[科普中国]-移动终端取证技术模型

结构示意图

图1：结构示意图

人工获取人工获取2是使用目视的方法来取证，方法较为简单，检查门槛低。有些工具或者软件无法获取的移动终端，为了固定证据，只能采取人工获取的方式进行取证。但是这种方式存在极大的缺陷性：（1）目视方法的前提是对于移动终端或其中的应用程序不具有访问权限，例如手机的解锁密码、软件的登录账号。如果不具有权限，数据将无法被访问到。根据非法证据排除原则，严禁采取暴力手段强迫嫌疑人提供密码，由此获取的数据属于无效的“非法数据”。（2）目视方法仅仅适用于有限数据或者目标数据确定的移动终端。智能手机存储的信息数据量庞大且类型多样，通过目视方法无法快速的定位到有效信息，同时也无法进行高效的关联、比对。更无法获取全部数据，包括隐藏的和删除的数据。

目视方法现在有一些辅助工具，可以利用照相机进行拍照或者摄像机进行摄像。

图2：可视化取证设备

逻辑分析逻辑分析是通过连接线(通常为USB)、蓝牙、WiFi等方式与取证专用硬件或软件连接，使硬件或软件工具调用通讯协议与移动终端的处理器联系，处理器在获取设备文件发送回去。逻辑分析能够恢复文件系统中的活动文件和目录，包括通讯录、通话记录、短信、上网信息、照片、电子邮件等。但是不能恢复在未分配空间的数据，这就决定了只有未删除数据才能被提取，同时逻辑分析获取的数据量往往取决于移动终端是否越狱。目前，大多数移动终端取证工具都是基于逻辑分析的，大部分的取证人员也在从事着逻辑分析工作。

物理分析物理分析又称为“十六进制分析”。相比较前两个分析，它提供了更多数据给取证人员。物理分析也需要物理连接，例如JTAG或者ISP。

(1)JTAG(Join Test Action Group；联合测试行动小组)是一种国际标准测试协议(IEEE 1149.1兼容)，原先设计的目的主要用于芯片内部测试。现在多数的高级器件都支持JTAG协议，如DSP、FPGA器件等。标准的JTAG接口是4线：TMS、TCK、TDI、TDO，分别为模式选择、时钟、数据输入和数据输出。但是移动终端制造商的JTAG接口形式不同，数量不等，且有冗余接口混杂其中，接口定义不对外公开。

(2)ISP(即系统编程In System Programming)指用户具有在自己设计的线路板上为重构逻辑而对逻辑器件进行反复编程改写的能力。ISP是一种工业标准。ISP技术无需改动印制电路板，且在不取下器件的情况下，可直接在芯片上对系统设计进行修改和编程。从而使硬件设计变得像软件设计一样易于修改。在ISP技术支持下，硬件的功能还可以随时进行重构或升级。如下图所示，某芯片ISP针脚定义。

图3：ISP针脚定义

JTAG和ISP分析直接与处理器联系，或者注入特殊的程序，利用程序接管系统的控制权。通过位对位复制的方式来获取数据的原始镜像。生成的镜像是二进制形式，要求取证人员拥有二进制分析的专业知识，这种分析方法，原则上说设备中的任何类型的数据都能够被恢复。JTAG和ISP对于操作手法要求非常高，焊点出现问题会对移动终端造成不可逆的损坏。

芯片分析(chip-off)芯片分析是将存储芯片脱离手机，直接对芯片本身的电路和协议进行分析，获取其原始镜像或者相关数据的技术。首先通过精密拆焊台或者热风枪将手机存储芯片拆焊下来，然后清理芯片表面的焊锡，并通过植珠模型，在芯片每个金属触点上植上锡球，然后将芯片安装到芯片读取设备上。

这种方法比人工获取、逻辑分析、物理分析更具挑战。由于芯片分析面对着类型多样的芯片、大量原始二进制数据和芯片拆卸损坏的风险，因此对取证人员的知识体系要求比较高，芯片分析的时间也很长。Android设备芯片分析是其中最为简单，也是最为成熟的，已经成功的在国内实战中取得了成功的案例。但是目前芯片分析对于iOS设备无效，因为i05设备存储进行了硬件级加密。

微码读取通过分析芯片上的物理电平门限值，取证人员可以将0和1转换为ASCII字符。微码读取仅仅在理论和试验阶段上进行探讨，离实战应用还有很大距离，目前基本上没有取证工具可以对移动终端进行微码读取。