手机取证研究(精选9篇)
手机取证研究 篇1
摘要:智能手机的普及, 手机犯罪案件不断增多, 智能手机电子取证技术也不断发展。智能手机取证也成为了提供司法依据、打击犯罪的有效手段, 在刑侦工作中发挥着重要的作用。本文主要探讨了智能手机取证技术以及手机取证的具体流程, 并分析了一些常用的手机取证工具, 旨在为刑侦工作提供必要的参考。
关键词:智能手机,取证,刑侦,工具
电子信息通信技术不断发展, 手机如今成为了人们生活当中兼具实用性与娱乐性的重要工具。而利用手机等移动通信设备进行违法犯罪行为也已经数见不鲜, 例如短信骚扰、邮件诈骗、非法交易等。随着智能手机的普及, 手机犯罪案件不断增多, 对于手机取证技术的研究也不断发展。刑事案件当中涉及到手机取证的情况也日益增多。智能手机当中有着大量的用户信息数据, 利用这些数据往往能够为刑侦工作带来很大的帮助。智能手机取证也成为了提供司法依据、打击犯罪的有效手段, 智能手机取证工作的意义十分重大。
1 智能手机取证概述
如今智能手机电子取证技术不断发展, 对于手机取证技术的研究也走向了新的高度。手机内存、移动运营商以及SIM卡是智能手机电子取证数据的三个主要来源, 可以利用此对手机中的基本信息进行初步数据提取。同时对于一些隐藏的数据, 例如日志空间、系统缓存等, 也需要进一步提取。
智能手机取证的主要特征表现为取证对象的移动性, 手机是移动终端, 监管的难度较大;其次为取证范围的广泛性, 如今智能手机的操作系统多样化, 市场上较为常见的有Android、ios、wp等手机操作系统, 这也使得手机电子信息的类型众多, 取证范围大并且手机的软硬件以及数据接口等方面也存在着差异, 这也增大了取证工作的难度;此外手机信息技术更新发展快, 产品的周期较短, 使得数据标准难以统一, 取证技术也不断发展。
2 智能手机取证流程
智能手机电子取证需要遵循全面取证原则、及时取证原则以及无损取证原则。全面取证原则是指利用手机技术分析, 确保对手机中的数据进行全面提取, 从而做到不遗漏数据证据;及时取证原则是指随着时间推移, 手机状态会发生一定的变化, 例如系统日志以及系统进程使得容量变小, 导致原来的信息被覆盖, 因而对于电子数据需要及时提取;无损原则是指在进行手机取证时, 不能对取证的物品进行任何的修改, 保持手机状态不变, 同时要使手机远离高磁场, 避免灰尘、高温、静电等, 保证提取信息的真实可靠。刑侦工作当中, 针对智能手机的电子调查取证流程主要有以下几点:
(1) 取证准备
取证准备工作为对案件进行初步了解分析, 掌握案件犯罪目的、犯罪动机等基本的情况;同时成立相关的调查小组, 分工实施;针对具体的手机品牌、型号以及软硬件特征, 选取合适的手机取证工具, 充分做好调查取证准备工作。
(2) 证据提取
证据提取工作为对所收集到的检材样本编号, 拍照与记录, 同时确定手机的型号与软硬件信息, 屏蔽手机信号, 预防手机数据变化而影响到证据提取的结果;选取相应的提取方式, 提取有效数据, 记录下检材样本数据。如手机中的短消息数据提取, 以iphone为例, iphone中的短信消息储存在SMS文件夹的sms.db文件当中, 其为SQLite3格式, 需要转化才能够阅读。并且短信消息发送与接收通过INTEGER类型枚举值表示, 其需要同手机中的信息对比才能够确定含义。
(3) 证据分析
证据分析工作主要包括对网络数据库、手机内存、SIM卡以及手机软件的取证分析。证据分析是刑侦工作中的一个重要环节, 主要的工作为取证所收集到的数据, 提取同案件相关联的一些数据信息, 对于同案件相关的管理工具例如语音洗洗、通讯录、电子邮件等, 进行研究比较;对于一些隐藏数据、删除工具等更改后证据进行深入分析, 对相关的数据信息进行检测与恢复。
(4) 证据提交
证据分析工作之后, 需要编写分析报告, 对收集的数据信息进行审查与转换, 并作为证据提交。收集数据信息要在诉讼中发挥作用, 必须要转化为刑事诉讼中规定的证据类型。我国刑诉法规定的八个证据种类有:物证;书证;证人证言;被害人陈述;犯罪嫌疑人、被告人供述和辩解;鉴定意见;勘验、检查、辨认、侦查实验等笔录;视听资料、电子证据。因而手机取证数据需要转化为以上证据种类中的一种, 否则无法作为证据进入诉讼中。
3 常用的取证工具分析
手机用户不断增多, 手机中所储存的信息也越来越重要。如今越来越多的人投身于智能手机取证研究当中, 但市场上的手机协议各不相同, 当前取证工具一般为对某种手机的取证, 其全面性有待进一步发展。任何一种取证工具或多或少都存在着缺陷, 无法满足所有类型的智能手机的需求, 因而需要取证人员针对性地应用各种取证方式。
4 结束语
随着4G网络的到来, 智能手机的应用范围将进一步拓展, 智能手机取证的范围也将进一步扩大, 这也给手机取证工作不断带来了新的变化与难度。因而对于智能手机取证工作, 需要在实践中不断变化与进步, 努力解决智能手机取证当中存在的问题, 更新观念、完善法律法规, 从而更科学与合理地应用智能手机取证技术, 打击犯罪行为。
参考文献
[1]张明旺.基于手机的电子证据获取技术研究[J].电脑知识与技术, 2012, 08.
[2]任庆华.电子证据取证规范化初探[J].中国人民公安大学学报, 2010, 04.
[3]姚伟.Android智能手机的取证[J].中国司法鉴定, 2012, 01.
手机取证研究 篇2
关键词:手机取证;职务犯罪侦查;司法实践
1 手机的数据直观分类
1.1 通话记录
在贪污贿赂型的职务犯罪,只要进行初查手机话单分析可以快速确认初查对象的基本情况。利用被查对象使用的手机号码,配合通讯公司的客户基础信息资料库便可以掌握其身份信息,比如身份证号码等,而有了身份证号码进而又可以调取到其他很多相关信息(户籍信息、婚姻状况、家庭地址、开房记录等等)。
1.2 微信、qq、短信等聊天记录
短信、微信等即时聊天工具产生的信息可以直观的反映出嫌疑人的犯罪动机和心理动态,有的嫌疑人在聊天中甚至将犯罪过程详细的和某人交流,且发信息者和收信息者都具有确定性和唯一性,这些信息可能会成为最有说服力的证据,利用软件将所有的信息进行恢复并分析,将决定整个案件的进展和结果。
1.3 图片、文档、录音、录像等储存资料
随着科技的迅速发展,一部手机往往充当者多种角色,照相机、录像机、硬盘等等,嫌疑人的大量生活、工作等信息都可以在手机存储卡中储存。
1.4 上网记录等
通过分析嫌疑人上网浏览的记录可以推测出嫌疑人的心里动态,如有的嫌疑人职务犯罪后会更加关注自己的行为是否构成犯罪以及如何逃脱相关机关追查等信息,从而产生浏览记录。
2 手机取证数据来源
手机取证的数据来源主要存在于SIM卡、手机内存、扩展内存卡及移动运营商处[2],如上图1所示。
2.1 SIM
SIM卡(Subscriber Identity Module 客户识别模块),也称为用户身份识别卡、智能卡,GSM数字移动电话机必须装上此卡方能使用,而且SIM卡也具有一定的存储空间,其容量有8K、16K、32K、64K,其中512k以上的大容量的SIM卡统称为STK卡。
2.2 手机系统内存
手机系统内存可分为运行内存(RAM)和非运行内存(ROM),RAM只存放临时数据,而ROM也即手机自带的存储空间,主要存储了手机操作系统信息、操作日志、上网记录、基本设置以及短信收发记录和内容、通话记录、通讯录以及语音拍照等相关数据。
2.3 扩展内存卡
手机扩展内存卡就是非运行内存的扩展,目前市场上大部分手机都能外插存储卡,满足用户各种需求,主要用来存储电子文档、各种照片、音频视屏、备份资料、安装的软件及其运行产生的数据等,这里会存放大量信息,从而也成为证据的主要来源。
2.4 移动运营商数据
在移动运营商处,可以获取用户身份信息、通话记录、短信记录、缴费记录等历史数据并结合基站信息分析用户的行为轨迹从而实现实时定位嫌疑人的犯罪痕迹。
3 手机取证在司法实践中的问题及建议
3.1 手机取证原则
电子证据是在当今高科技不断发展的多元化社会格局下,新刑事诉讼法明确的证据新类型,相对于传统的证据类型,电子取证对程序的规范性要求更高,电子取证除遵循及时全面搜集证据原则、合法完整真实性原则等一般性原则外,还需遵循以下几项特别原则[3]:
3.1.1 及时屏蔽原则。手机内部数据容易被人通过无线信号等增删、修改而破坏证据的原始性,因而调取或扣押手机等通讯工具后,应及时采取措施,屏蔽通讯信号。
3.1.2 比理性原则。手机内部很多电子数据的内容可能涉及个人隐私,因此,既要有效收集证据,又要尽可能地减少对公民合法权益的侵害,实现打击违法犯罪和保护公民权益之间的平衡。
3.1.3 确保原始性原则。一般认为,在电子取证过程中,应尽可能地保证电子数据的客观、真实和完整,不能直接对原始电子数据进行分析。
3.1.4 全程记录原则。取证的过程应当通过錄像、拍照等方式记录每一步操作,并重点标记设备状态、位置、屏幕信息等。对录像、照片等记录台账资料要注意妥善保存,与提取的电子数据一并保管和移送。
3.2 实践中应注意问题
3.2.1 手机电子数据提取应当分阶段进行。作为通讯工具的手机,本身是重要的物证,其品牌、型号、规格等物理属性对于案件事实具有一定的证明作用。而手机内的短信、通话记录等电子信息是电子数据,能够对案件的事实起到证明作用。
3.2.2 手机电子数据应当由专业人员提取。手机是高科技通讯设备,特别是智能手机的功能已堪比电脑,具有较高的技术水平。手机电子数据具有自动生成性、易变性等特征,很容易被修改、删除,非专业人士无法进行识别和恢复,而且即使提取到也易被犯罪嫌疑人或辩护人提出质疑。
3.2.3 技术人员取证技术有待提高。手机的系统、品牌和种类繁多,不同种类的手机采用了不同的数据传输方式,针对不同厂商、型号和系统手机的存储格式需要有不同的手机取证软件或工具,需要技术人员不断学习提升。
3.2.4 证据的采用问题。电子数据作为一项独立的证据类型列入刑诉法尚属首次,在司法实践中,探索运用的脚步在加快,在庭审质证的实践较少。手机取证所获取证据的证明能力应当随着实践应用逐步推进,而不能一蹴而就,在实践中,应当加强手机取证的操作规范,使之本身符合证据使用的客观真实性要求。
4 结语
信息化时代,有效的信息可使案件侦破如虎添翼。手机承载着个人的重要信息,通过对手机信息的提取、分析、整理,可以迅速推进案件侦破进展,特别是在实物证据较少的行受贿案件中手机数据有可能将成为关键性证据。但作为一项比较新的技术,不论在学界还是实物界对手机取证的概念和性质都没有十分清晰的界定,实践中的相关法律也存在诸多不完善之处。在手机取证时间中,办案人员和技术人员应尽可能的规范流程,在现有的法律规则下操作,让案件从“由供到证”向“由证到供”或“证供并举”转变[4],切实为案件侦查提供更有力地帮助。
参考文献:
[1]杜江,褚帅.智能手机取证研究[J].电脑知识与技术,2011(9): 2012-2121.
[2]吴叶科.基于手机的取证调查模型研究[J].计算机时代,2012(12).
[3]麦永浩.计算机取证与司法鉴定[M].北京:清华大学出版社,2009:204.
云存储条件下的手机取证研究 篇3
随着互联网和硬件设备的快速发展, 人们越来越依赖于通过手机进行上网、办公、存储文件等, 根据中国互联网络信息中心 (CNNIC) 发布的《第34中国互联网络发展状况统计报告》[1]显示, 手机在网民中的使用率已经达到了83.4%, 手机网民规模第一次超过传统个人电脑网民的规模, 通过手机接入互联网也成了网民的首选。在公安机关办理各类案件的过程中, 越来越多的与违法犯罪相关的证据也都通过存放于手机中的不同形式的电子数据来获取。
1 云存储介绍
云存储在云计算的基础上发展而来的, 综合运用网格计算、分布式文件系统等技术, 将分布在同一场所或不同地域不同场所的存储设备通过传输介质连接起来, 向用户提供安全、可靠的数据存储服务及以存储服务为基础的增值业务, 如文档的在线编辑及查阅、图片的保存和冲印、音视频的存储和播放。
2 手机的传统取证方式现状
对手机的传统取证主要是对手机的SIM卡、内存芯片、外置存储卡以及运营商中的电子数据进行提取、存储与分析, 获得有价值线索以及规范的电子证据的过程[2]。
2.1 基于SIM卡
随着智能手机的发展, SIM卡的存储功能被弱化, 虽然SIM卡可以存储短信、通讯录以及不同运营商在SIM内固化的用于通讯的部分算法和数据, 但是对于公安工作取证来说, 主要还是要获取手机内短信以及通讯录的内容, 可以通过专用SIM卡读卡器或者通过取证软件连接手机进行读取。
2.2 基于芯片和存储卡
基于芯片取证一方面是在手机功能完好的情况下将取证设备通过数据线与手机进行连接, 利用操作系统提供的接口提取分析数据。根据国际数据资讯公司的报告显示, Android操作系统占全球智能手机的份额从2012年的69%上升到2013年的78.6%, 而i OS设备操作系统占全球智能手机的份额从2012年的18.7%下降到了2013年的15.2%。所以目前主流的操作系统主要是Android、IOS, 这也与实际工作相符, 此外还会遇到一些山寨机所使用的操作系统。
另一方面是当手机损毁无法开启, 而主板存储闪存芯片正常的情况下, 将芯片利用工具从手机主板上取下并通过专用编程器对芯片进行完整镜像进行取证。而对外置存储卡的取证则相对简单很多, 与硬盘取证相类似只需要通过只读设备, 将外置存储卡进行镜像后, 对镜像进行提取分析即可。
2.3 基于运营商
运营商保存用户的通话记录 (包括主被叫、通话时间、通话时长等信息) 及短信记录 (包括收发方、发送时间等信息) , 这些数据在手机本身存储的情况下可以直接提取, 但若在工作中发现上述记录疑似被删除的情况, 则需要通过运营商进行调取。
2.4 存在的困难
一是目前由于各个手机厂家提供的接口并不统一, 不同手机的操作系统的内核与文件系统也不相同, 公安机关电子物证取证人员不仅要对繁芜的手机取证设备的管理, 还要对不同操作系统的底层数据库进行研究。二是手机采用的闪存芯片与传统的可方便拆卸的机械或固态硬盘不同, 存在耗损均衡算法, 只要通电就有可能改变存储的数据, 所以在不开机不拆机的情况下, 难以做到严格符合只读要求的取证。三是对保存取证数据的存储设备有一定要求, 如符合建设标准的专用机房, 磁盘阵列, 异地备份、不间断电源等。四是手机硬件设备和操作系统更迭加快, 手机取证技术的人员培训难以跟上技术更新速度。
3 云存储带来的问题
3.1 手机存储的便捷和无限扩大
随着手机硬件的高度集成化和存储介质的扩大化, 使得手机能够存储的信息越来越丰富, 而云存储技术的出现, 使得手机能够存储的内容不再局限于本地的短信、通话记录、照片信息, 还包括存在于云存储服务商提供的存储空间内, 此外, 目前多家厂商为了迎合用户的隐私和安全需要设立了类似于实际生活中保险箱功能的隐私空间, 在本就已经加密的空间上再加一层保护措施。而厂家基于云存储的增值业务 (打印、编辑等) 使得手机取代笔记本电脑成为更加便携的设备成为可能, 更有甚者宣称要代替硬盘的地位。近年来, 违法犯罪人员也逐渐开始使用更为便携的手机, 通过手机将与违法犯罪相关的信息上传至云存储内, 并将本地文件进行删除。正如上文所述公安机关取证人员对于手机取证本就存在困难, 云存储的出现再一次给手机取证带来了挑战。
3.2 云存储的特点增加了取证工作的成本
常见的网盘仅仅是云存储表现形式的一种, 现在的某些厂商推出的特大邮件附件、文件中转站、云通讯录、各类浏览器的云收藏夹, 云表单数据, 都是将本可以存储在手机的数据上传至云端, 由于云存储并不同与传统的服务器存储, 将所有数据都集中存放在某一个服务器上, 而是利用分布式技术, 将数据分割并保存在不同逻辑区域甚至是不同物理位置的服务器中。如果数据仅保存在一个服务器上, 通过证据调取的法律文书便可以对某一个服务器的硬盘进行扣押, 并按照工作规范开展工作, 而如果数据分布在全国各地, 那将花费大量的人力财力来调取证据。对服务器的取证, 如果不能开展在线或者远程取证的情况下, 公安机关只能派员到不同物理位置进行取证, 这无形中就增加了公安机关的勘验取证的警力消耗和财力成本。
3.3 云存储向手机取证规范提出了新的要求
目前公安机关已有的手机取证的相关规范更多的是在电子证据框架下建立的, 对于传统个人电脑的规范较为成熟和完备, 而对手机本身的取证规范, 由于手机软硬件的发展, 目前还存在取证技术和规范上的桎梏, 取证规范与手机取证实践存在差距, 使得取证人员为了确保证据的真实可靠, 不得不花大量的时间来完成手机的取证, 如通过拍照代替截屏。在云存储条件下, 手机的取证仍存在风险, 一是现场搜查后至取证实验室的时间段, 若被违法犯罪嫌疑人的同伙得知, 就有可能出现云端数据被删除的情况, 二是开机后取证至取证完毕后封存的时间段, 若因网络信号的屏蔽失效, 也会出现云端数据被删, 手机同步后, 本地数据也被删除的情况。
4 解决对策
4.1 利用云存储, 实现手机云取证
虽然云存储给手机的取证带来了挑战, 但同时也为手机取证的快速发展带来的机遇, 目前各级公安机关都以情报为主导, 为案件侦办指明方向, 提供支撑。所以作为公安机关完全可以利用云存储将各个地方的分散的信息融合起来, 一是可以避免信息孤岛的出现, 二是可以利用融合信息得到与案件相关的情报信息。目前国内已有公司开发出了相关产品, 但是从安全角度看, 仍然存在一些要注意的问题。2008年, 美国Gartner公司发布了《云计算风险评估》报告, 从供应商的角度分析了云计算所面临的风险, 2009年云安全联盟 (CSA, Cloud Security Alliance, ) 发布了《云计算关键领域安全指南》, 该指南主要从攻击者角度归纳了云计算环境可能面临的主要威胁。其中与云存储及公安实际工作相关的风险, 主要有系统承建方运维人员的特权接入, 系统能否稳定持续的为高强度的工作进行服务, 数据存储的安全性以从公安内部因操作不当或刻意为之的内部越权操作。近期网上暴露的i Cloud漏洞, 让人不得不担心数据存储在云端的风险, 所以利用云存储的技术, 对取证后的数据管理进行优化, 还应切实加强数据存储的安全性管理, 避免数据泄露。从手机端, 云存储服务商端两个方面结合
4.2 加强手机取证的自主技术研究和人员培训
目前国内手机取证的核心技术主要来自于国外公司, 优秀的取证软件大多是有国外公司研发, 随着近期新闻中不断曝出国外软件公司留有后门偷传数据的信息, 不难得出手机取证软件也有泄露数据的风险, 所以国家应加强对手机取证技术研究的投入。此外, 云存储通常所使用的算法并不会刻意记录某一数据的具体物理存放位置, 且不会将该数据单独存放在某一个与其他用户相隔离的物理存储空间, 所有的数据都是无差别的存放在一起, 所以未来的研究方向应该是将数据的具体物理位置具象化, 在公安机关取证人员需要调取时, 能够第一时间了解到数据的存放位置。在此基础上, 还应加强取证人员的培训, 目前取证更多面对是流程化的取证工作, 一旦遇到超出流程外的工作, 取证工作的结果可能就难以客观全面的反应违法犯罪的事实, 所以应加强取证人员的培训教育, 特别是在手机软件和硬件更新后, 要及时更新取证人员的知识体系。
4.3 严格按照电子物证勘验的取证规范
云存储条件下, 在短期内相关规范无法及时出台的情况下, 对手机取证也应尽量按照规范, 进行断网操作, 避免手机在联网状态上传文件, 将在云存储内存储的文件覆盖, 从而丢失。由于手机关机状态下的取证仍应归纳于破坏性取证, 而开机状态取证会对手机内存储数据造成不可控的修改, 所以在现有条件下, 对手机取证进行全程的音视频录像, 同时除了传统手机取证应提取的内容外, 还应特别注意提取手机内的如下数据:用户名、用户公钥及私钥、用户的数字证书;文件夹及文件的元数据;下载列表中文件;具有云存储功能的程序目录文件及其元数据。便于取证人员下一步从云存储服务提供商进行取证。
4.4 建立与云存储服务提供商的快速响应机制, 探索第三方介入支持
公安机关应与云存储服务商建立快速响应机制, 在案件需要的情况下, 一是可以要求云存储服务提供商将违法犯罪人员在服务商上存储的文件进行锁定, 防止其同伙将文件转移或者删除。或者由云存储服务商提供另一个账号, 该帐号可访问的内容与违法犯罪人员的内容完全一致。二是在违法犯罪人员将密码修改后, 公安机关取证人员无法访问的情况下, 要求服务提供商及时将违法犯罪人员的账号登陆IP限制在公安机关提供的IP范围内。三是提供取证接口, 将面向普通用户时所隐藏的信息 (如md5信息) 进行显示, 便于取证的工作开展。同时, 因服务提供商方面存在数据丢失隐患, 为了避免云存储服务提供商因不可控的情况无法提供协助时, 应探索第三方介入支持取证工作[3], 可以由公安机关、云存储服务提供商及可信第三方进行合作, 在案件开始之后将数据转移至第三方进行存储, 从而避免数据丢失, 预防案件侦办无法进行。
4.5 探索云存储条件下的取证监督及协作
传统手机取证在现有规范下, 本就存在一定的缺陷, 如在不能在关机状态下对手机的内存进行镜像, 在云存储条件下, 由于取证人员的工作对象已经不单单是一部手机, 而是将对象涉扩展至不同服务提供商所有的服务器, 在这一过程中有可能发生数据被篡改的现象, 所以应该尝试开展引入第三方进行监督的取证工作。此外, 云存储的出现使得互联网无疆界的特点在取证工作上得以放大, 不同服务提供商为了向全球提供服务, 将服务器分布在不同的国家, 如果数据存放在不同的国家, 这就涉及到管辖权的问题, 所以下一步还应探索不同国家不同部门及服务商之间的协作机制, 解决不同物理位置取证难的问题。
参考文献
[1]中国互联网络信息中心 (CNNIC) .第34次中国互联网络发展状况统计报告[EB/OL].[2014-07-21].http://tech.91.com/news/140721/21715506.html.
[2]高建华.智能手机取证的应用研究[J].计算机安全, 2013 (9) .
移动互联网犯罪取证与防范研究 篇4
关键词:移动互联网;犯罪取证;山寨App;犯罪防范
中图分类号:TP393.08;TN929.5 文献标识码:A 文章编号:1671-864X(2014)09-0035-02
近年来,手机上网越来越便捷,我们迎来了“手机网络时代”。伴随手机用户爆炸增长、手机上网愈加便利,手机功能已经不再是单纯的接打电话了,人们利用智能手机在线收发消息、阅读新闻、访问社交网络、在线购物、手机银行和线上支付等。智能手机给人们的生产生活带来了极大的方便。但是,智能手机方便了我们的生活的同时,也带来了极大的安全隐患。智能手机显然已经融入了我们的生活,针对安卓平台电商山寨软件泛滥的市场乱象,我们需要及时的对移动互联网犯罪进行取证,并建立有效犯罪预防机制。
一、研究智能手机山寨APP犯罪取证
(一)智能手机山寨APP犯罪的现状。
国内某知名网站安全数据中心揭露一组数据,目前安卓平台上主流电商软件共有400余款,其中恶意及山寨软件超过350款。其中可能造成用户财产损失的恶意应用占比高达70%。近9成的山寨电商软件在安卓平台“横行”,威胁着广大用户的手机安全乃至财产安全。山寨APP普遍存在,它们有的与正版APP差别非常小,只在颜色或字体方面略有不同,不仔细看根本分辨不出来。山寨APP多集中出现在安卓平台上,其中网购类和游戏类应用是最容易被山寨的,淘宝、京东商城、当当网、百度地图等都是频频被山寨的对象。这些电商山寨软件给用户带来的安全隐患不容忽视。刚刚过去的双十一购物狂欢节,据淘宝官方公布的数据,仅仅双十一当天淘宝就刷新了350.19亿交易总额记录,细心的消费者还会发现其中通过手机淘宝支付交易额就有113亿,占据了三分之一的份额。巨大的利益引诱了不法分子的目光,而直接与金钱联系密切的电商软件成了不法分子下手的最佳目标。移动互联网迅猛发展的势头从某种程度上掩盖了其自身的一些缺点,其中最重要的就是它自身脆弱的网络安全系统。这些脆弱的安全系统让越来越多的人受害,财富不断流失。但是,移动互联网从诞生之初就开始了维护网络安全的历程,时间的积淀,科技的发展让人们在网络安全方面的经验不断获得提升,他们应对网络安全的能力也在不断发展。但是,有一些方面仍然在遭受着网络威胁。
(二)山寨APP犯罪的方式及其危害。
山寨APP既然能让这么多用户走入陷阱,肯定有其“高明”之处,这些山寨APP一般有恶意和非恶意之分。恶意APP中通常会被人为捆绑木马病毒,一旦用户下载并打开,便会比较麻烦,比如已经关闭的手机应用莫名其妙地又出来了、手机流量莫名其妙地增长、话费莫名其妙地增加、接收到莫名其妙的短信、甚至装完一个手机游戏,在没有确认将手机通讯录导入的情况下,你会发现有很多手机通讯录中的朋友也在里面……,最严重的还会导致经济损失。山寨电商软件究竟有哪些危害?据网络调查显示,目前市场上山寨软件主要危害行为分为六种:1.窃取账号,窃取用户支付账号及使用行为;2.购物欺诈,诱导用户去钓鱼网站进行支付;3.恶意扣费,私自定制扣费SP业务;4.远程控制,在用户使用后留取后门,远程控制并窃取用户手机中资料;5.窃取隐私,窃取用户通讯录,向用户推送购物广告;6. 骚扰用户,每天不定时无限制的向用户推送广告购物信息,并无法关闭推送[1]。由于互联网具有虚拟性、开放性,网络技术脆弱和人为因素等影响,使得计算机网络的数字化犯罪往往频繁发生、动态发展、主体不明,很难确定犯罪嫌疑人、案发时间、案发地点等关键性因素,以至于犯罪嫌疑人很容易隐藏真实身份和作案地点。即使嫌疑人被捉拿归案,也会由于法律法规的空白和计算机数字取证的不便,以及起诉审判人员对于互网络技术知识的缺乏而不能实施有效判决。从犯罪的意义上来看,计算机网络使犯罪分子寻觅到了新的犯罪领域,成为互联网数字化犯罪横行肆虐的温床。
(三)探究取证方式。
目前,山寨APP泛滥成灾,可是很少有用户主动举报,即使企业主动投诉仍然存在调查取证困难的现象,以至于犯罪分子异常猖狂,笔者认为,应当加大建立和完善数字取证技术及法律法规,研究建立数字取证的科学方法、技术和标准体系。为有效提高数字证据的法律效力,打击犯罪,不断提高数字化侦查取证能力,维护国家安全社会稳定和保护公民合法权益提供坚实的理论和技术支撑。 第一,进一步加大数字化犯罪发现技术的研发力度,不断提高利用高新技术发现计算机网络犯罪的技术水平。面对纷繁复杂、数量极大的数字信息,如何快速鉴定出与犯罪案件相关、反映犯罪案件客观事实的数字证据,十分重要。 第二,进一步加大数字化犯罪取证技术的研发力度,确保数字取证易获取、不损坏、保原始、保安全、能采信(在侦查、起诉、审查阶段能作为犯罪证据使用)。 第三,进一步加大数字证据鉴定分析技术的研发力度,建立具有中国特色的数字证据检验综合性平台。 第四,进一步加大对警务人员的专业培训力度,提高数字化侦查取证能力和水平,有效打击计算机网络犯罪活动[2]。当前,我国互联网犯罪数字取证人员的主体是公安、司法机关的侦查人员,对他们来说,数字取证是业余任务,由于缺乏系统的专业技能培训和训练,所以在数字取证过程中,往往很难保证证据收集的准确性和完整性。因此,我国迫切需要建立和完善相关法律法规,确立计算机数字取证人员的从业资格标准,定期开展专业技能培训,不断提高取证能力和效率,确保数字取证方式的高效性、合法性和规范性。
二、研究智能手机山寨APP犯罪防范机制
(一)法律层面。
面对智能手机犯罪,法律对网络犯罪这一方面的制度的不健全是一个漏洞。应当改变以个别化的条文应对网络犯罪的模式,制定独立的网络犯罪法,其次,也应当确立网络犯罪的特有定量评价机制,即制定专门的针对网络犯罪的具体制度,程序法与实体法的衔接是解决网络犯罪问题的关键。完善立法并加强国际合作移动互联网犯罪已经引起全世界的极大关注,成为全世界各国共同面临的问题,越来越多的国家在法律法规中增加了针对网络犯罪的条款。我国缺乏健全的网络犯罪法律体系,相关法律可操作性不强,难以对移动互联网犯罪形成真正的制度化打击与防范。我们应当一方面加强有关移 动互联网犯罪的立法工作,完善网络犯罪司法体系,以便更 严密地打击网络犯罪 ;另一方面就是要加强国际间的交流 与合作,建立全世界法律合作机制以应对移动互联网犯。移动互联网犯罪的跨国性要求各国立法要注意与国际接轨和联合,从而增强对移动互联网犯罪的控制,有效预防移动互联网犯罪[3]。
(二)意识形态。
当前很多网络安全问题很多时候都是由于使用者本身的意识淡薄造成的,这些看似疏忽的小动作或者是思想上的“小差”都可能成为影响整个网络安全的关键因素,而要解决移动互联网时代的网络安全问题必须从思想意识上着手,坚持“安全在我,安全有我”的信念,时刻绷紧网络安全意识这根弦,真正从思想上杜绝此类事件的发生,将影响网络安全的意识消灭在萌芽状态,最终实现用户和网络之间的良性互动,杜绝网络安全威胁的情况发生。 通过宣传使用户深深地意识到山寨APP的危害,从而在下载应用时时刻保持警醒的态度,防患于未然。智能手机、平板电脑上安装防病毒软件加强智能手机、平板电脑等移动终端用户的安全意识和技术支持,开发功能强大的智能手机、平板电脑防病毒软件并安装。个人用户要养成不用时关闭蓝牙、奇怪彩信不打开、不随便接收微信等良好的安全使用习惯,从而避免使用移动互联网时给自己造成的重大损失[4]。
(三)技术方面。
移动互联网时代的网络安全问题归根到底是网络技术之间的较量,网络安全技术更新成为能否打赢这场网络安全战斗的决定因素。因此,必须从技术层面打好基础,坚持以技术创新为指导,不断强化技术取胜,技术至上的网络安全意识,坚持从技术层面上打赢这场网络安全战。从虚拟网技术层面上来讲,必须通过虚拟网的访问控制上加大对虚拟网外的网络节点的控制,使得网络广播原理的入侵监控技术在高速交换网络内不经过特殊的设置即可实现,并将虚拟网技术简单化,使得普通的移动互联网用户易于接受,并成功实现。
从防火墙技术层面上来讲,必须加强网络之间的访问控制,防止外部的网络用户以非法的手段通过外部网络进入到内部网络,保护内部网络操作环境的安全性。通过不断提高Firewall的安全技术水平,增强保密性,从而增强整个移动互联网的网络安全性。
(四)管理策略。
当前移动互联网安全面临诸多威胁在很大程度上是由于移动互联网的管理机制远不如传统互联网完备,管理的缺失造成了移动互联网的很多漏洞可以被轻易攻破,因此只有从管理上进行完善才能从根本上解决目前移动互联网网络安全的脆弱的现状。首先,必须提高移动互联网的网络准入门槛。其次,必须加强移动互联网参与方的监督和管理。移动互联网的网络服务提供商、用户和商家三者之间必须建立相互制约的机制,通过彼此之间的监督和约束才能真正从根源上杜绝危害移动互联网因素的发生,而加强三者的管理才能真正形成“三足鼎立”的局面,让移动互联网的网络安全问题得到真正的解决。
(五)习惯角度。
在知名期刊及网站论坛发表文章并发放宣传资料,阐明山寨APP危害,呼吁大家养成良好习惯,下载应用时尽量从正规网站选择有认证的软件下载,并尽量选择下载人数最多、评分最高的APP。
当前移动互联网犯罪是伴随着科技飞速发展而出现的一种新型犯罪形式,它已成为现阶段影响社会和谐稳定最严重的因素之一。随着移动互联网犯罪的快速蔓延,其影响和危害也在日益加大。目前对于这类犯罪涉及的相关法律法规、犯罪侦查手段、网络安全技术等都有些空白,所以要削减移动互联网犯罪案件的发生,应做的工作还很多。总之,移动互联网的发展日新月异,网络安全的问题层出不穷,只有不断创新网络安全技术,提高网络服务质量,强化网络安全意识,优化网络安全管理,才能真正做到移动互联网网络安全的健康发展,真正实现让智能手机山寨App现原形。
参考文献:
[1]王淇.黑客下手电商软件九成网购APP为山寨.
http://tech.hexun.com/2013-03-11/151939297.html
[2]程琳.加强计算机数字取证研究提高数字化犯罪侦查能力.[J]中国人民公安大学学报(2012)06-0001-05
[3]陈结淼,张月. 论我国网络犯罪的立法完善[J]. 安徽大学法律评论.2007,(01):210-219.
[4]黄波,邢超军. 新时期移动互联网犯罪分析与防范研究[J].理论研究..2013.07.023
[5]许榕生,杨英. 国内外计算机取证发展[J]. 保密科学技术,2011(11):6-9.
作者简介:
史晓明(1991-),男,河北人,中央司法警官学院信息管理专业11级本科生。郭志雄(1991-),男,山西人,中央司法警官学院信息管理专业11级本科生。
青 虎 (1991-),男,内蒙古人,中央司法警官学院信息管理专业11级本科生。
史笑恒(1993-),男,内蒙古人,中央司法警官学院信息管理专业11级本科生。
李晓辉(1992-),男,内蒙古人,中央司法警官学院信息管理专业11级本科生。
手机取证研究 篇5
“电子数据”已写入新修订的诉讼法, 但是在司法实践中电子数据的证据能力判断是一个难题, 相关法律法规对于“电子数据”的规范仍处于滞后状态, 使得司法实践中, 往往处于“无法可依”的尴尬状态。然而智能手机的迅速普及, 大量案件多用智能手机沟通交流, 智能手机取证在电子数据取证中所占比重较大。笔者根据智能手机中电子数据的特点, 将智能手机作为取证工具, 代替现有智能手机数据取证普遍采用植入程序抓取数据的取证模式, 解决电子数据在司法实践中可采性问题。
2 智能手机中电子数据在司法实践中的运用现状以及亟待解决的问题
面对日渐涌现的智能手机犯罪活动和有关民事纠纷, 智能手机取证就成了打击这类“新”型犯罪和解决纠纷的有利手段。所谓智能手机取证就是通过技术手段将智能手机各个存储介质中的有效信息进行提取, 并对这些提取的信息进行分析, 找到证据, 使其在司法实践中能合法使用。在司法实践过程中, 智能手机取证被广泛地应用于刑事侦查活动和证据鉴定中。
2.1 智能手机中电子数据在司法实践中的运用现状。
智能手机取证是电子取证中的重要组成部分, 就目前而言, 智能手机中电子数据在司法实践中的运用现状主要表现在以下几个方面:2.1.1在智能手机取证过程中很难保证智能手机中数据的完整性和原始性。就目前市面上的取证设备和取证软件而言, 均需要向手机中写入数据才能够从智能手机中提取数据, 并且这些设备、软件也并不能够完整地提取出手机中所有类型的数据。这在很大程度上降低了提取到的电子数据的证明力。2.1.2智能手机更迭速度快。目前市场上流通使用的智能手机品牌和型号繁多且更新换代速度很快, 以致智能手机取证设备或软件无法及时完成对新型手机取证模块的更新, 故无法对所有品牌或型号的智能手机进行有效取证, 这就给智能手机取证设备和软件的研究和开发带来了巨大的挑战。2.1.3智能手机取证的程序尚未出台统一的规范及标准。由于没有统一的取证标准, 使得从智能手机中提取到的数据的真实性和合法性受到质疑, 从而可能导致提取到的数据缺乏法律效力, 大大降低了其证据能力。
2.2 智能手机中电子数据在司法实践中的运用现状以及亟待解决的问题。
首先, 电子数据其本身的特性使得使其真实性往往会受到质疑。如其具有不稳定性, 容易篡改和伪造;具有脆弱性, 容易被销毁;而且在形成和传递过程中也极容易发生改变。这就导致了电子数据缺乏真实性。电子数据真实性之所以难以确定, 是因为电子数据真实性的认定。真实性的认定要考察电子数据的内容及其来源, 判断审查电子数据是否真实, 有无伪造、篡改、恶意部分截取等情况存在。其次, 当事人取证困难[1]。电子数据证据具有区别于传统证据不同的特性, 因此, 电子数据取证过程中, 应当遵循必要的取证原则, 确保电子证据可采、可信、可用。其中电子数据的收集方法及程序的合法性, 对于当事人是一大难点。根据我国证据规则, 电子数据的生成、获取程序不符合法律规定, 且其不合法程度足以影响证据真实性的或者足以影响某一重大权益的, 则可考虑对其加以排除。而且在我国诉讼中, 规定了“谁主张、谁举证”的规则, 特别是在刑事诉讼的自诉案件之中, 原告想要证明被告有关电子数据的犯罪事实, 还必须承担严格的证明责任。如果是网络犯罪, 因网络数据是一般普通公民难以取得的, 故对于当事人取证又会增加一定的难度。[5]最后, 现实社会中电子数据在证明案件事实的时候往往是以辅助证据的形式出现在人们的视角, 因为电子证据大多是孤立存在的, 而孤立的电子证据又难以认定案件事实, 对于案件事实的认定一般需要各个证据之间形成一个证据链, 使得电子证据在司法实践中适用很窄。[3]
3 智能手机取证APP合法性研究
智能手机取证APP从取证的源头切入, 不再等纠纷或犯罪之后从智能手机中取证据, 而是通过制作一款符合取证规范的应用程序, 在取证时就通过合法的技术及流程将证据有效的固定下来, 从而实现从源头上确认所智能手机电子数据法律效力的目的。
智能手机取证APP以法学与计算机交叉学科的视角研究电子数据。利用智能手机拍照取证为切入点对电子数据在司法活动中的具体运用方法进行深入具体的实证分析研究。该智能手机取证主要包括智能终端和服务器端两部分, 通过智能终端对相关取证对象进行拍照录音录像, 并记录取证人的相关信息 (身份信息、取证手机设备的鉴别信息) , 对证据进行合法加密 (Hashlib) , 获取取证时间, 并调用GPS获取取证地点。取证完成后, 通过服务器的验证即可上传到服务器, 以防证据数据的意外丢失或者被人非法修改或隐瞒等。
通过此种模式设计的智能手机取证APP能有效解决智能手机中电子数据使用时的证据能力的问题, 扩大其适用范围。以下为智能手机取证APP应遵循的设计原则:第一, 合法取证。通过取证APP, 在程序上保证取证结果的合法可靠。固定照片、录音、录像的原始数据, 确保既可以固定其内容, 以证明该数据来自于第一手信息。第二, 可信取证。使用可信技术对固定的照片、录音、录像的原始数据使用专业技术加密处理, 并将证据的特征值保存于客观公正的第三方, 确保数据始终不被篡改。第三, 加密取证。专用加密通道与取证客户端, 数据传输安全。取证服务器统一对外访问, 有效防止被黑客攻击和内部篡改。第四, 便捷取证。通过方便的APP形式、简单的程序设计, 实现照片、录音、录像的原始数据取证与保全, 大大方便了调查人员操作。
4 结论
当前的智能手机取证工具侧重于针对各种主流手机系统进行取证, 故很难适目前市面上越来越多的手机系统类型的出现, 也无法确保所有的手机系统数据都可以被有效的获取。本文提及的智能手机取证APP则是以应用程序的模式, 可以安装在目前市面上主流的手机系统中, 降低取证难度, 保证所获取证据的客观真实性。
未来的手机取证应该向以下几个方向迈进:a.取证专家和手机生产商一起制定出统一的手机取证技术规范和标准;b.加强对高效率、高准确度的手机取证工具和软件的开发;c.加强手机犯罪立法工作, 大力宣传手机犯罪活动的危害。只有司法制度、取证技术共同进步、相辅相成才能在信息时代遏制智能手机犯罪, 最大限度地保护我们的生命财产安全。
摘要:随着信息技术的快速发展, 电子证据无论在民事领域还是刑事领域的作用都日益凸显。新修订的《刑事诉讼法》和《民事诉讼法》也已将电子证据作为法定证据之一。本文对智能手机取证中电子证据的运用现状和特征进行概括分析, 以智能手机电子数据取证的发展现状为切入点, 通过构建、研发一种智能手机取证程序来解决当前智能手机取证中电子证据运用的合法性问题。
关键词:电子数据,取证,智能手机,取证app
参考文献
[1]谈梦华.民事诉讼中电子证据相关问题研究[D].天津师范大学硕士毕业论文, 2014, 3:10-18.
[2]胡瑞.电子证据在民事诉讼中的应用[J].品牌, 2015, 3:31.
[3]江月, 周龙, 杨长稳, 田泽.电子证据可采性完善刍议[J].电子制作, 2015, 3:115-116.
[4]顾广宇, 易庆.电子数据取证研究综述[J].安徽电气工程职业技术学院学报, 2014, 9:101-105.
Android系统手机取证分析 篇6
关键词:手机犯罪,手机取证,Android
1 概述
信息技术迅猛发展的今天, 作为当今最为普及的信息技术产品, 各种手持设备发展日新月异。手机是当今社会最重要的通讯工具之一, 更新换代发展迅速, 不再仅仅停留在通讯功能上, 智能手机逐渐成为市场新宠, 以前需要一台电脑才能具备的功能, 现在往往一个手机就能具备。其中android系统作为一款开源手机系统, 很成功的吸引了大批开发者, android系统手机市场潜力剧增, android系统手机的迅猛发展的同时, 利用手机进行诈骗、诽谤和伪造等犯罪活动随之而来。为打击这一系列的犯罪活动和维持社会的稳定, 迫切需要我们对android系统手机进行取证技术方面的相关研究。[1]
2 Android系统手机取证概述
Android系统手机的市场份额逐年快速增长, 2011年第一季度, Android系统在全球的市场份额首次超过塞班系统, 跃居全球第一。2011年11月数据, Android占据全球智能手机操作系统市场52.5%的份额, 中国市场占有率为58%。并且可以预见它将有更大的市场空间。
随着越来越多的人加入到使用Android系统手机的队伍当中, 并且可以利用Android系统手机可以代替计算机处理很多日常应用, 用户大量的信息存储在Android系统手机上, 对于犯罪分子的作案工具Android系统手机, 我们可以通过某些操作获取其数据副本, 并多次加以分析, 最终挖掘出更有效的信息, Android系统手机取证应运而生。[2]
电子证据是科技高速发展的产物, 是将法律与高科技相结合的一种新形式的证据。
Android系统手机取证就是对Android系统手机通过技术分析, 确保收集手机内的相关数据, 并最终从中获取具有法律效力、能够帮助公安人员破案的证据的过程。
Android系统手机有操作系统, 用户可以安装软件、游戏、程序、扩充它的功能, 还可以接入网络上网, 获得更多的资源, 无异于一台微型计算机。
2.1 取证源
Android系统手机取证的重要证据源是由手机的内存、用户识别卡、SD卡以及移动运营商的业务数据库构成的。
2.2 证据信息的内容
联系人、通话记录、短信息、多媒体信息、浏览网页、录音文件等。[3]
3 Android手机取证工具
手机取证在实际的操作过程当中, 出现了式样繁多的取证软件, 并且已经被越来越广泛的使用, 但是现在这些手机取证工具都或多或少的存在一些弊端, 仅使用其中一种取证工具还很难达到我们的取证要求, 只有对这些取证工具进行综合使用, 才能满足调查人员的特定需求。
1) Final Shield:是一种用来屏蔽手机信号的取证辅助工具, 该工具通过内部USB与Android系统手机进行连接, 计算机或特定的手机取证工具利用Final Shield外部USB与该设备进行连接, 作为手机取证的辅助工具共同得到有效的电子证据, 可以有效的防止取证过程中有电话打入或短信接收, 从而造成手机原始数据不必要的破坏或丢失。
2) XRY:是一款便携式取证箱, 用来手机内存转储和采集数据的工具。此设备是由SIM卡读写器、USB通信单元、数据线、记忆卡读卡器、SIM复制卡等组成的。在安全模式下可以读取Message, telephone number, address books, pictures, video等。该工具效果理想, 并且容易操作, 可以方便快捷的完成手机数据的分析、获取、查看工作, 同时, 还能通过加密文件的创建, 保护数据不被其他未经允许的人员进行查看。该工具完成取证工作后, 会得出相应的分析报告, 方便调查工作人员查看详细的取证结果。
3) Oxygen Forensic:该工具通过运用高级底层通讯方式, 获取更多数据, 相比其他对智能手机、PDA以及普通手机的逻辑分析软件, 显示了更大的优越性, 尤其适合于Android系统手机的取证工作。[4]
4) Bit PIM:Bit PIM是一种电话管理软件, 能够查看Phone book, calendar, wallpapers, ringtones等数据。该软件可以在Linux等操作系统上运行, 前提是需要我们安装正确的驱动程序。
5) CELLDEK:CELLDEK是一款便携式手机取证箱, 可以提取Android系统手机的原始数据。设备中嵌入一台笔记本, 数据的提取和分析就是通过笔记本内的特定软件来实现的。
4 Android系统手机取证方法
所谓取证的概念, 即是对潜在的手机数据证据进行分析提取的过程, 最终取得有效的证据和案件线索, 对Android系统智能手机的取证工作, 主要需注意以下几点:
1) 保证手机电量, 切忌因电量不足意外关机。可以准备手机电源线, 及时对手机进行充电;采用Android系统的手机有些数据在删除后并不会立即清除, 只有在下次重启以后, 才会被完全清除掉, 这是因为Android系统手机在数据处理上与传统手机存在差异。所以说, 在Android系统手机取证的过程中, 保证充足的电量是十分必要的。
2) 将手机设置为飞行模式, 防止取证过程中有电话打入或短信接收, 造成手机原始数据的破坏。
3) 无线网连接需断开, 因为如果手机在取证过程中连上网络, 也可能造成数据破坏。
4) 首先对手机SD卡和内存的原始数据进行备份, 然后再开始分析备份好的数据。
5) 成功备份手机内存数据后, 可以单独分析SIM卡和SD卡中的数据。[5]
5 Android手机的取证分析
5.1 电话本信息
电话本信息存储在/data/data/com.android.providers.contacts/databases里面的contacts2.db文件中。
打开后可显示所有联系人电话, 截图如图2:
5.2 通话记录信息
通话记录信息也是存储在/data/data/com.android.providers.contacts/databases里面的contacts2.db数据库文件中。通话人, 接的电话, 拨打的电话及通话时间都可以很准确的查看到。
5.3 短信息
短信息存储在/data/data/com.android.providers.telephony/databases里面的mmssms.db文件中。
打开mmssms.db文件后可看到所有短信内容及发件人手机号。
5.4 多媒体信息
多媒体信息是在/data/data/com.android.providers.media/databases里面做了个链接文件external-f6f21cel.db, 实际是存储到了SD卡中了, 打开该文件可清晰的看到, 其中手机录音也存储在这个文件中。
2) 图片信息3) 视频信息
5.5 浏览的网页信息
浏览网页信息存储在/data/data/com.android.browser/databases里面的browser.db文件中。
打开browser.db文件后可看到用Android系统手机自带浏览器浏览到的所有网页题目及网址。
6 面临的问题
由于Android系统手机的标准, 设备及网络的多样性, 它的取证较困难。市场上也出现了一些商业产品, 但Android系统手机取证还有许多问题亟待解决, 主要表现在:
1) 采用Android系统的手机种类繁多, 很多数据线等没有统一的标准, 使取证工作变得复杂。
2) 对Android系统手机数据进行完全镜像备份的软件工具还较少;
3) 如今对Android系统手机取证工作还主要停留在数据获取阶段, 分析数据的能力还需要进一步提高和完善;
4) 目前我国自主研发的取证工具还不是很成熟, 而国外的取证工具由于代码的保密性, 还存在不小的风险;且成本较高;
5) 缺乏Android系统手机取证的技术标准和规范;
6) 进一步完善相关政策法律, 为手机取证工作提供强有力的法律保护和政策支撑。
7 结束语
Android系统手机取证是打击手机犯罪现象有效的技术手段, 在很多方面与计算机取证有共通之处, 但是由于它的物理特点以及Android系统手机功能的日益强大, 在取证领域中所占的比重越来越大。本文针对Android系统手机的特点, 对其取证源、证据信息及取证方法进行分析研究, 并列举了一些常用的取证工具, 最后提出了Android系统手机取证技术面临的问题, 本文对Android系统手机取证工作进行的初步研究探讨, 以期对手机的取证工作提供有价值的参考依据。
参考文献
[1]戴吉明.手机取证及其电子证据获取研究[J].计算机与现代化, 2007 (5) :100-101.
[2]Svein Y, Willassen, M.Sc.Forensic Analysis of Mobile Phone Internal Memory[C].IFIP WG 11.9 conference on Digital Forensics in Orlando.Florida.2005.
[3]杜江, 褚帅.智能手机取证研究[J].电脑知识与技术, 2011 (9) :2120-2121.
[4]Christopher V, Marsico, Marcus K.Rogers.iPod Forensics[J].International Journal of Digital Evidence, Fall 2005.
手机取证研究 篇7
关键词:智能手机,应用程序,取证技术
1 引言
随着科学技术的不断发展,针对手机取证工作的研究,也在不断地深入。在进行智能手机取证时,项目研究人员要集中遵循几项原则。
第一,合法取证原则。进行智能手机取证的前提就是相应的项目符合法规,只有在合法授权条件下,才能建立相应的取证行为。在建立取证活动过程中,要设立取证人员、取证物品、取证技术手段以及取证基本程序等,保证取证行为在手段和技术合法的机制下运行。
第二,全面取证原则[1]。在进行手机取证的过程中,项目管理人员要保证建立有效的项目处理机制,运行高效的信息提取技术,真正实现完整的数据链,通过对手机上相应的浏览记录进行跟踪和取证,保证整体数据信息的完整。
第三,无损取证原则。在对数据信息进行集中取证的过程中,管理人员要根据实际情况建立建立有效的项目处理机制,从根本上确保信息数据的完整和真实有效。特别要注意的是,在信息取证的过程中,智能手机要保证开机状态,且不能对手机日志进行自行的删改,也要远离高磁场以及高温地区,避免由于载体损伤才造成的信息受损。
第四,及时取证原则。在信息收取的过程中,管理人员要针对手机即时生成的系统日志和系统进程进行有效跟踪,一定要避免由于手机本身容量导致的信息覆盖问题。
2 智能手机取证技术运行过程
在实际智能手机取证时,研究人员要根据实际情况建立最优化的项目分析机制,保证整体取证过程符合具体要求。
首先,取证人员要针对取证项目建立相应的取证单据,以保证整体取证行为的合法化,针对取证工作进行有效的标注和分析,建立最优化的取证登记。
其次,取证人员要对收集进行基本的物理处理。在处理过程中,相应的处理人员要利用具体技术保证信息的完整和真实有效,物理处理中要对指纹解锁的手机进行指纹处理,以保证有权对手机能信息进行读取和收集,将SIM卡取下,放置在屏蔽器内,以保证收集停止接受外界信息,并且有效的保留原始状态。由于手机不能进行镜像处理,智能利用专业连接收集的信息收集芯片进行信息的处理,保证手机能实现有效的物理和网络连接,进行工具包的实时恢复。
再次,进行数据恢复,针对于整个取证过程,数据的恢复是重中之重,取证人员要利用镜像专门检查,保证手机内相应的数据得到很好的留存,利用相应的技术手段对数据进行优化提取,保证对SIM卡内的内容进行及时的智能读写,或者是在实际信息取证过程中利用TULP2G技术以及Sim Brush技术等,利用MMC软件以及SD技术对存储卡内的信息进行读取。特别要注意的是两方面信息的收集和读取:其一是ROM存储,主要存储的系统操作软件[2];其二是RAM,主要存储的是及时运行数据,在手机实际运行过程中,主要是利用内存形式进行数据的擦除和写入,相应运行操作也是需要次数限制的,因此,取证人员要运行最优化的信息收集方案。
最后,是所有的相应技术操作完毕后,利用相应的技术进行证据的有效提取和分析,保证文件得到有效的恢复。
3 智能手机取证工具
本文针对苹果的IOS系统进行取证工具的分析,苹果手机内部存在闪存区,多数信息都存储在闪存区内部,大约空间为300M,主要是实际操作系统和应用软件,并且其默认数据都存储在存储器内部,始终保持出厂设置,剩余部分划分为用户使用区,用户将自身使用信息以及运行内容直接存储进去。这样的设计时苹果公司为了优化客户的实际体验而建立的,旨在手机两个区域内进行相应活动。出厂设置区域内部安装取证工具具有非常安全的工作环境,第二区有大量使用者的实际信息,是取证工作的重点。
在对取证工具进行划分的过程中,管理人员要根据实际情况建立最优化的通信方式选择,不仅包括串口通信,也包括Wi Fi以及蓝牙结构,都能实现信息的传输,在达成串口协议后,通过指令的发送就是实现模式的恢复。
另外,还要进行数据的恢复模型和数据完整性保存,在智能手机开机后,只有利用相应的措施才能保证不会受到数据的污染,但是若是电话和其他设备进行同步连接,苹果手机就能集中复制对接电话的电话号码,照片以及其他数据,因此,在实际取证前,相应的管理人员要将Syncing设置为不能自动同步模式。以保证安装取证工具后,不会损坏手机原有的分区。
在实际数据恢复过程中,相应的管理人员要利用必要的数据信息进行集中的处理,保证对相应操作系统进行有效的管控,其中最基本的Unix系统部分中,Open SSH是基本的安全系统,Netcat是利用网络发送数据的系统,The md5是建立硬盘镜像的系统软件,The dd是复制硬盘镜像结构来访问磁盘项目的。在实际取证工具建立的过程中,主要的步骤包括下载最新版本的系统软件,叫做i Liberty+,直接运行至C:盘,然后利用相应的串口保证电脑USB接口的实时连接,一旦两者建立相应的联系,就能识别项目中的具体数据和信息,真正落实取证工具的安装[3]。
4 智能手机数据分析
在手机中进行数据和信息的收集以及取证,需要研究人员针对不同问题进行不同软件的运行,以保证整体信息传递的实效性。其中包括:users<username>/Desktop/Recovered iphone files等目录,且能实现相关联数据在整体程序中有效运行,在数据处理过程中,相应管理人员要利用具体操作进行集中数据库分析,利用SQLite对Addressbook、SQLitedb以及addressbookimages.sqlitedb两个数据库进行集中的数据处理,真正实现有效的取证技术整合。
取证人员能通过相应的浏览工具进行数据的处理和分析,真正实现主数据阈限的有效控制。除此之外,相关取证人员也可以利用GPS系统跟踪进行有效的取证数据分析,保证对人员的时间信息以及空间信息进行直接的指引和运用,也能利用GPS系统对用户的兴趣点和爱好进行详细信息的收集和整理没保证利用历史记录进行有效信息的取证。
5 结束语
总而言之,在智能手机取证技术运行的过程中,取证人员要针对具体问题建立具体分析机制,保证对有效信息进行集中的收集,并且遵循信息取证原则,严格遵守相应的取证标准进行取证操作,在取证过程中优化运行相应的取证技术,提高取证工具的安装行为,建立最为有效的取证操作。我国智能手机用户已经突破了10亿,要进行优化的取证工作,就需要相关取证人员在实际工作中不断更新思路,建立最优化取证路径,推动整体工作的可持续发展。
参考文献
[1]辛蔚妮.智能手机:医学教育的新工具[C].第七届东西方联盟大会暨第十四届海峡两岸及香港地区医学教育研讨会论文集.2013:59,135.
[2]Anne Di Nardo,周怡.掌上革命在继续———零售商利用智能手机技术成为趋势[C].第十五届国际商业论坛论文集.2012:51-51.
手机取证研究 篇8
手机功能的不断完善,深受消费者的喜爱与认可,当前通讯市场的主要工具过半已经被手机取代。同时,由于手机可以存储大量信息的特点,它也成为了检察侦办案件的重要帮手。因此,检察工作过程中通过手机取证的方式已经越来越频繁。
1 手机取证的重要地位
电子证据是我国刑诉过程中重要的证据依据,其中手机取证方式是电子证据取证中必不可少的组成部分。在很多案件的侦办过程中,为了能够快速的寻找到犯罪嫌疑人的心理突破口,可以在第一时间对其手机内的相关内容进行取证分析,从而打破办案的僵化状态。随着智能手机的快速发展,手机已经可以代替电脑进行越来越多的操作,同计算机相比,手机明显与使用者联系更具有紧密性,使用者操作手机的时间更多,手机内存储的内容更加丰富,私密性也更强。因此,在进行破案的过程中,检察人员要不断提高侦查与取证能力,建立新的取证机制,做好手机数据的处理与运用,所以通过提高手机取证在检察机关办案中的作用对检察机关破案具有重要价值及意义。
2 手机电子数据在检察工作中的取证对象
人通过手机通讯工具与他人进行信息的往来沟通,在这个过程当中有意无意、直接间接地留下了在手机设备内的某些电子痕迹就是手机电子数据。在新刑诉法中明确增加了电子数据证据种类,并将手机数据纳入到了电子信息数据当中,其所存在的表现形式具有多样化、易销毁和易篡改等特点。在办案期间,只要确定其有助于真实案情的调查,就可以作为刑诉证据进行应用。
手机电子数据存储的位置主要是手机自带内存、外置储存卡等。首先手机机身内存中存储着大量的信息,主要包括:手机串号、通讯录、通话记录、短信、上网记录、聊天记录、位置记录、图片、视频和声音,存储的文件。其次SIM(UIM)卡也称为用户识别卡,包含着大量的有价值的潜在电子数据,如国际移动台识别码(IMSI);最近一次位置登记时手机所在位置识别号、设置的周期性位置更新间隔时间、临时移动用户号等;用户存储的电话号码,通话记录、短消息等信息;最后是手机外置存储卡,它可以存放音视频等数据信息,市场上以SD卡、MemoryS tick等为主。
3 检察工作运用手机取证的状况
3.1 成效分析
首先为自侦部门寻找到了突破案件壁垒的有效线索。在案件的办理中,很多时候因为没有直接证据无法对某些犯罪嫌疑人进行突破。但是,通过对嫌疑人手机短信等进行调取、恢复的方式,将可以寻找到相关证据,为案件的开展与侦办提供证据与帮助。同时,在审查起诉环节,收集的手机电子证据内容也可以作为直接证据,确认犯罪嫌疑人犯下的罪行。因此在案件的侦破中,手机取证的作用十分重要。
其次,可以为庭审提供可靠的证据,提高了庭审指控工作的信心。公诉部门在进行案件的侦破过程中,有时会发现犯罪嫌疑人手机上可能遗留某些证据,但是公安机关却没有其手机内部的数据资料,此时技术部门就需要配合公诉部门,提取犯罪嫌疑人手机内的数据信息,方便案件的取证调查。比如,可以通过对犯罪嫌疑人手机SIM卡的数据恢复与整理,找到其汇款信息、交流信息等作为直接证据,经过检验鉴定后送到法院,可作为直接证据提高公诉人信心或办案团队的士气。然后可以通过对证据链证据的补充,提高指正的效力。手机内部原始数据极易被篡改,为了避免手机数据的变更或者丢失,必须自第一时间对犯罪嫌疑人手机内部的固定数据进行调取,从而巩固案件的证据材料。
最后要通过破译手段破解手机密码,突破犯罪嫌疑人心理防线。在进行犯罪嫌疑人的审讯过程中,很多人都是冥顽不化并抱有侥幸心理,迟迟不肯招供。而通过技术手段破解其手机密码(或者绕过屏幕锁、PIN锁),获取其手机内部与犯罪相关的信息后,将可以摧毁其心理防线,方便案件的侦破与处理。
3.2 制约手机取证办案的问题与困难
首先,受各手机厂家不断升级更新其手机系统版本影响,各种取证难题不断出现,取证效果不佳:新款安卓手机越来越难以ROOT,解锁或者刷第三方Recovery可能会触发手机的保护模式,在没有任何警告的情况下自动清空data分区的数据;苹果手机IOS4.3以上版本无法破解屏幕锁密码;新版本手机QQ、微信对SQLITE数据库的加密,删除后无法恢复聊天记录等信息。不同型号手机内部的RAM及ROM内的数据信息,由于不同生产厂商的制造的手机型号、种类存储格式、数据优化处理方式、Linux系统删除机制等原因,所以现有的手机取证工具及技术根本无法全部适应,因此给手机取证工作带来了技术难度,增加了取证的困难性。
其次,没有充足的技术人才,且取证方式尚未成熟。当前检察机关手机取证及鉴定部门人员及设备相对匮乏,在办案工作中往往捉襟见肘。并且,很多检察机关内部缺乏专业性对口的专职技术人员,内部工作的技术取证人员大多是通过自学或者是直接硬性指派上岗的,由于他们缺乏专业的技术培训、没有足够的专业知识支撑,在加上没有过多的实践处理经验,最终就导致手机检验鉴定取证工作的开展一波三折,无法发挥实际效果,影响了案件的侦破与手机取证的作用。
最后,缺少行之有效、操作性强的电子证据细则,与办案部门协作机制不强。我国2012年修订后刑事诉讼法第48条虽明确将电子数据纳入法定证据种类,但却并未对电子数据的收集、审查、认定等予以明确。最高人民法院、最高人民检察院虽然分别在《刑诉法解释》和《刑事诉讼规则》中对电子数据的收集、审查、认定予以规范,但均仅有寥寥数条,且都和视听资料一并固定,无法凸显电子数据在刑事诉讼中的自身特性,也不能有效解决检察机关在办案实践中对电子数据使用中的诸多困境。
4 检察部门手机取证工作的未来规划
首先,要实现电子数据取证过程的合法性,制定相关的法律法规为手机取证工作的开展提供法律依据。并且要积极的探索一种技术与办案部门的联合协作机制,通过完善流程的方式,实现手机数据的及时获取及固定,通过实际成效激发检察部门工作人员对手机取证工作开展的积极性,提高不同案件中检察部门对手机取证的水平及能力。
其次,培养专业的手机取证等技术人员。检察部门应为技术部门员工提供先进技术培训学习的机会,完善手机取证工作涉及到的法律问题的研讨工作,积极的开发新型手机取证技巧、学习国内外先进的手机取证技术,提高手机取证的可靠性与实效性。
最后,应该增加手机取证设备的资金投入。检察机关要增加资金投入,购买先进的手机数据取证设备及工具,积极的组建司法鉴定实验室,吸引优秀的电子数据技术人才,提高检察技术部门对手机数据证据处理的能力,提高办案效率,确保检察办案工作的顺利开展。
5 结束语
综上所述,在案件的侦破过程中,手机取证获取犯罪嫌疑人违法犯罪证据的方式已经在破案、司法审判中变得越发的重要。因此,检察机关应不断的提升手机数据取证技术及能力,发挥手机取证在案件侦破、侦办中的重要价值。
参考文献
[1]赵长江.智能手机鉴定的困境及对策[J].重庆邮电大学学报(社会科学版),2014.
[2]汪振林.电子数据原件问题研究[J].重庆邮电大学学报(社会科学版),2012.
手机取证研究 篇9
1 手机取证的概念
从概念上讲,手机取证是指在侦查和诉讼过程中有法定取证资格的取证主体运用符合取证规范的取证工具和技术方法发现、提取和检验手机及其相关设备并从中获得案件线索,侦查方向和诉讼证据的一种取证方式。具体就是从手机手机内/外置存储卡,SIM卡以及各家网络运营商后台数据库中采集、恢复、保全、固定和分析相关的电子证据,并最终使其具有法律效力、能被法庭采信的证据的过程。
2 手机的取证来源
手机取证的过程中,最开始的工作就是从手机存储的各种信息中获取有法律效力、能被法庭采信的证据。手机的内存、外置存储卡、SIM卡、和各家网络运营商的后台数据库一同构成了手机取证中的重要的证据来源。
手机电子数据作为证据的一种,具有非常大的易变性,非常容易因时间、人为或环境等因素导致变化和灭失,一旦错过了时机就有可能造成重要证据销毁。因此,侦查人员必须及时做好手机的扣押及电子数据的提取、恢复和固定等方面工作,由于现在人们更换手机频繁,需要侦查人员不仅仅扣押正在使用的手机,最好能扣押案发时使用的手机,这样才能有效从中提取更有价值的线索和证据。例如:某地反贪部门在办理王某某贪污受贿案,对王某某随身手机进行取证,通过对提取恢复的数据分析时发现案发年度基本上没有什么通话记录和短信信息,故判断嫌疑人该段时间未使用该部手机,对案件的侦查基本上没有价值。
3 手机取证中需要遵循的取证原则
由于手机数据是以数字化信息编码的方式存储,因而具有间接性、高科技性、隐蔽性等特点,侦查机关常常在手机取证方面遇到一系列难题。手机取证主要包含法律层面和技术层面,与其他证据的收集有较大的区别,应遵循的如下取证原则:
1)取证合法原则:取证合法原则本是传统取证规则中的原则,在手机取证中同样要遵循合法原则。首先,取证主体必须要有法定的权限和资格。其次,取证程序必须规范。最后,取证的工具必须合法。
手机电子数据提取应当遵循以下阶段进行,作为通讯工具的手机,本身是重要的物证,其规格、品牌、型号等物理属性对于案件真实情况具有客观的证明作用。而手机内的通话记录、短信、各种网络数据等电子信息就是电子数据,能够对案件的真实情况起到证明作用。所以,应当分阶段提取采集,首先应按照物证收集程序对手机本身进行提取,其次按照电子数据的采集程序对手机电子数据进行提取,二者不可混淆和替代。
2)取证及时原则:手机取证必须要迅速、及时。因为手机保存的数据具有天然的脆弱性,极容易受外界环境而改变。手机内存容量小,其内存数据动态更新很快。手机作为通讯设备,涉及通信,软件,硬件等多方面科技,特别是智能手机的所实现的功能已经达到甚至超过计算机,具有非常高的科技含量。手机电子数据具有易变性、自动生成性等特殊属性,很容易被丢失、修改、删除,需要专业人士及时进行识别、提取、固定和恢复,侦查人员扣押手机后,应当及时送交具有资质的专业人员处理,以保证手机电子数据得到客观、及时、全面地收集,被破坏、修改的数据能够被正确识别、提取、固定和恢复。
3)取证备份原则:为了防止已取得的数据信息的丢失,必须要对已经取得的数据进行备份。在取证过程中,对案件有关的手机中的数据和资料不进行任何改动或损坏的前提下进行备份,记录备份的时间、地点、数据来源、提取过程、使用方法。
4)环境安全原则:手机证据中有一大部分属于电子证据是存储在电磁介质上的电磁介质易受外界环境影响,因此手机数据载体应在安全的环境下妥善保存。
5)证据保管流转链原则:手机被确定为取证对象起就必须建立证据流转链的记录,该记录应当连续记下从发现或获得手机数据载体到取证结束的整个过程中,所有与该手机数据载体取证相关的活动。由于手机中的数据是以数字化编码方式存储,无法直观查看,所以必须通过技术手段转化为可以方便查看的证据,才能对案件的真实情况起到证明作用。在这个过程中,应当注意两方面:一方面取证人员应当注明制作时间和制作人,另一方面应当交由犯罪嫌疑人、被害人或证人等与信息有关的人对相关内容予以签字确认。
4 手机取证后电子数据分析挖掘
随着手机的智能化发展,手机存储了大量的通信信息和各种网络信息,通过取证设备提取,固定,恢复后往往能获取海量电子数据,对其进一步分析挖掘构成了巨大挑战。在实际工作中,技术人员把海量数据生成报告提供给侦查人员供其自行分析使用,往往没有提供有效的分析意见,特别是关键的线索或证据,影响了手机取证发挥作用。造成这种原因主要有两方面,一方面侦查人员为了案件保密等因素,不愿过多透漏案情,导致技术人员不能充分了解取证方向,明确案件争议点,并根据电子数据的证明价值和与案件相关程度对其进行取舍;另一方面技术人员侦查经验欠缺,不能尽快从海量数据获取有效关键信息,相关数据分析挖掘软件欠缺,海量数据碎片化,不能很好对相关信息进行关联分析,科学的做出一些推断。
解决手机取证后电子数据分析挖掘难的问题,一是建立电子数据取证分析工作流程,制定相应的技术协助侦查部门办案的制度,使技术人员参与到案件中,变被动为主动。二是提高技术人员电子数据取证分析能力,购置相应的分析挖掘软件,能高效快捷的推断出一些有用信息。三是充分利用大数据、云计算、物联网等新兴技术手段,对案件充分挖掘,找出其中关联,还原案件真实情况,为判罪量刑提供充分证据依据。
参考文献
[1]戴吉明.手机取证及其电子证据获取研究[J].计算机与现代化,2007(5).
[2]许昱.手机取证若干问题研究[D].北京:中国政法大学,2008.
[3]秦玉海,孙弈.智能手机取证[M].北京:清华大学出版社,2014.