王軍　薛玲

手機(jī)取證技術(shù)是當(dāng)前司法機(jī)關(guān)需要不斷學(xué)習(xí)并掌握的新型的電子物證技術(shù)?，F(xiàn)在國內(nèi)市場上，Cellebrite手機(jī)取證箱作為一款獨(dú)立的，既適合在犯罪現(xiàn)場也適合在實(shí)驗(yàn)室使用的設(shè)備，其取證功能非常強(qiáng)大，能夠?qū)κ謾C(jī)和SIM卡的數(shù)據(jù)完全鏡像備份，數(shù)據(jù)的提取過程是只讀模式，提取手機(jī)數(shù)據(jù)的同時阻止該手機(jī)與網(wǎng)絡(luò)連接，無需使用手機(jī)信號屏蔽袋來阻止射頻信號，因此它的應(yīng)用也日漸廣泛?，F(xiàn)筆者根據(jù)在實(shí)際工作中的應(yīng)用，對該設(shè)備的分析取證能力進(jìn)行詳細(xì)解析。

1.Cellebrite手機(jī)取證工具強(qiáng)大的分析取證能力

1.1 Cellebrite對手機(jī)SIM卡的取證

SIM卡，英文的含義是客戶識別模塊，它也被稱為用戶身份識別卡。目前常見的SIM卡的存儲容量有8K，16K、32K和64K等幾種，種類也根據(jù)網(wǎng)絡(luò)的不同有GSM卡、CDMA卡以及當(dāng)前流行的3G卡等。Cellebrite手機(jī)取證箱對這些手機(jī)卡都能有效地支持。SIM卡中所存儲的信息大致可以分為五類：⑴SIM卡生產(chǎn)廠商存儲的產(chǎn)品原始數(shù)據(jù)；⑵手機(jī)存儲的固有信息，主要包括各種鑒權(quán)和加密信息、GSM的IMSI碼、CDMA的MIN碼、IMSI認(rèn)證算法、加密密匙生成算法；⑶在手機(jī)使用過程中存儲的個人數(shù)據(jù)、如短消息、電話簿、行程表和通話記錄信息；⑷移動網(wǎng)絡(luò)方面的數(shù)據(jù)，包括用戶在使用SIM卡過程中自動存入和更新的網(wǎng)絡(luò)服務(wù)和用戶信息數(shù)據(jù)，如設(shè)置的周期性位置更新間隔時間和最近一次位置登記時手機(jī)所在位置識別號。⑸其它的相關(guān)手機(jī)參數(shù)，其中包括個人身份識別號（PIN），以及解開鎖定用的個人解鎖號（PUK）等信息。

實(shí)際偵查破案工作中，手機(jī)檢驗(yàn)結(jié)果往往可以幫助確定手機(jī)使用者，SIM卡里面的IC-CID、IMSI、MSISDN號碼可以直接在網(wǎng)絡(luò)運(yùn)營商數(shù)據(jù)庫中查找用戶的詳細(xì)信息；手機(jī)中的文本信息和呼叫/接收的電話號碼往往能夠?yàn)閭刹槠瓢柑峁┳罹邇r值的潛在證據(jù)。

2011年11月11日，我市密州街道工業(yè)大道中段路東、人民東路與工業(yè)大道交叉路口以北100米處有一婦女被人殺死。在現(xiàn)場遺留一輛銀青色比亞迪F0轎車內(nèi)，發(fā)現(xiàn)一張手機(jī)SIM卡，通過讀取該卡的相關(guān)信息，從而很快確定受害人朱某，為及時破案提供了有力的技術(shù)支持。下圖為筆者利用cellebrite設(shè)備從該涉案SIM卡獲取的信息。

1.2 Cellebrite對手機(jī)內(nèi)存的取證分析

當(dāng)前手機(jī)種類繁多，手機(jī)系統(tǒng)間的獨(dú)特性和多樣化，導(dǎo)致手機(jī)取證難度很大。從功能來講，可以粗略地分為三大類，一種是低端機(jī)，僅提供通話和收發(fā)短信功能；第二種是中端機(jī)，可除通話及收發(fā)短信外，還提供多媒體功能和服務(wù)；第三種是高端機(jī)或智能機(jī)，這類手機(jī)整合了中端機(jī)和PDA的功能，帶有操作系統(tǒng)，可使用POP/IMAP/SMTP和HTTP協(xié)議，訪問Web和使用電子郵件。

Cellebrite手機(jī)取證工具能夠支持當(dāng)前市場正版手機(jī)幾乎所有的手機(jī)系統(tǒng)，對七種智能手機(jī)的操作系統(tǒng)如PalmOS、Symbian、Windows mobile、Linux和Android、iPhoneOS、黑莓等也能做到有效地支持。當(dāng)前市場上的手機(jī)，手機(jī)機(jī)身內(nèi)存的存儲容量遠(yuǎn)遠(yuǎn)要比手機(jī)SIM卡大得多，它不僅存儲執(zhí)行操作系統(tǒng)指令和用戶應(yīng)用程序產(chǎn)生的臨時數(shù)據(jù)，更保存著操作系統(tǒng)、各種配置數(shù)據(jù)以及一些用戶的個人數(shù)據(jù)。因此，Cellebrite對手機(jī)內(nèi)存的讀取能力就更加值得鼓勵。

下圖是筆者利用cellebrite設(shè)備對一款帶Symbian智能系統(tǒng)手機(jī)內(nèi)存的信息讀取。

圖中，我們看到，Cellebrite手機(jī)取證工具能有效地獲取手機(jī)內(nèi)存中的信息，包括詳細(xì)的手機(jī)信息以及手機(jī)內(nèi)存中通訊記錄、短信、圖像、視頻、音頻和其他信息，并以文件夾和文件的形式直觀地呈現(xiàn)。我們注意到該設(shè)備避免了對內(nèi)存中原始數(shù)據(jù)可能產(chǎn)生的破壞，具備MD5哈希校驗(yàn)功能，保證了內(nèi)存數(shù)據(jù)HASH值的同一性，對該物證日后在法庭上應(yīng)用起到了很好的保護(hù)作用。

2.cellebrite手機(jī)取證工具的恢復(fù)刪除能力值得贊許

手機(jī)內(nèi)存中，常常會有一些內(nèi)容是被人為故意刪除的，而這些內(nèi)容往往是我們偵查破案所需要的信息金礦。普通的手機(jī)取證設(shè)備一般不具備恢復(fù)功能，而cellebrite加強(qiáng)版的手機(jī)取證工具則具備了這樣的能力。

如圖所示，將一款手機(jī)與Cellebrite連接后，通過物理轉(zhuǎn)儲和文件系統(tǒng)轉(zhuǎn)儲命令，對手機(jī)內(nèi)存中的信息進(jìn)行恢復(fù)。

結(jié)果能從機(jī)身內(nèi)存中恢復(fù)一些被刪除的通訊錄、短信息、通話記錄以及音頻、視頻信息。從圖中我們可以清晰地看到，紅框內(nèi)的信息為恢復(fù)的刪除信息。

3.cellebrite手機(jī)取證工具的不足

Cellebrite手機(jī)取證工具雖然具有比較強(qiáng)大的功能，但它仍存在著一些不足。比如，它號稱支持超過3000款國際大品牌和200款國產(chǎn)手機(jī)，但它對國內(nèi)普及率近70%的山寨手機(jī)的支持能力就不能令人滿意，無法提供相對豐富和全面的數(shù)據(jù)接口。

另外，Cellebrite手機(jī)取證工具僅僅提供了一個SD卡插槽，用于提取SD卡數(shù)據(jù)。而對當(dāng)前手機(jī)外置存儲應(yīng)用較為廣泛的TransFlash卡（也稱為MicroSD卡）、MMC卡、MiniSD卡等卻沒有提供相應(yīng)的插槽。對手機(jī)外置存儲卡上的數(shù)據(jù)讀取，只能依靠一些諸如Encase和Whinex等軟件工具進(jìn)行鏡像分析。 [科]