仲利靜， 田雪梅， 龍 源， 廖才軼， 劉 靜， 劉浩田， 盧 亮， 馬紀強， 朱士元

（公安部鑒定中心， 北京 100038）

0 引 言

隨著社會經(jīng)濟和信息技術(shù)的快速發(fā)展，手機中存儲的數(shù)據(jù)呈爆炸性增長，涉及到使用者的衣食住行等各個方面，可記錄使用者的日常行為、通聯(lián)對象、運動軌跡等信息［1］。 因此，對于手機數(shù)據(jù)的提取和分析，在實戰(zhàn)中發(fā)揮著越來越重要的作用，已經(jīng)成為案件偵辦的重要手段。 手機取證工具可針對手機、sim 卡、SD 卡、手機備份文件、手機鏡像等檢材進行取證、分析、導出報告，并可繞過、破解手機屏幕鎖、應用鎖，恢復刪除數(shù)據(jù)。 本文對國內(nèi)不同類型手機取證工具進行了調(diào)研分析，提出手機取證工具存在的問題及面對的挑戰(zhàn)，并對國內(nèi)外產(chǎn)品質(zhì)量評價進行了探討。

1 手機取證工具現(xiàn)狀及需解決的問題

目前國內(nèi)外研發(fā)了多種產(chǎn)品化的手機取證工具， 如 國 外 Cellebrite 的 UFED、 Susteen 的SecureView、Oxgen 的Oxgen Forensic Suite、 Micro Systemation 的XRY 等等。 其中，Cellebrite 公司的UFED Touch［2］，支持獲取手機物理鏡像、邏輯和文件系統(tǒng)；支持對iOS 系統(tǒng)的用戶密碼獲??；支持對BlackBerry?操作系統(tǒng)的解密和解析以及山寨機數(shù)據(jù)提取。 美國Susteen 公司的SecureView4 手機取證包［3］，可支持上千種手機，支持物理提取和邏輯提取，支持時間軸、關(guān)聯(lián)圖、活動統(tǒng)計圖和網(wǎng)絡行為等數(shù)據(jù)分析。 國內(nèi)手機取證工具按照功能和提取檢材對象的不同，大致分為以下類型：反詐手機快速取證工具、手機解鎖取證工具、云取證工具、手機數(shù)據(jù)恢復工具、手機數(shù)據(jù)分析工具、手機綜合取證工具等。

由于廠家技術(shù)優(yōu)勢不同，手機數(shù)據(jù)恢復工具、解鎖工具及數(shù)據(jù)分析工具、云取證等不僅可作為內(nèi)嵌功能模塊組合成產(chǎn)品，也可作為單獨產(chǎn)品。 而隨著各手機廠商對手機數(shù)據(jù)安全保護機制的優(yōu)化、應用程序的升級及新設備以及新環(huán)境的快速發(fā)展，手機取證面臨新的挑戰(zhàn)。 如：密碼鎖／屏幕鎖機制越發(fā)復雜、刪除數(shù)據(jù)恢復率低、小眾APP 取證難、云取證能力不足等問題急需解決。 受各種因素所限，本文僅對國內(nèi)主流手機取證工具進行調(diào)研分析，見表1。

表1 國內(nèi)產(chǎn)品調(diào)研分類Tab.1 Categories of domestic product

1.1 反詐手機快速取證工具

該類產(chǎn)品主要用于對智能手機中指定數(shù)據(jù)進行快速采集，可解決基層采集受害人手機速度慢、操作繁瑣、隱私保護不足的問題。 針對目前電信網(wǎng)絡詐騙高發(fā)，證據(jù)線索獲取難度大的現(xiàn)狀［4］，可從受害人手機入手，實現(xiàn)詐騙人相關(guān)信息的快速提取，并可將數(shù)據(jù)一鍵上傳后臺進行匯聚和分析挖掘。 為后臺的綜合分析研判提供大量標準化數(shù)據(jù)。

產(chǎn)品特點如下：

（1）操作簡便：向?qū)讲僮鳎m合現(xiàn)場基層民警使用；

（2）提取全面：可獲取物證中的短信、聯(lián)系人、通訊錄、聊天記錄、照片、語音、圖片、視頻等數(shù)據(jù)，支持錄屏、截屏方式提取數(shù)據(jù)；

（3）多種提取方式：APP 解析支持二維碼、直連等多種方式提取涉詐APK、IPA 信息，并進行快速靜動態(tài)解析；

（4）隱私保護：可實現(xiàn)“非接觸式采集”，由被采集人選擇被采集數(shù)據(jù)，保護隱私；

（5）可通過選配高拍儀實現(xiàn)拍照固定證據(jù)，并可通過OCR 識別功能錄入手機檢材、證件及支付憑證等信息，支持電子簽名；

（6）可生成標準數(shù)據(jù)包和證據(jù)固定清單。

此類產(chǎn)品雖然提取速度快、操作簡單，但相應提取數(shù)據(jù)的全面性不如實驗室設備，且提取速度依賴網(wǎng)絡環(huán)境。 產(chǎn)品在OCR 識別錄入信息正確率方面，差別較大。

電詐案件發(fā)展至今，詐騙通聯(lián)已由QQ、微信等傳統(tǒng)通聯(lián)工具引流轉(zhuǎn)移到短視頻社交平臺、小眾通聯(lián)APP 上，此類應用程序種類繁多，大多僅支持截屏、錄屏方式提取固定數(shù)據(jù)，面臨提取結(jié)構(gòu)化數(shù)據(jù)難的困境。 目前，APP 存活時間短、變異快、防護高等問題，整體表現(xiàn)出新型引流APP 勘查效率低、無法提取結(jié)構(gòu)化數(shù)據(jù)，涉詐APP 難以分析出真實服務器等問題。 因此，應加強除支付寶、微信、QQ 以外的應用程序數(shù)據(jù)提取能力。

1.2 手機鎖屏密碼解鎖／提權(quán)

手機中的聊天、行程、支付等應用可為案件突破帶來關(guān)鍵性線索，進行手機解鎖及提權(quán)獲取手機取證權(quán)限，對取證有重要意義。 此類產(chǎn)品內(nèi)置多種解鎖及物理／邏輯鏡像提取技術(shù)，具備手機解鎖、提權(quán)及機身數(shù)據(jù)無損鏡像提取固定功能［5］，同時配合專業(yè)化的取證工作站，可以實現(xiàn)多部手機同時提取固定的多任務工作。

目前，廠家破解密碼類型主要針對數(shù)字密碼，小米、三星、vivo 等部分型號可以支持任意密碼移除，而華為鴻蒙2.0 以上、OPPO 較新型號、三星高通芯片組系列、安卓11 及以上系統(tǒng)版本的手機破解難度較大。 安卓手機利用取證工具進行的提權(quán)操作，提權(quán)后的安卓手機可獲取較完整的邏輯鏡像，有利于最大程度獲取和恢復手機數(shù)據(jù)。 由于安卓高版本系統(tǒng)全盤加密原因，且目前主流高通芯片組在常規(guī)情況下破解密碼難度較大，利用取證軟件工具可實現(xiàn)部分破解，新型號和系統(tǒng)版本可能需要拆機拆芯片等操作，因此需要送檢取證實驗室進行破解［6］。 安卓8 以后，手機芯片全盤加密以及安卓系統(tǒng)的安全性不斷提升，鏡像數(shù)據(jù)提取越來越困難，不同品牌型號和系統(tǒng)版本的手機提權(quán)技術(shù)不同，產(chǎn)品普適性較差。 iPhone 手機可以利用臨時越獄等技術(shù)實現(xiàn)對解除屏幕鎖的手機進行提權(quán)，以達到提取常規(guī)備份無法獲取的數(shù)據(jù)。

此類產(chǎn)品解鎖／提權(quán)難度越來越大，迭代后的手機解鎖／提權(quán)成功率低，避開密碼鎖和設備鎖的手機取證方式及更新加密技術(shù)，研究各種芯片取證技術(shù)將是取證工具的發(fā)展趨勢。

1.3 云取證工具

該類產(chǎn)品能夠?qū)⑹謾CAPP 云端的數(shù)據(jù)下載，固定到本地設備。 通過云端備份數(shù)據(jù)固定解析，獲取通訊錄、備忘錄、圖庫、云盤等數(shù)據(jù)；其中包含支付類、銀行類、交通旅行、社交類、購物類、郵件類等，覆蓋“衣食住行游購娛”等各個方面。 可實現(xiàn)云端數(shù)據(jù)提取，支持獲取手機廠商云備份數(shù)據(jù)，其中包括華為、vivo、OPPO、小米等主流手機廠商的產(chǎn)品。

由于電子數(shù)據(jù)規(guī)模大，異構(gòu)數(shù)據(jù)的混合存儲，大量結(jié)構(gòu)化、半結(jié)構(gòu)化、非結(jié)構(gòu)化的數(shù)據(jù)同時存儲在云服務端，增大了取證和分析難度［7］。 另外，在云計算平臺下篡改和刪除的數(shù)據(jù)難以恢復。 云服務提供商為保護用戶和數(shù)據(jù)隱私，會將用戶刪除數(shù)據(jù)及相關(guān)的元數(shù)據(jù)完全刪除，為云取證帶來挑戰(zhàn)。 目前產(chǎn)品差異較大，部分產(chǎn)品在未登錄APP 的情況下無法提取云端數(shù)據(jù)，因此應加強研究云環(huán)境中的電子證據(jù)固定保全、海量取證數(shù)據(jù)分析技術(shù)。

1.4 手機應用程序逆向分析工具

該類產(chǎn)品可在檢測手機或模擬器上完成動靜態(tài)行為檢測，是一種對APP 后臺網(wǎng)絡行為進行實時分析的工具。 可通過多種逆向分析方法對涉詐APP進行取證分析［8］，主要包括Android、iOS 應用安裝包靜態(tài)逆向分析、基于模擬器的動態(tài)逆向分析及基于真實手機的動態(tài)逆向分析技術(shù)、URL／IP 數(shù)據(jù)分析等。 目前，Android、iOS 應用安裝包靜態(tài)逆向分析（APK、IPA 文件）技術(shù)較為成熟，可獲取應用名稱、版本、包名、清單文件、權(quán)限、簽名證書、應用加固類型等信息；動態(tài)逆向分析內(nèi)容主要涵蓋涉案APP 與遠程服務器的網(wǎng)絡交互數(shù)據(jù)，以及應用程序的行為功能代碼審計，其中包括權(quán)限讀取、文件讀寫、進程通信等數(shù)據(jù)。 URL／IP 數(shù)據(jù)分析是手機應用程序逆向分析的衍生取證技術(shù)，應用程序關(guān)聯(lián)遠程服務器，對關(guān)聯(lián)的URL／IP 進行取證分析，可獲取APP 的關(guān)鍵行為數(shù)據(jù)，如嫌疑手機號、郵箱、嫌疑后臺主服務器、第三方可調(diào)證信息等。

由于涉詐APP 往往具有下載不正規(guī)、存活時間短、經(jīng)常更換APP 名稱或更換APP 外殼、使用各種防護措施隱藏真實服務器地址，以及更新迭代快、種類繁多等特點，因此需掌握案件中常見的數(shù)十種有加密加固等技術(shù)防護的APP 應用原理，實現(xiàn)解密還原，抽取源代碼中涉及的手機號、郵箱、URL、IP 等可疑線索。 隨著涉案APP 防護能力不斷提升，模擬器檢測、root 檢測、防抓包等反取證技術(shù)也不斷涌現(xiàn)，需要繼續(xù)探索真機動態(tài)逆向分析技術(shù)，提高取證工具的普適性。

1.5 手機綜合取證工具

該類產(chǎn)品支持可支持批量手機并行取證，可提供手機取證、手機云數(shù)據(jù)取證、手機解鎖、數(shù)據(jù)分析等一站式服務。 集手機屏幕解鎖、鏡像下載、手機數(shù)據(jù)和手機云數(shù)據(jù)提取、刪除恢復、數(shù)據(jù)瀏覽、智能分析、生成報告等功能于一體，可多案件多路手機并行取證，提取數(shù)據(jù)全面、效率高。

由于產(chǎn)品集數(shù)據(jù)提取、解析、恢復、分析、導出報告于一體，因此存在部分產(chǎn)品功能全而不精，嵌入功能模塊取證能力參差不齊，以及數(shù)據(jù)恢復功能受手機數(shù)據(jù)提取方法、是否結(jié)構(gòu)化數(shù)據(jù)恢復、是否恢復出廠設置、機主使用習慣、數(shù)據(jù)是否為云數(shù)據(jù)類型等影響，存在數(shù)據(jù)恢復難的問題。 目前案件涉及的小眾社交軟件，如存在有端對端加密、閱后即焚等功能的軟件，數(shù)據(jù)提取和解析難度較大［9］。

1.6 數(shù)據(jù)分析平臺

該類產(chǎn)品支持電子數(shù)據(jù)深入挖掘和可視化智能分析、智能研判等功能［10］，集人像刻畫、時序分析、經(jīng)濟分析、行為特征、活動軌跡、社會關(guān)系分析、涉案預警、可視化數(shù)據(jù)統(tǒng)計為一體，可對數(shù)據(jù)內(nèi)容進行系統(tǒng)性的整理，通過關(guān)聯(lián)分析、對比碰撞，以圖形及表格、關(guān)系網(wǎng)形式分類展示，形成直觀的可視化圖譜，可為一線用戶取證和研判分析時，擴展線索和提供研判情報。

產(chǎn)品支持與大數(shù)據(jù)平臺聯(lián)動，可對分析對象進行人物刻畫。 可多部檢材進行數(shù)據(jù)分析、關(guān)聯(lián)，聯(lián)動大數(shù)據(jù)平臺查實身份、社會關(guān)系，達到擴展線索和深入研判的目的。 該類產(chǎn)品需要及時對各個廠商提取數(shù)據(jù)包兼容，但在數(shù)據(jù)挖掘、分析模型建立、界面設計、操作便捷性上差別較大，部分產(chǎn)品存在分析模型過于簡單、數(shù)據(jù)挖掘不深、操作復雜等問題，需要進一步改進。

2 手機取證工具質(zhì)量評價

在國內(nèi)外相關(guān)文獻中，已有文獻研究手機取證工具質(zhì)量評價。 如范紅等［11-12］提出了建立數(shù)據(jù)取證設備一致性評價標準體系，對產(chǎn)品的工作環(huán)境、存儲環(huán)境、信號屏蔽、一機兩用等硬件參數(shù)評價；對終端設備的文件信息、各類軟件中的應用信息、用戶信息、數(shù)據(jù)恢復能力等數(shù)據(jù)提取功能評價，以及對各種軟硬件平臺的支持率、數(shù)據(jù)提取速度等性能方面的評價。 美國國家標準和技術(shù)研究所（NIST）［13-17］建立了數(shù)據(jù)取證設備的技術(shù)標準、檢測流程、檢測規(guī)范及檢測用例等標準，如智能手機工具規(guī)范、移動電話法醫(yī)取證指南、數(shù)據(jù)采集工具測試規(guī)范（2004）等。（NIST）“移動設備取證工具測試”項目是計算機取證工具測試（CFTT）［18-20］項目的延伸。 可為用戶更好的選擇、獲取和使用取證工具及更全面的理解所感興趣的工具各方面能力提供了必要的信息，也為制造商改進取證工具提供參考。 NIST 開發(fā)了取證參考數(shù)據(jù)集（CFReDS）［21-22］，給研究者提供了模擬數(shù)字證據(jù)集。 CFReDS 站點是一個鏡像庫，可將數(shù)據(jù)內(nèi)容文檔化。 調(diào)查人員可以通過多種方式使用CFReDS，包括驗證軟件工具、設備檢查、培訓調(diào)查人員、實驗室認證人員能力測試。 CFReDS 從手機品牌型號上此鏡像庫包含Ellipsis 8、HTC 10、Samsung、LG、Apple、Motorola 6 種品牌部分手機型號數(shù)據(jù)集。但隨著手機芯片的加密及操作系統(tǒng)的升級，利用鏡像文件對手機取證工具進行評價適用性受限，近年NIST 也開始用實體手機制備數(shù)據(jù)，對手機取證工具取證能力進行驗證。 印度Veermata Jijabai 技術(shù)學院［23］基于預定的參數(shù)，采用跨設備和測試驅(qū)動的方法對各種商業(yè)和開源移動設備取證工具進行比較分析；艾哈邁德·達赫蘭大學［24］介紹了移動取證工具能力的研究和技術(shù)，對基于LINE 分析的數(shù)字證據(jù)進行了評價，并驗證了3 種取證工具WA Key／DB Extractor、Oxygen Forensics 和Magnet AXIOM 對三星Galaxy S4 和三星A3 上的WhatsApp （WA）應用的數(shù)據(jù)取證能力［25］。 以上文獻所涉及的檢測用例較少，且手機品牌、數(shù)據(jù)類型較少，尤其是缺少Q(mào)Q、微信、支付寶、淘寶、抖音等國內(nèi)常用APP 數(shù)據(jù)，未涉及云取證等新取證方式，未涉及應用程序逆向分析功能、手機分析功能等。

目前國內(nèi)常見產(chǎn)品功能、性能也存在差異性，在界面友好性、操作便捷性、取證能力方面存在差異，部分產(chǎn)品存在可提取應用程序種類較少、數(shù)據(jù)漏提取率高、解析失敗率高、數(shù)據(jù)恢復率低、數(shù)據(jù)分析模型簡單等問題。 用于質(zhì)量評價的測試手機所包含應用程序種類不足、所存數(shù)據(jù)量小，則不能有效評價產(chǎn)品質(zhì)量。 因此，可通過不同廠家型號和同廠家不同型號產(chǎn)品對比研究，確定影響手機取證工具質(zhì)量的關(guān)鍵性功能，并確定影響各個功能模塊質(zhì)量的關(guān)鍵性技術(shù)指標，得出更系統(tǒng)科學的數(shù)據(jù)結(jié)果來指導檢驗檢測方法建立。 產(chǎn)品檢測用手機樣機、標準數(shù)據(jù)的制備、更新及日常管理，對于手機取證能力及產(chǎn)品質(zhì)量科學評價尤為重要，需建立完善的樣本制備及管理程序。 目前手機實體樣機、標準數(shù)據(jù)制備存在的難點主要有以下幾方面：

（1）手機涉及品牌種類、芯片類型、操作系統(tǒng)類型及版本較多，文件系統(tǒng)結(jié)構(gòu)、數(shù)據(jù)存儲方式不同，樣本需合理設計、選擇；

（2）手機更新?lián)Q代較快，手機樣本需要不斷更新，經(jīng)濟成本高；

（3）手機為電子產(chǎn)品，易損壞，需注意日常維護及管理；

（4）應用程序種類繁多（涉及上百種）且版本更新比較快，需及時更新數(shù)據(jù)并記錄。

3 結(jié)束語

本文對國內(nèi)手機取證技術(shù)及工具應用情況、特點優(yōu)勢進行了分類調(diào)研，并對反詐手機快速取證工具、手機鎖屏密碼解鎖／提權(quán)工具、云取證工具、手機應用程序逆向分析工具、手機數(shù)據(jù)提取解析及恢復綜合類取證工具、數(shù)據(jù)分析平臺等主流產(chǎn)品面對的挑戰(zhàn)及需要解決的問題做了詳細的分析，指出避開密碼鎖和設備鎖、更新加密技術(shù)、研究各種芯片取證技術(shù)將是取證工具的研究重點；需加強手機動態(tài)仿真模擬技術(shù)進行APP 網(wǎng)絡流分析，實施抓取應用程序的通訊數(shù)據(jù)，分析應用程序的行為特征，并繼續(xù)探索真機動態(tài)逆向分析技術(shù)，提高取證工具的普適性；需加強研究云環(huán)境中的電子證據(jù)固定保全，取證工具與后端平臺相結(jié)合，利用大數(shù)據(jù)分析進行數(shù)據(jù)深度挖掘，實現(xiàn)案件綜合研判分析；需加強取證工具取證的自動化、智能化水平；取證技術(shù)與物聯(lián)網(wǎng)等技術(shù)相結(jié)合，獲取智能穿戴設備、智能終端等數(shù)據(jù)，對使用者行為特征分析也是未來的研究方向。 本文還對手機取證工具質(zhì)量評價難點進行了分析，僅為本領域研究工作提供參考。