龙 源，邢桂东，郭丽莉，楚川红，仲利静

（公安部物证鉴定中心，北京 100038）

Android智能手机中删除短信的提取

龙 源，邢桂东，郭丽莉，楚川红，仲利静

（公安部物证鉴定中心，北京 100038）

本文介绍了对Android手机物理内存镜像进行关键字搜索获取删除短信数据的案件检验实例。本案中嫌疑人已对涉案手机进行了数据删除操作，现有手机取证工具只能获取部分删除短信数据。但通过获取该手机物理存储镜像，并结合案情选定关键词对镜像进行关键字搜索，最终提取到了与案件相关的删除短信数据，为Android手机检验中删除短信检验提供了一种新的方法。

手机取证；Android智能手机；删除短信；空余空间

1 案例资料

某日，某市公安局将一起涉嫌杀人案件中的嫌疑人手机送我单位进行技术检验，办案单位要求对手机中的涉案短信等数据进行恢复固定。该案中两名犯罪嫌疑人具有一定的相关专业基础知识及反侦查意识，对使用的手机进行了数据删除操作，这给涉案手机中短信等数据的恢复固定工作带来了很大难度。

采用DC-4500手机取证系统（厦门美亚柏科公司，厦门）与Oxygen Forensic Suite2014（Oxygen Software，俄罗斯）对涉案手机中一部Android智能手机数据提取恢复，能够恢复并获取到部分已删除短信数据，但其中并未发现与办案单位提供嫌疑人口供对应的短信内容，考虑到采用的手机检验软件在对Android智能手机进行检验时可能仅分析了手机内现有短信数据库文件的内容，而进行数据删除操作后sqlite数据库可能会将数据库存储空间回收［1］，这种情况下数据删除痕迹将不会留存在数据库文件中，因此调整检验方法，结合嫌疑人口供内容对该手机进行进一步检验。

检验步骤：（1）将该Android智能手机打开USB调试模式，接入检验工作站，使用DC-4500手机取证系统工具箱中Android一键root工具获取该手机的root权限。（2）获取该手机root权限成功后，使用DC-4500手机取证系统工具箱中Android镜像下载该手机的物理内存镜像至检验工作站。（3）将获取的该手机物理内存镜像加载到X-Way Forensics（X-Way Software Technology，德国）软件工具中，再根据办案单位提供的嫌疑人口供选取数个关键词，使用X-Way Forensics的同步搜索功能对物理内存镜像进行底层关键字搜索［2］，可获取数百个搜索命中结果（见图1左）。（4）通过对搜索命中结果的进一步人工筛选，在该手机物理内存镜像中系统分区的空余空间内发现了嫌疑人在作案后串供及合谋销毁证据的相关短信内容片断（见图1右），这些短信内容与嫌疑人口供相互印证，为案件的办理提供了有力的证据。

图1 部分搜索结果（左）和短信内容片断（右）Fig.1 Part of the search result (left) and deleted SMS data fragment (right)

2 讨 论

通过对本案件的检验鉴定，有以下三点认识和思考：一是目前常用的手机检验软件工具在进行Android手机删除短信恢复时通常只分析搜索现有短信数据库中的删除痕迹，并不会对空余空间进行进一步检验，因此在对Android手机进行短信数据检验的过程中，不能过于依赖手机检验软件工具直接处理获得的结果短信数据，应考虑到本案中出现的这种情况［3］；二是近年来涉及电子物证检材的案件不断增多，很多犯罪嫌疑人也具备了一定的反侦查意识，会对电子物证检材中的数据进行删除破坏处理，在案件检验中针对此类数据被删除破坏的检材，应深入研究各类检材中数据的存储机制及原理，充分利用现有技术，结合检材实际情况进行进一步的分析检验［4，5］；三是在电子物证案件检验过程中，应当加强与办案单位的沟通交流，充分了解案件详细信息，在全面考虑检材类型、目标数据属性、案情细节等信息后有针对性的设计检验方案，这样能够大大提高检验工作的效率，最大限度的获取案件相关数据。

当前对Android智能手机短信的检验比较常见，在此类案件的检验鉴定过程中，可以考虑获取机身内存镜像并选取适当关键词进行搜索分析，这一思路供今后工作参考。

［1］ SQLite Documents ［EB/OL］.［2014］.http://www.sqlite.org/docs.html.

［2］ X-Ways Forensics ［EB/OL］.［2014］.http://www.x-ways.net/winhex/manual.pdf.

［3］ 姚伟，沙晶.Android智能手机的取证 ［J］.中国司法鉴定, 2012 (1):45-49.

［4］ 王桂强.手机物证检验及其在刑事侦查中的应用 ［J］.刑事技术，2006(1):25-31.

［5］ 丁红军，范玮.手机物证检验原则 ［J］.刑事技术，2012(3):46-47.

引用本文格式：龙源， 邢桂东， 郭丽莉， 等.Android智能手机中删除短信的提取 ［J］.刑事技术， 2015，40（4）:338-339.

Extracting the Deleted SMS Data from an Android Smart Phone

LONG Yuan, XING Guidong, GUO Lili, CHU Chuanhong, ZHONG Lijing
(Institute of Forensic Science, Ministry of Public Security, Beijing 100038, China)

This paper introduces a digital forensic examination on storage dump from an Android smart phone to access the deleted SMS data.The SMS data had been deleted by the suspect from the Android smart phone.Part of the deleted SMS data could be recovered using DC-4500 mobile phone forensic system and Oxygen Forensic Suite 2014, but proved to be irrelevant to the case.Commonly， the above software can only analyze the SMS database fle， thus the deleted data would no longer exist in the SMS database if the sqlite database had already recycled the storage space.Therefore, a new inspection method was deployed to access the deleted SMS data.At frst， the Android phone was rooted and its hex-dump got with DC-4500 mobile phone forensic system, and then some keywords were selected and searched through the hex-dump by X-Way Forensics.Subjected to further analysis, the evidentially deleted SMS data fragment that the suspects tried to destroy after committing their crime， was fnally found in the free space of hex-dump.Currently， Android smart-phones involved in cases are even more commonly emerging, resulting in the ever-increased necessity to get relevant hex-dumps from the phones and obtain data through keyword-searching into them.The method of this paper could be taken as a reference for future work.

smartphone forensics; Android smart phone; deleted SMS data; free space

DF793.2

B

1008-3650（2015）04-0338-02

10.16467/j.1008-3650.2015.04.021

龙 源 （1989—）, 男，江西永新人，硕士，助理研究员，研究方向为电子物证检验。 E-mail: ga_ly@foxmail.com

2015-02-17