[科普中国]-移动终端取证

移动终端设备取证的特点

手机，以及PDA等设备的取证，有别于传统的计算机取证，主要表现为四个因素：首先，取证对象很强的移动性决定了取证要有针对性；其次，文件系统存储于具有非易失性的存储中；手持式设备的产品周期非常短；由于每个手机生产商都有自己的操作系统，使得嵌入式操作系统的多样性的也成为移动终端设备取证有别于传统的计算机取证；

手机取证的取证原则（一）取证合法原则：这个原则和传统取证一样，首先，取证主义必须要有法定的权限和资格；其次，取证程序必须规范；最后，取证的工具也必须符合规范。

（二）取证及时原则：手机取证必须要迅速及时。因为，首先，手机保存的数据具有天然的脆弱性，很容易因为外界环境的改变而破坏。其次，手机的内存相对来说容量较小，故其内存数据动态更新很快；最后，手机的电量也是有限的，为了防止电量消耗完后关机引起的数据丢失等，必须要及时获取信息。

（三） 取证备份原则：由于数据信息本身具有易丢失的特性，在取证过程中，为了防止这种情况的发生，必须要对已经取得的数据进行备份。

（四）环境安全原则：手机证据中有一部分是属于电子证据的，它存储在电磁介质上，而电子介质易受外界环境的影响，因此，手机数据存储载体必须在安全的环境下进行妥善保管。

（五）证据保管流转链原则：即从手机被确定为取证对象时，就必须建立证据流转链记录，连续的记录下从发现或获得手机数据载体一直到取证结束的整个过程中所有和该手机数据载体取证相关的活动。

手机的取证源手机的取证源有SIM卡，手机内存，外置存储卡，移动网络运行商；

(一)用户身份识别卡（SIM卡）：用来作为用户识别模块的SIM卡，即用户身份识别卡，在通信网络中，和手机共同构成移动移动通信终端设备。SIM是一种特殊的智能卡，常见的SIM卡存储容量是16K到64K。SIM卡存储上的内容可以分为五类：SIM卡生产商存储的原始数据；手机存储的固有信息；手机使用过程中生成存储的信息；用户在使用SIM卡过程中自动存入和更新的网络服务及用户信息数据，如设置的周期性位置更新间隔时间等信息；其他相关的手机参数，包括PIN和PUK等信息。

(二)手机内存：由于手机内存存储数据的不同，手机内存分为静态存储区和动态存储区这两部分，其中，执行操作系统指令以及用户应用程序时产生的临时数据储存于动态存储区中，同时，操作系统、各种配置数据以及一些用户个人数据保存于静态存储区中。

(三)外置存储卡：为了解决随着手机功能的增强，手机内置的存储芯片容量需要不断扩充的需求，许多品牌型号的手机都提供了外置存储卡来扩充存储容量，这些文件可能是侵犯他人隐私或有版权问题，在处理涉及版权或著作权的案件，以及犯罪行为时可以作为一个潜在的电子证据来源。当前常见的外置存储卡有SD、MiniSD和MemoryStick。

(四)移动通信网络运行商：移动网络运营商的用户注册信息与通话数据记录这两个数据库都存储着大量的潜在证据，主要包括了，移动运营商的CDR数据库中的通话数据记录以及用户注册信息数据库中的用户资料，其中，通话数据记录数据库中的一条记录信息，它包括有主/被叫用户的手机号码、主/被叫手机的IMEI号、通话时长、服务类型以及通话过程中起始端与终止端网络服务基站信息；从用户注册信息数据库中可以获取包括用户姓名、证件号码、住址、手机号码、SIM卡号及其PIN和PUK、IMSI号和所开通的服务类型信息；

手机取证过程中电子证据的获取手机取证过程中，根据手机取证的四条原则，通常在提取手机及SIM卡中的有关证据信息时，先将手机与外界网络隔离，再依次获取手机相关的电子证据。

(一)获取SIM卡中证据

第一，文本消息的获取SIM卡提供了文本信息的存储空间，现代手机基本上都允许用户在手机的存储器中存储文本信息，根据手机软件的设置和用户的配置就可以决定先使用哪个存储器以及储存文本信息的存储器，通常的配置是收到的短消息存储于默认的配置存储，发送的短消息按照用户的要求存储，大多数的手机在使用手机内部的存储器之前优先使用SIM卡上的存储器。虽然不同手机删除短信的机制不同，但一般情况下，只是把短信存储区的状态字节值改为00000000，因此删除的文本消息在只要没有被新的短消息覆盖的情况下就可以恢复除状态字节外的部分，恢复工作通常使用ParabenCellSeizure软件就可以完成，而另外还有一些手机在删除短信时，不仅是将短信存储区的状态字节的值改为00000000，第2-176字节中的内容也全部被修改为FF，这样短信的实际内容已经不复存在，很难将其内容恢复。

第二，已拨电话的获取SIM卡能以二进制的编码方式存储最近的已拨号码，一个手机的SIM卡在没有更换到任何其他手机中的情况下，对于大部分手机，最后拨出的10个号码通常是可以恢复的。

第三，电话薄信息的获取SIM卡中电话簿的号码同样以二进制的编码方式存储，若电话号码被删除，存储空间的信息在没有覆盖的情况下是可以进行恢复的。如果存储空间的信息被十六进制的FF所覆盖，通常想恢复被删除的电话号码是不可能的。但是由于存储空间是循环分配的，通过识别用过的空间之间的空闲空间通常是可以发现存储的号码被删除过的。1

（二）获取内存中的证据

一般情况下，手机内存中的数据都保存为私有格式，但不同厂商、型号和系统会有所变化，由于厂家的保密，所以无法获取其储存格式和原理，但通常仍然能够对其进行取证，目前公安机关对手机的取证多用Parabendeviceseizure软件，但该软件的一个缺点是：只支持部分厂家的特定型号的手机，如：Nokia、SonyEricsson、LG、Siemens、Samsung、Motorola等。对于一些该软件不支持的手机型号，可以利用手机操作系统或着手机制造商提供的接口软件来读出其中的数据，当前市场上所购的手机多数都会附带同步手机与计算机数据的软件包，这些软件可得到手机中一些存储数据的镜像，常见的此类软件有NokiaPCSuite和SonyEricssonSyncStation。这些软件可从手机内存中得到电话簿、接听/呼叫电话记录、接收/发送短消息记录以及个人行程表等信息，但这些操作有可能会破坏原始敬据，而且也不能恢复被删除的数据。

（三）获取外置存储卡中的证据

外置存储卡具有的容量大，可以随意更换，插在手机中携带方便等特点使得越来越多的厂家生产支持外置存储卡的手机，也有越来越多的人们习惯了将资料放入外置存储卡中，当然也会包括犯罪分子的犯罪证据。外置存储卡的存储原理和计算机硬盘的存储原理一样，通常会使用FAT文件系统，目前，公安一线对计算机的取证技术已日趋成熟，取证软件主要有Encase、FTK等。

（四）获取网络运行商的相关证据

取证主体课根据SIM卡所注册的手机号码对通话记录数据库进行数据检索，来得到此号码的通话记录和短信记录，另外，也可以手机IMEI号搜索用户注册信息数据库从而获得用户注册信息及通话记录。但由于网络运行商的业务数据具有数据量大，更新快等特点，决定了取证主体应尽快地完成对网络的运营商相关业务数据库的取证工作。

常见的手机取证软件目前，各种取证软件在手机取证过程中变的越来越普遍，虽然一些手机取证软件多多少少会存在一些缺陷，但只要取证主体能针对性的对其加以综合利用还是可以达到令人满意的取证效果。如今，业界常用的手机取证全键可以大致非为两类：一种是对手机存储卡进行取证的软件，一种是用来专门处理手机SIM卡的取证软件。EnCase,CellSeizure,GSM.XRY,OxygenPhoneManager等。