王即墨　計(jì)超豪

【摘 要】手機(jī)在犯罪的過(guò)程中出現(xiàn)的頻率越來(lái)越高了,對(duì)手機(jī)的取證也顯得越來(lái)越重要。本文介紹了手機(jī)機(jī)身內(nèi)存、SIM卡、存儲(chǔ)卡的取證方法及展望。

【關(guān)鍵詞】手機(jī)取證 SIM卡 電子取證 數(shù)據(jù)恢復(fù)

一、引言

隨著移動(dòng)通信技術(shù)的不斷發(fā)展以及服務(wù)水平和服務(wù)種類的不斷提高,手機(jī)已日益成為人們工作生活中不可或缺的聯(lián)系工具。犯罪嫌疑人所使用的手機(jī)上往往存儲(chǔ)著大量的與案件有關(guān)的信息,能夠?yàn)楣矙C(jī)關(guān)偵查破案提供一定的證據(jù)或線索。手機(jī)取證正是打擊這類犯罪的一個(gè)有效手段。手機(jī)取證是從手機(jī)SIM卡、手機(jī)內(nèi)存、閃存卡中提取短信、電話本、通話記錄、多媒體等信息進(jìn)行分析,整理出對(duì)案件有價(jià)值的線索且能被法庭所接受的證據(jù)的過(guò)程。目前,牽涉到手機(jī)的犯罪行為大致有三種:一是在犯罪嫌疑人的實(shí)施過(guò)程中用手機(jī)來(lái)充當(dāng)通信聯(lián)絡(luò)工具;二是手機(jī)被用作一種犯罪證據(jù)的存儲(chǔ)媒質(zhì),比如,照片、視頻等;三是手機(jī)被當(dāng)作短信詐騙、短信騷擾和病毒軟件傳播等新型手機(jī)犯罪活動(dòng)的實(shí)施工具。

二、電子證據(jù)來(lái)源

手機(jī)取證的電子證據(jù)來(lái)源主要來(lái)自手機(jī)SIM卡、手機(jī)內(nèi)存、閃存卡。

三、SIM卡信息的提取

1.短信息和電話號(hào)碼的提取

每張SIM卡都提供了存儲(chǔ)信息的空間,只是有些SIM卡之間提供的空間大小不一定,但是內(nèi)部的結(jié)構(gòu)基本都是一樣的。SIM卡中提供給我們存放的空間就是短信息、電話本以及已撥電話。

每個(gè)短信息空間占176字節(jié),一本64KB的SIM卡中有50個(gè)這樣的空間。每個(gè)空間由這幾個(gè)部分組成:第一個(gè)字節(jié)為Stat us (狀態(tài)字節(jié));第2-176字節(jié)為TPDU(傳送協(xié)議數(shù)據(jù)單元)。狀態(tài)字節(jié)的值如定義如下:00000000表示空間沒(méi)有被使用;00000001表示已讀的短消息;00000011表示未讀的短消息;不同的手機(jī)刪除短信的機(jī)制的不同,有的手機(jī)在短信刪除時(shí)只是將短信存儲(chǔ)區(qū)的第一個(gè)字節(jié)(狀態(tài)字節(jié))的值改為00000000,第2-176字節(jié)中的內(nèi)容未作任何修改,所以這條短信還是存在的,只是在我們手機(jī)里面不能顯示,只要沒(méi)有被新接收的短信覆蓋掉,我們可以通過(guò)SIM Card Seizure軟件加上配套的SIM卡讀卡器將其中的內(nèi)容恢復(fù)出來(lái)。而另一些手機(jī)除了將短信存儲(chǔ)區(qū)的第一個(gè)字節(jié)(狀態(tài)字節(jié))的值改為00000000外,第2-176字節(jié)中的內(nèi)容全部修改為F,這樣實(shí)際上短信的內(nèi)容已經(jīng)不存在了,因此,現(xiàn)在還沒(méi)有軟件能將其內(nèi)容恢復(fù)。

在SIM卡中電話號(hào)碼是以二進(jìn)制的編碼方式存儲(chǔ)的,每個(gè)存儲(chǔ)空間包含一個(gè)名字和一個(gè)號(hào)碼。當(dāng)電話號(hào)碼刪除后,存儲(chǔ)空間的信息就被十六進(jìn)制的F覆蓋。因此,恢復(fù)被刪除的電話號(hào)碼是不可能的。存儲(chǔ)空間是循環(huán)分配的,通過(guò)識(shí)別用過(guò)的空間之間的空閑空間通?？梢园l(fā)現(xiàn)存儲(chǔ)的號(hào)碼被刪除過(guò)。SIM卡也能存儲(chǔ)最近的已撥號(hào)碼。這些號(hào)碼是以二進(jìn)制的編碼方式存儲(chǔ)的,前面提到的軟件SIM Card Seizure可以將其讀出。

2.實(shí)驗(yàn)結(jié)論

所用設(shè)備:一臺(tái)電子物證檢驗(yàn)工作站,SIM Card Seizure軟件及配套SIM卡讀卡器、Nokia6300手機(jī)、Nokia6120C手機(jī)、多普達(dá)S1手機(jī)、一張中國(guó)移動(dòng)神州行SIM卡。利用上述設(shè)備,對(duì)有關(guān)信息反復(fù)地進(jìn)行發(fā)送和刪除,每一次利用軟件工具進(jìn)行檢驗(yàn),記錄每次所得到的數(shù)據(jù)。實(shí)驗(yàn)發(fā)現(xiàn)Nokia6300、Nokia6120C刪除的短信是可以被恢復(fù)的,多普達(dá)S1刪除的短信不能被恢復(fù),但是短信存在的位置顯示空白,這個(gè)標(biāo)明這里有原本的短信已經(jīng)被刪除。短信刪除后當(dāng)手機(jī)收到新的短信后的存儲(chǔ)位置:通過(guò)實(shí)驗(yàn)發(fā)現(xiàn)是隨機(jī)存儲(chǔ)的,并無(wú)任何規(guī)律可循。另外,三部手機(jī)刪除的通訊錄全部不能被恢復(fù)。

四、手機(jī)內(nèi)存卡數(shù)據(jù)的提取

手機(jī)內(nèi)存卡的數(shù)據(jù)提取相對(duì)是比較簡(jiǎn)單的,我們可使用諸如Encase、FTK的取證軟件工具來(lái)獲取存儲(chǔ)卡上的數(shù)據(jù)進(jìn)行分析以及恢復(fù)。

五、手機(jī)機(jī)身數(shù)據(jù)的提取

從手機(jī)內(nèi)置flash存儲(chǔ)中提取數(shù)據(jù)就要顯得復(fù)雜一些。目前,有兩種途徑獲取其中數(shù)據(jù)的方法,一種是通過(guò)拆解手機(jī),得到其內(nèi)存芯片,接著使用專門的芯片讀取設(shè)備來(lái)獲得其數(shù)據(jù)鏡像,然后,就可以對(duì)提取的數(shù)據(jù)鏡像進(jìn)行分析了。另一種是根據(jù)不同手機(jī)型號(hào)的數(shù)據(jù)線與手機(jī)主板連接,然后,從中讀取內(nèi)存芯片的數(shù)據(jù)信息。這些方法雖可減少在取證過(guò)程中外界因素對(duì)取證數(shù)據(jù)的干擾,但對(duì)取證人員的手機(jī)硬件知識(shí)以及對(duì)各類手機(jī)的操作要求很高。

第一種方法在辦案過(guò)程中是沒(méi)有辦法應(yīng)用的,因?yàn)樵诂F(xiàn)實(shí)案件中,案犯所用的手機(jī)基本都是不相同的,而每款手機(jī)采用的芯片也是不一樣的,所以,芯片讀取設(shè)備也是不一樣的。

第二種方法現(xiàn)在是可以實(shí)現(xiàn),已經(jīng)有越來(lái)越多的設(shè)備對(duì)各種手機(jī)品牌的支持。比如,Cellebrite UFED是獨(dú)立主機(jī)手機(jī)取證設(shè)備,基于手機(jī)底層硬件規(guī)范和通訊協(xié)議核心技術(shù),擺脫傳統(tǒng)手機(jī)取證采用的“PC+軟件+數(shù)據(jù)線”模式的諸多弊端。能夠通過(guò)數(shù)據(jù)線、紅外、藍(lán)牙從1780多款品牌手機(jī)提取重要數(shù)據(jù)如電話薄、圖文、視頻、文本短消息、通話記錄、ESN和IMEI信息?，F(xiàn)在,對(duì)手機(jī)機(jī)身的數(shù)據(jù)恢復(fù)是一個(gè)難題,因?yàn)槭謾C(jī)存儲(chǔ)的格式及編碼都是不統(tǒng)一的,所以很難對(duì)手機(jī)機(jī)身刪除的信息進(jìn)行恢復(fù)。到目前為止,還沒(méi)有一個(gè)設(shè)備對(duì)機(jī)身刪除信息的恢復(fù)有很好的支持。現(xiàn)在還有一個(gè)難題就是對(duì)山寨手機(jī)的數(shù)據(jù)獲取,現(xiàn)在國(guó)內(nèi)的山寨手機(jī)已經(jīng)越來(lái)越多了,占據(jù)了很大的一個(gè)市場(chǎng)。而每一款山寨手機(jī)的通訊協(xié)議都是不一樣的,所以大部分的手機(jī)取證設(shè)備對(duì)山寨手機(jī)的支持都不好。

六、結(jié)束語(yǔ)

手機(jī)取證現(xiàn)在還是一個(gè)不很成熟的技術(shù),還需要不斷地發(fā)展。SIM卡刪除信息的恢復(fù),這個(gè)也許隨著深入的研究,有辦法對(duì)所有SIM卡刪除信息的恢復(fù)。手機(jī)外置存儲(chǔ)卡的恢復(fù),這是一個(gè)比較成熟的技術(shù),專門針對(duì)這些存儲(chǔ)卡的分析、恢復(fù)軟件業(yè)很多。對(duì)山寨手機(jī)的取證,因?yàn)橹袊?guó)大部分的山寨手機(jī)內(nèi)部采用的芯片是使用聯(lián)發(fā)科的,我們可以試著開發(fā)針對(duì)聯(lián)發(fā)科芯片的一個(gè)取證工具?，F(xiàn)在,好像有些廠家對(duì)山寨機(jī)的取證技術(shù)已經(jīng)有所突破。

參考文獻(xiàn):

[1]董立波,羅潔,邵永軍.SIM卡中信息提取方法的研究[J].刑事技術(shù),2007.

[2]趙小敏.手機(jī)取證概述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2005.

[3]戴吉明.手機(jī)取證及其電子證據(jù)獲取研究[J].計(jì)算機(jī)與現(xiàn)代化,2007.

[4]米佳,劉浩陽(yáng).數(shù)字移動(dòng)設(shè)備取證方法研究[J].湖南公安高等專科學(xué)校學(xué)報(bào),2007.