丁麗萍　岳曉萌　李彥峰

摘要：對(duì)應(yīng)移動(dòng)數(shù)字取證技術(shù)的4個(gè)方面：移動(dòng)設(shè)備取證、移動(dòng)系統(tǒng)取證、移動(dòng)網(wǎng)絡(luò)取證和移動(dòng)應(yīng)用取證，給出了移動(dòng)設(shè)備取證的步驟和手段，基于iOS和Android系統(tǒng)的數(shù)字取證技術(shù)及其特點(diǎn)，移動(dòng)網(wǎng)絡(luò)下數(shù)字取證的基本手段和技術(shù)，移動(dòng)應(yīng)用取證的基本特征；認(rèn)為隨著越來越多的新概念和新技術(shù)的發(fā)展，未來智能移動(dòng)終端數(shù)字取證技術(shù)將成為數(shù)字取證的主流之一。

關(guān)鍵詞： 智能移動(dòng)終端；數(shù)字取證；移動(dòng)取證；網(wǎng)絡(luò)犯罪

數(shù)字取證是指科學(xué)地運(yùn)用提取和證明方法，對(duì)于從電子數(shù)據(jù)源提取的電子證據(jù)進(jìn)行保護(hù)、收集、驗(yàn)證、鑒定、分析、解釋、存檔和出示，以有助于進(jìn)一步的犯罪事件重構(gòu)或者幫助識(shí)別某些與計(jì)劃操作無關(guān)的非授權(quán)性活動(dòng)。無線通信技術(shù)的普及和智能終端應(yīng)用的便捷帶來了諸多的安全問題及針對(duì)智能終端的犯罪活動(dòng)。移動(dòng)支付等涉及個(gè)人財(cái)產(chǎn)和隱私信息的應(yīng)用層出不窮，導(dǎo)致針對(duì)移動(dòng)通信系統(tǒng)的犯罪激增。據(jù)統(tǒng)計(jì)，歐洲80%的犯罪涉及移動(dòng)數(shù)字取證，英國90%的犯罪涉及移動(dòng)數(shù)字取證，美國70%的犯罪涉及移動(dòng)數(shù)字取證。移動(dòng)取證正在發(fā)展成為數(shù)字取證的主要工作。同時(shí)，移動(dòng)通信安全事件的事前安全防護(hù)與事后追責(zé)的訟訴相關(guān)理論和技術(shù)的研究也是信息安全和取證領(lǐng)域的研究熱點(diǎn)問題。

數(shù)字取證技術(shù)的研究有鮮明的國家特點(diǎn)，即國家的性質(zhì)、法律和制度對(duì)于數(shù)字取證技術(shù)的研究均具有一定的影響和制約。照搬照抄國際上的數(shù)字取證技術(shù)和工具的做法是不可取的，結(jié)合中國國情的數(shù)字取證探索值得大力提倡。目前，中國在操作系統(tǒng)的可取證研究、BIOS芯片取證方面已經(jīng)推出了自主創(chuàng)新的研究成果，但與國際上更為成熟的數(shù)字取證技術(shù)相比，差距還比較大。

無線通信技術(shù)的復(fù)雜性和多樣性使得數(shù)字取證面臨諸多難點(diǎn)問題。從移動(dòng)互聯(lián)網(wǎng)的組成看，移動(dòng)取證包括：

（1）移動(dòng)設(shè)備取證，包括各種不同型號(hào)品牌的手機(jī)、平板電腦（PAD）、自帶設(shè)備辦公（BYOD）、各種不同的物聯(lián)網(wǎng)終端等。

（2）移動(dòng)系統(tǒng)取證，包括各種移動(dòng)終端操作系統(tǒng)的取證。

（3）移動(dòng)網(wǎng)絡(luò)取證，包括對(duì)于各種協(xié)議的分析和網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包的截獲與提取分析。

（4）移動(dòng)應(yīng)用取證，包括對(duì)各種不同的應(yīng)用采用不同的技術(shù)方法有針對(duì)性地進(jìn)行證據(jù)獲取和分析。

移動(dòng)設(shè)備取證、移動(dòng)系統(tǒng)取證、移動(dòng)網(wǎng)絡(luò)取證、移動(dòng)應(yīng)用取證是無法完全隔離開來的，需要綜合考慮。

1 移動(dòng)設(shè)備取證

美國國家標(biāo)準(zhǔn)技術(shù)研究所（NIST）在2014年5月份推出了移動(dòng)設(shè)備取證的指導(dǎo)原則[1]，對(duì)移動(dòng)設(shè)備取證的目的和范圍、方式和方法做了系統(tǒng)性的分析和介紹，其中包括移動(dòng)設(shè)備的特點(diǎn)、存儲(chǔ)結(jié)構(gòu)、標(biāo)識(shí)模型特點(diǎn)、移動(dòng)網(wǎng)絡(luò)的特點(diǎn)、取證工具的能力、現(xiàn)場的保護(hù)和評(píng)估、打包傳輸和存儲(chǔ)證據(jù)、現(xiàn)場應(yīng)急處理、移動(dòng)設(shè)備標(biāo)識(shí)、工具選擇和期望、移動(dòng)設(shè)備存儲(chǔ)獲取、外圍設(shè)備、對(duì)移動(dòng)設(shè)備的云服務(wù)等內(nèi)容。

綜合來講，移動(dòng)設(shè)備取證可以分為4個(gè)步驟：保護(hù)證據(jù)、獲取、檢查和分析、報(bào)告。移動(dòng)取證的步驟如圖1所示。

保護(hù)證據(jù)的目的有兩個(gè)，一是要最大限度地獲取相關(guān)的證據(jù)數(shù)據(jù)，二是要保護(hù)證據(jù)數(shù)據(jù)的完整性和原始性以確保其可采用性。獲取證據(jù)是針對(duì)原始數(shù)據(jù)的鏡像、提取等。鑒定與分析是要找出能證明特定事件的發(fā)生與否的證據(jù)。報(bào)告是要按照訴訟和調(diào)解部門的要求出具鑒定和取證的結(jié)論性報(bào)告。

根據(jù)提取數(shù)字證據(jù)的不同手段和方式，可以將移動(dòng)設(shè)備取證分為5個(gè)層次，自底向上逐個(gè)難度增加，其分別是：手工提取、邏輯提取、十六進(jìn)制轉(zhuǎn)儲(chǔ)、芯片拆除和微碼讀取。移動(dòng)設(shè)備取證的5個(gè)層次如圖2所示。

1.1 手工提取

所謂人工提取是指手工使用按鈕、鍵盤、觸屏等方法瀏覽并用照相機(jī)拍攝顯示的數(shù)據(jù)內(nèi)容。如果數(shù)據(jù)量很大，人工提取的難度將會(huì)很大?，F(xiàn)在有一些自動(dòng)化的工具可以幫助自動(dòng)實(shí)現(xiàn)人工提取過程。目前，已經(jīng)有一種設(shè)備，把手機(jī)固定在一個(gè)裝有照相機(jī)的架子下，相機(jī)拍攝下每一個(gè)屏幕顯示會(huì)通過一根線自動(dòng)傳輸?shù)诫娔X中并打上Hash固定成證據(jù)。

1.2 邏輯提取

邏輯提取就是要用計(jì)算機(jī)和移動(dòng)設(shè)備建立連接，然后，使用相應(yīng)的邏輯提取工具進(jìn)行提取。進(jìn)行邏輯提取應(yīng)該注意的問題是要牢記連接方式和相關(guān)的協(xié)議，因?yàn)殄e(cuò)誤的連接方式和協(xié)議可能會(huì)導(dǎo)致數(shù)據(jù)被篡改和提取到錯(cuò)誤的數(shù)據(jù)。

1.3 十六進(jìn)制轉(zhuǎn)儲(chǔ)

十六進(jìn)制轉(zhuǎn)儲(chǔ)主要是用來直接提取閃存上的數(shù)據(jù)。這類方法的挑戰(zhàn)是如何解析和解碼捕獲到的數(shù)據(jù)。檢測到文件系統(tǒng)的邏輯視圖并報(bào)告一些文件系統(tǒng)以外的殘余數(shù)據(jù)也是一個(gè)挑戰(zhàn)。這個(gè)層面的工具包括：連接線或者Wi-Fi以及取證工作站等等。

1.4 芯片拆除

芯片拆除方法也是用來提取閃存中的數(shù)據(jù)。但是，這種方法是更直接的，要求對(duì)芯片創(chuàng)建一個(gè)二進(jìn)制/十六進(jìn)制鏡像。為了獲取二進(jìn)制/十六進(jìn)制文件，均衡抹除算法必須被逆向工程。完成后，二進(jìn)制鏡像文件就可以被分析了。這種方法和傳統(tǒng)的磁盤鏡像密切相關(guān)。這種方法的操作者需要進(jìn)行訓(xùn)練。

1.5 微碼讀取

微碼讀取是通過電子顯微鏡對(duì)NAND和NOR兩種類型的閃存進(jìn)行物理提取的方法。需要專家、合適的設(shè)備、時(shí)間和對(duì)相關(guān)信息的深度了解。這種方法僅僅用于其他方法不能用并且案件是大案和要案的情況。

1.6 移動(dòng)設(shè)備取證工具

目前國際上有一些移動(dòng)設(shè)備的取證工具，例如：

（1）FinalShield

FinalShield是一種用來屏蔽手機(jī)信號(hào)的取證輔助工具，該工具通過內(nèi)部USB與Android系統(tǒng)手機(jī)進(jìn)行連接，計(jì)算機(jī)或特定的手機(jī)取證工具利用FinalShield外部USB與該設(shè)備進(jìn)行連接，作為手機(jī)取證的輔助工具共同得到有效的電子證據(jù)，可以有效的防止取證過程中有電話打入或短信接收，從而造成手機(jī)原始數(shù)據(jù)不必要的破壞或丟失。

（2）XRY

XRY是一款便攜式取證箱，用來手機(jī)內(nèi)存轉(zhuǎn)儲(chǔ)和采集數(shù)據(jù)的工具。此設(shè)備是由SIM卡讀寫器、USB通信單元、數(shù)據(jù)線、記憶卡讀卡器、SIM復(fù)制卡等組成的。在安全模式下可以讀取手機(jī)內(nèi)的Message、telephonenumber、addressbooks、pictures、video等。該工具效果理想，并且容易操作，可以方便快捷的完成手機(jī)數(shù)據(jù)的分析、獲取、查看工作，同時(shí)，還能通過加密文件的創(chuàng)建，保護(hù)數(shù)據(jù)不被其他未經(jīng)允許的人員進(jìn)行查看。該工具完成取證工作后，會(huì)得出相應(yīng)的分析報(bào)告，方便調(diào)查工作人員查看詳細(xì)的取證結(jié)果。

（3）OxygenForensic

OxygenForensic通過運(yùn)用高級(jí)底層通信方式，獲取更多數(shù)據(jù)，相比其他對(duì)智能手機(jī)、PDA以及普通手機(jī)的邏輯分析軟件，顯示了更大的優(yōu)越性，尤其適合于Android系統(tǒng)手機(jī)的取證工作。

（4）BitPIM

BitPIM是一種電話管理軟件，能夠查看手機(jī)的Phonebook、calendar、wallpapers、ringtones等數(shù)據(jù)。該軟件可以在Linux等操作系統(tǒng)上運(yùn)行，前提是需要我們安裝正確的驅(qū)動(dòng)程序。

（5）CELLDEK

CELLDEK是一款便攜式手機(jī)取證箱，可以提取Android系統(tǒng)手機(jī)的原始數(shù)據(jù)。設(shè)備中嵌入一臺(tái)筆記本，數(shù)據(jù)的提取和分析就是通過筆記本內(nèi)的特定軟件來實(shí)現(xiàn)的。

2 移動(dòng)系統(tǒng)取證

一般而言，移動(dòng)設(shè)備的常用操作系統(tǒng)有iOS、Android、Windows Phone、BlackBerry等，目前比較主流的是iOS和Android，主要的移動(dòng)系統(tǒng)取證研究也是圍繞著這兩個(gè)操作系統(tǒng)[2]。

分析移動(dòng)操作系統(tǒng)的取證方法，首先，要了解其文件系統(tǒng)及存儲(chǔ)管理系統(tǒng)：用于存儲(chǔ)的硬件是閃存控制器、NAND閃存、多媒體存儲(chǔ)卡。內(nèi)核負(fù)責(zé)存儲(chǔ)的模塊包括：存儲(chǔ)設(shè)備的驅(qū)動(dòng)、用于訪問內(nèi)存設(shè)備的子系統(tǒng)、塊設(shè)備子系統(tǒng)、虛擬文件系統(tǒng)（VFS）、能夠很好地支持大容量NAND的文件系統(tǒng)等等。Android操作系統(tǒng)為了實(shí)現(xiàn)應(yīng)用的隔離，使用了沙箱的安全架構(gòu)，這也是移動(dòng)系統(tǒng)取證需要考慮的[3]。

2.1 Android系統(tǒng)取證

（1）邏輯技術(shù)取證

在有ROOT權(quán)限的情況下，可以用adb pull命令把文件系統(tǒng)的不同部分復(fù)制到Ubuntu工作站中進(jìn)一步分析。備份分析使用的RerWare、AFLogical等也是不錯(cuò)的取證工具。

（2）物理取證

包括硬件與終端實(shí)現(xiàn)連接的方法或者是物理上獲取終端設(shè)備的方法，也包括將終端設(shè)備中的軟件在具有ROOT訪問權(quán)限條件下運(yùn)行以獲取分區(qū)完整鏡像的技術(shù)，JTAG以及ROOT權(quán)限下的各種技術(shù)方法等。

通過各種取證手段獲取時(shí)間的時(shí)間序列、系統(tǒng)的文件類型、對(duì)文件分區(qū)的鏡像和分析等等。

2.2 iOS系統(tǒng)取證

iOS系統(tǒng)越獄和取證的關(guān)系問題：越獄使得取證容易了，數(shù)據(jù)卻不安全了。越獄的好處——提權(quán)并安裝未經(jīng)Apple驗(yàn)證的程序；越獄后的風(fēng)險(xiǎn)——系統(tǒng)安全性大幅降低、可隨意安裝未經(jīng)驗(yàn)證的應(yīng)用（App）。iOS的文件系統(tǒng)是HFS+，SQLite數(shù)據(jù)庫包括地址簿、短信和呼叫記錄等[4]。

iOS設(shè)備和Android設(shè)備的最大區(qū)別就是其安全性。iOS設(shè)備可以設(shè)置一個(gè)PIN碼（一般4位）來阻止非法訪問，可以設(shè)置連續(xù)10次錯(cuò)誤碼將抹掉手機(jī)上的所有數(shù)據(jù)，還有一個(gè)會(huì)員機(jī)制——MobileMe，允許用戶在設(shè)備丟失的情況下遠(yuǎn)程設(shè)置密碼[5]。

iOS系統(tǒng)取證的內(nèi)容：由于iOS的加密機(jī)制，僅僅獲取磁盤鏡像還不行，應(yīng)該先破譯或者繞過密鑰；內(nèi)容保護(hù)密鑰必須在獲取階段從設(shè)備中提??；需要解密存儲(chǔ)的內(nèi)容；密碼需要用來完成一個(gè)主密鑰集合；實(shí)際操作中，應(yīng)該先線下提取源數(shù)據(jù)和計(jì)算機(jī)保護(hù)密鑰[6]。

iOS系統(tǒng)取證方法[7]：

（1）直接從iPhone獲取數(shù)據(jù)。這種方式是指從連接在電腦上的手機(jī)中直接獲取數(shù)據(jù)。

（2）利用蘋果的協(xié)議獲取iPhone文件系統(tǒng)一個(gè)備份或者邏輯拷貝[8]。這種方式僅僅能從一個(gè)鏡像文件中獲取證據(jù)（利用同步協(xié)議），最大的問題也是密鑰的破解。

（3）物理逐字節(jié)復(fù)制。這種方式即以傳統(tǒng)的物理克隆的方法產(chǎn)生一個(gè)鏡像文件。此方法的困難在于數(shù)據(jù)太大并且分析過程復(fù)雜，有時(shí)需要修改分區(qū)。iOS系統(tǒng)移動(dòng)取證的最大難點(diǎn)在于突破加密機(jī)制[9]。

2.3 Android與iOS系統(tǒng)取證對(duì)比

iOS系統(tǒng)和Android系統(tǒng)各有優(yōu)勢(shì)，iOS系統(tǒng)是完全封閉的系統(tǒng)，不開源，但是這個(gè)系統(tǒng)經(jīng)過蘋果的嚴(yán)格管理，在大部分情況下，第三方應(yīng)用是無法拿到所有應(yīng)用編程接口（API）的，是高安全性的一個(gè)優(yōu)秀的系統(tǒng)，但是很多軟件收費(fèi)，必須通過越獄來達(dá)到免費(fèi)得目的。從移動(dòng)取證的難度上來說，iOS系統(tǒng)的取證難度較大，尤其是在不越獄的情況下尤為困難。

Android是一個(gè)開源并且免費(fèi)的系統(tǒng)軟件，在設(shè)計(jì)上Android就允許自由替換系統(tǒng)組件，但是，這個(gè)系統(tǒng)本身安全性不高，并且平臺(tái)系統(tǒng)散亂，形成了一個(gè)系統(tǒng)多個(gè)硬件的情況，但是由于系統(tǒng)開源，造成了軟件免費(fèi)，盜版猖獗的情況[10]。從移動(dòng)取證的難度上來說，Android系統(tǒng)的取證較iOS系統(tǒng)來說難度相對(duì)小些。

3 移動(dòng)網(wǎng)絡(luò)取證

移動(dòng)網(wǎng)絡(luò)取證的目的是分析網(wǎng)絡(luò)傳輸?shù)男盘?hào)，包括截獲數(shù)據(jù)包，分析數(shù)據(jù)和確定一些關(guān)鍵信息，如嫌疑人手機(jī)的位置等等。

在移動(dòng)網(wǎng)絡(luò)中，每一個(gè)移動(dòng)基站有其自己的覆蓋區(qū)域。蜂窩網(wǎng)絡(luò)或者其標(biāo)識(shí)（ID）也可用于識(shí)別無線電信號(hào)在該區(qū)域中的位置。基站會(huì)根據(jù)ID來識(shí)別屬于它的用戶及其具體位置。

取證人員首先需要獲取網(wǎng)絡(luò)的一個(gè)真實(shí)的拓?fù)鋱D。然后，要了解移動(dòng)網(wǎng)絡(luò)的覆蓋區(qū)域，或者是，我們要取證的區(qū)域內(nèi)的基站數(shù)量、基站的擁有者等等。獲取的網(wǎng)絡(luò)數(shù)據(jù)對(duì)于蜂窩的覆蓋可以用來判斷嫌疑人可能或者不可能在案發(fā)現(xiàn)場。

4 移動(dòng)應(yīng)用取證

移動(dòng)終端應(yīng)用程序數(shù)量非常龐大，特別是對(duì)于蘋果和安卓手機(jī)的應(yīng)用，而且第三方應(yīng)用程序包含的數(shù)據(jù)非常豐富。這些第三方應(yīng)用由世界各地的開發(fā)人員完成，應(yīng)用的數(shù)據(jù)也會(huì)有各種不同的格式：文本格式、SQLite數(shù)據(jù)庫格式等等。文件備份的位置也很重要，很多智能手機(jī)應(yīng)用的數(shù)據(jù)存在SQLite數(shù)據(jù)庫中。App的數(shù)據(jù)恢復(fù)就是對(duì)于SQLite數(shù)據(jù)的恢復(fù)，如果數(shù)據(jù)沒有被覆蓋過，數(shù)據(jù)很容易恢復(fù)，使用的工具也很多，常用的取證工具都能做到。總之，App的取證應(yīng)該具體問題具體分析，目前沒有統(tǒng)一的解決方案[11]。

5 結(jié)束語

移動(dòng)數(shù)字取證的趨勢(shì)應(yīng)該集中在移動(dòng)設(shè)備取證、移動(dòng)系統(tǒng)取證、移動(dòng)網(wǎng)絡(luò)取證和移動(dòng)應(yīng)用取證這4個(gè)方面。取證的效率一直是數(shù)字取證的重點(diǎn)和難點(diǎn)問題，移動(dòng)取證也是如此。取證過程的處理速度主要表現(xiàn)在數(shù)據(jù)獲取的速度、密碼破解的速度等等。數(shù)據(jù)存儲(chǔ)的特征主要表現(xiàn)在容量、結(jié)構(gòu)、速度等[12]。隨著云計(jì)算和大數(shù)據(jù)技術(shù)的發(fā)展，云計(jì)算技術(shù)和大數(shù)據(jù)技術(shù)對(duì)移動(dòng)取證的影響也開始凸顯。云計(jì)算給數(shù)字取證帶來的是便利和挑戰(zhàn)，基于基礎(chǔ)設(shè)施即服務(wù)（IaaS）提供的條件，建立專門的取證服務(wù)器，通過克隆技術(shù)，我們無需臨時(shí)尋找存儲(chǔ)設(shè)備，并花時(shí)間等待其啟動(dòng)并進(jìn)入使用狀態(tài)，從而大大降低成本和縮短時(shí)間；同時(shí)，云計(jì)算也給從云環(huán)境中提取證據(jù)成為一個(gè)新的研究課題[13]。除此之外，如何利用大數(shù)據(jù)技術(shù)取證和如何對(duì)大數(shù)據(jù)中的電子證據(jù)進(jìn)行提取兩個(gè)方面的研究也在同步進(jìn)行[14]。結(jié)合越來越多的新概念和新技術(shù)的發(fā)展，未來智能移動(dòng)終端數(shù)字取證技術(shù)將成為數(shù)字取證的主流之一。

參考文獻(xiàn)

[1] AYERS R， BROTHERS S， JANSEN W. Guidelines on mobile device forensics [J]. NIST Special Publication， 2013， 80（1）：101-104

[2] Bill Teel. Mobile Device Forensics Overview [EB/OL]. [2015-03-01]. http：//www.mobileforensicscentral.com/mfc/documents/MobileDeviceForensicsOverview-March2011.ppt

[3] ANDROULIDAKIS I I. Mobile Phone Security and Forensics： A Practical Approach [M]. Springer Science & Business Media， 2012

[4] HOOG A， STRZEMPKA K. iPhone and iOS forensics： Investigation， analysis and mobile security for Apple iPhone， iPad and iOS devices [M]. Elsevier， 2011

[5] ZDZIARSKI J. Hacking and securing iOS applications： stealing data， hijacking software， and how to prevent it [M]. O'Reilly Media， Inc.， 2012

[6] AHMED R， DHARASKAR R V. Mobile forensics： an overview， tools， future trends and challenges from law enforcement perspective [C]//Proceedings of the 6th International Conference on E-Governance， ICEG， Emerging Technologies in E-Government， M-Government. 2008： 312-23

[7] ANDREW H. iPhone Forensics [EB/OL]. [2015-03-01]. http：//www.mandarino70.it/Documents/iPhone-Forensics-2009.pdf

[9] BELENKO A， SKLYAROV D. Evolution of iOS Data Protection and iPhone Forensics： from iPhone OS to iOS 5 [C]//Proceedings of the Blackhat Abu Dhabi Conference. 2011

[9] JONATHAN Z. iOS Forensic Investigative Methods [EB/OL]. [2015-03-01]. http：//www.zdziarski.com/blog/wp-content/uploads/2013/05/iOS-Forensic-Investigative-Methods.pdf

[10] QUICK D， ALZAABI M. Forensic analysis of the android file system yaffs2 [J]. NIST Special Publication， 2011， 78（1）：81-87

[11] LESSARD J， KESSLER G. Android Forensics： Simplifying Cell Phone Examinations [J]. NIST Special Publication， 2010， 77（1）：55-83

[12] BARMPATSALOU K， DAMOPOULOS D， KAMBOURAKIS G， et al. A critical review of 7 years of Mobile Device Forensics [J]. Digital Investigation， 2013， 10（4）： 323-349

[13] SIMOU S， KALLONIATIS C， KAVAKLI E， et al. Cloud Forensics： Identifying the Major Issues and Challenges [C]//Proceedings of the Advanced Information Systems Engineering. Springer International Publishing， 2014： 271-284

[14] GUARINO A. Digital Forensics as a Big Data Challenge [M]. ISSE 2013 Securing Electronic Business Processes. Springer Fachmedien Wiesbaden， 2013