◆王丹 丁兆錕 史向東

實(shí)驗(yàn)法探究影響安卓手機(jī)取證速度的主要因素

◆王丹 丁兆錕 史向東

（南京拓界信息技術(shù)有限公司 江蘇 210014）

本文通過(guò)實(shí)驗(yàn)法分析影響安卓手機(jī)取證速度的主要因素，實(shí)驗(yàn)中選用了103個(gè)樣本數(shù)據(jù)，利用“響尾雀”極速手機(jī)取證系統(tǒng)，依據(jù)電子數(shù)據(jù)取證相關(guān)國(guó)家規(guī)定流程，分別從手機(jī)的CPU、RAM、ROM、USB接口、Android版本、文件碎片化以及品牌七個(gè)因素進(jìn)行了全面測(cè)試，并得出了結(jié)論，為后續(xù)手機(jī)取證方法的選擇提供一定的依據(jù)。

電子取證；手機(jī)取證；速度

1 引言

近年來(lái)，各類案件中手機(jī)提取的證據(jù)已經(jīng)成為重要證據(jù)組成部分。如何將手機(jī)中電子數(shù)據(jù)進(jìn)行證據(jù)固定成為電子取證領(lǐng)導(dǎo)研究的重點(diǎn)工作。截至目前，GA/T1770—2014《移動(dòng)終端取證檢驗(yàn)方法》、GA/T1774—2014《電子證據(jù)數(shù)據(jù)現(xiàn)場(chǎng)獲取通用方法》等相關(guān)規(guī)范逐步在完善，圍繞這些國(guó)家規(guī)范進(jìn)行的手機(jī)取證方法研究也已成為研究重點(diǎn)?？蒲性核⒖萍紡S家相繼提出了多種取證方法，開(kāi)發(fā)了手機(jī)取證工具。隨著反詐、禁毒、掃黑等團(tuán)伙類案件的增多，案件中需要進(jìn)行證據(jù)固定的手機(jī)量越來(lái)越大，很多案件不僅要對(duì)嫌疑人進(jìn)行手機(jī)證據(jù)固定，還需要對(duì)傷害人進(jìn)行證據(jù)固定，然而手機(jī)取證的速度卻相對(duì)較慢，對(duì)于一部64G的手機(jī)，進(jìn)行數(shù)據(jù)提取往往需要2到3個(gè)小時(shí)。鑒于此，提高手機(jī)取證速度就成了手機(jī)取證方法研究的關(guān)鍵點(diǎn)。

通過(guò)文獻(xiàn)檢索發(fā)現(xiàn)，當(dāng)前對(duì)手機(jī)取證應(yīng)用及方法的研究逐漸增多，如滿超等（2020）以網(wǎng)絡(luò)犯罪案件為剖析點(diǎn)，對(duì)手機(jī)取證在這類案件中的應(yīng)用做了研究。劉剛（2020）提出了一種基于元建模的移動(dòng)取證領(lǐng)域的方法。然而對(duì)于解決手機(jī)取證速度的研究尚未檢索到，于是本文將重點(diǎn)從手機(jī)品牌、CPU、RAM等多個(gè)因素，利用實(shí)證研究的方法，分析和探討手機(jī)取證中影響取證速度的重要因素，從而對(duì)手機(jī)取證方法的研究提供一點(diǎn)的參考依據(jù)。

2 研究設(shè)計(jì)

2.1 實(shí)驗(yàn)方法及器材選擇

本文采用實(shí)證分析的方法，通過(guò)選取103部手機(jī)樣本針對(duì)不同影響因素設(shè)計(jì)多種實(shí)驗(yàn)進(jìn)行測(cè)試。整個(gè)實(shí)驗(yàn)中，手機(jī)取證流程嚴(yán)格按照GA/T1770—2014《移動(dòng)終端取證檢驗(yàn)方法》進(jìn)行，實(shí)驗(yàn)器材選用了業(yè)界普遍認(rèn)為取證速度較快的南京拓界“響尾雀”極速手機(jī)取證系統(tǒng)（以下簡(jiǎn)稱“響尾雀”系統(tǒng)）。

2.2 實(shí)驗(yàn)樣本的選用

本次實(shí)驗(yàn)選取了103部手機(jī)作為樣本，其中華為（含榮耀）24部、小米18部、OPPO 22部、VIVO 30部、一加2部、三星5部、朵唯1部、金立1部。所有手機(jī)中，除指定測(cè)試某一影響因素需要人工構(gòu)建數(shù)據(jù)以外，其余手機(jī)存儲(chǔ)數(shù)據(jù)均為日常生活正常使用手機(jī)中產(chǎn)生的數(shù)據(jù)。

2.3 研究范圍及計(jì)算標(biāo)準(zhǔn)

本次實(shí)驗(yàn)重點(diǎn)測(cè)試手機(jī)的CPU、RAM、ROM、USB接口、Android版本、文件碎片化以及品牌等七個(gè)因素對(duì)取證速度的影響，其中取證速度中涉及的取證時(shí)間是指“響尾雀”系統(tǒng)從點(diǎn)擊“數(shù)據(jù)獲取”到顯示“獲取完成”所用時(shí)長(zhǎng)。其余計(jì)算公式如下：

手機(jī)取證速度=手機(jī)存儲(chǔ)實(shí)際使用容量÷取證時(shí)間

平均取證速度=N部手機(jī)的取證速度之和÷N

3 實(shí)證分析

3.1 CPU性能對(duì)手機(jī)取證速度的影響

實(shí)驗(yàn)中選用了Vivo品牌的五部手機(jī)分兩組樣本進(jìn)行觀察。

第一組為3部手機(jī)樣本，分別為Vivo IQOOZ3、Vivo S9和Vivo IQOO3。三部手機(jī)CPU性能分別為驍龍768、天璣 1100和驍龍865，其性能分?jǐn)?shù)由低到高，手機(jī)其他配置基本一致[1]。為了保證實(shí)驗(yàn)中待提取的手機(jī)數(shù)據(jù)一致性，本次實(shí)驗(yàn)采用了Vivo官方“互傳”的方式將一部手機(jī)里的數(shù)據(jù)，分別復(fù)制到另外兩部手機(jī)。

表1 Vivo IQOOZ3、Vivo S9和Vivo IQOO3樣本對(duì)比

注：CPU性能分?jǐn)?shù)來(lái)源于2021年手機(jī)CPU性能天梯圖，網(wǎng)址為http://www.ujiaoshou.com/upanjc/diannao/8498.html。

從實(shí)驗(yàn)結(jié)果不難發(fā)現(xiàn)，在其他因素基本一致的情況下，手機(jī)取證速度因CPU性能的提升而提高。

第二組實(shí)驗(yàn)的目的是進(jìn)一步驗(yàn)證每一組實(shí)驗(yàn)得到的結(jié)果。實(shí)驗(yàn)采用Vivo x21A和Vivo x21i兩部手機(jī)，CPU分別為驍龍660和聯(lián)發(fā)科Helio P60，兩個(gè)CPU性能相當(dāng)，同時(shí)兩部手機(jī)RAM、ROM、USB接口、Android版本等因素基本一致，依然采用了Vivo官方“互傳”的方式將一部手機(jī)數(shù)據(jù)復(fù)制到另一部手機(jī)，保證兩部手機(jī)數(shù)據(jù)的一致性。

表2 Vivo x21A和Vivo x21i樣本對(duì)比

注：CPU性能分?jǐn)?shù)來(lái)源于2021年手機(jī)CPU性能天梯圖，網(wǎng)址為http://www.ujiaoshou.com/upanjc/diannao/8498.html。

從結(jié)果可以看出，與第一組的結(jié)論相似，在手機(jī)CPU性能相當(dāng)時(shí)，手機(jī)取證速度相近。

3.2 RAM對(duì)手機(jī)取證速度的影響

從103部手機(jī)樣本中選取兩臺(tái)除了RAM不同之外，其他配置都相同的同品牌手機(jī)，分別為小米note3（4+64）和小米note3（6+64）進(jìn)行實(shí)驗(yàn)。實(shí)驗(yàn)前，利用小米換機(jī)將小米note3（6+64）的應(yīng)用數(shù)據(jù)同步至小米note3（4+64），保證兩部手機(jī)數(shù)據(jù)量一致。

表3 小米note3（4+64）和小米note3（6+64）樣本對(duì)比

以小米手機(jī)為例的實(shí)驗(yàn)結(jié)果（表3）可以看出，RAM從4GB變化到6GB對(duì)于手機(jī)取證的速度影響并不顯著。

3.3 ROM對(duì)手機(jī)取證速度的影響

與RAM的測(cè)試相同，依然用小米note3進(jìn)行實(shí)驗(yàn)，這次選用了小米note3（6+64）和小米note3（6+128），通過(guò)小米換機(jī)將小米note3（6+64）的應(yīng)用數(shù)據(jù)同步至小米note3（6+128），保證兩部手機(jī)數(shù)據(jù)量一致。

表4 小米note3（6+64）和小米note3（6+128）樣本對(duì)比

與RAM的結(jié)論類似，同樣的小米手機(jī)ROM從64GB變化到128GB對(duì)于手機(jī)取證的速度影響并不顯著。

3.4 USB接口對(duì)手機(jī)取證速度的影響

本次實(shí)驗(yàn)重點(diǎn)是針對(duì)Micro USB接口和USB Type C的手機(jī)，通過(guò)測(cè)試這些手機(jī)的取證速度，判斷這兩種接口對(duì)手機(jī)取證速度的影響。由于實(shí)驗(yàn)中無(wú)法確認(rèn)每個(gè)手機(jī)機(jī)型采用的是USB2.0還是USB3.0，所以實(shí)驗(yàn)僅是對(duì)接口類型進(jìn)行的測(cè)試。

第一組選取除USB接口外，其他因素基本一致的小米note3和Vivo X21a兩部手機(jī)樣本進(jìn)行實(shí)驗(yàn)。

表5 小米note3和Vivo X21a樣本對(duì)比

從表5的結(jié)論來(lái)看，在相同配置下，Type-C接口與Micro USB接口對(duì)取證速度的影響并不明顯，反而Type-C接口略慢了一些，很可能是因?yàn)槭謾C(jī)接口雖然是Type-C，但實(shí)驗(yàn)并非使用了USB3.1。于是考慮進(jìn)行第二組實(shí)驗(yàn)[2]。

第二組將103部手機(jī)樣本按接口不同劃分為兩類，分別計(jì)算每一類的平均速度。具體結(jié)果見(jiàn)表6。

表6 103部手機(jī)樣本按接口分類對(duì)比

可以看出，Type-C與Micro USB兩類接口的手機(jī)平均取證速度略有差別，但差別不大，其中Type-C接口的手機(jī)平均取證速度略高。

3.5 安卓版本對(duì)手機(jī)取證速度的影響

測(cè)試安卓版本對(duì)手機(jī)取證速度的影響時(shí)，首先考慮的方法是以一部手機(jī)分別安裝各Android版本的系統(tǒng)進(jìn)行提取，比較取證速度，實(shí)驗(yàn)在環(huán)境構(gòu)造的過(guò)程中，難以構(gòu)造成功，于是考慮利用第二種方法，從103部手機(jī)樣本中選擇相同安卓版本的手機(jī)進(jìn)行統(tǒng)計(jì)，計(jì)算和比較各版本下平均取證速度[3]。由于安卓版本存在一些補(bǔ)丁更新，因此這里的安卓版本包括后續(xù)補(bǔ)丁修復(fù)的版本，如安卓5.1.1歸為安卓5.0版本。

表7 不同安卓版本手機(jī)的平均取證速度

從表7可以看出，隨著安卓版本的提高，手機(jī)取證平均速度有較明顯提升，特別是Android 8.0前后變化比較大。然而這種方法存在的不足是，安卓版本越高，手機(jī)性能越好，因此以上結(jié)論的客觀性還有待進(jìn)一步驗(yàn)證[4]。

3.6 碎片文件數(shù)量對(duì)手機(jī)取證速度的影響

本實(shí)驗(yàn)以小米10手機(jī)為樣本，分別構(gòu)造兩組數(shù)據(jù)進(jìn)行對(duì)比。

第一組重點(diǎn)測(cè)試手機(jī)使用數(shù)據(jù)量較小時(shí)，碎片文件數(shù)量對(duì)手機(jī)取證速度的影響。小米10手機(jī)存儲(chǔ)使用總量為3.4GB，在保證系統(tǒng)文件和應(yīng)用文件一致的情況下，分兩次將手機(jī)存儲(chǔ)中放入一個(gè)3.4G的大文件和1028個(gè)小文件進(jìn)行取證測(cè)試，兩次測(cè)試的平均取證速度分別為每秒18.81MB和每秒18.42MB。

表8 第一組測(cè)試結(jié)果

第二組重點(diǎn)測(cè)試手機(jī)使用數(shù)據(jù)量較大時(shí)，碎片文件數(shù)量對(duì)手機(jī)取證速度的影響。同樣是小米10手機(jī)，存儲(chǔ)使用總量為19.5G，在保證系統(tǒng)文件和應(yīng)用文件一致的情況下，分兩次將手機(jī)存儲(chǔ)中放入一個(gè)19.5G的大文件和5784個(gè)小文件進(jìn)行取證測(cè)試，兩次測(cè)試的平均取證速度分別為20.41M和18.34M。

表9 第二組測(cè)試結(jié)果

從兩組的測(cè)試結(jié)果來(lái)看，當(dāng)手機(jī)存儲(chǔ)使用總量較小時(shí)，碎片文件數(shù)量對(duì)手機(jī)取證速度的影響不大。當(dāng)手機(jī)使用數(shù)據(jù)量較大，碎片文件數(shù)量越多，手機(jī)取證速度越慢。

3.7 品牌對(duì)手機(jī)取證速度的影響

通過(guò)對(duì)103部手機(jī)樣本按品牌進(jìn)行測(cè)試，分別計(jì)算出小米、華為、OPPO、VIVO等品牌手機(jī)取證的平均速度，可以發(fā)現(xiàn)，VIVO的提取速度最快，華為、小米和OPPO手機(jī)的速度相當(dāng)[5]。究其原因應(yīng)該是“響尾雀”系統(tǒng)對(duì)各品牌手機(jī)采用的取證方法不同導(dǎo)致。

表10 不同品牌手機(jī)樣本測(cè)試平均速度對(duì)比

4 實(shí)驗(yàn)結(jié)論

最后，我們對(duì)103部手機(jī)樣本的平均速度進(jìn)行了統(tǒng)計(jì)，拓界“響尾雀”極速手機(jī)取證軟件（M6000）取證的平均速度為每秒20.99MB，約為每分鐘1.23GB。從實(shí)驗(yàn)中可以得出以下結(jié)論：

（1）手機(jī)CPU的性能、Android系統(tǒng)版本、手機(jī)存儲(chǔ)中碎片文件數(shù)量等因素對(duì)手機(jī)取證速度有一定影響。

（2）手機(jī)RAM和ROM的大小、USB接口類型對(duì)手機(jī)取證速度的影響并不顯著。

（3）由于不同品牌手機(jī)采用的手機(jī)取證方法不同，導(dǎo)致品牌對(duì)手機(jī)取證速度也存在一定影響，而且這種影響關(guān)系可能會(huì)隨著手機(jī)取證方法的改變而發(fā)生改變。

5 實(shí)驗(yàn)的局限性及說(shuō)明

雖然本次實(shí)驗(yàn)盡可能選用了常見(jiàn)的手機(jī)品牌及型號(hào)，但由于市場(chǎng)手機(jī)品牌型號(hào)眾多，且手機(jī)使用情況也存在差異，因此實(shí)驗(yàn)結(jié)果難免存在一定的局限性。

局限一，手機(jī)數(shù)據(jù)的多樣性導(dǎo)致實(shí)驗(yàn)結(jié)果不能以偏概全。受個(gè)人使用手機(jī)習(xí)慣的影響，手機(jī)數(shù)據(jù)存在多樣性，如數(shù)據(jù)量點(diǎn)手機(jī)存儲(chǔ)空間的比例，非結(jié)構(gòu)化數(shù)據(jù)多少等因素，也將會(huì)對(duì)實(shí)驗(yàn)結(jié)果產(chǎn)生一定影響[6]。為了避免這一點(diǎn)，實(shí)驗(yàn)中去除了手機(jī)數(shù)據(jù)量導(dǎo)致空間有限、手機(jī)被ROOT等非常規(guī)情況，盡可能選用了常見(jiàn)手機(jī)作為實(shí)驗(yàn)樣本。

局限二，手機(jī)測(cè)試的環(huán)境不夠理想導(dǎo)致結(jié)果客觀性受疑。例如USB接口測(cè)試中，無(wú)法區(qū)分出usb2.0還是usb3.0導(dǎo)致測(cè)試結(jié)果存在片面性。再比如對(duì)于CPU、安卓系統(tǒng)版本的測(cè)試中，無(wú)法構(gòu)建出除了測(cè)試因素外其他因素都完全一樣的環(huán)境，從而無(wú)法避免其他因素的影響[7]。因此，本次實(shí)驗(yàn)盡量保持除測(cè)試因素外其他因素的一致性，防止因?yàn)槠渌蛩氐淖兓绊懙浇Y(jié)果。

手機(jī)取證速度是當(dāng)前實(shí)戰(zhàn)案件中關(guān)注的重點(diǎn)，面對(duì)大量的待取證手機(jī)，每位取證人員都想提高取證速度。目前常用的方法就是通過(guò)將一路手機(jī)的提取變?yōu)槎嗦肥謾C(jī)同時(shí)提取，但對(duì)于每一路的速度沒(méi)有其他更好的方法。因此本文從手機(jī)的CPU、RAM、ROM、USB接口、Android版本、文件碎片化以及品牌等七個(gè)因素入手找到影響取證速度的原因，從而為后續(xù)手機(jī)取證方法的選擇提供一定的依據(jù)。

[1]滿超，郭永帥.網(wǎng)絡(luò)犯罪案件中智能手機(jī)取證的應(yīng)用[J].現(xiàn)代信息科技，2020，4（21）：169-170+173.

[2]陳涌濤，管世奇，鄒蜀睿.手機(jī)取證及其應(yīng)用——以職務(wù)犯罪偵查為剖析視角[J].重慶郵電大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2015，27（05）：53-56.

[3]趙亞杰，陳龍.面向手機(jī)取證的細(xì)粒度數(shù)據(jù)完整性檢驗(yàn)方法[J].計(jì)算機(jī)工程與設(shè)計(jì)，2012，33（11）：4091-4094+4148.、

[4]劉剛.國(guó)外刑事移動(dòng)取證元模型技術(shù)研究啟示[J].云南警官學(xué)院學(xué)報(bào)，2020（01）：114-124.

[5]裴洪卿.基于應(yīng)用版本降級(jí)的安卓數(shù)據(jù)提取技術(shù)方法及其規(guī)范性探討[J].信息與電腦（理論版），2020，32（06）：150-153.

[6]麥永浩，張若天.基于ADB調(diào)試的電子數(shù)據(jù)取證技術(shù)及研究[J].警察技術(shù)，2019（06）：57-60.

[7]陳丹.基于Android平臺(tái)的手機(jī)取證技術(shù)[J].信息與電腦（理論版），2019（05）：186-188.