智能手机取证研究

摘要：智能手机的普及使对手机取证技术的研究迈向新的高度。该文主要对智能手机中证据表现形式、取证方法及注意事项进行分析，介绍了一些取证工具，最后提出了此领域中存在的一些问题及解决方法。

关键词：智能手机；手机取证；电子证据；取证分析

中图分类号：TP393.08文献标识码：A 文章编号：1009-3044(2011)09-2120-02

Research On Smartphone Forensics

DU Jiang, CHU Shuai

Abstract：The popularity of smartphone promotes the research of mobile phone forensics technology to a new level. In this paper, the form of evidence in smartphone and forensics methods are analyzed, some forensics tools are also introduced. Finally, a number of problems and solutions in this area are discussed.

Key words：smartphone; phone forensics; electronic evidence; forensic analysis

手机取证已经成为我们所关注的焦点。所谓手机取证就是对存在于手机内存，SIM卡，扩展卡和移动运营商网络以及短信服务提供商系统中的电子证据进行提取、保存与分析，整理出有价值的案件线索或能被法庭所接受的证据的过程[1]。随着3G网络的日益普及，智能手机逐渐替代了传统手机，手机从单纯通话工具演变成数据终端，对手机取证技术的研究开始迈入新的高度――智能手机取证技术。

1 证据形式分析

传统的手机取证，证据源主要来自于普通手机（手机内存、SIM卡、扩展卡）、移动运营商网络以及短信服务提供商系统，所提取的证据形式往往比较单一，受普通手机所能提供的简单功能以及人们的使用习惯所限制，证据形式往往表现为通话记录和来往短信息等。

随着智能手机的快速发展，手机与PDA的概念越来越难以区别，智能手机的功能变得越来越庞大，人们在日常工作中对智能手机的依赖性越来越强，智能手机已经慢慢变成了人们日常工作的个人数字助理，人们开始习惯于将各种信息数据存储于智能手机中[2]。智能手机俨然已成为一台小型个人电脑，在其中所存储的电子证据形式越来越多。根据智能手机所提供的各种功能的不同，其电子证据的表现形式也不相同。

1.1 智能手机作为普通手机

智能手机首先具备普通普通手机所能提供的各种信息。

1）基本信息：主要包括国际移动设备识别码IMEI、软硬件版本、网络信息；2）通讯事件日志：包括主叫、被叫、未接来电记录信息；已发送、已接受、已编辑等短信彩信记录信息；3）SIM卡信息：国际移动用户识别码ISMI、其它的身份识别数据，如服务提供商信息，SIM卡的识别和语言参数等。

1.2 智能手机作为通讯录

区别于传统手机，智能手机通讯录文件功能不再单一，它可作系统以及各种第三方应用程序调用，因此通讯录中可所存储的信息较传统手机多很多。

1）联系人信息：包括姓名、联系人图片及铃声、电话号码（移动、家庭、工作、传真、VoIP、一键通等号码）、邮编、个人主页、电子信箱、公司部门职务信息、个人信息（生日、配偶、子女等）、文字注释信息、各种自定义信息、最后修改日期时间信息等；2）联系人群组信息（群组列表及成员信息）、已设置的快速拨号列表信息。

1.3 智能手机作为工作提醒工具

1）日程事件：会议及纪念日的开始、结束日期时间、提醒时间及次数、最后修改日期时间等；2）工作信息：工作描述、截止日期、优先待办事项、提醒时间、完成时间等；3）记事本：日记、时间等。

1.4 智能手机作为消息传递工具

证据形式主要表现为：短信息、彩信、电子邮件及附件、BIO信息（包括vCard、vCal、配置及其它信息）、广播信息（包括通过蓝牙、红外线、usb数据线传送的文件等）、信息文件夹中内容、信息服务中心标记的日期时间、删除的短信信息等。

1.5 智能手机作为GPS导航器

对配备有GPS的智能手机来说，取证时还可以提取其GPS导航相关信息。

1）GPS导航信息：最后一次调整信息、搜索路径历史记录、保存的地图、最后显示的地图、经常去的地点；2）位置标签信息。

1.6智能手机作为上网客户端

1）网页浏览器：网页缓存文件、书签、历史页面、最后一次浏览网页、搜索历史、网页cookies；2）即时消息：用户账号及密码、联系人列表、聊天记录等。

1.7智能手机作为个人电脑

1）操作系统：本手机拍摄的照片及视频、录音记录、连接过的Vi-Fi网络列表、匹配过的蓝牙设备、使用的SIM卡信息、虚拟专用网信息等；2）第三方应用程序：安装的应用程序信息、应用使用日志、数据库信息、文本文档信息等。

2 取证方法

取证是对所有潜在的电子证据进行提取分析，分析出案件线索或有效的证据，对智能手机进行取证时应注意遵循以下几个步骤：

1）查看手机电量是否充足。如电量不足，应立即使用专用电源线对其进行充电，防止其因电量不足自动关机。

智能手机与传统手机对数据的处理机制不同，智能手机某些重要数据删除之后并不立即进行清除，而是在下次关闭电源重新开机后才完全被自动清除，因此在对智能手机取证分析中，保证其电量充足而不关机十分重要[3]。2）查看手机的是否有无线网络连接，如果有应及时断开连接，以免破坏原始数据。3）及时屏蔽信号，避免外来数据（电话呼入、短信息、电子邮件等）破坏原始数据。此步一般要使用专用的信号屏蔽设备。4）镜像备份手机内存及扩展卡中的原始数据，然后对备份的数据根据不同的操作系统进行相应的分析。5）在确定手机内存中的数据备份成功后，如果有需要可以关机取出扩展卡和SIM卡进行单独分析。

3 常用的取证工具

在实际手机取证过程中，各种取证软件已经使用的越来越普遍。目前的手机取证工具多少都存在一些缺陷，任何一种取证工具都不能满足所有要求，这就要求调查取证人员能有针对性地对各种取证工具加以综合利用，才可以达到令人满意的取证效果。

1）Final Shield：Final Shield是一款信号屏蔽工具，可有效屏蔽手机信号，防止手机取证过程中外来信号影响原始数据的完整性，造成有些重要数据丢失。手机放入Final Shield中，通过设备内部的USB接口与手机连接，再通过设备外部的USB接口与专用手机取证工具或计算机连接，配合取证工具或软件即可实现数据的获取。2）．XRY：．XRY不但能在取证过程中提取手机存储卡中的数据，而且还会创建一个加密文件，以防止未授权人对数据进行任何操作[4]。它支持数据线、红外、蓝牙传输，sim卡克隆，此外．XRY也会在取证结束后向取证人员提供一份分析报告。3）Final Mobile Forensics：Final Mobile Forensics最大的优势是对CDMA制式的手机支持很好，也支持GSM型号的手机。可对呼叫记录、删除数据（部分型号）、电话本、记事本、短信、彩信、上网记录、网络连接信息、视频、录音等数据进行分析。此外还可以获取并显示大部分型号手机的加锁口令。支持BlackBerry、iPhone和Windows Mobile等智能手机操作系统，并支持物理镜像的获取。4）CELLDEK：CELLDEK是一款便携式手机取证箱，支持Palm、Windows Mobile、BlackBerry和 Symbian 操作系统智能手机的数据提取。内嵌一台笔记本电脑，通过内部软件可快速提取手机中的重要数据进行取证分析。5）Oxygen Forensic：Oxygen Forensic超越了对普通手机、智能手机、PDA的逻辑分析方法。通过采用高级的底层通讯方法，Oxygen可以比普通的逻辑分析软件获取到更多的数据，对于智能手机具有极佳的获取效果，支持iPhone、 Palm、Windows Mobile、BlackBerry、Symbian、Android操作系统。

4 面临问题

手机取证是打击利用手机进行犯罪活动的有效手段。随着智能手机的普遍应用，手机取证主要面临以下几个问题：

1）操作系统种类多：不同智能手机操作系统的数据传输和处理方法不很相同，这就需要要对不同操作系统的智能手机进行取证技术的研究，开发相应的工具。2）接口不统一：各厂家生产的手机，数据线接口标准不统一。一般来说，目前的手机取证工具都要配几十到上百条数据线，查找操作相当复杂，如果能通过国际合作或立法统一接口标准，那将大大提高手机取证工作的效率。3）驱动及连接方式不同：不同的型号的手机有相应的驱动程序，不同操作系统的手机又有相应的连接方式，没有驱动程序或连接方式设置错误是很难做到数据提取的，这就需要调查取证人员对各种型号及操作系统的智能手机进行分析学习。

5 结束语

该文对智能手机取证进行了研究，主要从对智能手机取证的证据表现形式以及取证方法进行分析，介绍了一些常用的取证软件，提出了目前智能手机取证技术所面临的一些问题。

参考文献：

[1] Ronald van der Knijff, Ten Good Reasons Why You Should Shift Focus to Small Scale Digital Device Forensics Digital Forensic Research Workshop (DFRWS), Aug 2007.

[2] Wayne Jansen, Aurélien Delaitre, Mobile Forensic Reference Materials: A Methodology and Reification, NIST Interagency Report 7617, Oct 2009.

[3] Christopher V. Marsico, Marcus K. Rogers, iPod Forensics, International Journal of Digital Evidence, Fall 2005.

[4] Wayne Jansen, Rick Ayers, Guidelines on Cell Phone Forensics, NIST Special Publication 800-101, May 2007.