從概念上來講,移動終端取證是指在訴訟過程中,由有法定取證資格的取證主體運用符合規範的取證工具以及相關技術方法,發現提取和檢驗手機及相關設備,從中獲得證據和案件線索的一種取證方式,具體就是從手機SIM卡,手機存儲卡,外置存儲卡以及行動網路運營商資料庫中收集,保全,分析相關的電子證據,並最終從中獲得具有法律效力,能被法庭認可的證據的過程。
基本介紹
- 中文名:移動終端取證
- 外文名:Mobile terminal Forensics
移動終端設備取證的特點,手機取證的取證原則,手機的取證源,手機取證過程中電子證據的獲取,常見的手機取證軟體,
移動終端設備取證的特點
手機,以及PDA等設備的取證,有別於傳統的計算機取證,主要表現為四個因素:首先,取證對象很強的移動性決定了取證要有針對性;其次,檔案系統存儲於具有非易失性的存儲中;手持式設備的產品周期非常短;由於每個手機生產商都有自己的作業系統,使得嵌入式作業系統的多樣性的也成為移動終端設備取證有別於傳統的計算機取證;
手機取證的取證原則
(一)取證合法原則:這個原則和傳統取證一樣,首先,取證主義必須要有法定的許可權和資格;其次,取證程式必須規範;最後,取證的工具也必須符合規範。
(二)取證及時原則:手機取證必須要迅速及時。因為,首先,手機保存的數據具有天然的脆弱性,很容易因為外界環境的改變而破壞。其次,手機的記憶體相對來說容量較小,故其記憶體數據動態更新很快;最後,手機的電量也是有限的,為了防止電量消耗完後關機引起的數據丟失等,必須要及時獲取信息。
(三) 取證備份原則:由於數據信息本身具有易丟失的特性,在取證過程中,為了防止這種情況的發生,必須要對已經取得的數據進行備份。
(四)環境安全原則:手機證據中有一部分是屬於電子證據的,它存儲在電磁介質上,而電子介質易受外界環境的影響,因此,手機數據存儲載體必須在安全的環境下進行妥善保管。
(五)證據保管流轉鏈原則:即從手機被確定為取證對象時,就必須建立證據流轉鏈記錄,連續的記錄下從發現或獲得手機數據載體一直到取證結束的整個過程中所有和該手機數據載體取證相關的活動。
手機的取證源
手機的取證源有SIM卡,手機記憶體,外置存儲卡,行動網路運行商;
(一)用戶身份識別卡(SIM卡):用來作為用戶識別模組的SIM卡,即用戶身份識別卡,在通信網路中,和手機共同構成移動移動通信終端設備。SIM是一種特殊的智慧卡,常見的SIM卡存儲容量是16K到64K。SIM卡存儲上的內容可以分為五類:SIM卡生產商存儲的原始數據;手機存儲的固有信息;手機使用過程中生成存儲的信息;用戶在使用SIM卡過程中自動存入和更新的網路服務及用戶信息數據,如設定的周期性位置更新間隔時間等信息;其他相關的手機參數,包括PIN和PUK等信息。
(二)手機記憶體:由於手機記憶體存儲數據的不同,手機記憶體分為靜態存儲區和動態存儲區這兩部分,其中,執行作業系統指令以及用戶應用程式時產生的臨時數據儲存於動態存儲區中,同時,作業系統、各種配置數據以及一些用戶個人數據保存於靜態存儲區中。
(三)外置存儲卡:為了解決隨著手機功能的增強,手機內置的存儲晶片容量需要不斷擴充的需求,許多品牌型號的手機都提供了外置存儲卡來擴充存儲容量,這些檔案可能是侵犯他人隱私或有著作權問題,在處理涉及著作權或著作權的案件,以及犯罪行為時可以作為一個潛在的電子證據來源。當前常見的外置存儲卡有SD、MiniSD和MemoryStick。
(四)移動通信網路運行商:行動網路運營商的用戶註冊信息與通話數據記錄這兩個資料庫都存儲著大量的潛在證據,主要包括了,移動運營商的CDR資料庫中的通話數據記錄以及用戶註冊信息資料庫中的用戶資料,其中,通話數據記錄資料庫中的一條記錄信息,它包括有主/被叫用戶的手機號碼、主/被叫手機的IMEI號、通話時長、服務類型以及通話過程中起始端與終止端網路服務基站信息;從用戶註冊信息資料庫中可以獲取包括用戶姓名、證件號碼、住址、手機號碼、SIM卡號及其PIN和PUK、IMSI號和所開通的服務類型信息;
手機取證過程中電子證據的獲取
手機取證過程中,根據手機取證的四條原則,通常在提取手機及SIM卡中的有關證據信息時,先將手機與外界網路隔離,再依次獲取手機相關的電子證據。
(一)獲取SIM卡中證據
第一,文本訊息的獲取SIM卡提供了文本信息的存儲空間,現代手機基本上都允許用戶在手機的存儲器中存儲文本信息,根據手機軟體的設定和用戶的配置就可以決定先使用哪個存儲器以及儲存文本信息的存儲器,通常的配置是收到的短訊息存儲於默認的配置存儲,傳送的短訊息按照用戶的要求存儲,大多數的手機在使用手機內部的存儲器之前優先使用SIM卡上的存儲器。雖然不同手機刪除簡訊的機制不同,但一般情況下,只是把簡訊存儲區的狀態位元組值改為00000000,因此刪除的文本訊息在只要沒有被新的短訊息覆蓋的情況下就可以恢復除狀態位元組外的部分,恢復工作通常使用ParabenCellSeizure軟體就可以完成,而另外還有一些手機在刪除簡訊時,不僅是將簡訊存儲區的狀態位元組的值改為00000000,第2-176位元組中的內容也全部被修改為FF,這樣簡訊的實際內容已經不復存在,很難將其內容恢復。
第二,已撥電話的獲取SIM卡能以二進制的編碼方式存儲最近的已撥號碼,一個手機的SIM卡在沒有更換到任何其他手機中的情況下,對於大部分手機,最後撥出的10個號碼通常是可以恢復的。
第三,電話薄信息的獲取SIM卡中電話簿的號碼同樣以二進制的編碼方式存儲,若電話號碼被刪除,存儲空間的信息在沒有覆蓋的情況下是可以進行恢復的。如果存儲空間的信息被十六進制的FF所覆蓋,通常想恢復被刪除的電話號碼是不可能的。但是由於存儲空間是循環分配的,通過識別用過的空間之間的空閒空間通常是可以發現存儲的號碼被刪除過的。
(二)獲取記憶體中的證據
一般情況下,手機記憶體中的數據都保存為私有格式,但不同廠商、型號和系統會有所變化,由於廠家的保密,所以無法獲取其儲存格式和原理,但通常仍然能夠對其進行取證,目前公安機關對手機的取證多用Parabendeviceseizure軟體,但該軟體的一個缺點是:只支持部分廠家的特定型號的手機,如:Nokia、SonyEricsson、LG、Siemens、Samsung、Motorola等。對於一些該軟體不支持的手機型號,可以利用手機作業系統或著手機製造商提供的接口軟體來讀出其中的數據,當前市場上所購的手機多數都會附帶同步手機與計算機數據的軟體包,這些軟體可得到手機中一些存儲數據的鏡像,常見的此類軟體有NokiaPCSuite和SonyEricssonSyncStation。這些軟體可從手機記憶體中得到電話簿、接聽/呼叫電話記錄、接收/傳送短訊息記錄以及個人行程表等信息,但這些操作有可能會破壞原始敬據,而且也不能恢復被刪除的數據。
(三)獲取外置存儲卡中的證據
外置存儲卡具有的容量大,可以隨意更換,插在手機中攜帶方便等特點使得越來越多的廠家生產支持外置存儲卡的手機,也有越來越多的人們習慣了將資料放入外置存儲卡中,當然也會包括犯罪分子的犯罪證據。外置存儲卡的存儲原理和計算機硬碟的存儲原理一樣,通常會使用FAT檔案系統,目前,公安一線對計算機的取證技術已日趨成熟,取證軟體主要有Encase、FTK等。
(四)獲取網路運行商的相關證據
取證主體課根據SIM卡所註冊的手機號碼對通話記錄資料庫進行數據檢索,來得到此號碼的通話記錄和簡訊記錄,另外,也可以手機IMEI號搜尋用戶註冊信息資料庫從而獲得用戶註冊信息及通話記錄。但由於網路運行商的業務數據具有數據量大,更新快等特點,決定了取證主體應儘快地完成對網路的運營商相關業務資料庫的取證工作。
常見的手機取證軟體
目前,各種取證軟體在手機取證過程中變的越來越普遍,雖然一些手機取證軟體多多少少會存在一些缺陷,但只要取證主體能針對性的對其加以綜合利用還是可以達到令人滿意的取證效果。如今,業界常用的手機取證全鍵可以大致非為兩類:一種是對手機存儲卡進行取證的軟體,一種是用來專門處理手機SIM卡的取證軟體。EnCase,CellSeizure,GSM.XRY,OxygenPhoneManager等。