覃卫　肖叶

摘 要：移动通信技术的快速发展，使得手机，特别是智能手机迅速浸透到人们生活工作中。网民中持智能手机参与网络活动亦占很大比例。与此同时，针对或利用智能手机的犯罪也与日俱增，如何快速利用专业手段提取智能手机数据，为侦查犯罪工作提供有价值的线索成为了鉴定部门亟待解决的问题。该文通过总结日常手机数据提取工作经验，尝试找到一种快速获取大量智能手机数据的工作思路。

关键词：智能手机 手机检验 数据提取

中图分类号：TN011 文献标识码：A 文章编号：1672-3791（2017）02（b）-0025-02

1 手机检验基本流程

该文的操作流程，仅针对线索的提取，如果需要取证，注意应先做镜像。

（1）与送检人员或熟悉案件的侦查员充分沟通，了解受检手机获取时现场情况，包括手机为何人持有，该人在案件中角色，案件涉及手机的可能关键时间点、是否获得手机开机密码等。制作手机基本信息记录表，详细记录以上沟通所得信息。

（2）制订手机数据提取调查详单，做好详细的步骤，指导我们的取证工作，以确保不遗漏任何细节。

（3）准备检测取证的设备及软件。

为满足基本检验需要，需配备一台专用计算机，安装自动手机取证软件，如美亚的手机取证软件DC4500及ROOT大师、豌豆夹、itune等常用手机连接电脑软件。必要时可配备国外手机镜像工具套。

（4）根据手机型号，准备相关驱动程序，通过USB连接线将手机连接到电脑。这里有几点需要注意：

①确保手机电量，切勿因手机电量不足而意外关机造成数据不必要的损坏。避免方法可以准备手机电源线，及时对手机进行充电。例如采用Android系统的手机有些数据在删除后并不会立即清除，只有在下次重启以后，才会被完全清除掉，这是因为Android系统手机在数据处理上与传统手机存在差异。

②将手机设置为飞行模式，防止取证过程中有电话打入或短信接收，造成手机原始数据的破坏。无线网连接需断开，因为如果手机在取证过程中连上网络，也可能造成数据破坏。进入开发人员选项，勾选USB调制模式。

③首先对手机SIM卡、SD卡和内存的原始数据进行备份。

④针对Iphone手机，开机后，为避免数据污染，在取证前，进入Iphone之后，将syncing设置为不自动同步。因为当Iphone与电话同步连接时，Iphone可能复制电脑中的电话本、照片、音乐及其它数据，电脑也可能将它的数据复制给Iphone。

（5）先使用国产自动取证设备进行自动取证，以期在最短的时间内快速提取数据，形成报告。同时查看安装的程序，特别是通联工具，如QQ、微信、微博、skype、T、V、DIDI等，因为目前手机主要的功能还是用来通信联系，从手机的通联信息中能获许多有利于案件侦查的线索。

以上这些通联软件，国产自动取证设备已可以自动取出相关通联信息。至此，可根据提取到的初步信息，形成第一份分析材料在最短的时间内提供给办案部门开展下一步工作。

（6）对手机信息的深入挖掘。针对手机中已安装的通联软件，寻找自动取证中没有取出的通信软件信息。这一步工作中，需要相关检验人员熟悉手机的文件系统，找到相关通信软件数据库及语音、图片等信息存储位置。因为手机的通信软件常使用嵌入式系统常用的微型数据库SQLite（如QQ的[QQ号码].db聊天记录数据库），这类数据库使用SQLite相关软件，就能浏览、导出数据表，如SQLite Database Browser、SQL Compact Query Analyzer、Navicat Premium等工具。

2 手机检验的几个小经验

（1）尽可能准备不同厂商，国外国内的手机取证工具。由于手机的协议各不相同，而目前取证工具大多数对手机取证并不全面性。在我国常用的手机有好几百种，它们属于不同的厂商，各自拥有自己的知识产权，此外还有很多的山寨机，以及不在生产的手机，关于他们的协议是未知的。国外手机取证产品，如美国、俄罗斯、以色列等，也只是对本国的主流手机进行取证，取证内容并不全面，而我国的大部分手机他们是不支持的。因此，工作中准备同时国内和国外的取证工具是必要的。

（2）开机密码的获取。常规的从嫌疑人、综合取证工具破解外，还有两种方法可以尝试，一是根据手机持有人的身份生活习惯和近亲好友的身份信息，尝试输入常用的数字密码（如8888，9999，生日等）或图形手势密码（如Z等）；二是使用adb工具进行锁屏密码解锁（主要针对安装安卓系统的手机，之前已root并且usb调试模式处于打开状态）。具体使用方法：①手机连接电脑，在充电模式下进行。②下载ADB解压到电脑C盘根目录。 ③点击电脑开始>运行>输入cmd>再就进cmd： 依次输入命令：

cd c：＼adb

adb shell

cd data/system

ls

可以看到有一个password.key（文件密码）或gesture.key（图形密码）的文件，这就是密码文件，我们就是把这个给删除或是取出！最后输入命令：

rm password.key （或rm gesture.key）

④输入reboot或手动重启手机生效。

此外还可利用第三方软件如“刷机精灵”的清除密码工具。

（3）我们在日常手机的检验中，安卓系统常遇到需打开手机“开发者选项”问题，一般这一选项在手机的设置菜单中就可以看到，然而安卓版本升级到4.2以后，系统里默认是将“开发者选项”隐藏着的，因此需要我们手动开启，才能打开“USB调试模式”。经过查找和测试，可以按以下骤设置：打开手机“ 设置”菜单，找到“ 关于手机-版本号”（最下方）-连续点击 4～7次 ，回到设置界面，开发者选项菜单就回来了。

3 国产山寨手机的数据提取

在日常手机检验工作中，我们常会碰到取证软件中没有对应手机型号（国外的取证软件针对中国的手机没有对应的情况是常有的）或是提示型号不对的情况，这是因为国内的手机品牌部分是从山寨机起家，或者我们检验的手机就是山寨机。出现这种情况时，我们可以尝试从查找手机CPU芯片入手。

（1）MTK芯片手机。MTK手机系统是现在市场上所有国内手机设计、制造商使用最多的一个完整手机产品的解决方案，MTK手机系统曾经是黑手机和部分国内厂家使用的平台，MTK手机，在低端手机市场中占有巨大份额。如果一部待检验手机，在网上查到其CPU是MTK的，那么我们在取证软件中，可以使用（如以色列的Cellebrite便携式手机司法分析工具，手机型号就可选择chinese android phone）。

（2）非MTK芯片手机。其他芯片手机可尝试使用相同芯片型号的其他型号手机替代，这样的尝试也可能需要多次，多做手机检验多积累经验很重要，希望與同行在这方面多多交流。

当今社会智能手机系统发展迅速，系统复杂而多样，针对手机系统取证，需要我们掌握深入了解智能手机的存储方式和文件结构，不断更新知识，针对新出现的问题，必须有效地去解决，唯有这样才能做好手机检验工作，打击手机犯罪现象。

参考文献

[1] 陈德俊，丁红军.手机取证研究概述[J].中国公共安全：学术版，2012（3）：100-102.

[2] 王海英，周长伦，亓丕水，等.智能手机数据的提取与恢复[J].机械管理开发，2012（1）：189-191.