手机取证技术
2017-02-24沈臻懿
沈臻懿
自1973年起,人类历史上第一台手机——摩托罗拉DynaTAC问世以来,小小的手机已经彻底影响了人类社会的方方面面。在不到半个世纪的时间里,手机从一种世人完全陌生的事物,已成为如今社会大众不可或缺之物。如果人们在生活或出行时只能携带一件随身物品的话,想必绝大部分的人都会毫不犹豫地选择手机。
据相关数据统计与分析表明,2015年全球范围内使用智能手机的用户已达到19.1亿,这一数据在2016年年度内仍在持续上升,并将很快超过20亿。智能化技术的不断发展,令手机功能不再局限于早先单一的电话通信,而已变得丰富多彩。人们在使用手机进行通信、聊天、办公、学习、购物、娱乐、上网等过程中,手机等载体上也会随之留下各类数据信息。这就为手机取证技术的应用带来了研究与发展的空间。
小小手机蕴含大信息
当前,手机在人们日常生活中发挥着极为重要的作用,甚至已成为生命中“难以割舍”的一部分。据微信团队在其《2016微信数据报告》中显示,在过去的一年中,微信平均日登录的用户已达到7.69亿,有一半的用户每天使用微信的时长达到了一个半小时。智能手机的普及以及各类功能的拓展,令手机得以取代并承担原先电脑、银行卡、钱包的功能。原先需要借助于电脑终端来进行网络聊天、即时通讯、收发邮件等活动,目前只需一只小小的手机完全可以搞定。传统经济交易活动中,无论是现金支付、刷卡支付,抑或资金转账等方式,在当前信息化时代的背景下,均可以通过手机来实现。手机功能的拓展,令其在从事这些活动的同时,也留下了各类与手机活动有关的信息。
当前犯罪活动中,手机的身影频频出现,且记录下了大量与犯罪活动有关的信息。不少犯罪人也已将其关注的目标转向了手机,并利用手机来从事不法活动。智能手机的操作系统在给使用者带来极大便利的同时,其内部存在的漏洞亦为不法分子所挖掘。不少手机用户都收到过陌生人发来的短信,甚至是伪装成银行、移动通讯运营商、司法机关、政府部门等单位发来的短信。手机用户一旦打开这些短信中的链接地址或者安装了其所提供的APP软件,即有可能受到钓鱼网站的侵害。其会开始搜集诸如手机用户的银行信息、个人账户密码等隐私内容,从而威胁到使用者的财产安全。
可以说,小小的手机中蕴含着大量的重要信息。为了能够有效提取到这些由犯罪人利用手机进行作案所遗留的、对于案件侦破极为重要的证据,刑侦科技人员需要采用专门的技术手段来从各类聊天工具、支付工具、浏览器中的软件通话记录、网页浏览痕迹中提取相应数据信息,从而为案件侦破提供重要突破口。
多元化手机信息数据取证技术
手机密码绕过技术
当前,社会信息安全意识的提升以及手机功能的不断强化,使得大部分的用户在使用手机时,大多都会设置锁机密码。部分手机应用软件的开发商在开发相应软件时也会进行加密处理,以保障信息数据的安全。设置手机密码时,图案密码、字符密码或是PIN码等均是可供选择的具体方法。正常情况下,人们唯有输入准确无误的密码,才能够解锁手机并进入操作界面。诸如iPhone等智能手机,甚至具有连续输错10次密码后,手机自动删除所有数据的专门设置。
为了能够有效提取设置了锁机密码的手机内相关信息,刑侦人员首先需要做的就是越过密码这道障碍。相对于破解密码而言,手机密码绕过技术无疑是一项更为适宜的获取手机信息的专门技术。
所谓手机密码绕过技术,包括了用户自主设置的手机密码绕过以及手机内软件密码绕过两方面。其是利用一定的技术手段,在不需要经由密码输入的途径,即可对已设置密码的手机或软件内的数据信息进行提取。
由于无需对密码进行破解,而只是在绕开密码的前提下进入手机系统中提取与作案活动有关的信息,这使得手机密码绕过技术的应用更为隐蔽,且不易为作案人所察觉。
手机数据镜像提取技术
通俗而言,镜像就如同照镜子一般,其利用文件存储的形式,使一个磁盘上的数据在另一个磁盘上存在有一个完全相同的副本。刑侦科技人员在对包括手机SIM卡、内存卡、闪存卡等介质内的数据信息进行提取时,通常均需要采取镜像提取技术,以确保数据信息的完整性。在进行镜像提取时,屏蔽盒是必不可少的一项工具,其可以将开机状态下的手机进行屏蔽与隔离,以避免外界短信及电话对手机的干扰,以保证镜像技術提取到数据的原始性。
需要注意的是,手机数据镜像提取的方式有较多,如JATG提取方式,或者将芯片拆下后直接读取镜像数据。但无论采用哪种方式,都需要通过文件解析,在保证手机数据原始性、完整性的基础上,使其成为办案所需要的文件。
手机数据恢复技术
手机数据被删除的情形,是刑侦人员在破案时经常面临的难题之一。犯罪人在利用手机作案后,有时会故意删除数据,以避免相应犯罪证据为执法人员所发现。通常,犯罪人会选择对浏览器、聊天软件、支付软件中的信息及浏览记录进行销毁,或者植入病毒,以破坏手机数据。不过,被执行删除操作后的手机数据,并非不复存在,而仅为暂时不可见。手机在进行每一步操作后,都会以数据形式存在于手机SQLite数据库中。当操作者选择删除某些数据后,这些数据并没有被删除,而是被打上了已删除记号,从而在手机应用中不再显示。譬如,当操作者选择手机通讯录中的某一联系人信息并予以删除时,操作系统所做的工作仅是在该联系人信息前添加已删除记号。当手机使用者此后浏览通讯录时,被删除的联系人信息便不会在通讯录中显示。
针对前述暂时不可见,但实质仍存在的手机数据,刑侦科学人员可以应用SQLite数据库文件恢复技术来对被删除的手机数据予以取证。不过,如果手机操作者此前曾极为频繁地进行过删除操作,即会造成被标记的数据日益增多,或者删除区域被其他文件所覆盖等情形。在此背景下,手机数据恢复的难度也会随之提升。
数字证据固定技术
手机中的信息,系以数字形式而存在。此类数字证据作为由0和1所组成的电磁记录,难以为人们所直接认识和理解。为了能使手机内的数字记录能为人们所掌握,且完整、真实反映出其记录的内容,就需要采用数字证据固定技术来予以实现。所谓数字证据固定技术,即是将计算机代码转换为人类可认识和理解的信息,从而帮助刑侦科学人员来固定手机中与犯罪活动有关的各类信息。
手机数据分析技术
手机取证过程中,不仅需要对手机中的数据进行提取,亦需要对提取的数据予以智能分析,以呈现出该手机的“活动轨迹”。为了实现这一目的,即需要采用地理分析技术和时间轴技术来对手机内的数据予以分析。当前智能手机中,通常均具有GPS功能。该功能能够令手机进行准确定位。不过,当GPS功能被关闭时,通过基站发射的信号,仍可实现手机定位。因而,刑侦科技人员在提取数据信息时,可以在手机GPS功能被关闭的情况下,借助于地理分析技术,通过基站定位,以呈现手机在某一特定时间段内的所处位置,从而反映出手机使用者一段时间内的“活动轨迹”。此外,时间轴技术也是手机数据分析中的一项重要方式。通过这一技术,可以让手机内看似凌乱的数据,以时间为顺序进行有序排列。通过对横轴和纵轴上的具体日期和时间进行统计,从而分析出手机使用者在具体什么时间做了什么事情。
手机取证技术的应用
提取数据载体
数据载体的提取,是手机取证技术的第一步。刑侦科技人员在对数据进行提取时,首先需要了解和掌握取证对象设备的特性。为了避免与案件现场中发现的取证对象设备之间发生交互,刑侦人员应当关闭带入现场辅助搜索的设备的蓝牙、Wi-Fi等无线收发装置。
当发现手机设备后,若其通过数据线与电脑相连,则需拔出电脑一端的插头以阻止数据同步盖写或传输。面对处于开机状态的手机,则需将其与移动通信网络相隔离,以防新信息对现有数据的覆盖。
在对数据载体进行包装与运输时,刑侦科学人员首先需要将待取证的手机设备封装于防静电袋中。为防止手机触摸屏或按键被无意中压到,通常均会使用硬质容器来予以包装。若手机在取证时,需要保持开机状态,则应使用无线电屏蔽袋来包装手机,以屏蔽手机信号。考虑到开机状态下的手机设备会消耗电量,在提取该设备时,应同时连接一台独立的外部供电装置来保证手机的充足电量。
手机身份信息验证
采集数据信息是手机取证技术中的一项核心工作。当前市面上销售的手机中,无论是手机型号,还是其所使用的操作系统都不尽相同。就市面上主流的手机操作系统而言,包括了Google公司开发的Android移动操作系统以及苹果公司开发的iOS移动操作系统。这就需要刑侦科技人员在对手机身份予以验证的基础上,才能采用相应的软件和设备进行数据采集。
手机身份验证是刑侦科技人员在对数据信息进行采集前所做的基础工作。除了通过手机外观、品牌标识来确认手机身份外,刑侦科学人员还可以利用手机内贴有的标签进行验证。这一标签上的内容是手机制造商所列出的手机产品和型号的标识符。在中国,经正规渠道购买的手机,都会贴有相应的进网许可证。通过查询许可证编号,即可以掌握该设备的身份信息。
Android手机取证系统
Android是由Google公司和开放手机联盟开发的一种基于Linux的开放源代码的操作系统,主要用于智能手机、平板电脑等移动终端。据统计,全球范围内有超过20亿的智能设备上安装有Android操作系统,占到了市场份额总量的50%以上。Android操作系统因其强大的功能以及对于各类软件的支持,使搭载有Android系统的移动设备成为了记录数据信息最多的电子产品。这些设备中记录的数据不仅含文字、图片、视频、电子邮件,还包括GPS信息等大量数据。
因而,在针对手机数据进行取证时,Android手机取证系统无疑是不容回避的一项重要内容。这一取证系统从技术层面上可分为逻辑取证技术和物理取证技术。对于逻輯取证技术而言,其核心是通过对文件系统的访问,来对所分配的数据予以深挖。这些所分配的数据即是未被删除的手机数据。如对于已被删除的数据库记录,都需要用手机数据恢复工具来予以恢复。
所谓物理取证技术,则是直接将存储数据信息的物理介质作为取证目标。其优点在于无需依赖于文件系统即可访问到大量已被删除的数据。不过,若存在不当操作来提取设备数据时,即有可能使设备终端无法继续使用或访问。
iOS手机取证系统
iOS是苹果公司为其旗下的移动设备所开发的一款操作系统。苹果公司最初在2007年时公布的该系统。其原先为iPhone设计所使用,之后逐步套用至iPad,iPod touch以及Apple TV等产品之上。由于该操作系统并不对外公开,因此针对iOS操作系统的取证也成了手机取证过程中的一项难点问题。不少手机取证厂商也专门研发了针对苹果手机进行取证的工具和产品。
iOS系统中,通常均含有大量数据信息。除了移动设备配置信息、通话记录、短消息、通讯录外,还包括大量有关用户行为、习惯性偏好以及地理轨迹等隐私信息。在挖掘此类数据时,需要通过攻破或绕过iOS的安全防护设置,以捕捉到那些甚至连手机用户自身都不知晓的隐私信息,从而为罪案调查提供重要线索。此外,在进行取证时,刑侦科技人员还需要尤为关注iOS系统中的用户习惯信息。这些信息是该用户最为经常使用的应用程序APP所留下的痕迹。通过对此类痕迹的获取和分析,可以从中为案件侦破提供相应方向。
编辑:黄灵 yeshzhwu@foxmail.com