智能手机取证流程分为证据保全、取证、鉴定分析、报告四个阶段。在第一部分,我将重点介绍智能手机取证过程的概述、历史和前两个阶段:证据保存和证据获取。这两个步骤在智能手机取证中起着非常重要的作用。美国国家司法研究所(NIJ)将电子数据定义为以二进制形式存储或传输的信息,可以在法庭上作为依据,可以存储在计算机硬盘、手机、个人数字助理、数码相机中的闪存卡、等中发现。电子数据证据可用于起诉所有类型的犯罪,而不仅仅是电子犯罪。智能手机取证作为电子数据取证的一个分支,发挥着越来越重要的作用。通过手机电子数据,可以获取嫌疑人的聊天记录、出行记录、地理位置、支付记录、通话记录、短信等信息。根据这些信息,侦查人员可以推断出嫌疑人的交情、活动、财富等个人情况。然而,电子数据需要遵守一定的规范和程序以确保合法性,这对于智能手机取证来说难度很大。例如,一些取证工具需要与手机通信,导致手机电子数据取证时无法使用写保护;移除芯片或越狱手机系统都会导致智能手机的电子数据发生变化。因此,遵循适当和合法的方法和指南对于手机电子数据取证至关重要。1.智能手机取证过程1984年,FBI和其他执法机构开始模拟基于早期版本计算机的数字证据检查。第一个数字取证流程模型,即计算机取证调查流程(CFIP),侧重于数据收集以及该数据的可靠性和法律接受度。计算机取证调查过程模型分为4个阶段:获取、识别、评估、作为证据。与传统的计算机取证调查相比,智能手机取证在当今的调查中越来越普遍。但由于智能手机操作系统、标准、数据存储技术和数据保护程序的多样性,从智能手机收集数字证据是一项更加困难的任务。2014年5月,美国国家标准技术研究院(NIST)发布了移动设备取证指南,系统地分析了移动设备取证的目的、范围、方法和方法。介绍。一般来说,移动设备取证可以分为证据保全、证据获取、识别分析和报告四个步骤,如图1所示。图1移动取证流程1.1.证据保全证据保全是在不改变手机数据内容的情况下,保证证据安全的过程,是智能手机取证的第一步。证据保全有两个目的,一是最大限度地获取相关证据资料,二是保护证据资料的完整性和原始性,确保其可采性。如果证据不按原样保存,与案件有关的信息可能会丢失。证据保全的基本步骤包括保护和记录现场、隔离和证据保全。1.1.1.保护并记录现场采集。在进行现场收购之前,首先要确定现场收购的目的和范围。现场采集人员需明确分工,落实责任,明确携带仪器设备。其次,要明确现场获取手机所采用的方法、标准、规范和步骤,明确每项操作可能产生的影响。工作人员应彻底搜查现场所有区域,确保相关证据不被遗漏。现场采集主要分为静态采集和动态采集。在智能手机被扣押期间对手机处理不当可能会导致数字数据丢失,因此需要谨慎。静态获取是指在法律允许的范围内对手机进行拍照或拍照,获取并记录手机的相关附属设备信息,这些信息包括但不限于手机品牌和型号、手机的唯一性标识(如:IMEI号)、手机SIM卡和外置存储卡信息、手机安全验证机制信息(如:激活密码和PIN码)、手机配件(如:电源线、数据线等)设备)和相关手册。动态采集是指手机在运行状态下采集数据。如果手机没有开启安全验证机制或者可以解决手机的安全验证机制,则按照静态获取的方式获取数据,记录手机的操作系统信息。如果手机开启了安全验证机制,无法获取解决安全验证机制的方法,则应将手机与无线网络隔离提取数据。1.1.2.隔离隔离手机无线网络的方法主要有使用电子/射频屏蔽、设置飞行模式、关闭Wi-Fi、蓝牙和红外通信等。然后将手机连接电脑进行数据同步,注意防止数据传输或同步覆盖,同步时不要取出手机中的数据存储卡和SIM卡。同时,许多移动设备都有重置代码,可以将设备的内容擦除回其原始出厂状态。主控复位可远程进行,动态采集时需采取网络隔离、物理隔离等措施,确保证据不被篡改或破坏。如图2所示,手机可以使用法拉第袋进行隔离运输。图2法拉第袋1.1.3.证据保全对于已经关机的手机,应尽可能取出手机的可拆卸电池,然后将设备密封并标记在信号屏蔽容器中。封口前后手机要拍照或录像。照片或视频应从各个角度反映手机封口前后的状态,清晰反映封口状态或贴封口处。对于正在运行的手机,如果需要保持开机状态,应将手机放在专门设计的硬质容器内,以防止无意中触碰按键。密封的时候还需要用到信号屏蔽容器,并拍摄手机状态的照片或视频。此外,应建立所有可见证据的记录,即现场所有数字设备,包括其他移动设备、数据线、电源、媒体设备等,应一并拍照记录,并将每个数字设备应该记录下来。设备报告。最后,在现场数据采集完成后,对现场进行整体拍照记录。1.2.证据获取证据获取是镜像智能手机及其相关设备并获取信息的过程。现场取证的好处是可以避免在运输和储存过程中因电池耗尽、破损等原因导致信息丢失。而如果想要获得场外证据,则需要将手机封存起来,送回实验室,由相关人员进行检验。查验过程中,对送检手机进行唯一编号,同时对送检手机拍照,记录相关信息,包括品牌、型号、操作系统版本等。然后在实验室,对手机数据进行测试分析。手机数据一般存储在手机闪存、SIM卡和外置存储卡中。获取手机闪存数据一般有以下几种方式:(1)手动获取:在不使用其他手机取证设备的情况下获取屏幕显示数据;(2)逻辑获取:获取送检手机的文件系统;(3)物理获取(镜像获取/JTAG):对送检的手机文件系统进行镜像备份,或者使用JTAG获取;(4)芯片获取:获取送检手机中的物理存储芯片;(5)微读数采集:利用高倍电子显微镜对手机存储单元进行物理观察,获取数据。选择物理采集时,首先要确定手机主板各部分的功能和存储芯片的位置,如图3所示。图3智能手机结构图SIM卡通过智能手机取证设备或SIM卡取证设备,从复制的SIM卡中提取数据。SIM卡中可以提取的数据包括IMSI、ICCID、短信、通讯录和通话记录等。对于外部存储卡数据的恢复和获取,首先要对存储卡进行唯一编号和拍照,然后对符合保存条件的检验资料,必须妥善保存和备份。查验过程中,需要提前使用杀毒软件对电子物证查验工作站系统进行杀毒,然后将查验材料以只读方式连接到电子物证查验工作站,计算检查材料的哈希值,然后使用软件工具进行数据恢复。对恢复的数据进行过滤,复制到专用存储介质中进行检查,计算存储介质的哈希值,做一个唯一的编号,并进行标记。参考文献[1]。LinX,LinX,Lagerstrom-Fife。计算机取证导论[M].斯普林格国际出版社,2018.[2]。金波,吴松阳,熊雄,等。新型智能终端取证技术研究[J].信息安全学报,2016(3):37-51.[3].廖小龙。基于手机数据的司法取证研究与应用[D].贵州大学,2019.[4].陈光轩,刘雪华。手机取证挑战[J].中国信息安全,2019(05):69-70.[5].FukamiA,StoykovaR,GeradtsZ.一种从加密移动设备中提取取证数据的新模型[J]。国际法医学:数字调查,2021年,38:301169。
