手机取证精品PPT课件

SIM卡中的存储信息
SIM卡是GSM网手机的基本单元，包含了特定用户的信息。它是一种特 殊的智能卡，通常包含了16K到64K的内存、一个处理器、一个操作系 统，在移动通信网络中，手机与SIM卡共同构成移动通信终端设备。
SIM卡即为客户识别模块，也被称为用户身份识别卡，它记录着 IMEI(国际移动设备识别号)、密钥、PIN码（个人身份识别码）、加 密算法和 其他用户相关的信息，移动通信网络通过此卡来对用户身 份进行鉴别以及对用户通话时的语音信息进行加密。一个SIM卡惟一 的标识出用户，决定电话的号码，包 含一个授权用户连上网络的算 法。SIM卡文件系统的组织是为了存放姓名和电话号码，发送和接收 文本信息，和进行网络配置，这些信息也可以共存于电话的内存中。 跟所有的智能卡一样，SIM卡的内容是被保护的，通过设置PIN码来限 制访问。因此，SIM卡包含着大量有价值的潜在电子证据。
的数据不被改变。
中国手机的一些概况 • 国产机都是中国一些公司设计建立的他们自己的品牌 • 一些山寨机品牌也最终被建立。 • 在中国销售，而且出口到世界。在世界手机市场上占到30%左右。 • 有时以原始制作商的身份直接卖给西部的一些手机制造商。
Lenovo, Huawei, ZTE, K-Touch, 金立, CoolPad, 长虹.
CellXtract手机取证设备的介绍 功能与特点：
综合数据提取。包括提取未接电话、已拨电话、已接电话、电话薄、短 信息、从SIM卡中删除的信息、多媒体信息、日程表、备忘录、待办事项、 照片、视频、音频和其他文件。
支持对超过2000多款移动设备进行逻辑提取，包括Apple iPhone、 Android、Blackberry、SmartPhones、 Palm、Palm WebOS、 Symbian、 Windows 系统和GPS设备。
手机取证的电子证据来源
手机内存 SIM卡 外置存储卡 移动网络运营商
手机内存中的存储信息
随着手机功能的增强，手机内置的存储芯片容量呈现不断扩充的趋势。 手机内存根据存储数据的差异可分为动态存储区和静态存储区两部分。 动态存储区中主要存储执行操作系统指令和用户应用程序时产生的临 时数据，而静态存储区保存着操作系统、各种配置数据以及一些用户 个人数据。
CellXtract有蓝牙和红外提取功能；有内置的SIM、SD卡读卡器；多功能读 卡器；NIC网络隔离卡，可以将手机与网络隔离。
从国产、山寨手机上完全物理提取存储芯片。提取的存储芯片是一个完 全的物理镜像文件（二进制文件）。
用户密码提取支持所有的中国山寨机。 通过使用写保护、MD5哈希数据校验和带时间标记的审计跟踪使得提取
CellXtract的主用户界面
System setup选项介绍
点击Extraction这个按钮引出提取设置窗口，勾选条目为蓝色显示。
Display这个按钮能够增加或者减少屏幕的亮度。
点击Information按钮将显示Logicube技术支持联系信息。
点击Repor随着犯罪方式的日益增加，手机取证越来越多的得到了应用，目前牵涉 到手机的犯罪行为大致有三种：一是在犯罪行为的实施过程中使用手机 来充当通信联络工具；二是手机被用作一种犯罪证据的存储媒质；最后 一种方式是手机被当作短信诈骗、短信骚扰和病毒软件传播等新型手机 犯罪活动的实施工具。这些都充分地表明进行手机取证技术的相关研究 对于维持社会稳定、保障人民权益和 打击犯罪行为具有充分的必要性 和极大的迫切性。
这些制造商与国内和国外的运输公司合作将他们的手机出售到世界各地。
接口介绍
CellXtract的屏幕是LCD触摸屏，所有的控制软件和用户输入都由它来 控制。底下面板是电源开关和一个外置的电池容量显示仪。
当打开电源以后，CellXtract将初始化并启动到最终用户许可协议。 如下图所示，点击ACCEPT继续，CellXtract将启动到主应用菜单。
手机取证设备
今天要介绍的手机取证设备有Cellbrite公司的UFED、Logicube公司的 CellXtract。这两款手机取证设备是目前市场上应用最多反应最好的产 品。 Logicube公司的CellXtract手机取证设备是CELLDEK手机取证设备的更新 代产品，之前的CELLDEK支持的手机型号多使用性能好，但是体积大， 携带不方便，所以Logicube公司用体积小、外形坚固、携带方便的新 产品CellXtract设备取代CELLDEK。 Cellbrite公司的UFED手机取证设备是一款独立的即适合犯罪现场又适 合在实验室使用的设备，目前用的比较多的是UFED物理版和逻辑版。
从移动网络运营商可得到的数据
移动网络运营商的通话数据记录数据库与用户注册信息数据库存储着大 量的潜在证据，主要包括移动运营商的CDR数据库中的通话数据记录和 用户注册信息数据库 中的用户资料。通话数据记录数据库中的一条记 录信息，包括有主／被叫用户的手机号码、主／被叫手机的IMEI号、通 话时长、服务类型和通话过程中起始端与 终止端网络服务基站信息。 用户注册信息数据库中可以获取包括用户姓名、证件号码、住址、手 机号码、SIM卡号及其PIN和PUK、IMSI号和所开通的服 务类型信息。在 我国即将实行“手机实名制”的大环境下，这些信息可在日后案件调 查取证过程中发挥巨大的实质性作用。
外置存储卡存储的信息
为了满足人们对于手机功能的个性化需求，许多品牌型号的手机 都提供了外置存储卡来扩充存储容量，存储MMS消息、图片、 MP3音乐、声音和其他文件，这 些文件可能是侵犯个人隐私或有 版权问题的，在处理涉及版权或著作权的案件时可作为一个重要 的潜在的电子证据来源。当前市面上常见的外置存储卡有SD、 Mini SD和Memory Stick。
点击Advanced按钮，出现一个输入密码的窗口，用软键盘输入5个9， 此时，我们可以选择进入Windows系统中去。