09手机取证讲解
网络犯罪案件中智能手机取证的应用
随着网络技术的不断创新与发展,新的犯罪手法和犯罪 趋势不断涌现,智能家居、物联网等新兴技术产业面临着严 峻的网络安全威胁。伴随着 5G 时代的来临,人们在出行、 支付、购物、通信时更多的依赖智能手机。智能手机给人们
收稿日期:2020-09-21 基金项目:安徽公安职业学院校内科研项目 (XN2019YB043)
摘 要:互联网已经越来越深地融入了人们的日常生活、工作中,移动支付已经深刻地改变了人们的生活方式,智能手机
已经成为人们日常生活中必不可少的物品,利用智能手机进行网络犯罪的案件也不断增多。智能手机的厂商、型号及版本系统各
不相同,数据存储方式也不同,给取证人员进行电子数据取证增加了难度。对网络犯罪案件中智能手机的取证流程以及涉案手机
2.3 智能手机取证时注意事项 第一,在现场勘验阶段,办案取证人员应首先确认目标 手机安全,比如在一些案件中,手机是爆炸的引爆器;第二, 待检测的智能手机在进行取证之前应当放在电磁信号屏蔽环 境中或者关机,在取证过程中应当将 SIM 卡移除或者开启 飞行模式,保证智能手机的初始状态不发生改变,原始数据 不被污染;第三,仔细勘验现场,关联现场中出现的其他物 证、书证与智能手机使用者和智能手机之间的关系。
遵循这个步骤:首先对待取证手机进行 USB 调试模式,USB 调试模式是 Android 提供的一个用于开发工作的功能,使用该 功能可在计算机和 Android 设备之间复制数据、读取数据等 等。在 Android 手机中,用户获取 root 权限后可以对手机中 的文件数据进行备份。一般在手机设置中会有“权限管理”
数据包信息进行研究,为公安机关在网络犯罪案件中智能手机取证方面提供参考。
关键词:网络犯罪;智能手机;电子数据;取证
手机取证——关于iPhone手机数据提取方式的探讨
手机取证——关于iPhone手机数据提取方式的探讨编者按在《技术视界》前13期中,数据恢复四川省重点实验室科研人员讲解了手机音频文件提取、SQLite数据库文件恢复、手机APP取证脚本编写以及防御手机APP窃密等主题,本期重点介绍iPhone手机(越狱和未越狱)数据提取的多种方式,可以有效提取各类应用数据,包括文字、图片、声音、视频等各种多媒体信息。
随着移动通信技术的不断发展,手机也逐渐成为人与人之间不可或缺的联系工具,几乎人人都会携带一部甚至多部手机。
手机中各种APP会记录下大量信息,包括聊天、位置等,这些信息很可能成为警方破案有效的辅助证据,所以对手机数据的提取很有必要。
目前Android始终是手机行业的老大,各个手机数据提取商对Android的支持也是首当其冲。
来自ZDC(互联网消费调研中心)手机品牌关注度的数据显示(如图1),2015年三星毫无疑问位居第一,但我们也同时发现,iPhone手机紧随华为位居第三,所以对iPhone手机数据提取的支持刻不容缓。
下面将和大家一起来探讨iPhone手机数据的提取方式。
图1:苹果手机品牌关注位居第三同Android手机一样,iPhone手机数据的提取也分两种情况越狱和未越狱。
一、未越狱手机数据的提取未越狱手机主要通过备份和沙盒提取方式。
目前8.3以上的系统不再支持沙盒提取,而且也比较简单,故不再拿出来讨论。
下面只针对备份方式进行简要说明。
1、数据备份备份可通过两种方式实现:(1)通过iTunes直接备份。
备份路径为XP:C:\Documents and Settings\用户名\Application Data\Apple Computer\MobileSync\Backup;WIN7及以上:C:\Users\用户名\AppData\Roaming\Apple Computer\MobileSync\Backup。
(2)AppleMobileBackup.exe命令。
手机取证的概念
手机取证的概念手机取证是指对手机中存储的电子数据进行调查、收集和分析,以获取法律证据的过程。
手机已成为当今社会人们生活和工作中不可或缺的一部分,人们通过手机进行沟通、存储个人信息、拍摄照片和视频等。
因此,手机取证在刑事、民事和行政等领域中具有重要的意义和应用价值。
手机取证主要包括以下几个方面:1. 电子证据收集:手机取证的第一步是收集手机中的电子证据。
电子证据可以包括通话记录、短信、邮件、社交媒体聊天记录、图片和视频等。
收集电子证据的方式包括直接访问手机存储、制作镜像或备份、运用取证工具和软件等。
2. 电子证据分析:手机取证的第二步是对收集到的电子证据进行分析。
分析包括提取数据、恢复已删除的数据、还原数据结构、分析关联关系等。
通过分析电子证据,可以了解手机用户的通信行为、社交网络关系等。
3. 电子证据报告:手机取证的最后一步是生成电子证据报告。
电子证据报告是收集、分析和解释手机中的电子证据,以供法庭或调查人员使用。
电子证据报告应包括取证方法和结果的详细说明,以及对电子证据的可信度和完整性的评估。
手机取证在刑事、民事和行政等领域中有着广泛的应用和重要性:1. 刑事取证:手机取证在刑事案件中扮演着重要的角色。
通过手机取证,可以获取嫌疑人和受害人之间的通话、短信和社交媒体聊天记录,以及拍摄的照片和视频等。
这些证据可以帮助警方追踪罪犯、还原犯罪现场和作案过程。
2. 民事取证:手机取证在民事案件中也有重要的应用。
比如,通过手机取证可以获取离婚诉讼中配偶之间的通话、短信和社交媒体聊天记录,以及涉及合同纠纷的手机邮件和短信等。
这些证据可以用于证明一方的不当行为或违反合同的行为。
3. 行政取证:手机取证在行政调查中也很常见。
比如,在调查贪污案件中,手机取证可以揭示涉案人员之间的通信、交易和资金流动等。
此外,政府机构也可以通过手机取证来调查员工的工作纪律和安全事故原因等。
需要注意的是,手机取证必须合法、透明和无损。
苹果手机IOS系统3种取证方法测评对比研究
中国人民公安大学学报(自然科学版)2020年第4期No.42020Journal of Peopled Public Security University of China(Science and Technology)总第106期Sum106苹果手机IOS系统3种取证方法测评对比研究刘枧▽,邱平3,苏顺华3(1.贵州警察学院计算机科学系,贵州贵阳550005;2.公共大数据国家重点实验室,贵州贵阳550025;3.贵州省公安厅网络安全保卫总队,贵州贵阳550001)摘要通过公安电子数据取证的具体实例,从浏览器历史记录、聚合位置信息、钥匙串(Keychain)、日志文件和输入法、即时通讯5个维度,使用普通的不加密备份取证、加密备份取证和逻辑镜像取证3种不同的取证方法,对同一部苹果手机ISO系统进行测评实战比对。
通过对比3种取证方法提取的数据量,阐明电子数据取证方法对取证数据和案件侦查的影响,并详细分析各类数据对案件侦查的作用。
关键词苹果手机;IOS系统;取证方法;测评对比;备份中图分类号D918.2文献标志码AA Comparative Study on the Evaluation of Three ForensicsMethods of Apple Mobile ISO SystemLIU Jian1,2,QIU Ping3,SU Shunhua3(1.Department of Computer Science,Guizhou Police College,Guiyang550005,China;2.State Key Laboratory of Public Big Data,Guiyang550025,China;work Security Corps,Public Security Department of Guizhou Province,Guiyang550001,China)Abstract:Through the concrete examples of public security electronic data forensics,from the five dimensions of browser history,aggregate location information,keychain,log file and input method,instant messaging,using three different forensics methods,mon unencrypted backup forensics,encrypted backup forensics and logical image forensics,the same Apple Mobile ISO system is evaluated and compared in actual combat By comparing the amount of data extracted by these three methods,this paper expounds the influence of electronic data collection methods on evidence collection data and case investigation,and analyzes all kinds of data in detail.Key words:Apple Mobile;ISO system;forensics method;evaluation comparison;backup0引言在移动互联网技术不断发展的今天,移动智能终端已成为人们生活中必备的工具,人们的吃住行消乐都可以依托智能手机完成。
安卓手机取证技术
安卓手机取证技术引言Android系统是近些年快速兴起的一款手机操作系统。
其用户覆盖度在2011年已经以27%的占比排在智能手机的第一位。
Android系统的取证系统的需求迫在眉睫。
本项目主要针对Android手机的软件数据及硬件数据两部分提取。
充分覆盖Android手机的全部数据。
1总休设计1.1系统整体流程本取证项目主要包括两个部分,一个部分为软件数据的提取,另一部分为硬件数据的提取。
两个部分组成完整的取证系统。
同时,由于数据提取的速度的限制,本系统将两个部分分开实现。
取证人员可根据需要选择取证类型。
1-2系统结构本取证系统主要从软件数据取证和硬件数据取证2方面进行、在软件数据取证中包括了程序数据、用户数据,在硬件数据取证中包括了芯片数据。
1.3系统子功能概述1.3.1通讯录数据的提取。
通讯录的提取主要包括SIM卡里的号码和手机里面的号码。
当SIM 卡中的电话号码被删除后,要想恢复是不大可能的,这是因为电话号码在SIM卡中是以十六进制的编码方式存储的,每个存储空间包含一个名字和—个号码。
删除W后十六进制的FF就会覆盖存储空间的信息*不过由于SIM卡存储空间是循环分配的,我们可以通过识别用过的空间之间的空闲空间来判断存储的号码是否被删除过。
其提取设计流程简单的说就是先进行取证系统初始化,然后Android手机数据线连接PC,启动手机连接,系统驱动扫描接口,判断连接是否成功,若成功则创建Android手机连接,启动数据提取模块,加载通讯录提取子模块,启用Android手机连接,连接Android手机数据接口,随后分别启动手机通讯录管理模块或者手机SIM卡管理模块,连接Android通讯录数据库或者SIM卡,进行手机及SIM卡通讯录数据的提取。
将提取到的数据下载到PC,最后通过对通讯录的解析并提取数据进行界面显示。
1.3.2短信数据的提取。
SIM卡提供了存储文本信息的空间,每个SMS空间占176字节,由第一个字节Status(状态字节)和第2-176字节TPDU组成。
Android智能手机的取证
应用程序提供的开发包API和一系列开发工具。其中 的Android调试桥(Android Debug Bridge,adb)可以让 用户在模拟器或设备上安装应用程序.并从命令行访 问模拟器或设备。SQLite Expert是一个可以在SQLite 数据库上执行创建、编辑、复制、提取等操作的可视化 管理工具。EnCase作为专业的司法取证软件,可以从 镜像文件中发现、分析、展示电子证据。 3.2连接设备 首先确保鉴定工作站上安装Android USB驱动。 开启手机上的USB调试模式(图2),然后通过mini— USB数据线连接手机和计算机。为了验证手机设备已 经连接上,通过Android SDK工具箱中的adb命令查 看,adb位于SDK目录下的platform—tools或者tools 目录下。在命令行敲入adb devices,这时系统会列出 已连接的Android设备f图3).
录就可以。
!cz、-瑚啊s、・,^-姒c吐_‘
一般地,读取手机内存(包括外置存储卡和内置 闪存)中的数据,是利用手机操作系统或手机制造商 提供的接口软件来读取的,但这样操作有可能会破坏 原始数据。也不能恢复被删除的数据。最好的方法是 像计算机取证那样镜像备份手机内存的数据,然后进 行数据提取与分析(2j。 对于手机外置存储卡,也就是上面描述的sdcard 目录.可以通过读卡器连接到计算机上.然后利用 EnCase制作该存储卡的镜像文件,注意存储卡与电 脑连接时必须打开写保护,以防止不当操作破坏存储 卡里的证据。 对于手机内置存储.取证时需要关注系统以及用 户的所有信息。通过命令adb
shell shell
图5手机内存镜像备份
3.4逻辑分析 逻辑分析(Logical Acquisition)是在当前文件目 录下寻找相关证据.不涉及已删除的信息。所有与应 用程序相关的信息都存放在/data/data目录下,通过
数字取证技术追踪与分析网络犯罪证据培训课件
实际操作演示及注意事项
确保操作环境安全
在进行取证操作时,要确保操作 环境的安全性和稳定性,避免数
据泄露或损坏。
遵循法律程序
在取证过程中,要严格遵守法律 程序和相关规定,确保取证活动
的合法性和有效性。
记录详细操作步骤
在取证过程中,要详细记录每一 步操作过程和结果,以便后续复
查和验证。
05
法律法规与伦理道德考量
者的行为轨迹。
网络流量数据
捕获网络传输过程中的数据包 ,通过分析可发现异常流量和 恶意行为。
文件和数据库
存储着大量的用户信息和业务 数据,可能成为网络犯罪的攻 击目标或留下犯罪痕迹。
社交媒体和通讯记录
犯罪嫌疑人在社交媒体上的发 言和通讯记录可能成为关键证
据。
网络犯罪证据特点分析
隐蔽性
网络犯罪证据往往隐藏 在大量的正常数据中,
电子数据已被广泛认可为 一种有效的法律证据,对 于打击网络犯罪具有重要 意义。
易于篡改
电子数据易于被篡改且不 留痕迹,因此确保其完整 性和真实性至关重要。
技术依赖性
电子数据的收集、保存和 分析需要依赖特定的技术 手段和工具。
常见网络犯罪证据类型
系统日志
记录计算机系统或网络设备的 操作和活动,可用于追踪攻击
难以被直接发现。
易逝性
电子数据容易被覆盖或 删除,因此及时收集和
保存证据至关重要。
多样性
网络犯罪证据类型多样 ,包括文本、图像、音 频、视频等多种形式。
跨地域性
网络犯罪往往涉及多个 国家和地区,证据的收 集和分析需要跨国合作
。
03
数字取证技术方法与实践
数据恢复与提取技术
数据恢复技术
手机信息提取的论述
手机信息提取的论述【摘要】手机在犯罪的过程中出现的频率越来越高了,对手机的取证也显得越来越重要。
本文介绍了手机机身内存、SIM卡、存储卡的取证方法及展望。
【关键词】手机取证SIM卡电子取证数据恢复一、引言随着移动通信技术的不断发展以及服务水平和服务种类的不断提高,手机已日益成为人们工作生活中不可或缺的联系工具。
犯罪嫌疑人所使用的手机上往往存储着大量的与案件有关的信息,能够为公安机关侦查破案提供一定的证据或线索。
手机取证正是打击这类犯罪的一个有效手段。
手机取证是从手机SIM卡、手机内存、闪存卡中提取短信、电话本、通话记录、多媒体等信息进行分析,整理出对案件有价值的线索且能被法庭所接受的证据的过程。
目前,牵涉到手机的犯罪行为大致有三种:一是在犯罪嫌疑人的实施过程中用手机来充当通信联络工具;二是手机被用作一种犯罪证据的存储媒质,比如,照片、视频等;三是手机被当作短信诈骗、短信骚扰和病毒软件传播等新型手机犯罪活动的实施工具。
二、电子证据来源手机取证的电子证据来源主要来自手机SIM卡、手机内存、闪存卡。
三、SIM卡信息的提取1.短信息和电话号码的提取每张SIM卡都提供了存储信息的空间,只是有些SIM卡之间提供的空间大小不一定,但是内部的结构基本都是一样的。
SIM卡中提供给我们存放的空间就是短信息、电话本以及已拨电话。
每个短信息空间占176字节,一本64KB的SIM卡中有50个这样的空间。
每个空间由这几个部分组成:第一个字节为Stat us (状态字节);第2-176字节为TPDU(传送协议数据单元)。
状态字节的值如定义如下:00000000表示空间没有被使用;00000001表示已读的短消息;00000011表示未读的短消息;不同的手机删除短信的机制的不同,有的手机在短信删除时只是将短信存储区的第一个字节(状态字节)的值改为00000000,第2-176字节中的内容未作任何修改,所以这条短信还是存在的,只是在我们手机里面不能显示,只要没有被新接收的短信覆盖掉,我们可以通过SIM Card Seizure软件加上配套的SIM卡读卡器将其中的内容恢复出来。
司法鉴定中的数字取证技术介绍
文件解析与识别技术
文件解析
对数字设备中的各类文件进行深入分 析,提取文件头、元数据、内容等信 息,以确定文件类型、来源和修改历 史等。
文件识别
通过特定算法对文件进行识别和分类 ,如识别图像、音频、视频等文件的 格式和内容,为后续分析提供基础。
时间戳分析与验证技术
时间戳分析
对数字设备中的时间戳信息进行提取和分析,以确定文件创建、修改和访问的 时间,为案件调查提供时间线索。
工作流程
数字取证技术的工作流程通常包括案件受理、现场勘查 、数据提取、数据分析、证据呈现和结案归档等步骤。 其中,案件受理是指接收案件并了解案情;现场勘查是 指对涉案数字设备或存储介质进行现场勘查和收集;数 据提取是指对收集到的数据进行提取和整理;数据分析 是指对提取的数据进行深入分析和挖掘;证据呈现是指 将分析结果以可视化、直观化的方式呈现出来;结案归 档是指将案件相关材料和证据进行整理和归档。
展望未来发展趋势
技术创新
随着人工智能、大数据等技 术的不断发展,数字取证技 术将不断创新,提高自动化 和智能化水平。
法规完善
随着数字技术的广泛应用, 相关法律法规将不断完善, 为数字取证技术的发展提供 有力保障。
国际合作
跨国犯罪和网络犯罪日益猖 獗,数字取证技术的国际合 作将成为未来发展的重要趋 势。
时间戳验证
通过与其他证据或信息进行比对,验证时间戳的真实性和准确性,以确定数字 证据的可靠性和完整性。
加密解密技术应用
加密技术应用
采用加密算法对重要数字信息进行加密处理,确保信息在传 输和存储过程中的安全性,防止未经授权的访问和篡改。
解密技术应用
在合法授权的情况下,利用解密算法对加密信息进行解密处 理,以获取原始信息内容,为案件调查提供证据支持。
网络犯罪调查取证的关键技术有哪些
网络犯罪调查取证的关键技术有哪些在当今数字化时代,网络犯罪日益猖獗,给社会带来了巨大的威胁和损失。
为了有效地打击网络犯罪,调查取证工作显得尤为重要。
网络犯罪调查取证涉及到一系列复杂的技术和方法,下面我们就来探讨一下其中的关键技术。
一、数据获取与保全技术数据获取是网络犯罪调查取证的第一步,也是最为关键的一步。
在获取数据时,需要确保数据的完整性和准确性,同时要遵循合法的程序和原则。
常见的数据获取方法包括:1、硬盘镜像:对犯罪嫌疑人的计算机硬盘进行全盘复制,以获取所有的数据信息,包括已删除的数据和隐藏的数据。
2、网络数据包捕获:通过网络监控工具,捕获犯罪嫌疑人在网络中传输的数据数据包,分析其中的通信内容和行为。
3、移动设备取证:对于手机、平板电脑等移动设备,使用专门的取证工具获取设备中的数据,如短信、通话记录、社交媒体信息等。
在获取数据后,还需要进行数据保全,以防止数据被篡改或丢失。
数据保全通常采用哈希值计算、数字签名等技术,确保数据的原始性和完整性。
二、数据分析技术获取到的数据往往是海量的、杂乱无章的,需要通过数据分析技术来提取有价值的信息。
1、文件分析:对获取到的文件进行类型识别、内容分析,查找与犯罪相关的文件,如犯罪计划书、非法交易记录等。
2、日志分析:分析服务器日志、系统日志等,了解犯罪嫌疑人的操作行为和时间轨迹。
3、数据库分析:对于涉及数据库的犯罪,分析数据库中的数据结构和内容,查找异常数据和操作记录。
数据分析技术还包括数据挖掘、机器学习等方法,通过建立模型和算法,自动发现数据中的潜在规律和关联,为调查提供线索。
三、网络追踪技术网络追踪技术用于确定犯罪嫌疑人在网络中的位置和行踪。
1、 IP 地址追踪:通过分析网络数据包中的 IP 地址,追踪犯罪嫌疑人使用的网络设备的位置。
2、域名追踪:对于使用域名进行犯罪活动的,通过域名解析和注册信息,查找域名所有者和相关的网络服务提供商。
3、网络流量分析:通过分析网络流量的特征和流向,确定犯罪嫌疑人与其他网络节点的通信关系。
手机取证精品PPT课件
SIM卡中的存储信息
SIM卡是GSM网手机的基本单元,包含了特定用户的信息。它是一种特 殊的智能卡,通常包含了16K到64K的内存、一个处理器、一个操作系 统,在移动通信网络中,手机与SIM卡共同构成移动通信终端设备。
SIM卡即为客户识别模块,也被称为用户身份识别卡,它记录着 IMEI(国际移动设备识别号)、密钥、PIN码(个人身份识别码)、加 密算法和 其他用户相关的信息,移动通信网络通过此卡来对用户身 份进行鉴别以及对用户通话时的语音信息进行加密。一个SIM卡惟一 的标识出用户,决定电话的号码,包 含一个授权用户连上网络的算 法。SIM卡文件系统的组织是为了存放姓名和电话号码,发送和接收 文本信息,和进行网络配置,这些信息也可以共存于电话的内存中。 跟所有的智能卡一样,SIM卡的内容是被保护的,通过设置PIN码来限 制访问。因此,SIM卡包含着大量有价值的潜在电子证据。
的数据不被改变。
中国手机的一些概况 • 国产机都是中国一些公司设计建立的他们自己的品牌 • 一些山寨机品牌也最终被建立。 • 在中国销售,而且出口到世界。在世界手机市场上占到30%左右。 • 有时以原始制作商的身份直接卖给西部的一些手机制造商。
Lenovo, Huawei, ZTE, K-Touch, 金立, CoolPad, 长虹.
CellXtract手机取证设备的介绍 功能与特点:
综合数据提取。包括提取未接电话、已拨电话、已接电话、电话薄、短 信息、从SIM卡中删除的信息、多媒体信息、日程表、备忘录、待办事项、 照片、视频、音频和其他文件。
支持对超过2000多款移动设备进行逻辑提取,包括Apple iPhone、 Android、Blackberry、SmartPhones、 Palm、Palm WebOS、 Symbian、 Windows 系统和GPS设备。
手机取证相关信息
Flash
Flash是以线性空间存储的设备,因此我们获取到的数据 格式和硬盘上的有很大的不同。为了还原 Flash上的数据, 我们需要解决以下问题: 1)Flash 文件系统的组成; 2)Flash 存储的数据; 3)Flash 存储的数据如何映射文件系统。
Flash
1、Flash文件系统的组成:嵌入式常见的文件系统是 JFFS,YAFFS等。 2、Flash存储的数据: NAND Flash 的物理性质, 分别包括: 页 (Page) 、块(Block)、一个Nand Flash由很多个块(Block)组、 每个块里面又包含了很多页 (Page) 。 3、Flash存储的数据如何映射文件系统:手机控制 Flash 闪存的设备就 是 CPU,我们实际上是通过MT6225 芯片还原手机上的文件系统。 各手机厂商使用的Flash芯片型号不同,采用的文件系统也不相 同,在还原文件系统的同时还要辨别手机的操作系统与用户存储的数 据,这给还原文件系统带来一定的困难。
注:RFU(Reserved for Future Use)
SIM卡内部结构
2、SIM卡文件系统
SIM卡上的所有数据都是以文件的形式存放在卡 片数据存储区中的。
1、MF类似于Windows中的根目录, 一个智能卡中有且只有一个MF,文件 标识(File ID)为3F00。 2、DF专有文件,类似于Windows中 的文件夹,只存取文件地址指针。
五、产品介绍
Cellebrite是从以色列引进的手机取证产品,有以下 功能: 手机本身内容
SIM卡数据,数据包括ICCID、IMSI、通 1.提取手机数据 讯录、短信、已删除的短信。 2.提取SIM/USIM卡数据 3.复制SIM卡ID 手机中部分已删除的数据提取出来。 4.物理转储功能破解手机的密码 5.提取密码 6.提取的数据形成清晰的报告
手机物证检验原则
・
经 验 交 流
・
型墨堇
生箜 翅
证 过程 中 , 由法 定 机构 执 法 人 员 按 照 相 应 的 法 律 、 应
手 机物 证检 验原 则 *
丁红 军 范 玮。 (.天津公安警官职业学院侦查 系, , 1
308 ; . 0 3 2 2 天津市刑事科 学技术研究所 ,0 1 3 3 09 )
序 , 取和分 析 手 机 中包 含 的信 息 , 于 犯 罪 侦 查 线 就是 , 提取 手机 电子 数 据 之前 , 须 屏 蔽 手 机 与 无 提 用 在 必
索或法 庭证 据 。 J
线通 信 网络 的信 息交互 , 以保持 其 存储 内容 的原 始 完 取证 的原则 对 物 证 检 验 工 作 有着 重 要 的指 导 作 整性 , 免 因为数据 交换而 破 坏手 机 电子信 息 的 完整 避
手机信息 , 使用加密的哈希值实现数据完整性和可信 身的特 点 , 计算 机取 证 的方 法 并不 完 全适 用 于手 机 取 性 , 保原 始手 机 数 据 不 被改 变 , 许 随 后任 何 的调 确 允 证, 因此手机 物证检 验 的相关 问题 还需 专 门研 究 。本 查 , 使用 相 同的标准进 行分 析_ 。 都 4 ] 文根 据 手 机 物证 检 验 的 特 点 , 鉴 计 算 机取 证 的 原 1 4 全 面 取 证 借 .
无损取 证 是 手 机 取证 的根 本 原 则 。在无 线 通 信 网络服务 区 内 , 只要 手 机 处 于正 常 开机 状 态 , 会 不 就
手机取证简介
手机取证相关知识1.取证源1.1 SIM卡SIM卡通常包含16-64K的内存,一个处理器和操作系统。
一个SIM卡唯一地标示出用户,号码和授权用户连上网络的算法,用于存放姓名和电话号码,短信和网络配置参数。
SIM卡的内容通过设置PIN来限制访问。
从SIM卡中可获得如下信息。
(1)国际移动用户识别码(IMSI):国际上为唯一识别一个移动用户所分配的号码(2)联系人信息(3)SMS通信流量信息:发送和接受的短信(4)用户的位置信息:是指系统登记的最后使用地区(5)电话信息:最后若干个通话和对最后通话解密的密钥(6)系统信息:每个SIM卡唯一的IDSIM卡的结构及其存储数据。
SIM卡是一个装有微处理器的芯片卡,它的内部有5个模块,并且每个模块都对应一个功能:微处理器CPU(8位)、程序存储器ROM(3~8kbit)、工作存储器RAM(6~16kbit)数据存储器EEPROM(128~256kbit)和串行通信单元。
SIM卡存储的数据可分为四类:第一类是固定存放的数据。
这类数据在ME(Mobile Equipment)被出售之前由SIM卡中心写入,包括国际移动用户识别号(IMSI)、鉴权密钥(KI)等;第二类是暂时存放的有关网络的数据。
如位置区域识别码(LAI)、移动用户暂时识别码(TMSI)、禁止接入的公共电话网代码等;第三类是相关的业务代码,如个人识别码(PIN)、解锁码(PUK)、计费费率等;第四类是电话号码簿,是手机用户随时输入的电话号码。
1.2移动网络运营商在GSM网络中,网络操作员的呼叫数据记录数据库,包含了所有移动网络电话的信息。
比如用户数据库,呼叫数据记录(CDRs):每个呼叫记录(CDR)包含如下信息:源MSISDN和目的MSISDN,源和目的IMEI,长度,服务类型,初始提供服务的基站。
以及用户的位置。
3.常用的取证软件(1)Cell Seizure:允许在运行CDMA、TDMA和GSM网络的手机上获取、报告数据。
手机取证技术探讨与分析 PPT课件
深圳市先创数字技术有限公司
手机取证技术 探讨与分析
6
一.手机取证的技术手段
1.5物理提取
chip-off技术是最复杂且最底层的数据获取技术。这种方法需要将移动终 端中的存储芯片通过热风枪或拆焊台与主板剥离,清理芯片表面的焊锡, 然后将芯片安 装到芯片读取 设备上,直接 对芯片本身的 电路和协议进 行分析,获取 其原始镜像或相关数据。常见的手机存储芯片如图
手机解锁、 文件加密的
解析
历史浏览 及聊天删 除记录的
恢复
手机投资、 交易及支 付等金融 交易记录
解析
安卓手机 root获取 及无损检 材与解析
14
二.手机取证的技术难点
2.1.1 手机解锁与文件加密解析 现在用户的智能手机关系到太多的个人隐私信息,那么手机的图形
和数字锁、SIM卡PIN及PUK锁,指纹锁甚至手机存储芯片的文件加 密、声纹及虹膜识别技术都是用户手机加密的实现方式,而这些恰恰 给手机取证带来一定技术障碍。
21
三.手机取证工具简介
3.1 UFED Touch 以色列Cellebrite
公司是国际上最早生 产的手机取证工具的 厂商之一,其设备代 表着移动终端取证设 备的最高水平。 UFED Touch是其生 产的新一代、高性能 的独立便携式手机司法分析工具设备,也是目前国际主流的手机取证工具。 它支持以“位对位”的形式对手机、GPS、平板电脑以及中国山寨手机等 大部分移动设备中的数据进行物理获取和深度分析。
手机取证技术探讨与分析
3.JTAG/ISP
4.chip-off
二.手机取证的技术难点
2.1 手机取证的技术现状
随着人们智能手机不断地技术革新和APP应用普及,电子数据安全与备 份也不断地随之变化,同时我国电子取证标准与规范不断完善中,这些都给 手机取证带来新的机遇和挑战。目前我国手机取证技术仍然存在些瓶颈难点, 总的来说归纳如下: 手机投资、 交易及支 付等金融 交易记录 解析
不受手机好坏限制、不受手机操作系统限制、不受手机是否有锁限制; 不区分脱离手机操作环境,直接读取手机FLASH存储芯片内容,提取最
4
5
原始数据;手机型号,只针对FLASH型号,产品适用范围广泛; 加密数据、未加密数据、已删除数据、未删除数据,均可完整提取,生 成镜像文件兼容其他厂家分析工具软件,进行数据分析及数据恢复工作;
3、3rd recovery,
data分区加密。即使我们 拿到无法解析,而且从安卓5.0时代开始,3rd recovery的备份能力明显不足, 不少数据已无法获取; 4、基于chipoff的芯片提取。第一步,针对UFS2.0架构,尚无支持的配套硬件 设备,第二步,镜像获取之后,全盘数据加密,无法解析。
一的解决办法。这种检验手段仅能获取已有数据, 对于删除的数据无法进行提取和固定,同时对于手 机加密和破损的情况也无法应对。其次,必须保证 该设备能正常开机,同时并未设置密码或者已知密 码。图中北京瑞源的EDEC1030小型数码翻拍仪就 是人工提取的辅助设备。
一.手机取证的技术手段
1.3逻辑提取
手机通过连接线(USB、RS232)或无线 (蓝牙、红外、WiFi)等方式与取证专用硬件 或安装软件的工作站连接,提取逻辑数据。常见 的如kingroot、360手机助等代理软件和专业的 商业软件可以实现开机连接获取基本用户数据信 息,在一定程度上逻辑提取可以获得删除数据记
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
像或从中提取信息的过程,该过程主要包括:
(1)确定设备型号
(2)选择提取方式
是指对上一阶段提取的数据复本进行检查和
分析。
取证工具将数据比特流恢复成可理解的形式(如通话
记录、电话本、SMS短消息等),并且完整地描述数 据所代表的信息(包括数据的来源和表示的意义), 调查员或取证专家再对恢复出的信息进一步分析,找 到有效证据以重建犯罪过程。
在这个过程中,往往需要结合案件调查的目标来进行
。
概述 报告展示
报告展示是对取证过程中所有操作步骤和调查结论进
行详细摘要的过程,目的是为司法诉讼提供数字证据 。
报告的生成依赖于对所有操作、调查和检查结果的详
细记录,因此所有原始证据的使用和移动都必须采取 严格的记录和校验手段进行管理。
报告的内容包括手机设备的状态,提取出的数字证据
随着手机功能与计算机越来越接近,手机与手机网络
正日益被违法犯罪分子所利用。
这些与手机相关的犯罪造成极大的社会危害性,引起
了相关执法部门的高度重视。
概述 手机犯罪行为
目前牵涉到的手机犯罪行为大致有三种 一是在犯罪行为的实施过程中,手机被用来充当通信联 络工具; 二是手机被用作一种犯罪证据的存储媒质; 最后一种方式是手机被当作短信诈骗、短信骚扰和病毒 软件传播等新型手机犯罪活动的实施工具。
概述 现存的主要问题
(1)罪犯使用的手机、银行卡等作案工具均无实名登
记。 (2)取证难。犯罪嫌疑人通常将使用过的手机卡、银 行卡丢弃、销毁,即使案件侦破,由于缺乏足够的证 据,法律上也难以认定其罪行。 (3)破案成本高。由于手机犯罪调查涉及的技术很广 ,办案机关要花大量的人力、财力进行取证。
概述 手机取证的流程
获取证物
提取数据 检查分析 报告展示
概述 获取证物
获取证物是指在不改变手机设备和可移动存储介质中
数据的前提下,获取可疑物品的过程。获取证物由以 下四个部分构成:
(1)保护勘察现场
(2)记录现场 (3)搜集证物
(4)包装、运输和存储证物
概述 提取数据
提取数据是指对手机设备及外围装置的存储器进行镜
的案件,其中一个重要的技术手段就是手机取证。 手机取证就是对存在于手机内存、SIM卡、闪存卡、 运营商网络和短信服务提供商中的电子证据进行提取、 保护和分析,整理出有价值的案件线索或被法庭所接 受的证据的过程。
概述 手机取证的背景
手机已经从单纯的语音通话工具发展成可支持多频多
卡、具备上网功能、多媒体通信和大容量可扩展内存 的现代化个人通信工具。
基础知识 概述
手机取证是一门交叉学科,所涉及的知识面包括 移动通信知识、手机软硬件知识、计算机知识以及法律 知识。 因为涉及的知识面很广,对于研究人员和调查取证人
员来说都是一个极大的挑战。
下面就手机取证所涉及的基础知识作简单的介绍,这
些基础知识能帮助调查取证人员更有效、更充分地挖 掘手机及相关设备中的数字证据。
主讲:孙国梓 2018年10月23日
主要内容
手机取证概述
手机取证的基础知识 手机取证工具
概述 引子
随着技术的发展和应用的推广,功能不断翻新的手机
在人们日常生活中越来越重要,但也成为一种值得警 惕的新型犯罪工具,利用手机从事的诈骗、售假、造 谣等违法犯罪活动日益猖獗。
司法机关急需采用有效的技术手段对付这类手机犯罪
的属性、所有进行的相关活动序列、操作人员及采用 的工具等,并且标明操作的时间、地点及采取的信号 屏蔽措施等。
概述 手机取证的发展方向
(1)继续加强对手机取证工具、软件和方法的研发,
改善它们的取证效果,使其符合法庭取证的各项要求 。 (2)手机取证专家与各手机生产厂商之间通过交流协 作制定出统一的手机取证技术标准。 (3)立法部门加强对涉及手机犯罪方面的立法工作, 从法律法规上不给犯罪份子留下空子,切实有效地打 击手机犯罪。
3G与前两代移动通信网络的主要区别在于传输声音和数
据的速率上的提升,它能够处理图像、音乐、视频流等 多种媒体形式,提供包括网页浏览、电话会议、电子商 务等多种信息服务。
基础知识 GSM系统
GSM是当前应用最为广泛的移动通信标准,到2005年
全球200多个国家和地区超过10亿人使用GSM电话, GSM成为主导的移动通信系统,占全球市场份额的 70%。 欧洲的移动通信技术标准对GSM的描述多达几千页, 共有12章规范系列。
基础知识 移动通信技术的发展
第一代移动通信系统采用蜂窝组网技术,蜂窝概念由
贝尔实验室提出,20世纪70年代在世界许多地方得到 研究。 20世纪90年代人们开发了以数字传输、时分多址和窄 带码分多址为主体的数字移动通信系统,称之为第二 代移动通信系统——GSM系统。 第三代数字通信技术,即3G(3rd Generation),正成 为当前移动通信领域新的研究热点。
手机及相关设备中恢复数字证据的科学。
手机取证的电子证据来源主要有:手机内存、SIM卡、
手机扩展的闪存卡、移动运营商和短信服务提供商。
概述 手机取证的原则
(1)作为证据的手机及其相关设备中的数据是未经改动
的,对其的任何操作都要保证原始数据的完整性; (2)由专门的人员访问手机及其相关设备中的数据,这 些人员必须是有资格的,并且能解释其行为; (3)所有对手机及相关设备的操作(包括对证据的获得 、访问、提取、存储和转换)都必须由第三方建立日 志审计,并完全归档保存,以备质询; (4)负责操作和调查的人员与组织必须遵守以上原则并 对操作行为负责。
概述 手机取证的概念
“手机取证”也是“数字取证”中的一种。
在NIST(National Institute of Standards and
Technology)的“Guidelines on Cell Phone Forensics” 中对手机取证的定义是:
手机取证是指在健全的取证环境中,使用恰当的手段从
(1)GSM系统结构浅析 (2)GSM网络实体