手机取证技术探讨与分析

简论网络犯罪现场电子证据提取的技术要点分析论文摘要网络犯罪案件发案率高、侦破难度大，是近几年困扰公安机关的难题。

其中最主要的原因还在于电子证据提取的难度大、不容易固定和保存，特别是网络犯罪现场的电子数据。

网络犯罪现场情况复杂、范围不容易固定、证据类型多，并且现场电子数据尤其容易被破坏和丢失。

本文就目前常见的网络犯罪案件现场勘查流程为线索，分析其中常被忽略的细节，提出可以采取的技术手段和有效处理相关问题的方式方法。

论文关键词网络犯罪电子证据提取现场勘查随着计算机、手机等电子产品的逐渐普及，与之有关的犯罪案件逐年增多。

作为一类新型的高科技犯罪，网络犯罪的表现形态五花八门，而网络空间的虚拟性和电子证据的易失性也加大了此类案件的侦破难度。

为了应对日益严峻的现实，要求相关人员提高网络犯罪侦查的能力。

其中，犯罪现场电子证据的提取是网络犯罪侦查中至关重要而又不容易掌握的一项技能。

现场是案事件发生的地点，往往遗留有较多的痕迹物证。

合理有效的处置现场，尽最大可能保护线索、提取证据对整个案事件的处理具有重要的意义。

由于网络的互联性使得遗留有电子证据的场所分布广泛，既包括传统现场即物理空间，又包括非传统意义的场所即虚拟空间，也就是网络犯罪现场的空间跨度性较大。

另外，现场的空间跨度也导致了时间的连续性，会存在第一时间现场、第二时间现场等，多个现场在时间上有严格的连续性。

同时，网络犯罪现场处理中还要考虑电子证据的复杂性、脆弱性、时效性等特点。

本文就勘验、提取、固定现场留存的电子证据为线索，分析在此过程中需要关注的技术要点。

一、网络犯罪现场勘查的步骤与普通的案件处理类似，网络犯罪现场勘查也有一定的规范、原则和方法步骤。

一般来说，可以分为事前准备、现场保护、现场勘查取证、扣押等步骤。

（一）事前准备鉴于网络犯罪的特殊性，一般来说针对电子数据的现场勘查和取证要一次完成，这就要求在进入现场以前做好充分的准备。

指挥人员必须提前确定由哪些人员进入现场、需要携带哪些设备、如何制定预案、有哪些注意事项等一系列问题。

DOI:10.19392/ki.1671-7341.201810040Android 手机系统电子取证技术应用与研究张晓溪㊀梁海贺河北省人民检察院㊀河北石家庄㊀050000摘㊀要:随着智能手机的普及和发展,不仅为人们提供了便捷的沟通㊁交流方式,同时也为犯罪分子提供了活动契机,智能手机中通常隐藏着很多的犯罪证据,为了进一步拓展职务犯罪侦查手段,提升公诉人审查运用电子证据水平,电子手机取证就成为了检察技术中的重要内容㊂本文详细地描述了Android 手机系统电子取证的技术现状,分析了这些技术的优缺点,同时结合检察办案中取证工作实际,展望未来取证技术发展方向,比如引入机器学习㊁数据挖掘等,进一步提升检察机关电子证据鉴定人取证准确度和速度㊂关键词:Android 手机系统;电子取证;机器学习;犯罪活动1概述Android 智能手机是TD-SCDMA㊁TD-LTE 等移动通信技术发展的阶段性硬件设备,与传统手机相比,智能手机更加便于人们安装微信㊁QQ㊁金融银行㊁企业办公等软件,便于人们通信㊁交流[1]㊂工作实际中,职务犯罪以及刑事犯罪涉及Android 智能手机的电子证据比例非常之大,对犯罪嫌疑人的手机监控和电子取证彰显出重要意义㊂因此,为了提高破案成效,为公诉工作提供更加扎实有效的证据,提高Android 智能手机取证成为检察技术重点研究的方向[2]㊂Android 智能手机取证至今没有一个统一的标准,传统的取证方法多是从系统中获取数据,然后由鉴定人进行手工分析和提取㊂但是,随着Android 智能手机的使用和普及,设备中保存的数据越来越多,人工分析工作量非常大,因此人们研发了一些取证工具,这些工具包括Final Shield㊁XRY㊁Oxygen Forensic㊁CELLDEK,可以自动化的从Android 智能手机中发现潜在犯罪证据[3]㊂目前,Android 智能手机通常划分为三个阶段,分别是数据提取㊁数据分析和证据展示,从短信㊁彩信㊁语音㊁通讯录或移动软件数据库中提取信息,将这些信息交付给系统分析,极大的提高了数据取证的速度,将证据展示出来,供取证人员使用[4]㊂2Android 手机系统电子取证技术现状Android 智能手机取证技术发展时间长,诞生的取证工具也非常多,本文重点描述Final Shield㊁XRY 等取证工具㊂(1)Final Shield㊂Final Shield 是一种屏蔽手机信号的辅助取证工具,可以将内置的USB 接口与Android 智能手机连接在一起,然后利用数据线接入到PC 上,利用Final Shield 终端软件分析智能手机,获取有效的智能手机电子证据,同时能够有效的防止取证过程打入电话或接收短信,从而避免原始数据遭受破坏,屏蔽手机信号能够锁定已经发生的证据,具有重要的作用㊂(2)XRY㊂XRY 是一款非常便捷的Android 智能手机取证箱,能够将智能手机存储器上的数据实现转储功能,XRY 设备包括五个组成部分,分别是SIM 复制卡㊁记忆卡读卡器㊁USB 数据通信单元㊁SIM 卡读写器㊁数据线等,安全模式下可以读取Android 智能手机中的电话号码㊁通讯目录㊁短消息㊁图片和视频等,这个取证箱操作简单,易学易用,能够快速的完成数据采集㊁分析和展示工作,还可以创建一个加密文件夹,将获取的智能手机数据加密保存,避免机密证据外协㊂这个工具分析结果出来之后可以形成一个简单的报告,便于工作人员仔细查看取证结果㊂3Android 手机系统电子取证技术未来发展研究随着Android 智能手机存储器的增大,保存的软件和数据也越来越多,智能手机取证面临着海量的数据资源,传统的取证技术面临着操作复杂㊁取证不准确等问题,因此未来Android 智能手机取证需要引入更多的技术,比如模式识别㊁数据挖掘㊁机器学习等技术,以便能够将这些技术与传统取证工具结合在一起,综合使用取证工具,提高取证准确度,满足检察机关电子证据鉴定人的取证需求㊂因此,电子取证技术发展方向包括以下几个方面:(1)引入数据挖掘技术,提高证据分析准确度㊂数据挖掘可以从海量的数据资源中获取潜在的㊁有价值的目标信息,挖掘过程是自动的,不需要人工操控,因此可以将数据挖掘应用到电子取证中,面对职务犯罪等不同主题的犯罪活动建立模型,将这些犯罪活动常用的数据特征输入到模型中,通过拟合Android 手机中的数据,识别犯罪活动,准确的获取电子证据㊂(2)引入友好的交互界面,提高电子取证的操作便捷性㊂目前,电子取证工具操作界面复杂,许多参数都要人工进行设置,如果没有专业的Android 系统应用知识,取证人员就无法准确的获取证据㊂因此,引入友好的交互界面,为取证人员提供一个良好的操作界面,即使取证人员没有掌握操作技术依然可以准确的获取电子证据㊂4结语Android 智能手机作为一种先进的通信社交工具,随着TD-LTE 技术的发展已经得到广泛普及,不仅仅可以完成视频语言通话,同时还可以承载微信㊁微博㊁QQ 等软件,产生的数据非常大,对于电子证据鉴定人取证带来了严重的问题,必须引入先进的数据挖掘技术,构建面向不同犯罪主题进行数据建模,从而可以自动化的发掘潜在的问题,才能满足调查人员的特定需求㊂参考文献:[1]苗得水,夏虹.Android 系统手机电子数据取证研究[J ].中国刑警学院学报,2015,2(1):49-50.[2]危蓉,麦永浩.锁屏Android 智能手机取证方法的研究[J ].中国司法鉴定,2015,78(1):67-70.[3]刘浩阳.Android 设备取证研究[J ].信息网络安全,2015,11(9):29-32.[4]郑帅.基于Android 系统的电子证据恢复技术探讨[J ].电子技术与软件工程,2016,5(4):181.24电子信息科技风2018年4月。

Android手机取证技术研究综述作者：杨雪来源：《计算机时代》2015年第06期摘要： Android智能手机的广泛应用使其成为备受关注的数字取证源，近年来取证技术不断发展，Android手机取证标准日臻成熟。

研究了Android手机存储设备NAND闪存的异步更新策略这一有利于取证的特性，详细描述了符合国际标准的Android手机取证过程，以及Android手机取证技术的国内外研究现状和面临的挑战。

在此基础上展望未来发展趋势，为进一步研究Android手机取证提供参考性意见。

关键词： Android智能手机；数字取证；取证标准；取证现状中图分类号：TN929.53 文献标志码：A 文章编号：1006-8228（2015）06-07-03Abstract： The widely used Android smartphones have become main source of digital forensic. In recent years， standard of forensic procedure has become matured and forensic technology is constantly evolving. This article describes the usage of NAND flash chip as storage device in Android phone and its out-of-place-write strategy that forensic officers can take advantage of. Then this article illustrates the international guidelines of mobile phone forensic process， provides an overview of the state-of-the-art mobile phone forensic technology and the challenges investigators are facing，proposes possible trends in this field. Hope this work can serve as an effective support for future in-depth study of Android phone forensics.Key words： Android smartphone； digital forensic； forensic guidelines； state-of-the-art0 引言网络与信息技术的蓬勃发展使智能手机市场迅速扩张。

手机取证——关于iPhone手机数据提取方式的探讨编者按在《技术视界》前13期中，数据恢复四川省重点实验室科研人员讲解了手机音频文件提取、SQLite数据库文件恢复、手机APP取证脚本编写以及防御手机APP窃密等主题，本期重点介绍iPhone手机（越狱和未越狱）数据提取的多种方式，可以有效提取各类应用数据，包括文字、图片、声音、视频等各种多媒体信息。

随着移动通信技术的不断发展，手机也逐渐成为人与人之间不可或缺的联系工具，几乎人人都会携带一部甚至多部手机。

手机中各种APP会记录下大量信息，包括聊天、位置等，这些信息很可能成为警方破案有效的辅助证据，所以对手机数据的提取很有必要。

目前Android始终是手机行业的老大，各个手机数据提取商对Android的支持也是首当其冲。

来自ZDC(互联网消费调研中心)手机品牌关注度的数据显示（如图1），2015年三星毫无疑问位居第一，但我们也同时发现，iPhone手机紧随华为位居第三，所以对iPhone手机数据提取的支持刻不容缓。

下面将和大家一起来探讨iPhone手机数据的提取方式。

图1：苹果手机品牌关注位居第三同Android手机一样，iPhone手机数据的提取也分两种情况越狱和未越狱。

一、未越狱手机数据的提取未越狱手机主要通过备份和沙盒提取方式。

目前8.3以上的系统不再支持沙盒提取，而且也比较简单，故不再拿出来讨论。

下面只针对备份方式进行简要说明。

1、数据备份备份可通过两种方式实现：（1）通过iTunes直接备份。

备份路径为XP：C:\Documents and Settings\用户名\Application Data\Apple Computer\MobileSync\Backup；WIN7及以上：C:\Users\用户名\AppData\Roaming\Apple Computer\MobileSync\Backup。

（2）AppleMobileBackup.exe命令。

智能手机数字图像的溯源取证研究综述智能手机数字图像的溯源取证研究综述引言：随着智能手机的普及和使用，数字图像成为了智能手机用户不可或缺的一部分。

然而，由于数字图像的易修改性和复制性，智能手机数字图像的溯源取证研究备受关注。

本文旨在综述智能手机数字图像溯源取证研究的现状与发展，探讨其中的挑战和未来的研究方向。

一、智能手机数字图像溯源取证的定义与背景1.1 定义智能手机数字图像溯源取证即通过技术手段追踪、分析和验证智能手机数字图像的真实性和来源，以获取证据并进行取证。

1.2 背景随着智能手机的快速发展，人们越来越多地依赖智能手机进行拍照、录像和社交分享等活动。

然而，随之而来的是数字图像涉及的各种信息泄露、虚假信息和侵权问题。

因此，人们迫切需要一种可靠的方法来追溯和取证智能手机数字图像的真实性和来源。

二、智能手机数字图像溯源取证技术2.1 元数据分析元数据是指数字图像中存储的与图像相关的信息，例如拍摄时间、地点、设备型号等。

通过分析元数据，可以推断出图像的拍摄顺序和真实性。

此外，还可以通过元数据的变化来判断图像是否被修改、篡改或复制。

2.2 数字水印技术数字水印技术通过在数字图像中嵌入特定信息，用以标识图像的所有者和来源。

数字水印可以被作为取证工具，对智能手机数字图像进行追踪和验证。

同时，数字水印技术也可以用于在侵权案件中为原告提供证据。

2.3 图像压缩与解压缩技术智能手机数字图像常常经过压缩和解压缩处理。

图像压缩与解压缩技术可以通过分析图像的编码方式和变化情况，判断图像是否经过修改或复制。

2.4 频域分析技术频域分析技术包括快速傅里叶变换（FFT）和离散余弦变换（DCT）等。

通过对智能手机数字图像进行频域分析，可以检测图像是否存在修改痕迹、添加图层或进行过图像合成等操作。

三、智能手机数字图像溯源取证研究中的挑战3.1 图像伪造现今技术能够使伪造的图像与真实图像无法分辨，这对数字图像溯源取证带来了极大的挑战。

安卓手机取证技术引言Android系统是近些年快速兴起的一款手机操作系统。

其用户覆盖度在2011年已经以27%的占比排在智能手机的第一位。

Android系统的取证系统的需求迫在眉睫。

本项目主要针对Android手机的软件数据及硬件数据两部分提取。

充分覆盖Android手机的全部数据。

1总休设计1.1系统整体流程本取证项目主要包括两个部分，一个部分为软件数据的提取，另一部分为硬件数据的提取。

两个部分组成完整的取证系统。

同时，由于数据提取的速度的限制，本系统将两个部分分开实现。

取证人员可根据需要选择取证类型。

1-2系统结构本取证系统主要从软件数据取证和硬件数据取证2方面进行、在软件数据取证中包括了程序数据、用户数据，在硬件数据取证中包括了芯片数据。

1.3系统子功能概述1.3.1通讯录数据的提取。

通讯录的提取主要包括SIM卡里的号码和手机里面的号码。

当SIM 卡中的电话号码被删除后，要想恢复是不大可能的，这是因为电话号码在SIM卡中是以十六进制的编码方式存储的，每个存储空间包含一个名字和—个号码。

删除W后十六进制的FF就会覆盖存储空间的信息*不过由于SIM卡存储空间是循环分配的，我们可以通过识别用过的空间之间的空闲空间来判断存储的号码是否被删除过。

其提取设计流程简单的说就是先进行取证系统初始化，然后Android手机数据线连接PC,启动手机连接，系统驱动扫描接口，判断连接是否成功，若成功则创建Android手机连接，启动数据提取模块，加载通讯录提取子模块，启用Android手机连接，连接Android手机数据接口，随后分别启动手机通讯录管理模块或者手机SIM卡管理模块，连接Android通讯录数据库或者SIM卡，进行手机及SIM卡通讯录数据的提取。

将提取到的数据下载到PC，最后通过对通讯录的解析并提取数据进行界面显示。

1.3.2短信数据的提取。

SIM卡提供了存储文本信息的空间，每个SMS空间占176字节，由第一个字节Status(状态字节）和第2-176字节TPDU组成。

手机取证若干问题分析作者：贾林媛莫海来源：《环球市场信息导报》2015年第12期在司法实践中，越来越多的犯罪案件都是利用现今的手机通讯技术进行作案，因此，手机已成为了当今时代发展中电子取证所最常使用的新对象。

手机犯罪也是高科技犯罪的其中一种，是近期新涌现出来的问题，急需相对应的政策对该行为进行制止。

从手机中提取证据从而对于该问题的解决方法进行分析，有利于减少该违法行为的发生。

本文从手机取证方面进行分析，最后提出手机取证应解决的问题，随着当今时代的不断发展，技术也不断的日益先进，手机在当今时代的发展中起到了越来越重要的作用。

但也正是由于手机技术的发展，也从而引发了一些利用手机进行犯罪的情况出现，例如诈骗、造谣等违法犯罪活动日益增多。

因此，司法机关需要通过手机取证的方式来对于犯罪人员进行惩治。

手机取证即利用手机内存、SIM卡以及短信等电子证据来进行提取，从而得到有价值的线索，从而对于手机诈骗行为进行管理。

1电子证据的来源手机取证主要来源为手机内存、SIM卡、闪存卡和移动运营商以及短信服务提供商系统。

手机内存。

随着时代的不断发展，手机内存的功能也随着不断的发展。

手机中的大量信息都存储在内存上，因此也可作为电子证据。

其主要包括手机号的识别，电话簿中存有的联系人资料，发送和接受的短信，通话记录，备忘录以及日历中的待办事项，上网时所浏览内容的缓存记录以及各种图片、声音和动画等文件。

内存在能存储大量的信息，而信息也可以被删除，但可利用软件进行数据的恢复，或者由手机的制造商来进行数据恢复。

SIM卡。

SIM卡中包含大量的潜在电子证据，主要包括用户识别号、服务提供商、用户储存的电话号码列表以及近期呼叫的电话号码和一些文本信息。

文本信息和通话记录的信息价值较大，因此SIM卡中包含了大量有价值的信息。

移动运营商网络。

移动运营商网络中也包含了大量的有价值的证据。

主要有用户的呼叫记录以及能根据号码查找到该用户的基本信息。

其中CDR数据库包含了大量的信息。

手机信息提取的论述【摘要】手机在犯罪的过程中出现的频率越来越高了,对手机的取证也显得越来越重要。

本文介绍了手机机身内存、SIM卡、存储卡的取证方法及展望。

【关键词】手机取证SIM卡电子取证数据恢复一、引言随着移动通信技术的不断发展以及服务水平和服务种类的不断提高,手机已日益成为人们工作生活中不可或缺的联系工具。

犯罪嫌疑人所使用的手机上往往存储着大量的与案件有关的信息,能够为公安机关侦查破案提供一定的证据或线索。

手机取证正是打击这类犯罪的一个有效手段。

手机取证是从手机SIM卡、手机内存、闪存卡中提取短信、电话本、通话记录、多媒体等信息进行分析,整理出对案件有价值的线索且能被法庭所接受的证据的过程。

目前,牵涉到手机的犯罪行为大致有三种:一是在犯罪嫌疑人的实施过程中用手机来充当通信联络工具;二是手机被用作一种犯罪证据的存储媒质,比如,照片、视频等;三是手机被当作短信诈骗、短信骚扰和病毒软件传播等新型手机犯罪活动的实施工具。

二、电子证据来源手机取证的电子证据来源主要来自手机SIM卡、手机内存、闪存卡。

三、SIM卡信息的提取1.短信息和电话号码的提取每张SIM卡都提供了存储信息的空间,只是有些SIM卡之间提供的空间大小不一定,但是内部的结构基本都是一样的。

SIM卡中提供给我们存放的空间就是短信息、电话本以及已拨电话。

每个短信息空间占176字节,一本64KB的SIM卡中有50个这样的空间。

每个空间由这几个部分组成:第一个字节为Stat us (状态字节);第2-176字节为TPDU(传送协议数据单元)。

状态字节的值如定义如下:00000000表示空间没有被使用;00000001表示已读的短消息;00000011表示未读的短消息;不同的手机删除短信的机制的不同,有的手机在短信删除时只是将短信存储区的第一个字节(状态字节)的值改为00000000,第2-176字节中的内容未作任何修改,所以这条短信还是存在的,只是在我们手机里面不能显示,只要没有被新接收的短信覆盖掉,我们可以通过SIM Card Seizure软件加上配套的SIM卡读卡器将其中的内容恢复出来。

浅议智能手机应用程序的取证技术研究摘要：近年来，目前我国科学技术发展水平越来越高，国内智能手机的发展速度也越来越快。

对于越来越多不同的新型移动通信设备更需要创建其更加全面和有效的取证以及管理方式，提升智能手机应用取证程序的完整程度。

因此，如何对有效的取证机制进行优化，是广大研究人员在进行问题处理期间必须要思考的问题之一。

本文正是基于此，首先阐述了智能手机应用程序的取证原则，之后分析了智能手机取证具体工具，最后总结了智能手机应用程序的取证技术运行具体过程，以期指导实践。

关键词：智能手机应用程序取证技术前言近年来，智能手机逐渐成为了我国手机发展市场当中的主流，智能手机所存在的强大功能几乎和电脑相差无几。

同时，和手机相关的事件也越来越多，这类事件包含有用户实际操作期间误删文件，无意破坏，垃圾文件、病毒以及黑客等程序的干扰，还有部分犯罪和手机信息相关的案件。

所以，以手机取证技术作为关键点的研究逐渐成为了广大研究人员必须要思考的问题。

智能手机的优势在于能够支持应用程序，可以对用户使用需求进行满足。

在运行应用或者程序期间将会遗留下一些痕迹。

然而手机当中的应用越复杂，所具备的功能也越来越强大，所占据的空间也非常大，后续的取证工作也更加艰难。

1.智能手机取证原则1.、全面取证原则在进行智能手机的取证期间，相关的项目研究人员必须要创建更加有效的项目处理制度，能够采取高效的智能手机信息提取技术，实现更加具有完整性的数据链，跟踪以及取证手机当中的浏览记录，提升数据信息完整度。

1.、合法取证原则在对智能手机进行取证的重要前提是相关的取证项目必须要符合我国的法律法规，之后在得到了合法的授权之下才能够进行相关的智能手机取证行为。

在进行取证活动创建期间，必须要进行取证物品、人员、技术手段以及基本程序等情况的创建，确保智能手机相关的取证行为能够在合理的取证机制之下进行[1]。

1.、及时取证原则在进行收取信息的过程当中，相关的管理人员必须要有效跟踪手机的即时生成系统日志以及系统进程，防止手机因为容量的原因使得信息出现覆盖的问题。

手机取证技术研究李健摘要：手机在犯罪的过程中出现的频率越来越高了,对手机的取证也显得越来越重要。

本文简述手机取证的概念、原则、特征，对目前手机取证在当前侦查取证中的现状进行介绍，同时，根据手机取证的取证源详细介绍手机取证的方法，详细介绍一些常用的手机取证工具软件的特点和适用情况以便于侦查人员的实际选择与应用，介绍当前主流的手机系统Android和苹果iOS的分析方法和取证的注意事项，另外，对手机用户提供一些保护手机的建议，最后对手机取证的研究及应用前景进行展望。

关键词：手机取证；取证方法；取证工具；对比实验随着当今社会移动通信技术的飞速发展，手机已经走进千家万户，据工信部统计，截止2014年1月，我国使用手机的的人数已达12.53亿，用户数占全国人口的90.8%，可以说手机已经成为人们日常联系的必备工具。

然而，伴随着手机业迅猛发展和手机功能不断强大的同时，利用手机进行违法犯罪的案件牵涉到手机的违法犯罪案件的比例逐年升高，对于公安机关办案，通过手机提取线索、证据也逐渐成为一种非常有效和重要的侦查手段。

因此，侦查人员系统的认识手机取证，掌握手机取证的基本方法，了解一些常见的手机取证工具软件，从而打击与手机相关的各类犯罪活动，对于维护社会稳定、保障人民生命财产安全、打击犯罪行为具有重大现实意义。

一、手机取证的概念、原则、特征（一）手机取证的概念手机取证是数字取证中的一种，所谓手机取证就是对存在于手机SIM卡、手机内存卡、外置存储卡、短信服务提供商系统和移动网络运营商保存的电子证据进行提取、保存、分析,整理出有价值的案件线索或能被法庭所采纳的证据的过程。

（二）手机取证的原则1.合法原则手机取证的合法原则和传统取证一样，所谓合法主要包括以下四种：（1）参与侦查取证的人员必须要有法定的权限和资格；（2）取证过程中的程序和手段必须规范；（3）取证所采用的工具也必须符合法律规定；（4）获取到的证据信息要以合法形式运用到司法程序中。

论移动电话电子数据获取及取证分析论移动电话电子数据获取及取证分析摘要：移动电话装载了大量电子数据，这些数据往往成为查找犯罪线索、发现犯罪、证明犯罪的重要证据来源。

本文将就移动电话电子数据取证进行研究，探讨移动电话的电子数据获取和取证分析的方法和程序。

关键词：移动电话电子数据取证一、移动电话电子数据的特点(一)虚拟性移动电话电子数据实质上是按编码规则处理的电磁信号，它处于电子虚拟环境中，需要通过存储介质及软件载体表现出来。

(二)多样性和普通的物证、书证的单一性相比，移动电话电子数据表现得更为多样，不仅可以表现为文本信息如短信，也可以表现为图片、音频、视频等多媒体文件，还可以是GPS地理信息等等。

(三)易破坏性移动电话电子数据由于存在于个人移动电话中，非常容易且快速地删除，如通话记录、短信等删除操作简便，或采用破坏移动电话机身的方式使电子数据无法提取。

(四)实时性移动电话只要处于开机状态，其基本处于实时在线状态，随时进行信息的交互，如会接收到电话、短信及GPS信息等，极易破坏原有数据，因此，在对移动电话取证时一定要屏幕信号，防止对原有检材的破坏。

二、移动电话电子数据取证的原则(一)合法性原则移动电话电子数据取证的合法性原则，是指对移动电话电子数据证据的收集和分析必须依法进行，包括收集、分析的主体要合法，收集、分析证据的程序要合法，取证的技术方法要合乎规范。

(二)关联性原则移动电话电子数据取证，要求获取的电子数据必须与案件事实存在着必然的客观联系，且对证明案件事实具有实际意义。

电子数据证据对于案件有无联系，决定着电子数据证据对于案件事实有无证明力，因此，在电子数据取证过程中必须收集与案件事实有关联，能够证明案件事实的电子数据证据。

(三)及时性原则由于移动电话本身的脆弱性，破坏后便不易提取其中电子数据，移动电话中的电子数据存在于电子虚拟环境中，非常容易受到改动或破坏且不容易察觉和证实，而且移动电话会不断接收信息及电话等，极其容易把原来删除的内容覆盖，使之不容易恢复，电讯运营商对移动电话信息的保存也具有一定期限，过了期限则无法调取。

2020年第7期216智能技术信息技术与信息化Android 智能手机的取证有效方法探究王 前* WANG Qian摘　要 在信息化发展的现代社会当中，智能手机已经成为国民间联系与沟通的重要手段，同时也从根本上改变了人们的传统生活方式。

但是，因多数国民均是利用智能手机与他人进行联络，因此便造成用户手机当中存有其大量隐私与应用历史，这也成了调查人员取证的源头。

而传统的智能手机取证时多是利用手机内置存储器完成，而随着现代化手机内置存储器技术的不断发展，使得其种类越来越多且其中所涉及的数据也越来越复杂，为了能够更加全面的提取电子证据，开始利用RAM 存储器进行信息的取证。

而本文则主要针对Android 智能手机的取证有效方法展开探讨分析。

关键词 Android 系统；屏锁绕过；动态内存提取；取证有效方法doi：10.3969/j.issn.1672-9528.2020.07.073* 上海交通大学电子信息与电气工程学院 上海 2000300 前言目前，我国所实施的手机取证方式大多是借助计算机设备来与手机进行连接，以此实现对手机内数据信息的获取。

但是，在大量的相关手机信息取证过程中，智能手机均会存在设有密码的情况，导致取证人员无法快速破解，进而无法获得重要的数据信息。

并且部分智能手机所设置的USB 调试在手机未解锁期间不可打开，那么所要取证的手机则无法与计算机软件进行连接，而这便导致取证人员工作开展较为困难。

因此，如何在保障手机不被损坏的情况下对其重要信息进行取证成了本次研究的重要内容。

1 Android 智能手机系统启动原理分析安卓系统主要是由谷歌公司立足于Linux 内核系统基础上所开发的手机操作系统，且这一系统能够为移动终端提供开放性应用需求。

相较于其他的手机操作系统，安卓手机操作系统同样存在四项内容，即：应用程序层、应用程序框架层、中间件层，以及Linux 核心层。

其中，当安卓智能手机开机加电后，其CPU 从固定位置读取了程序并且完成开机引导，而在这一过程中，有三种选择模式供人选择，其具体包括：（1）recovery 模式，即俗称恢复模式；（2）fastboot、hboot 模式；（3）正常启动系统，即在开机回电后智能手机自动加载至booting.img，进入system 正常运行使用。