随着手机越来越智能,我们可以用智能手机来处理越来越多的日常需求。智能手机中的电子数据主要来源于用户使用各种系统应用和第三方应用留下的痕迹,包括聊天记录、出行记录、地理位置、支付记录、通话记录、短信等。了解这些信息有助于更好地了解案件,调查人员必须及时扣押手机并提取和分析电子数据。手机电子数据提取过程主要包括现场采集、实验室检测、检测数据和检测记录四个部分。在本文中,我们将主要围绕数据的实验室检验和检测,从数据存储、数据提取技术和取证分析技术三个方面,具体介绍主流iOS和Android智能手机取证所涉及的研究基础和方法。关键技术。1.智能手机数据存储技术为了提取和分析存储在移动设备上的数据,首先必须知道在哪里可以找到数据。下面将根据不同类型的设备系统介绍数据存储方法。1.1Android数据存储技术Android文件系统通常分为内部存储和外部存储。内部存储是系统内存,用于存储Android操作系统和应用程序的私有数据和缓存。外部存储类似于SD卡。一般情况下,用户只能对这部分进行读写操作,目前一般设备都内置了外部存储。应用程序安装后,系统会自动在内部存储和外部存储中分别为应用程序建立私有存储区。对于不同的Android设备,它们往往有一些共同的标准存储位置。图1显示了Android存储的分层描述。最上面的红色部分表示取证过程中需要重点关注的Android系统分区,下层表示可以定位到这些分区中的电子数据信息的存储位置。图1Android数据存储区首先看“数据”分区。该分区包含所有用户数据,是存储联系人、短信、设置和应用程序的地方。擦除此分区相当于执行恢复出厂设置。取证时“数据”分区下应重点关注的数据存储目录见表1。表1“data”分区详细信息接下来,让我们看一下“sdcard”分区。该分区作为外部存储区,主要用于缓解系统存储空间不足的影响。此分区不受安全保护,任何人都可以访问它。数据在这里。“sdcard”分区中的有用信息包括:相机应用程序拍摄的图片/视频、用户自定义下载的文件以及存储在应用程序公共存储区中的数据。最后,看看“系统”分区。该分区用于存放内核和文件系统以外的系统相关配置,包括用户界面、手机预装软件、应用程序运行日志等,这些数据为深入了解应用程序运行提供了可能的底层逻辑。虽然不同的安卓设备可能有不同的文件系统结构,但它们所具有的这些共同的数据存储位置,为取证人员的工作指明了方向。1.2iOS数据存储技术iOS采用HFS+(HierarchicalFileSystemPlus)文件系统,如图2所示,一个HFS+卷一般包含6种数据结构,分别是:(1)卷头(VolumeHeader):该文件定义了基本的卷的结构,例如每个分配块的大小、已用和空闲块的数量以及其他特殊文件的大小和位置。(2)分配文件(AllocationFile):该文件包括一个位图,其中包含卷中已使用和未使用的块。(3)目录文件(CatalogFile):该文件定义了文件系统中文件夹的结构,用于标识特定文件或文件夹的位置。(4)扩展数据块溢出文件(ExtentsOverflowFile):该文件包含指向其他扩展数据块的指针,用于需要八个以上连续分配块的文件。(5)属性文件(AttributeFile):这个文件包含了文件的可定制属性。(6)启动文件(StartupFile):这个文件包含了系统启动所需的信息。图2HFS+文件系统结构iOS设备一般分为两部分——系统分区和数据分区。系统分区包含iOS操作系统和所有预装的应用程序。路径一般为“/dev/disk0s1”或“/dev/disk0s1s1”。由于系统部分不包含用户安装的应用程序,用户通常无法访问,并且与调查相关的所有信息都在数据分区中,因此该部分很小,通常对该分区不感兴趣。数据分区占据大部分存储空间,路径一般为“/dev/disk0s2”或“/dev/disk0s2s2”。此部分包含用户数据以及用户安装的应用程序。密钥存放目录的描述如表2所示。表2iOS数据分区密钥存放目录#2。智能手机数据提取技术指定数据的存储位置,然后考虑如何从智能手机设备中提取这些有用的数据。本节主要介绍四种提取智能手机物理图像或逻辑图像数据的技术,其中前两种可被Android和iOS设备共享,后两种只能用于Android设备。提取物理图像数据可以理解为存储设备或分区的逐位复制或数据转储,提取逻辑图像数据可以理解为取消复制存储在设备上的文件和文件夹的副本。2.1基于Chip-Off的数据提取技术(chipextraction)这种数据提取方法用于提取智能设备的物理图像,需要分析人员具备相关的硬件技术知识,才能真正将NAND闪存芯片从电路板上剥离出来装置。芯片的管脚通过焊接等技术直接连接到硬件分析工具上,方便后期进行分析工作。只要闪存芯片完好无损,即使设备损坏,Chip-Off技术也可以从中提取数据,并且不需要事先了解设备解锁凭证。该技术的缺点是在拆解芯片时可能造成不可逆的后果,耗时长,风险大。而且,随着全盘加密技术的普及,通过Chip-Off技术很难得到NAND中的明文数据。2.2基于备份的数据提取技术该技术主要通过第三方备份应用软件或备份应用程序接口提取设备数据。早期的安卓系统并没有提供个人数据备份机制,所以在应用商店推出了很多第三方备份软件,比如RerWare开发的MyBackupPro,可以让用户或者取证人员将终端设备数据备份到SD卡或者云端。如果有root权限,还可以备份“/data/data”等关键存储区的文件。使用谷歌的备份API进行备份会更安全、更可靠,并且对所有设备上的应用程序具有备份一致性,有利于备份恢复工作。iOS设备可以直接通过iTunes获取手机备份。2.3基于JTAG(JointTestActionGroup)的数据提取技术JTAG是国际标准测试协议,主要用于各种芯片及其外围设备的测试和调试。目前Android设备的CPU(中央处理单元,CPU)硬件普遍带有JTAG接口。JTAG技术可用于提取器件的完整镜像文件,并进行深度数据恢复操作,属于物理镜像数据提取技术。分析人员利用Android设备背后的JTAG测试接口向设备的CPU发送命令,通过JTAG命令将闪存中的所有数据发送给CPU,然后从CPU中提取闪存芯片中的数据。JTAG技术对CPU底层协议的操作是在设备未开机的情况下进行的。不需要知道设备类型、锁屏密码等信息,同时避免了对设备物理结构的破坏。数据提取效果与Chip-Off技术完全一样。.JTAG技术的缺点主要有:并非所有设备都支持JTAG,JTAG测试接口难以定位,数据提取过程缓慢,CPU必须处于良好状态才能发挥作用。2.4基于ADB(AndroidDebugBridge)的数据提取技术ADB是Android设备取证人员经常使用的命令行工具。它属于AndroidSDK,允许在USB连接后建立计算机和Android设备之间的通信。主要功能包括执行服务器端shell、上传/下载文件、建立连接和映射、安装应用程序等。该工具由三个套件组成:Client部分运行在计算机端,用于向Android发送命令设备;Daemon部分运行在设备端后台,用于运行Client发送的命令;Server部分运行在电脑端后台,用于管理Client和Daemon之间的通信。ADB中的常用命令如表3所示。表3ADB常用命令Android设备的ADB功能默认关闭,需要手动开启USB调试模式,需要提前解锁设备和必须获得设备的root权限。3.智能手机数据分析从设备中提取数据后,取证人员需要进一步提取和分析数据的含义。本节介绍三个视角:时序分析、文档刻画和应用分析。这些分析技术都是为了最大程度地关联数据上下文,从而获取取证所需的关键证据信息。3.1时间序列分析时间序列分析是法医调查的重要组成部分。通过分析操作事件发生的时间,可以定位嫌疑人的可疑操作。相关时间戳也保证了电子证据的可信度和司法机构的公信力。在Android设备上,DropBoxManagerService服务路径下以SystemBoot@[timestamp].[log|txt]形式命名的日志文件可以反映设备启动时间,以event_data@[timestamp]形式命名的日志文件.txt每30分钟创建一次,方便取证人员分析设备的连续运行时间。此外,还有一些数据位置也包含有关时间和日期设置的相关信息,例如“/data/property/persist.sys.timezone”文件包含有关当前使用的时区的信息。为了获取文件系统中的时间序列信息,首先需要将文件系统挂载为只读,然后可以借助log2timeline等工具分析文件的创建和修改时间。iOS设备的计时方式并没有使用经典的UNIX时间戳,而是使用MAC绝对时间戳,即从2001年1月1日00:00:00开始经过的秒数。AppleiTunes软件允许用户创建iOS设备的备份,备份的时间戳附加到备份文件夹名称的末尾。此外,iMessage、Dropbox、GoogleDrive等应用数据库中还存储了应用本身提供的服务的时间戳,比如通话记录、短信记录、文件上传时间等,取证时也需要注意这些时间戳过程。通过运用专业知识对提取的时间信息进行分析,技术人员可以更有效地区分各种操作背后与案件相关的证据信息。3.2文档雕刻文档雕刻是指搜索和获取特定文档的过程。在这个过程中,文件的内容被视为二进制值,文件雕刻的工作是检查二进制数据并使用已知的文件头来识别文件类型。如果知道某个文件有确定的文件尾,文件雕刻技术就会从文件头开始扫描,直到匹配到对应的文件尾,然后将头尾之间的数据保存为一个文件存储起来入盘以备后用复习。传统的文件雕刻技术要求图像整齐,产生文件碎片的大文件难以还原。新的文件刻录技术试图突破文件碎片修复的困境,考虑配置一些常见文件系统的碎片特性。Scalpel是一款知名的开源文件雕刻工具。它通过读取定义文件头尾特征的数据库,从文件系统的原始映像中提取文件。它可以在FAT、NTFS、HFS等常见移动设备的原始分区格式下工作。优越的。雕刻完成后,输出以文件类型存储。Scalpel可以恢复的一些标准文件类型和取证人员可以参考的文件信息如表4所示。表4头皮文件雕刻结果3.3应用分析本节以Android和iOS设备中的一些默认应用为例进行分析,从应用信息、重要目录和文件、以及重要的数据库。.3.4Android设备(1)短信和彩信应用软件名为Messaging,包名为com.android.providers.telephony。分析“数据”分区下应用的数据目录,可以发现关键数据主要存放在mmssms.db数据库中,重要的数据库表信息如表5所示。表5“消息”数据库表信息从上表来看,取证人员在分析申请数据时,应该重点关注sms表中的信息。另外在application目录下还有一个app_parts文件夹,里面存放的多媒体附件也是重点分析对象。手机短信可以作为证明案件事实的证据。在对手机短信内容进行公证时,还需要记录手机的品牌和型号。(2)浏览器应用软件名称为Internet,软件包名称为com.android.browser。本应用需要分析的文件和数据库表如下:表6“互联网”数据库表信息浏览器历史分析的主要目的是查看和分析计算机用户通过网络浏览器在互联网上浏览过的内容,一些关键证据可以隐藏起来,特别是在涉及色情和信用卡诈骗的案件中,浏览器是主要的犯罪工具。(3)联系人应用软件名为Contacts,包名为com.android.providers.contacts。本应用的关键数据主要保存在contacts2.db数据库中,重要的数据库表信息如表7所示。表7“Contacts”数据库表信息统计分布手机中所有联系人,可以使用绘制手机持有人画像,关联手机中的其他信息,可以挖掘出其中出现过的手机号、邮箱、身份证号、银行卡号、车牌号、姓名、所在地和其他关键数据。3.5iOS设备(1)短信和彩信应用名称“SMS/iMessage”,关键数据主要存放在“/private/var/mobile/Library/SMS/sms.db”数据库中。message和msg_pieces是两个需要重点关注的表。message表包括每个SMS发送者的电话号码、消息发送时间、消息内容等。msg_pieces表包括与MMS消息一起发送的文本内容。(2)Safari浏览器Safari是iOS预装的浏览器,其数据存放在“/private/var/mobile/Library/Safari/”和“/private/var/mobile/Containers/Data/application/C6254D15-92CE-4989-9427-26A589DFA8B7/”两条路径下。重要信息如下表所示:表8“Safari”数据库表信息(3)Contact联系人信息存放在“/private/var/mobile/Library/AddressBook/”文件夹中,两个重要的数据库是AddressBook。sqlitedb和AddressBookImages.sqlitedb。AddressBook.sqlitedb包含已保存联系人的名字、姓氏、电话号码、电子邮件地址等;AddressBookImages.sqlitedb存储联系人的头像信息。4、智能手机取证面临的挑战智能手机设备的电子数据取证需求与日俱增,取证过程中仍存在一些挑战。首先,与智能移动设备的任何交互都会在一定程度上改变设备原有的环境。例如,root设备可能会破坏整个系统的完整性,从而导致关键证据的丢失。因此,取证人员应特别谨慎地使用不同的取证方案,当原有环境发生变化时,应能够清楚说明变化的原因和人员操作的必要性。其次,目前市场上有大量不同类型和版本的智能手机终端设备及其应用。每个终端设备和平台的组合都有其独特性。在数据提取和分析过程中,针对这些差异,取证人员需要进行广泛的测试和验证。最后,取证过程中的各个技术环节都应严格遵循相应的原则和工作标准,否则取证结果的合法性和客观性将难以保证,所获得的证据也不足以被质证。法院。参考文献[1]。安德鲁·霍格。安卓取证战:调查、分析与移动安全[M].北京:机械工业出版社,2013:166-312.[2].安德鲁·霍格。iOS取证战:调查分析与移动安全[M].北京:机械工业出版社,2013:87-175.[3].LinX,LinX,Lagerstrom-Fife。计算机取证导论[M].斯普林格国际出版社,2018.[4].蒲洪全,郭艳芬,魏邦国。电子取证应用研究述评[J].计算机系统应用,2019,28(1):10-16.http://www.c-s-a.org.cn/1003-3254/6707.html.[5].金波,吴松阳,熊雄,等。新型智能终端取证技术研究[J].信息安全学报,2016(3):37-51.[6].GuptaA.学习Android设备渗透测试[M]。Packt出版有限公司,2014年[7]。SylveJ、CaseA、MarzialeL等人。Android设备易失性内存的获取与分析[J].数字调查,2012,8(3-4):175-184.[8].EpifaniM,StirparoP.学习iOS取证[M]。Packt出版有限公司,2016年[9]。KaartM,LaraghyS.Android取证:时间戳解读[J].数字调查,2014,11(3):234-248.
