蔡鸿祥 蔡伟民

手机电子物证的提取和应用

蔡鸿祥1蔡伟民2

（1.汕头市公安局，广东汕头515000；2.广东省公安厅刑事技术中心，广东广州510050）

本文通过对当前手机检材提取流程的全面分析与描述，详细论述了手机电子物证的提取方法以及应用方法，同时针对手机检材如何避免受“污染”进行了概括分析。

电子物证检材提取检材应用数据恢复

引言

随着近几年来手机的飞速发展，手机已经成为人们交际圈中不可或缺的一部分，另一方面，也成为犯罪分子作案的重要工具之一，诸如电信诈骗案、短信病毒、网络诈骗案等。从手机中提取的信息可以给犯罪侦查工作提供重要的帮助，其重要性被越来越多的人所认识，手机也已经迅速成为物证检验鉴定的新对象。

1 手机检材的提取和送检

手机取证（CellPhoneForensics）和计算机取证（ComputerForensics）往往具备很多共同的特点，许多办法、手段和取证工具是通用的，甚至最基本的取证规范、指导原则也是相同或类似的。手机取证也归属于电子物证的范畴，因此，手机检材不同于常规的物证检材，它和电子物证一样，是非常脆弱的，且易被改变和有易灭性。现场取证的工作人员应该加强对证据安全的风险意识的提高，任何不恰当的操作都可能会改变甚至丢失手机中的电子信息，从而使得检验结果或证据价值降低甚至产生负面的效果。

1.1 手机检材提取后的保护

提取后涉及的问题是否要关闭或者开启手机。原则上是先维持手机的原状态。如果手机处于关闭状态，原则上是不要开启它；如果手机处于开启状态，要先拍照固定手机上的短信、通话记录、电话簿内容、微信、QQ聊天记录等，然后及时关闭它（除一些特殊情况需要开启手机外）。必要时候还要先把开启的手机放入金属信号屏蔽袋内、手机信号屏蔽箱或手机信号干扰器进行存放，且及时给手机充电，防止新的来自网络通信信息或者新的通话记录、信息等进入手机造成对检材的“污染”破坏，有些甚至是为了防止恶意远程擦除和控制手机。

1.2 手机检材提取的注意事项

在提取手机检材时，要防止嫌疑人以任何理由接触到手机检材，以防手机信息被破坏或者更改，现场侦查人员还要询问或者寻找获取手机的PIN码或PUK码，必要时候还要获取微信、QQ等工具的密码，并注意提取手机充电器、连接线缆等附件和使用说明书等。在案件有特别需求的情况下（检材手机证据固定前提下），可以让检材手机开启以监视手机通信等情况。

1.3 手机检材提取后要注意程序正义

在提取后要尽快送往电子物证鉴定室检验，并附带上掌握的手机信息和配件、说明书等。除非案件特别紧急，一般情况下侦查员最好不要自行查看或提取手机信息，以免破坏手机存储信息，也避免手机信息作为证据使用时受到质疑，影响案件的取证侦破。

2 手机电子物证信息的检验

目前，第四代移动通信技术的飞速发展，国内只有两种制式的4G网络，分别是TD-LTE以及FDD-LTE。加上3G时代的TD-SCDMA、WCDMA，也就是所谓的五模TD-LTE、FDDLTE、TD-SCDMA、WCDMA和GSM。用的手机卡有标准SIM卡，Micro-SIM卡和Nano-SIM卡。手机数据的存储有机身自带的内存以及扩展卡（一般为TF卡）。这些存储介质保存了与案件有关的电子数据（如通话记录、信息、记事本、聊天视频信息、手机银行信息等），而这些信息的掌握和获取也是电子物证取证的一个重要环节。

图1 目前三种手机卡

2.1 手机SIM卡的检验

SIM卡（包括Micro-SIM卡和Nano-SIM卡）也称用户识别卡，包含有用户识别号、用户存储的电话号码列表、最近呼出、呼入和未接的电话号码列表、文本信息等信息。对SIM卡进行取证分析时，可使用一种UICC读卡器（常用的有USB接口和COM接口）来读取。在取证工具的选择上，可以采用以下方式进行取证。1）专用取证设备内置读卡器：这类设备的优点是使用方便，缺点是不方便采用其他取证软件进行分析，如果遇到Micro-SIM卡和Nano-SIM卡，可能无法采用转换器进行直接转换。这类设备包括CellDEK、CellebriteUFED等；2）手机取证软件+UICC读卡器：此类组合的优点是灵活性强，调查人员可根据自己的经验和习惯选择合适的取证软件，但缺点是使用不同的读卡器可能会导致取证软件无法识别卡片。

2.2 手机机身内存的检验

由于目前手机类型繁多，对技术要求很高。目前手机多为智能手机，系统主要为谷歌安卓系统（Android）、苹果iOS系统和微软Win⁃dowsPhone系统。手机机身中存储着大量的信息，主要包括：手机识别号，电话簿资料，发送、收到或编辑存储的短信和彩信，图片，动画和录音录像等，通话记录，日历日程安排信息，被存储的可执行文件和其他计算机文件，不同浏览器的上网记录和缓存，微信、QQ等聊天记录，支付宝、微信转账、手机银行等涉及金钱交易的记录。以上信息在不同手机不同系统的格式和内容可能会有所不同，所以在检验之前要先了解一下取证手机所用的系统、固件版本、以及不同文件所在的位置和浏览方式等。有些手机直接接入只读计算机取证专用机则可以读取机身内存，有些手机则需要安装手机商相应的软件，有些则需要借助命令语句或一些第三方软件来读取机身内存。

图2 目前三大主流手机操作系统

2.2.1 安卓系统（Android）

Android的智能手机，具有大部分Linux操作系统的文件结构，有些手机可以进入Android系统的Recovery模式或者使用专用的厂商工程模式工具或第三方工具（DroidExplorer、An⁃droidSDK、SQLiteDatabaseBrowser或其他图形界面的软件）进行内部存储镜像的提取（如三星公司的ODIN工具等）。

默认情况下，任何Android设备都是不具备root权限的，这样通过ADB（AndroidDebug⁃Bridge,Android一个很重要的调试工具）或者其他软件的方式将无法访问所有数据，所以，必须先使设备取得root权限。对Android手机获取root权限主要有以下几种方式。（1）获取临时root权限，这种方式主要是利用一些漏洞进行，但一旦重启设备，root权限即将清除；（2）完全root权限，也称永久取得root权限，这种方式获取root权限后，重启设备也不会导致root权限被清除；（3）恢复模式root权限，这种root权限需要通过进入Android恢复模式，刷入第三方ROM获取，由于这种模式会导致原有数据覆盖，故不宜作为取证方法。

2.2.2 苹果iOS系统

iOS操作系统与苹果的MACOSX很多方面都具有共性，可以使用DD命令获取以上两种手机的内部储存；常用的iPhone取证工具有iPhoneBrowser、iPhoneBackupExtractor、iPhone BackupBrowser、iStalkr、PropertyListEditor等。

默认情况下，第一次使用任何iOS设备时用户都需要连接iTunes软件进行激活，该过程iTunes会自动对iOS设备进行备份。所以，在使用针对iPhone智能手机取证软件时，一般不需要手动指定备份文件的位置，程序将能够自动在相应位置读取备份文件信息。也可以直接打开iTunes，选择“编辑”→“偏好设置”→“设备”来查看当前计算机中保存的iTunes备份设备信息。

iCloud是苹果公司随iOS5正式发布的功能，其主要作用是对iOS系统中的系统信息、照片信息、用户文档及其他应用程序信息进行云备份，将上述数据存储于苹果公司服务器。iCloud服务使用用户的AppleID作为账户，通过对iCloud中备份的设备数据进行分析，可以在未掌握调查对象手机等设备的情况下远程提取设备中的短信、通话记录、联系人、照片以及应用程序等。在掌握AppleID及密码的情况下，可以使用ElcomsoftPhonePasswordBreaker（EPPB）对iCloud备份进行下载。

2.2.3 微软WindowsPhone系统

WindowsPhone的智能手机和Windows操作系统一样，都具有注册表结构和InternetExplorer浏览器，既有的取证软件可以继续在手机取证中使用。由于WP手机和目前Windows系统有很多类似和共通之处，取证方法也和Windows有着很多类似可参考之处，在此不做详述。

2.3 外接扩展存储器的检验

手机外接扩展存储器（普遍为TF卡）作为机身内存容量的扩展和补充，同样也是重要的电子证据的来源，也存储着图片、声音、录像、上网记录以及软件等记录。它的取证类似于计算机（Windows系统）的硬盘、优盘等取证方法。在进行取证时，可对其制作副本、将其保存为证据镜像文件进行分析，或直接将其接入只读计算机取证专用机，使用取证分析软件（如硬盘浏览软件、文本图像视频数据库分析软件等）来读取其内容进行分析。

3 手机被删除数据的恢复和检验

手机内部存储有非常大量的对犯罪侦查有帮助的电子信息，由于一些人为的或者外来因素导致内部存储资料的丢失，为了找回这些资料、帮助案件的侦查取证，所以有必要对手机被删除数据进行恢复和检验。

3.1 SIM卡被删除数据的检验

SIM卡唯一标识一个客户，芯片中储存有用户的数据（电话号码、短信息、通话记录等），按容量有16K，32K，64K，128K，512K，1M等多种，其中512K以上的大容量SIM卡统称为STK卡。SIM卡上共有三种数据文件，主文件MF（MasterFile），专用文件DF（DedicateFile）和基本文件EF（Element File），其中每个文件都有唯一的16bit文件标示号。可以利用SIM卡数据恢复软件（Unde⁃letesms、SIMCardSeizure、SIMCardDataRe⁃coverySoftware等）和PC/SC读卡器等智能读卡器配合进行分析、恢复SIM卡中删除的数据。当不知道手机PIN码或者PUK码的时候，不要自行尝试去输入，因为多次输入不正确会自动启动SIM卡的自毁程序，导致SIM卡失效，最好与侦查员联系，看是否能从嫌疑人或者运营商那里获取到。

3.2 手机机身内存被删除数据的检验

由于手机操作系统以及固件版本的区别，使用的恢复数据的方法也不尽相同。所以在恢复被删除数据前，应该对被检验的手机有相对的了解，才能有针对性地使用办法对其恢复数据。有些手机生产商还提供有专门的软件包，用于读取和恢复手机储存的资料，这些都可以作为辅助的手段之一。不同手机的恢复方法可以结合前文说到的手机机身内存的检验方法用一些恢复软件（如FinalData、EasyRecovery、SuperRecovery或其他针对性软件等）进行扫描恢复。

3.3 手机外接扩展存储器被删除数据的检验

外接扩展存储器和计算机的取证是有很多相同或类似之处的，可以完全按照处理计算机硬盘等存储介质的办法，对其制作副本或者将其保存为证据镜像文件，用数据恢复软件（如Encase、FinalData、EasyRecovery、SuperRecov⁃ery等）进行数据扫描恢复。

3.4 使用一些特殊手段或者专门设备检验被删除数据

对于一些安卓手机，获得root访问权限，通过终端在手机端执行DD命令或者类似的方法，获取到一些已经删除的数据，也可以借助一些新的专门用于手机数据恢复的设备进行数据的恢复，对于一些苹果手机，也可以通过iCloud等方式进行辅助侦查，恢复备份数据等。对于手机的取证、数据恢复是一项相对创新、不断发展的学科，智能手机能在司法取证中发挥作用，是智能手机对我们生活越来越重要的又一佐证。

4 手机电子物证的应用

手机的发展越发智能化，已经成为人们生活不可或缺的一部分，智能手机可以像个人电脑一样配备有独立的操作系统，从原先单纯的通话工具发展成为集通话、多媒体通信、网络接入为一体。在司法实践中，智能手机作为物证和电子数据储存源的地位越来越突出，通过它能查找犯罪嫌疑人或确定被害者身份，或证明嫌疑人与犯罪活动的关联。

图3

4.1 SIM的应用

通过SIM卡，可以在网络服务商查找到用户身份信息。SIM卡中的通讯录和短信、彩信等能够提供大量有关使用者的线索，以及关联的用户和使用者信息活动轨迹等。

4.2 手机机身内存和外接扩展存储器的应用

随着手机储存空间增加，许多人将大量私人信息储存在手机内，这些信息对查找确定手机主人也非常有帮助，通过手机信息检验相对于传统的指纹、DNA在时间上和成本上可能更加有利。手机存储的内容与网络记录的信息各有不同，它具有一定的互补性，特别是当前微信、陌陌等聊天工具的使用；还有手机银行、手机转账等手机支付工具的流行下，综合利用手机机身和外置存储的内容，还有基站信息和通话清单，可以获取更多信息，掌握嫌疑人或被害人的轨迹，而且能够和侦查等相互验证有关信息，给侦查提供最大可能的帮助。在物证鉴定实验室开展手机物证检验，可以最有效地提取手机存储的信息并使它们具有较高的侦查和证据价值。相信在未来，手机电子物证的重要性将越发突出，通过手机电子物证鉴定获取案件相关信息，为犯罪侦查提供方向，将成为重要的破案渠道之一。

［1］邹国强.电子物证提取和检验前的“污染”研究［M］.武汉：武汉科技大学出版社，2001.

［2］杨勇.电子物证现场取证技术研究［M］.湖南：湖南长沙出版社，1999.

［3］秦玉海，孙奕.智能手机取证［M］.北京：清华大学出版社，2014.