丁麗萍 岳曉萌 李彥峰
摘要:對應移動數字取證技術的4個方面:移動設備取證、移動系統(tǒng)取證、移動網絡取證和移動應用取證,給出了移動設備取證的步驟和手段,基于iOS和Android系統(tǒng)的數字取證技術及其特點,移動網絡下數字取證的基本手段和技術,移動應用取證的基本特征;認為隨著越來越多的新概念和新技術的發(fā)展,未來智能移動終端數字取證技術將成為數字取證的主流之一。
關鍵詞: 智能移動終端;數字取證;移動取證;網絡犯罪
數字取證是指科學地運用提取和證明方法,對于從電子數據源提取的電子證據進行保護、收集、驗證、鑒定、分析、解釋、存檔和出示,以有助于進一步的犯罪事件重構或者幫助識別某些與計劃操作無關的非授權性活動。無線通信技術的普及和智能終端應用的便捷帶來了諸多的安全問題及針對智能終端的犯罪活動。移動支付等涉及個人財產和隱私信息的應用層出不窮,導致針對移動通信系統(tǒng)的犯罪激增。據統(tǒng)計,歐洲80%的犯罪涉及移動數字取證,英國90%的犯罪涉及移動數字取證,美國70%的犯罪涉及移動數字取證。移動取證正在發(fā)展成為數字取證的主要工作。同時,移動通信安全事件的事前安全防護與事后追責的訟訴相關理論和技術的研究也是信息安全和取證領域的研究熱點問題。
數字取證技術的研究有鮮明的國家特點,即國家的性質、法律和制度對于數字取證技術的研究均具有一定的影響和制約。照搬照抄國際上的數字取證技術和工具的做法是不可取的,結合中國國情的數字取證探索值得大力提倡。目前,中國在操作系統(tǒng)的可取證研究、BIOS芯片取證方面已經推出了自主創(chuàng)新的研究成果,但與國際上更為成熟的數字取證技術相比,差距還比較大。
無線通信技術的復雜性和多樣性使得數字取證面臨諸多難點問題。從移動互聯網的組成看,移動取證包括:
(1)移動設備取證,包括各種不同型號品牌的手機、平板電腦(PAD)、自帶設備辦公(BYOD)、各種不同的物聯網終端等。
(2)移動系統(tǒng)取證,包括各種移動終端操作系統(tǒng)的取證。
(3)移動網絡取證,包括對于各種協議的分析和網絡中傳輸的數據包的截獲與提取分析。
(4)移動應用取證,包括對各種不同的應用采用不同的技術方法有針對性地進行證據獲取和分析。
移動設備取證、移動系統(tǒng)取證、移動網絡取證、移動應用取證是無法完全隔離開來的,需要綜合考慮。
1 移動設備取證
美國國家標準技術研究所(NIST)在2014年5月份推出了移動設備取證的指導原則[1],對移動設備取證的目的和范圍、方式和方法做了系統(tǒng)性的分析和介紹,其中包括移動設備的特點、存儲結構、標識模型特點、移動網絡的特點、取證工具的能力、現場的保護和評估、打包傳輸和存儲證據、現場應急處理、移動設備標識、工具選擇和期望、移動設備存儲獲取、外圍設備、對移動設備的云服務等內容。
綜合來講,移動設備取證可以分為4個步驟:保護證據、獲取、檢查和分析、報告。移動取證的步驟如圖1所示。
保護證據的目的有兩個,一是要最大限度地獲取相關的證據數據,二是要保護證據數據的完整性和原始性以確保其可采用性。獲取證據是針對原始數據的鏡像、提取等。鑒定與分析是要找出能證明特定事件的發(fā)生與否的證據。報告是要按照訴訟和調解部門的要求出具鑒定和取證的結論性報告。
根據提取數字證據的不同手段和方式,可以將移動設備取證分為5個層次,自底向上逐個難度增加,其分別是:手工提取、邏輯提取、十六進制轉儲、芯片拆除和微碼讀取。移動設備取證的5個層次如圖2所示。
1.1 手工提取
所謂人工提取是指手工使用按鈕、鍵盤、觸屏等方法瀏覽并用照相機拍攝顯示的數據內容。如果數據量很大,人工提取的難度將會很大?,F在有一些自動化的工具可以幫助自動實現人工提取過程。目前,已經有一種設備,把手機固定在一個裝有照相機的架子下,相機拍攝下每一個屏幕顯示會通過一根線自動傳輸到電腦中并打上Hash固定成證據。
1.2 邏輯提取
邏輯提取就是要用計算機和移動設備建立連接,然后,使用相應的邏輯提取工具進行提取。進行邏輯提取應該注意的問題是要牢記連接方式和相關的協議,因為錯誤的連接方式和協議可能會導致數據被篡改和提取到錯誤的數據。
1.3 十六進制轉儲
十六進制轉儲主要是用來直接提取閃存上的數據。這類方法的挑戰(zhàn)是如何解析和解碼捕獲到的數據。檢測到文件系統(tǒng)的邏輯視圖并報告一些文件系統(tǒng)以外的殘余數據也是一個挑戰(zhàn)。這個層面的工具包括:連接線或者Wi-Fi以及取證工作站等等。
1.4 芯片拆除
芯片拆除方法也是用來提取閃存中的數據。但是,這種方法是更直接的,要求對芯片創(chuàng)建一個二進制/十六進制鏡像。為了獲取二進制/十六進制文件,均衡抹除算法必須被逆向工程。完成后,二進制鏡像文件就可以被分析了。這種方法和傳統(tǒng)的磁盤鏡像密切相關。這種方法的操作者需要進行訓練。
1.5 微碼讀取
微碼讀取是通過電子顯微鏡對NAND和NOR兩種類型的閃存進行物理提取的方法。需要專家、合適的設備、時間和對相關信息的深度了解。這種方法僅僅用于其他方法不能用并且案件是大案和要案的情況。
1.6 移動設備取證工具
目前國際上有一些移動設備的取證工具,例如:
(1)FinalShield
FinalShield是一種用來屏蔽手機信號的取證輔助工具,該工具通過內部USB與Android系統(tǒng)手機進行連接,計算機或特定的手機取證工具利用FinalShield外部USB與該設備進行連接,作為手機取證的輔助工具共同得到有效的電子證據,可以有效的防止取證過程中有電話打入或短信接收,從而造成手機原始數據不必要的破壞或丟失。
(2)XRY
XRY是一款便攜式取證箱,用來手機內存轉儲和采集數據的工具。此設備是由SIM卡讀寫器、USB通信單元、數據線、記憶卡讀卡器、SIM復制卡等組成的。在安全模式下可以讀取手機內的Message、telephonenumber、addressbooks、pictures、video等。該工具效果理想,并且容易操作,可以方便快捷的完成手機數據的分析、獲取、查看工作,同時,還能通過加密文件的創(chuàng)建,保護數據不被其他未經允許的人員進行查看。該工具完成取證工作后,會得出相應的分析報告,方便調查工作人員查看詳細的取證結果。
(3)OxygenForensic
OxygenForensic通過運用高級底層通信方式,獲取更多數據,相比其他對智能手機、PDA以及普通手機的邏輯分析軟件,顯示了更大的優(yōu)越性,尤其適合于Android系統(tǒng)手機的取證工作。
(4)BitPIM
BitPIM是一種電話管理軟件,能夠查看手機的Phonebook、calendar、wallpapers、ringtones等數據。該軟件可以在Linux等操作系統(tǒng)上運行,前提是需要我們安裝正確的驅動程序。
(5)CELLDEK
CELLDEK是一款便攜式手機取證箱,可以提取Android系統(tǒng)手機的原始數據。設備中嵌入一臺筆記本,數據的提取和分析就是通過筆記本內的特定軟件來實現的。
2 移動系統(tǒng)取證
一般而言,移動設備的常用操作系統(tǒng)有iOS、Android、Windows Phone、BlackBerry等,目前比較主流的是iOS和Android,主要的移動系統(tǒng)取證研究也是圍繞著這兩個操作系統(tǒng)[2]。
分析移動操作系統(tǒng)的取證方法,首先,要了解其文件系統(tǒng)及存儲管理系統(tǒng):用于存儲的硬件是閃存控制器、NAND閃存、多媒體存儲卡。內核負責存儲的模塊包括:存儲設備的驅動、用于訪問內存設備的子系統(tǒng)、塊設備子系統(tǒng)、虛擬文件系統(tǒng)(VFS)、能夠很好地支持大容量NAND的文件系統(tǒng)等等。Android操作系統(tǒng)為了實現應用的隔離,使用了沙箱的安全架構,這也是移動系統(tǒng)取證需要考慮的[3]。
2.1 Android系統(tǒng)取證
(1)邏輯技術取證
在有ROOT權限的情況下,可以用adb pull命令把文件系統(tǒng)的不同部分復制到Ubuntu工作站中進一步分析。備份分析使用的RerWare、AFLogical等也是不錯的取證工具。
(2)物理取證
包括硬件與終端實現連接的方法或者是物理上獲取終端設備的方法,也包括將終端設備中的軟件在具有ROOT訪問權限條件下運行以獲取分區(qū)完整鏡像的技術,JTAG以及ROOT權限下的各種技術方法等。
通過各種取證手段獲取時間的時間序列、系統(tǒng)的文件類型、對文件分區(qū)的鏡像和分析等等。
2.2 iOS系統(tǒng)取證
iOS系統(tǒng)越獄和取證的關系問題:越獄使得取證容易了,數據卻不安全了。越獄的好處——提權并安裝未經Apple驗證的程序;越獄后的風險——系統(tǒng)安全性大幅降低、可隨意安裝未經驗證的應用(App)。iOS的文件系統(tǒng)是HFS+,SQLite數據庫包括地址簿、短信和呼叫記錄等[4]。
iOS設備和Android設備的最大區(qū)別就是其安全性。iOS設備可以設置一個PIN碼(一般4位)來阻止非法訪問,可以設置連續(xù)10次錯誤碼將抹掉手機上的所有數據,還有一個會員機制——MobileMe,允許用戶在設備丟失的情況下遠程設置密碼[5]。
iOS系統(tǒng)取證的內容:由于iOS的加密機制,僅僅獲取磁盤鏡像還不行,應該先破譯或者繞過密鑰;內容保護密鑰必須在獲取階段從設備中提?。恍枰饷艽鎯Φ膬热?;密碼需要用來完成一個主密鑰集合;實際操作中,應該先線下提取源數據和計算機保護密鑰[6]。
iOS系統(tǒng)取證方法[7]:
(1)直接從iPhone獲取數據。這種方式是指從連接在電腦上的手機中直接獲取數據。
(2)利用蘋果的協議獲取iPhone文件系統(tǒng)一個備份或者邏輯拷貝[8]。這種方式僅僅能從一個鏡像文件中獲取證據(利用同步協議),最大的問題也是密鑰的破解。
(3)物理逐字節(jié)復制。這種方式即以傳統(tǒng)的物理克隆的方法產生一個鏡像文件。此方法的困難在于數據太大并且分析過程復雜,有時需要修改分區(qū)。iOS系統(tǒng)移動取證的最大難點在于突破加密機制[9]。
2.3 Android與iOS系統(tǒng)取證對比
iOS系統(tǒng)和Android系統(tǒng)各有優(yōu)勢,iOS系統(tǒng)是完全封閉的系統(tǒng),不開源,但是這個系統(tǒng)經過蘋果的嚴格管理,在大部分情況下,第三方應用是無法拿到所有應用編程接口(API)的,是高安全性的一個優(yōu)秀的系統(tǒng),但是很多軟件收費,必須通過越獄來達到免費得目的。從移動取證的難度上來說,iOS系統(tǒng)的取證難度較大,尤其是在不越獄的情況下尤為困難。
Android是一個開源并且免費的系統(tǒng)軟件,在設計上Android就允許自由替換系統(tǒng)組件,但是,這個系統(tǒng)本身安全性不高,并且平臺系統(tǒng)散亂,形成了一個系統(tǒng)多個硬件的情況,但是由于系統(tǒng)開源,造成了軟件免費,盜版猖獗的情況[10]。從移動取證的難度上來說,Android系統(tǒng)的取證較iOS系統(tǒng)來說難度相對小些。
3 移動網絡取證
移動網絡取證的目的是分析網絡傳輸的信號,包括截獲數據包,分析數據和確定一些關鍵信息,如嫌疑人手機的位置等等。
在移動網絡中,每一個移動基站有其自己的覆蓋區(qū)域。蜂窩網絡或者其標識(ID)也可用于識別無線電信號在該區(qū)域中的位置?;緯鶕蘒D來識別屬于它的用戶及其具體位置。
取證人員首先需要獲取網絡的一個真實的拓撲圖。然后,要了解移動網絡的覆蓋區(qū)域,或者是,我們要取證的區(qū)域內的基站數量、基站的擁有者等等。獲取的網絡數據對于蜂窩的覆蓋可以用來判斷嫌疑人可能或者不可能在案發(fā)現場。
4 移動應用取證
移動終端應用程序數量非常龐大,特別是對于蘋果和安卓手機的應用,而且第三方應用程序包含的數據非常豐富。這些第三方應用由世界各地的開發(fā)人員完成,應用的數據也會有各種不同的格式:文本格式、SQLite數據庫格式等等。文件備份的位置也很重要,很多智能手機應用的數據存在SQLite數據庫中。App的數據恢復就是對于SQLite數據的恢復,如果數據沒有被覆蓋過,數據很容易恢復,使用的工具也很多,常用的取證工具都能做到??傊?,App的取證應該具體問題具體分析,目前沒有統(tǒng)一的解決方案[11]。
5 結束語
移動數字取證的趨勢應該集中在移動設備取證、移動系統(tǒng)取證、移動網絡取證和移動應用取證這4個方面。取證的效率一直是數字取證的重點和難點問題,移動取證也是如此。取證過程的處理速度主要表現在數據獲取的速度、密碼破解的速度等等。數據存儲的特征主要表現在容量、結構、速度等[12]。隨著云計算和大數據技術的發(fā)展,云計算技術和大數據技術對移動取證的影響也開始凸顯。云計算給數字取證帶來的是便利和挑戰(zhàn),基于基礎設施即服務(IaaS)提供的條件,建立專門的取證服務器,通過克隆技術,我們無需臨時尋找存儲設備,并花時間等待其啟動并進入使用狀態(tài),從而大大降低成本和縮短時間;同時,云計算也給從云環(huán)境中提取證據成為一個新的研究課題[13]。除此之外,如何利用大數據技術取證和如何對大數據中的電子證據進行提取兩個方面的研究也在同步進行[14]。結合越來越多的新概念和新技術的發(fā)展,未來智能移動終端數字取證技術將成為數字取證的主流之一。
參考文獻
[1] AYERS R, BROTHERS S, JANSEN W. Guidelines on mobile device forensics [J]. NIST Special Publication, 2013, 80(1):101-104
[2] Bill Teel. Mobile Device Forensics Overview [EB/OL]. [2015-03-01]. http://www.mobileforensicscentral.com/mfc/documents/MobileDeviceForensicsOverview-March2011.ppt
[3] ANDROULIDAKIS I I. Mobile Phone Security and Forensics: A Practical Approach [M]. Springer Science & Business Media, 2012
[4] HOOG A, STRZEMPKA K. iPhone and iOS forensics: Investigation, analysis and mobile security for Apple iPhone, iPad and iOS devices [M]. Elsevier, 2011
[5] ZDZIARSKI J. Hacking and securing iOS applications: stealing data, hijacking software, and how to prevent it [M]. O'Reilly Media, Inc., 2012
[6] AHMED R, DHARASKAR R V. Mobile forensics: an overview, tools, future trends and challenges from law enforcement perspective [C]//Proceedings of the 6th International Conference on E-Governance, ICEG, Emerging Technologies in E-Government, M-Government. 2008: 312-23
[7] ANDREW H. iPhone Forensics [EB/OL]. [2015-03-01]. http://www.mandarino70.it/Documents/iPhone-Forensics-2009.pdf
[9] BELENKO A, SKLYAROV D. Evolution of iOS Data Protection and iPhone Forensics: from iPhone OS to iOS 5 [C]//Proceedings of the Blackhat Abu Dhabi Conference. 2011
[9] JONATHAN Z. iOS Forensic Investigative Methods [EB/OL]. [2015-03-01]. http://www.zdziarski.com/blog/wp-content/uploads/2013/05/iOS-Forensic-Investigative-Methods.pdf
[10] QUICK D, ALZAABI M. Forensic analysis of the android file system yaffs2 [J]. NIST Special Publication, 2011, 78(1):81-87
[11] LESSARD J, KESSLER G. Android Forensics: Simplifying Cell Phone Examinations [J]. NIST Special Publication, 2010, 77(1):55-83
[12] BARMPATSALOU K, DAMOPOULOS D, KAMBOURAKIS G, et al. A critical review of 7 years of Mobile Device Forensics [J]. Digital Investigation, 2013, 10(4): 323-349
[13] SIMOU S, KALLONIATIS C, KAVAKLI E, et al. Cloud Forensics: Identifying the Major Issues and Challenges [C]//Proceedings of the Advanced Information Systems Engineering. Springer International Publishing, 2014: 271-284
[14] GUARINO A. Digital Forensics as a Big Data Challenge [M]. ISSE 2013 Securing Electronic Business Processes. Springer Fachmedien Wiesbaden, 2013