苏 洋

（北京瑞源文德科技有限公司，北京100176）

引言

当今，有的作案人的犯罪活动日趋隐蔽化、智能化、群体化、新型化、反侦查化等特点,尤其对手机中存储的关键线索数据都有较强的防范意识,主动销毁、故意损坏、提前删除等手段层出不穷[1]。2012年新修改的《刑事诉讼法》将电子数据首次规定为法定证据类型。手机芯片作为手机机身数据的载体，如何直接提取案中的破损手机及破损的密码保护手机、特殊系统手机芯片中的电子数据，已经在刑侦过程中凸现出来。

一、典型案例分析

（一）浸水手机案例

典型案例1。在某刑事案现场，找到几部浸水时间超过1月的手机，由于水泡时间过长，所有标签、手机电路板都遭到破坏，其中1部手机如下图所示（图1）。委托单位希望通过技术手段，得到手机机身IMEI,同时尽量获取机身存储数据，进行身份识别、线索分析。

图1某案现场浸水1月余的手机

该手机电路生锈严重，常规的手机开机检验已经不可能，只能将手机电路板上的主存储芯片与手机电路板分离后，通过专门手机芯片提取设备进行读取，然后再对得到的机身数据进行分析。

首先，将机身外围无效器件、锈蚀部分清理掉，露出主存储芯片。该手机采用存储为256Mb Nand存储芯片。在芯片读取设备的支持中确认可进行数据读取后，开始拆除芯片，即将热风枪调节到270℃加热60秒后，将芯片与主板电路剥离。

其次，对拆除的存储芯片进行预处理植球除胶后，放置在专用读取设备上读取，用时约1分钟。

最后，对读取手机芯片数据进行分析，通过分析系统，自动与手动结合进行分析，得到相关手机IMEI 2条，通话记录若干。最终通过运营商协助确认本案手机的真实IMEI，为本案提供了重要线索。

（二）破损手机案例

典型案例2。嫌疑人在抓捕过程中，故意将HTC G14手机损坏，机身屏幕粉碎，机身被折弯为90°角，导致手机无法开机。办案干警希望通过技术手段获取相关机身数据。

本案手机电路如下图所示（图2），由于主板电路集成度已经非常高，仅占据屏幕上方1/3的空间，因此，将手机电路拆下后发现，虽然机身变形严重，但主板电路完整度较高，而且存储芯片为新型三星EMMC 4G容量存储芯片。

图2 HTCG14手机存储芯片和电路

本案对应数据提取过程如下：

芯片拆除、准备过程同案例1。

芯片读取过程。由于EMMC芯片具有高速、控制算法集成等特点，4G容量仅需要10分钟左右即可全部读取完毕。

数据分析。利用现有成熟分析系统，以及开源硬盘镜像分析工具，即可快速整理本手机安卓系统中的EXT4文件系统分区，快速到用户数据目录，继而分析得到用户相关数据、电话簿、通话记录、短信若干条。由于安卓系统使用的Sqlite数据库，通过进一步分析，还可得到对应的部分删除数据。本案同时获取包含机身图片、视频、录音文件等多种格式，为侦查破案提供了大量基础数据和相关线索。

（三）加密手机案例

典型案例3。嫌疑人手机为moto XT910智能安卓手机，设置了开机屏幕保护锁，安全锁类型为9宫格，且相关系统开发者选项中，ADB调试模式关闭。

由于安卓手机本身硬件方案的不同，存在着很多软件硬件漏洞，可以方便破解及绕过开机屏幕保护锁。但是，Moto XT910手机使用了TI的一款CPU,硬件上没有相关破解方法，软件上由于安卓系统为2.3.6，也是当时最新的操作系统，也没有可以使用的任何软件漏洞。综上所述，最终同意通过拆卸存储芯片的检验手段进行数据提取。

本案对应数据提取过程如下：

芯片拆除、准备过程同案例1。

芯片读取。本案手机芯片为东芝 16G存储芯片，由于容量巨大，因此，整个读取过程耗时2小时。

数据分析。由于本手机系统为yaffs文件系统，因此，分析难度巨大，目前还没有好的方法可以分析，但由于手机本身电路完好，因此，通过技术手段，分析找到了安卓系统中存储 9宫格的密码文件 gesture.key。通过分析，首先破解得到了真正的开机密码；其次，通过手机芯片返修设备，将存储芯片重新安装到手机上；最后，输入破解得到的密码后，验证通过，手机正常进入，通过常规手段获取了大量数据，其中包含数量众多的微信聊天数据，为本案侦破提供了大量线索。

二、手机芯片提取

手机芯片提取技术,是基于手机及其他通用小型化数码设备的存储芯片,直接针对存储芯片进行提取,从而获取最终数据的方法。随着手机技术的快速发展和智能手机的高度普及，手机检验技术也不断细分，根据检验工具采集信息的渠道不同，共分为：人机交互界面直接检验；应用层接口检验；系统层接口检验；芯片级检验；微读技术等5个等级。第一级由于纯手工开机检验无需产品；第二、第三级目前都有相对成熟的产品(MPE+/UFED/Oxygen……)；第五级由于仅仅存在理论支持，因此，商用产品还未出现；第四级的芯片检验，是目前正在逐渐成熟中的解决方案，该检验摆脱了手机硬件设计的束缚，直接通过对存储介质的读取获得检验数据，是存储芯片中的原始二进制数据。

（一）芯片提取的优势

手机芯片提取技术实施上，主要包括数据提取和数据分析两个阶段[2]。提取阶段主旨在保证芯片安全可追溯的前提下进行证据的固定。数据分析则是根据提取二进制数据进行编码转换、数据分析、数据挖掘的过程。

芯片提取优点：不受制于待检设备、软件系统、外围硬件、系统接口等众多限制，直接通过芯片接口,提取，从而简化因设备型号等外围条件设定下的障碍；提取复杂度低，可靠性高，速度快，绝对直读，可提取全部数据镜像；同时，针对本身损坏的检材，几乎是唯一的解决方案，又可称之为终极解决方案[3]。

（二）芯片提取的劣势

芯片提取的劣势和缺点：首先，它属于破坏性检验，芯片的拆除属于有损检验,拆除后,再重新安装到设备上恢复原始状态有很大的风险与难度。其次，提取的数据分析难度较高，因提取的文件系统，软件系统种类众多,数据的分析难度要求较高；对于一些芯片级别数据加密，由于硬件加密算法目前还没有解决方案。最后，芯片提取时，对芯片的拆除技术和动手能力要求也较高，不过，随着BGA返修设备的引入，高要求正在逐步降低过程中。

通过以上芯片提取技术实施的详细阐述，可见目前芯片数据提取技术已经相当成熟，可以保证提取过程对芯片数据的最大保护。而数据分析因商业工具对手机数据的支持还存在盲点，还难以完全实现自动分析，还需要很多手动分析挖掘过程。但总体上，手机芯片提取技术已经具备实际应用条件，已在侦查破案中发挥作用。

三、芯片提取技术的应用场景

（一）损坏手机数据恢复

人为物理损坏手机。包括人为暴力破坏手机和刀砍斧剁手机等。在案例1和2中，人为损坏手机情况很明显，破坏目标多为损坏手机机身。还有如车祸现场手机受到外力挤压，以及高处掉落手机等。由于手机物理损坏程度不同，对于当前主流手机，外壳的坚硬程度在快速提升，与此同时，手机电路板体积在不断下降，尤其是智能手机集成度越来越高,手机电路仅占手机机身容量1/3甚至更少，更多空间都被屏幕、电池等附件占据，手机电路上的存储芯片尺寸更是被控制在非常小的体积之内。因此，对于物理损坏手机,只要保证手机电路上的存储芯片本身完整,芯片提取的可行性就存在，并且成功率非常高。

水浸损坏手机。在长时间的水浸后,手机电路上的存储芯片早已转为BGA芯片，BGA芯片封装的焊锡接触位置在芯片下方，与电路板直接接触。而且目前主流手机厂商为了提高产品可靠度，都会在存储芯片周围进行涂抹胶水，在这层胶水的保护下，就能保证存储芯片焊接处与水隔绝。因此，即使长时间浸泡在水中，电路等外设备生锈，手机芯片仍可长时间维持原样，其中数据也会一并保留下来，案例1便是典型，成功提取并解析的几率非常高。

过火手机。由于 BGA芯片正常焊接温度为270℃～320℃，用时约需60~70秒。火灾现场过火的手机，因有外壳的保护与隔离，存储芯片温度很可能不会超过阈值，即使外壳熔毁，存储芯片本身还有可能保留并具备成功提取的可能。

（二）智能手机密码破解及密码绕过

对于密码保护的手机，在案件中出现的几率随着智能手机的普及，大众隐私的关注逐年提高，手机功能的增加等因素也在逐年上升过程中。因此，对于密码保护的手机数据进行提取、破解或绕过密码的手段，也在不断发展与完善过程之中。但无论密码破解技术与硬件后门技术多么强大，都会有盲区，因此，在某些特殊情况下如案例3，通过有损的芯片检验方式来进行密码破解与密码绕过提取数据，都非常有效且符合实际的实施方案。

安卓锁屏手机。目前常见安卓手机都有一些硬件后门，以及软件漏洞可以通过这些方式快速破解密码或移除密码。但是，有些特殊安卓手机，没有任何软硬件后门方式可破解，但由于机身BGA存储芯片对内部数据并不加密，因此，通过BGA芯片级别提取数据后，就可完全不受屏幕锁干扰，直接提取机身全部数据。提取数据为全部机身镜像，文件系统还原后即可得到文件数据，从而分析得到机身全部相关数据。

黑莓密码保护手机。黑莓手机的安全性始终非常高，尤其在数据传输过程中对数据的保密性很好。但是，由于黑莓手机存储芯片本身并不加密，依旧可以利用芯片提取技术，绕过开机密码进行数据获取。

（三）定制系统手机和无数据接口手机

定制系统手机，主要指早期淘汰的或市场占有率非常低的特殊系统手机。市场上目前还存在着大量简易手机，即无任何数据接口手机。这些手机，系统随意性高，功能简单，是传统电子取证商业产品不能覆盖支持的盲区。由于这些手机是使用较为通用的存储芯片进行存储，而且对存储数据并不加密，因此，利用芯片级提取技术，依旧可以绕过一切开机密码，直接得到机身全部镜像数据，通过数据解析即可得到机身的相关数据：电话簿、通话纪录和短信息等，甚至包含机身删除部分的数据。

四、结语

芯片提取技术,基于手机芯片的数据提取，特别是损坏手机的数据提取,从手机硬件底层的存储芯片，直接直读方式提取全部电子数据。具有数据完整度高，手机品牌型号差异性限制低等特点，是涉案手机尤其是损坏手机电子数据采集的终极解决方案。相关操作步骤,数据解析上的每个环节,都在跟随手机设备本身的发展而不断更新。可以预见未来，芯片级提取技术在密码破解，损坏手机数据恢复等领域，一定会得到更大的关注,必然会在未来的刑侦工作中起到更大的作用。

[1]王桂强.手机物证检验及其在刑事侦查中的应用[J].刑事技术,2006(1).

[2]Rick Ayers.Sam Brothers.Guidelineson Mobile Device Forensics,2013.

[3]丁红军.手机规范取证研究[J].信息网络安全,2012(5):88-91.