崔鹤群，赵 强

(天津市公安局物证鉴定中心，300193)

1 案件检验

2014 年某日，柏某被扎伤后，抢救无效死亡。案件侦查提取柏某“三星”牌Android 智能手机，型号为GT-I9200，拟对其短信息、即时通讯记录等进行检验。

技术人员发现手机使用 “腾讯手机管家”手机防盗功能[3-4]将手机屏幕锁定，需要输入“90”开头的QQ 号码解锁，同时该手机的USB 调试模式未开启。办案人员提供的手机持有人柏某QQ账号，也并非“90”开头。故此，现有的手机取证工具无法提取手机的短信息、即时通讯记录等与案件相关的数据。技术人员根据查询手机的出厂日期，判断此手机版本应为4.0 以上版本，支持MTP 协议，可以尝试利用MTP 协议查看和拷贝该手机中文件。

将检材接入取证工作站（windows 7 操作系统），发现弹出“自动播放”窗口（见图1），点击“打开设备以查看文件”选项, 进入手机内存储的文件夹界面，发现腾讯公司的即时聊天工具“tencent”文件夹（见图2）。进入“tencent”文件夹，在其文件夹内发现为“MobileQQ”的文件夹（见图3）。内有一个“90”开头的文件夹（见图4）。以此QQ 号码作为解锁密码，顺利的解除了屏幕锁。手机屏幕锁解除后，打开手机的USB 调试，使用手机取证工具成功提取出短信息、即时通讯记录等与案件相关的数据。

图1 自动播放窗口Fig.1 Automatic playback window

图2 文件夹界面及”tencent”文件夹Fig.2 Folder interface and “tencent”Folder

图3 “tencent”文件夹界面及“MobileQQ”文件夹Fig.3 “tencent”Folder interface and “MobileQQ”Folder

图4 “MobileQQ”文件夹界面及“90”开头文件夹Fig.4 “MobileQQ”Folder interface and “90” beginning Folder

2 讨 论

针对第三方手机安全软件，其设置要求输入QQ 账号的屏幕锁方式与Android 系统原生的防盗锁加密方法是不同的。当被检手机USB 调试模式未开启的情况下，Android 系统可用MTP 协议使手机与PC 进行数据的查看和交换，达到解除屏幕锁的目的。值得注意的是，只有在操作系统安装Windows Media Player 10 或者更高版本才具备支持MTP 协议能力。随着Android 版本的更新，当前的4.3 和4.4 版本在没有解除屏幕锁（包括第三方软件）的情况下，拒绝PC 访问手机内的文件，也就是说我们只能看到一个以手机“设备名称”命名的盘符存在，并不能看到盘符里面的文件。所以，针对4.3 和4.4 版本使用上述办法是不能查看到手机内的任何文件的。MTP 的用途是传输媒体文件，并从（向）设备关联元数据，对设备的远程控制有可选的额外支持，读取和设置设备参数，如特别的DRM 相关的受限内容设备参数。利用此用途可直接导出所需的媒体文件和即时通讯等文件信息，大大缩短了取证时间，提高了工作效率。

[1] Innost. MTP in Android [EB/OL]. [2013-5-2]. http: //blog.csdn.net/innost/article/details/8876392.

[2] 邓凡平.深入理解SEAndroid（卷1）[M]. 北京：机械工业出版社, 2011.

[3] 明日科技.Android 从入门到精通[M]. 北京：清华大学出版社, 2012.

[4] 郭宏志.Android 应用开发详解[M]. 北京：电子工业出版社, 2010.