型号及所有操作系统的手机,导致手机取证费用高昂。三是接口不统一。我国未建立统一的手机数据连接线标准,导致不同品牌、型号的手机充电接口及数据线存在差异,在开展鉴定工作时需要准备不同品牌、型号手机的数据线及充电器。
2.3 手机取证意识不足
在司法实践中,办案人员对手机取证的认识仍停留在短信、话单上,对手机存储的图片、音视频、交易信息等数据视而不见,经常忽略重要的案件线索;在鉴定工作中,由于受经费限制,很多实战单位使用破解或盗版手机取证软件开展鉴定工作,经常出现因软件缺陷导致取证结果不正确的现象。
3 手机取证方法
手机存储了大量使用人的信息和数据,将手机内的电子数据分析提取并制作成有效证据,应按遵循以下几个步骤:
3.1 取证前的准备
开展手机取证首先要针对案件的情况成立取证专班,科学分配取证成员角色,确定项目负责人,为取证工作提供组织保障;同时要对取证设备进行检查,全面检查手机的电量是否满足取证需求、手机网络连接是否断开、手机信号是否屏蔽、手机数据是否进行备份等情况,最后还要全面了解相关法律法规及规章条例,为手机取证工作明确方向。
3.2 手机证据收集
手机中的电子证据主要从手机设备内置存储、扩展存储卡、SIM卡、手机移动运营商(包括手机网络、通话记录、短信等数据)等渠道获取。
(1)手机内存取证
对手机内存的取证可分为手机设备内置存储和扩展存储卡(闪存卡)两种。目前尚无如同Encase那样的计算机取证软件直接备份手机内置存储,需要通过手机厂家或操作系统厂商提供的接口与手机主板连接进行读取或者将手机拆解得到储存芯片再用专门设备进行读取,由于手机的品牌、型号众多,获取手机内置存储数据对取证的软硬件条件均有较高要求。相对于手机内置存储的取证,扩展存储卡(闪存卡)的取证就要容易的多,可直接使用设备接入计算机,再用诸如Encase、Smart、Winhex等这样取证软件进行备份分析。
(2)SIM卡取证
SIM卡为手机移动运营商提供的用户识别卡,主要记录IMSI、MIN、PIN码、密钥Ki、加密算法和其他用户相关信息,因此,SIM卡含有用户存储的电话号码、日程安排、动画、声音、日期与时间、上网缓存记录、通话记录、文本消息等电子证据。由于SIM卡是移动运营商统一提供,是一种标准统一的智能卡,可以用SIMCON、ForensicSIM、SIM-Manager、TULP2G等软件分析取证。
(3)移动运营商网络取证
手机通讯需要移动运营商提供网络及技术支持,故移动运营商网络也包含了很多手机用户有价值的数据信息,手机取证要重点针对移动运营商CDR数据库进行提取,CDR数据库记录手机用户的主叫号码、被叫号码,主叫、被叫手机的IMEI号及BTS(服务基站)等信息。过滤CDR数据,就可以获取SIM卡的通话记录,分析BTS信息,可以获取用户拨打、接听电话及发送、接受短信的精确地理位置。
3.3 取证结果保护
手机取证分析工作的同时要查明所有证据的来源并对元器件进行封装,期间要注意防尘、防水、防静电、防电磁辐射、防震等事项,同时要要实时记录取证结果,保证所有收集电子数据的收集及鉴定过程符合规定程序,没有被更改、转移或销毁,确保提供的证据准确有效。
4 结束语
本文重点针对手机取证的特点、存在的困难及取证步骤进行研究,本文提出的具体观点还需要鉴定专家及实战单位的执法人员进行评价、分析及进一步完善。目前,我国手机取证目前仍处于起步探索阶段,手机取证技术的发展速度远远达不到智能手机更新及4G网络推广的要求,需要鉴定部门进一步提高重视程度,加大对手机取证人力、物力、财力的投入,全面提升手机取证工作的水平。
参考文献:
[1]戴士剑,李运策,梅越.电子物证溯源性研究[J].专题研究,2010(11).
[2]田成亚.智能手机取证研究[D].山东轻工业学院:杨英,2011.
[3]吴叶科,宋如顺,陈波.基于手机取证的调查模型研究[J].计算机时代,2012(12).