Android系统手机电子数据取证研究
2015-12-08苗得水夏
苗得水夏 虹
Android系统手机电子数据取证研究
苗得水1夏虹2
(1南京市公安局网络安全保卫支队江苏南京210000;2南京市公安局玄武分局江苏南京210000)
手机在各种类型的犯罪活动中可以充当联络甚至是用于实施犯罪行为的工具,对手机中电子数据进行提取在案件侦破中具有重要意义。目前市场上的手机操作系统种类繁多,功能复杂,且网络上存在海量第三方应用软件可供下载使用。选取Android操作系统手机的电子数据取证进行实证研究,通过分析取证步骤,总结出取证过程中需要注意的几点操作事项:安装手机驱动程序、结合案情实际需要破解root权限、屏蔽信号取证操作。
Android手机取证电子证据
随着无线通信技术及通信网络的快速发展,人们已经可以通过手机实现在任何时间、任何地点,向任何人发送任何信息。手机已经从单一通讯工具发展为集通讯、娱乐、PDA功能为一身的多媒体通信工具。
手机在各种类型的犯罪活动中可以充当联络甚至是用于实施犯罪行为的直接作案工具,手机取证正是打击这类犯罪的一个有效手段。对手机内存、SIM卡、闪存和运营商网络中的电子证据进行提取、保护与分析,整理出有价值的案件线索,对于案件侦查有重要作用。
1 Android系统手机取证步骤
Android系统手机取证就是对Android系统手机通过技术分析,确保收集手机内的相关数据,并最终从中获取具有法律效力、能够帮助办案人员破案的证据的过程。由于Android手机的协议各不相同,没有统一标准,取证的全面性也有待进一步提高,手机取证面临的困难很多,需要完善相关的政策法律,为手机取证提供保障和支撑。根据手机取证的需要,可以依照以下步骤及方法进行准备及操作。
1.1确定取证方案
在取证开始之前,一般需要根据手机的操作系统来选择适当的取证方法,使用MTK系统的手机需要获取手机镜像,然后通过镜像取证;使用Android系统的手机看是否已获取root权限;iPhone手机则要弄清楚是否已经越狱,因为iPhone未越狱和已越狱所使用的取证方法是不同的。
1.2安装手机配套驱动程序
手机取证需要通过数据线或者蓝牙设备将手机连接到取证计算机,手机对于计算机来说属于外部硬件设备,由于生产厂家不同,有些手机需要安装厂家提供的驱动程序计算机才可以识别。
目前,手机取证设备提供商的取证系统一般都集成了市场上常见的手机驱动程序,并且在版本更新的时候会提供更多的手机驱动。
1.3选择数据线
当通过数据线连接手机与取证计算机时,必须使用型号一致的数据线,有些山寨机和非智能手机,一般还需要通过“镜像采集终端”连接取证计算机才可进行取证操作。
可以通过取证系统的“数据线查询”方便快捷的从数据线包中找到匹配的数据线。
1.4屏蔽手机信号后开始取证
当前三步的准备工作都完成以后,就可以根据具体情况开展工作了,为了避免取证过程中有电话和信息进入对手机的原始数据造成丢失或破坏,需要在屏蔽手机信号并且关闭无线网络的情况下进行。
2 案例分析
2.1案情简介
南京市某公安分局在办的一起涉嫌迷奸的案件中,送检主犯郭某涉案计算机硬盘一块及手机一部。犯罪嫌疑人郭某通过网络购买药物,趁受害人不备,将药物溶解在饮料中,受害人在饮用饮料后出现神志不清的情况,后被郭某强奸,受害人在中毒后两天内仍频繁出现短暂失忆的情况。
2.2案情分析
主犯郭某不承认其购买的是迷药,并且对其购买药物的名称及网站也记不清楚,只交待药物为“麻×散”。由于证据不足,对郭某的行为难以定性,此案很有可能出现从犯以“强奸罪”被逮捕,而主犯逍遥法外的情况,办案单位需要在主犯硬盘和手机中寻找案件线索提供帮助。侦查人员对该手机的短信息、通话记录及手机中安装的IM软件进行取证。
2.3取证前准备
首先需要在取证计算机安装相关的手机驱动,还需要准备与手机匹配的数据线(Android手机一般使用Mini USB接口)。此外,还需要手机信号屏蔽设备,如果条件不具备可以打开手机飞行模式关闭手机信号。使用手机取证系统即可对手机进行取证。
送检手机型号为摩托罗拉MB525,是2011年较为流行的“三防”手机,本案中这款手机安装的是Android2.3操作系统,未取得root权限。
2.4实战操作
(1)屏蔽手机信号后需要在设置菜单的“应用程序”→“开发”设置页面下,勾选“USB调试”选项,将手机与取证计算机相连接。
(2)用手机取证系统加载该手机设备。选择需要提取的通信录、短信、通话记录等项目,本案不需要对手机文件进行分析,所以这里不建议勾选文件系统,否则取证速度会非常慢。
由于该手机的root权限未破解,开始自动取证后,系统会提示我们是否需要破解root权限(图1)。
图2 取证结果
如果不破解root权限,将无法恢复已删除的短信息、通话记录等内容。实现自动提取root后,可以进行电话簿、短信、通话记录等数据恢复,也可以进行QQ、MSN、飞信、上网记录、邮件、微博、Skype、Twitter、Facebook等应用程序的解析,对手机进行全方位的取证。注意:用手机取证系统破解手机root权限并不会改变手机内容,在取证结束后会自动恢复至root前状态。
至此,对于该手机通信录、短信、通话记录等取证工作已经完成(图2)。可以看到,包括已删除的地址薄、短信息、通话记录等内容均已被成功取出。
在获取证据的过程结束后,需要将获取的电子数据以报告的形式导出,提供给侦查人员,为侦查人员的后续侦查及破案提供帮助。
2.5实战总结
在此案中,先是通过分析嫌疑人硬盘中的数据,确定了可疑网站,后从可疑网站中找到卖家的手机及QQ号码,在我们获取到的手机通信录中,存有卖家手机号码,并且在手机QQ的聊天记录中,有嫌疑人与卖家的QQ聊天记录,有嫌疑人向卖家买药、询问药效等内容,最终确定了药物来源、药效、购买动机、购买方式、购买日期等证据。
日前,该案中的主犯、从犯皆以“强奸罪”被检察机关批准逮捕,电子证据在此案中发挥了至关重要的作用。
3 结语
通过实战可以看出,对Android操作系统手机的取证过程中,安装手机驱动是必备的前提操作,是否需要破解root权限则由案件决定,选择在root或是非root的情况取证在于案件是否需要恢复已删除的短信及电话簿。在勘验人员的实际工作中,通常还会遇到一些突发来电干扰取证过程,因此有必要在屏蔽手机信号的情况下进行工作。由于手机品牌众多及Android的开源性特点,有些厂家会对Android系统的功能和模块进行定制及修改,这些都会对取证工作造成影响,需要我们在实际工作中摸索解决。
[1]黄步根.电子证据的鉴定[J].信息网络安全,2004,(9).
[2]麦永浩.计算机取证技术研究初探[J].警察技术,2006,(4).
[3]王俊.论电子数据鉴定[J].证据科学,2008,(2).
(责任编辑:孟凡骞)
D918.2
A
2095-7939(2015)01-0049-02
2014-11-17
苗得水(1983-),男,江苏沭阳人,南京市公安局网络安全保卫支队助理工程师,学士,主要从事手机取证、手机数据恢复研究。