手機(jī)偵查取證策略研究

王 冠 宋滌非

（1.遼寧警察學(xué)院 遼寧 116036；2.大連市公安局 遼寧 116000）

0 引言

隨著科學(xué)技術(shù)的不斷進(jìn)步和人們生活水平的不斷提高，手機(jī)已經(jīng)成為普通老百姓日常生活必不可少的通信工具。根據(jù)中華人民共和國工業(yè)和信息化部的數(shù)據(jù)，截至2013年1月，中國的移動(dòng)電話用戶總數(shù)已經(jīng)突破11億戶?？梢哉f，手機(jī)與人們的生活密不可分。與此同時(shí)，近年來利用手機(jī)和手機(jī)網(wǎng)絡(luò)作為載體和工具進(jìn)行犯罪的相關(guān)案件逐年增多。在各種案件的偵查過程中，通過手機(jī)獲取線索的情況越來越多，手機(jī)數(shù)據(jù)證據(jù)對(duì)案件的偵破也越來越重要。因此，從手機(jī)和手機(jī)相關(guān)業(yè)務(wù)中獲取線索成為當(dāng)前案件偵破過程中不可忽視的環(huán)節(jié)。

然而，由于很多案件的案情復(fù)雜，不定因素眾多，手機(jī)數(shù)據(jù)證據(jù)并不是在每個(gè)案件中都具備明顯地作用。在此情況下，手機(jī)取證是否需要進(jìn)行，怎樣進(jìn)行更加有效，成為涉案手機(jī)偵查中研究的重點(diǎn)，因此，構(gòu)建一個(gè)科學(xué)的手機(jī)偵查取證策略是非常有必要的。

1 手機(jī)取證對(duì)象介紹

1.1 手機(jī)存儲(chǔ)數(shù)據(jù)

在案件偵查過程中，手機(jī)取證其主旨就是從手機(jī)或手機(jī)相關(guān)設(shè)備中獲取對(duì)案件偵查有用的電子數(shù)據(jù)，作為案件偵查的線索或證據(jù)。隨著手機(jī)的智能化，大部分的手機(jī)都具備上網(wǎng)功能，手機(jī)相關(guān)業(yè)務(wù)和應(yīng)用功能的不斷增多，使得手機(jī)中能對(duì)案件偵查提供幫助的數(shù)據(jù)范圍也在不斷擴(kuò)大。因此，手機(jī)取證在當(dāng)前已經(jīng)成為案件偵查的一個(gè)重點(diǎn)，甚至關(guān)鍵點(diǎn)。為了明確提取和分析哪些手機(jī)數(shù)據(jù)證據(jù)會(huì)對(duì)案件有所幫助，首先要了解手機(jī)中存儲(chǔ)的數(shù)據(jù)。

（1）手機(jī)通用功能信息

電話簿，用于存放聯(lián)系人的姓名、電話號(hào)碼等相關(guān)聯(lián)系信息。電話簿通常由手機(jī)自身存儲(chǔ)電話簿和SIM卡存儲(chǔ)電話簿兩個(gè)部分組成，包括已刪除電話簿的數(shù)據(jù)恢復(fù)，是當(dāng)前手機(jī)取證中重要的取證對(duì)象；

通話記錄，存儲(chǔ)本機(jī)呼出、呼入及未接等所有相關(guān)通話記錄，包括已刪除通話記錄的數(shù)據(jù)恢復(fù)，是當(dāng)前手機(jī)取證中重要的取證對(duì)象；

短信及彩信，已發(fā)送、已接收、已刪除及草稿箱的短信及彩信，包括已刪除信息的數(shù)據(jù)恢復(fù)，這些信息往往成為發(fā)現(xiàn)線索、證明事實(shí)的重要依據(jù)；錄音、視頻及圖片文件；日程表、記事本中存儲(chǔ)的文本信息；其它手機(jī)內(nèi)部存儲(chǔ)的各種類型文件。

（2）常用應(yīng)用軟件信息：GPS地圖導(dǎo)航信息，明確具體地理位置信息；通訊軟件（如郵件、QQ、飛信、微博等）應(yīng)用記錄，包括登錄賬號(hào)密碼，聊天內(nèi)容等；上網(wǎng)記錄，能夠記錄手機(jī)的上網(wǎng)時(shí)間、訪問網(wǎng)址、以及登錄網(wǎng)站緩存文件等相關(guān)信息；連接w ifi的賬號(hào)和密碼；藍(lán)牙對(duì)接信息和傳輸文件信息。

（3）手機(jī)基本信息、設(shè)備信息，包括手機(jī)和SIM卡中的基本數(shù)據(jù)、各種程序運(yùn)行時(shí)產(chǎn)生的緩存文件、數(shù)據(jù)庫信息以及設(shè)備相關(guān)軟件和硬件標(biāo)識(shí)等；

（4）應(yīng)用服務(wù)在網(wǎng)絡(luò)運(yùn)營商服務(wù)器中產(chǎn)生的信息，包括用戶身份識(shí)別信息、基站位置信息和詳細(xì)通話記錄等重要證據(jù)信息。

1.2 手機(jī)數(shù)據(jù)存儲(chǔ)位置

在手機(jī)取證偵查過程中，必須明確該案件涉及到的手機(jī)證據(jù)可能存在于什么位置。通常手機(jī)數(shù)據(jù)存儲(chǔ)于三種存儲(chǔ)位置：

（1）手機(jī)內(nèi)部存儲(chǔ)設(shè)備：內(nèi)部存儲(chǔ)設(shè)備通常包括SIM卡、ROM存儲(chǔ)、RAM存儲(chǔ)和閃存，其中SIM卡是網(wǎng)絡(luò)運(yùn)營商為區(qū)分不同用戶而為每一位用戶建立的個(gè)人身份識(shí)別模塊，主要用途是存儲(chǔ)國際移動(dòng)臺(tái)識(shí)別碼（用于識(shí)別手機(jī)用戶的電話號(hào)碼和計(jì)費(fèi)賬號(hào)）以及通話過程中的加密運(yùn)算等，也能存儲(chǔ)少量的信息如電話簿、短信及通話記錄等。此外，SIM卡中還存有移動(dòng)網(wǎng)絡(luò)更新數(shù)據(jù)和位置識(shí)別號(hào)；ROM存儲(chǔ)操作系統(tǒng)引導(dǎo)映像及各種配置數(shù)據(jù)；RAM主要存儲(chǔ)執(zhí)行操作系統(tǒng)指令和應(yīng)用程序產(chǎn)生的臨時(shí)數(shù)據(jù)；閃存中主要存放安裝于系統(tǒng)中的程序文件以及網(wǎng)絡(luò)或程序產(chǎn)生的數(shù)據(jù)。

（2）手機(jī)外部存儲(chǔ)設(shè)備：外部存儲(chǔ)主要是指各種類型的擴(kuò)展卡，用于滿足用戶對(duì)手機(jī)功能和存儲(chǔ)空間的個(gè)性化需求。另外，與手機(jī)進(jìn)行同步的個(gè)人計(jì)算機(jī)也可以歸類為一種手機(jī)外部存儲(chǔ)設(shè)備。

（3）手機(jī)網(wǎng)絡(luò)運(yùn)營商：在網(wǎng)絡(luò)運(yùn)營商的基站系統(tǒng)和網(wǎng)絡(luò)交換系統(tǒng)中可以獲取用戶和手機(jī)相關(guān)識(shí)別信息、通訊信息以及位置信息等。

2 手機(jī)數(shù)據(jù)證據(jù)類型分析

在案件偵查過程中，不同的線索或證據(jù)會(huì)起到不同的作用，手機(jī)中存在的電子數(shù)據(jù)證據(jù)也不例外。從手機(jī)中提取到的不同類型的電子數(shù)據(jù)證據(jù)往往可以證實(shí)一個(gè)人的身份或在事件中扮演的角色、獲取重要事件的時(shí)間和物理位置信息、確定事件的動(dòng)機(jī)或手段、描述事件的過程等?，F(xiàn)將手機(jī)中各種數(shù)據(jù)可以推斷的證據(jù)類型總結(jié)如下：

（1）身份證據(jù)，可用以確定嫌犯身份特征的相關(guān)證據(jù)。如手機(jī)號(hào)、手機(jī)設(shè)備標(biāo)識(shí)碼、使用軟件登錄賬戶和手機(jī)持有人身份證號(hào)等。

（2）位置證據(jù)，可用于判斷手機(jī)持有者位置的相關(guān)證據(jù)。如所處基站位置變換信息、通話和收發(fā)短信時(shí)所處基站位置信息和GPS應(yīng)用程序定位地址信息等。該證據(jù)往往需要和時(shí)間證據(jù)結(jié)合判定什么時(shí)間點(diǎn)位于什么地方。

（3）時(shí)間證據(jù)，可用于推斷事件發(fā)生時(shí)間的相關(guān)證據(jù)。如通話時(shí)間、短信收發(fā)時(shí)間、上網(wǎng)時(shí)間和基站變換時(shí)間等。時(shí)間證據(jù)通常并不是獨(dú)立存在的，需要結(jié)合位置證據(jù)、事件證據(jù)等明確具體事件內(nèi)容。

（4）事件證據(jù)，可提供一個(gè)事件具體的描述或性質(zhì)的相關(guān)證據(jù)，如通話記錄、上網(wǎng)記錄、發(fā)信內(nèi)容或網(wǎng)絡(luò)通訊軟件聊天內(nèi)容等。事件證據(jù)往往是手機(jī)取證中最重要的內(nèi)容，所有涉案證據(jù)內(nèi)容中最主要的部分就是明確事件證據(jù)。

（5）動(dòng)機(jī)證據(jù)，用于推斷一個(gè)行為動(dòng)機(jī)的相關(guān)證據(jù)。如，發(fā)送違法信息、傳播手機(jī)病毒、騷擾電話或詐騙短信等。動(dòng)機(jī)證據(jù)往往需要從具體的事件證據(jù)中進(jìn)行提煉和挖掘，即通過收集相關(guān)事件證據(jù)推斷嫌犯的犯罪動(dòng)機(jī)。

（6）手段證據(jù)，用于確定犯罪所采用的具體手段證據(jù)，如詐騙類案件中短信內(nèi)容或上網(wǎng)聊天記錄等內(nèi)容，可確定嫌犯所采用的詐騙手段。該證據(jù)往往需要從事件證據(jù)中進(jìn)行挖掘。

在上述六種證據(jù)類型中，身份證據(jù)通常是獨(dú)立存在的，用以將網(wǎng)絡(luò)虛擬身份和真實(shí)身份綁定。位置證據(jù)和時(shí)間證據(jù)相結(jié)合用以明確對(duì)應(yīng)的位置信息。事件證據(jù)往往需要時(shí)間證據(jù)的支撐。而動(dòng)機(jī)證據(jù)和手段證據(jù)均為事件證據(jù)的引申與推斷，所以也可以把兩者看作事件證據(jù)的附屬證據(jù)。幾乎所有從手機(jī)中獲取的數(shù)據(jù)都可以歸納為上述幾種證據(jù)類型，明確手機(jī)證據(jù)的具體證據(jù)類型可以更有效的取證和完善偵查策略。

3 手機(jī)偵查取證策略

3.1 手機(jī)取證策略分析

手機(jī)取證策略通常分為主動(dòng)偵查取證策略和被動(dòng)偵查取證策略。主動(dòng)偵查往往在控制嫌犯手機(jī)之前，通過技術(shù)監(jiān)聽手段從移動(dòng)網(wǎng)絡(luò)運(yùn)營商處拿到有價(jià)值的證據(jù)，屬于一種秘密偵查手段。因此，主動(dòng)偵查策略的執(zhí)行需要嚴(yán)格的審批程序，用于在重大案件中對(duì)嫌犯的動(dòng)向和有價(jià)值線索的掌握。被動(dòng)偵查策略是在控制嫌犯手機(jī)以后，通過合理的手機(jī)取證流程來獲取各種手機(jī)內(nèi)的證據(jù)，在被動(dòng)偵查取證過程中，往往也需要配合調(diào)查手機(jī)在移動(dòng)網(wǎng)絡(luò)運(yùn)營商處的一些信息，但被動(dòng)偵查所需的證據(jù)內(nèi)容往往更有目的性而且也更加全面。所以主動(dòng)偵查和被動(dòng)偵查兩者間的主要區(qū)別在于控制嫌犯手機(jī)這一時(shí)間點(diǎn)的前后，主動(dòng)偵查偏向與案情線索的收集，而被動(dòng)偵查側(cè)重于犯罪證據(jù)的獲取。

下面對(duì)各種不同類型案件中使用手機(jī)偵查策略進(jìn)行分析，目前牽涉到手機(jī)的犯罪行為主要有：

（1）手機(jī)被用來充當(dāng)嫌犯通信聯(lián)絡(luò)工具。此類案件可以采取主動(dòng)偵查取證策略，在前期布控嫌犯所用手機(jī)，獲取有價(jià)值證據(jù)。

（2）利用手機(jī)存儲(chǔ)犯罪證據(jù)，如視頻、照片、短信等文檔信息。此類案件往往采用被動(dòng)偵查策略。

（3）利用手機(jī)詐騙，如電信詐騙、短信詐騙等。這類案件的發(fā)生通常需要對(duì)涉案人員手機(jī)進(jìn)行被動(dòng)偵查取證。

（4）利用手機(jī)網(wǎng)絡(luò)功能進(jìn)行犯罪，如傳播反動(dòng)信息、淫穢色情信息、網(wǎng)絡(luò)病毒等，此類案件一般采用被動(dòng)偵查取證。

此外，當(dāng)發(fā)生重大刑事案件時(shí)，如殺人毀尸案等，對(duì)現(xiàn)場(chǎng)遺留的被害人手機(jī)進(jìn)行被動(dòng)偵查取證，往往可以明確被害人身份等有價(jià)值線索。

3.2 手機(jī)主動(dòng)偵查策略構(gòu)建

3.2.1 策略構(gòu)建

主動(dòng)偵查一般是在案件發(fā)生之前或案件正在發(fā)生過程中，經(jīng)過研判明確手機(jī)證據(jù)對(duì)案件偵查會(huì)起到絕對(duì)作用的前提下進(jìn)行。在執(zhí)行前必須進(jìn)行調(diào)查申請(qǐng)，一個(gè)嚴(yán)格的審批程序是手機(jī)主動(dòng)偵查順利實(shí)現(xiàn)的保障。一般將主動(dòng)偵查分為三個(gè)階段：調(diào)查申請(qǐng)階段、調(diào)查階段和調(diào)查結(jié)果分析階段。

調(diào)查申請(qǐng)階段主要包括向上級(jí)部門申請(qǐng)對(duì)涉案人員手機(jī)主動(dòng)調(diào)查的許可，以及完成與移動(dòng)網(wǎng)絡(luò)運(yùn)營商的溝通工作。

調(diào)查階段是在移動(dòng)網(wǎng)絡(luò)運(yùn)營商的配合下，對(duì)相關(guān)證據(jù)進(jìn)行提取。通常包括通話記錄內(nèi)容、短信記錄內(nèi)容、上網(wǎng)記錄內(nèi)容等個(gè)人數(shù)據(jù)以及手機(jī)通訊和所處基站位置的實(shí)時(shí)監(jiān)聽，此外，隨著監(jiān)控技術(shù)的發(fā)展，可以嘗試遠(yuǎn)程獲取手機(jī)內(nèi)部存儲(chǔ)文件，并通過激活手機(jī)麥克風(fēng)、攝像頭等設(shè)備進(jìn)行手機(jī)現(xiàn)場(chǎng)的語音和視頻證據(jù)收集，也可通過手機(jī)自帶的GPS導(dǎo)航程序獲取手機(jī)具體位置信息等。

調(diào)查結(jié)果分析階段是將得到的證據(jù)進(jìn)行整理分析和調(diào)查回顧，通過證據(jù)分析得出案件相關(guān)線索，并做出下一步的行動(dòng)計(jì)劃。

3.2.2 證據(jù)類型分析

在主動(dòng)偵查中，可以通過手機(jī)移動(dòng)運(yùn)營商處登記手機(jī)用戶對(duì)應(yīng)身份信息和手機(jī)通信記錄中對(duì)應(yīng)的電話身份信息，明確嫌犯及其聯(lián)系對(duì)象的具體身份。此種數(shù)據(jù)類型構(gòu)成身份證據(jù)。通過手機(jī)移動(dòng)運(yùn)營商處得到手機(jī)所處基站信息、地址轉(zhuǎn)換信息或通過遠(yuǎn)程激活嫌犯手機(jī)GPS獲得詳細(xì)地圖信息，可以明確嫌犯的實(shí)時(shí)位置數(shù)據(jù)，此種數(shù)據(jù)類型構(gòu)成位置證據(jù)。嫌犯的通話記錄、短信記錄和上網(wǎng)記錄等與網(wǎng)絡(luò)交互行為，均會(huì)在手機(jī)移動(dòng)運(yùn)營商數(shù)據(jù)庫中留有時(shí)間戳，此類數(shù)據(jù)類型可以構(gòu)成時(shí)間證據(jù)。嫌犯使用手機(jī)產(chǎn)生的具體通話，短信、上網(wǎng)操作內(nèi)容或遠(yuǎn)程激活手機(jī)麥克風(fēng)攝像頭功能獲取的數(shù)據(jù)，這些都可以構(gòu)建出與案件相關(guān)的事件證據(jù)、動(dòng)機(jī)證據(jù)和手段證據(jù)。

3.3 手機(jī)被動(dòng)偵查策略構(gòu)建

3.3.1 策略構(gòu)建

手機(jī)被動(dòng)偵查是在嫌犯手機(jī)被控制之后進(jìn)行，和其它電子數(shù)據(jù)證據(jù)獲取方式基本一致，但在整個(gè)過程中仍有很多應(yīng)該注意的環(huán)節(jié)，該過程主要分為以下幾個(gè)階段：

（1）準(zhǔn)備階段：主要包括了解犯罪的目的和動(dòng)機(jī)；成立取證小組；準(zhǔn)備手機(jī)取證工具

（2）物證獲取階段：此階段的主要任務(wù)是保護(hù)現(xiàn)場(chǎng)證據(jù)和物證的完整存儲(chǔ)。物證獲取階段大致有如下三個(gè)部分：

記錄現(xiàn)場(chǎng)：記錄犯罪現(xiàn)場(chǎng)的原始狀態(tài)，對(duì)準(zhǔn)確記錄所有的可疑證據(jù)。

搜集物證：對(duì)可疑手機(jī)及其相關(guān)設(shè)備（如：手機(jī)SIM卡、藍(lán)牙、外置存儲(chǔ)卡等）進(jìn)行搜集。

存儲(chǔ)物證：從發(fā)現(xiàn)物證開始，應(yīng)屏蔽手機(jī)信號(hào)，防止與外界通信，不能對(duì)物證的原始狀態(tài)及其數(shù)據(jù)有任何的改動(dòng)，防止破壞手機(jī)數(shù)據(jù)證據(jù)的完整性。

（3）證據(jù)提取階段：是從手機(jī)及其相關(guān)設(shè)備中提取電子數(shù)據(jù)證據(jù)信息的過程，該過程主要有：

確定手機(jī)型號(hào)：由于手機(jī)型號(hào)的不同，提取證據(jù)的工具也不相同。因此，首先必須弄清手機(jī)的品牌、型號(hào)及網(wǎng)絡(luò)供應(yīng)商等相關(guān)信息。在此過程中，一定要避免對(duì)手機(jī)原始數(shù)據(jù)造成更改。

選擇證據(jù)提取方法：確定手機(jī)型號(hào)后，就選擇相應(yīng)的證據(jù)提取工具和方法，同時(shí)，為了最大限度的提取證據(jù)，在取證中，可以采用多種取證工具和方法相結(jié)合的方式對(duì)手機(jī)及其相關(guān)設(shè)備進(jìn)行證據(jù)的提取。

提取證據(jù)：確定好適當(dāng)?shù)娜∽C工具和方法后，就可以通過取證步驟開始進(jìn)行證據(jù)的提取。這里強(qiáng)調(diào)應(yīng)該先提取手機(jī)易失性證據(jù)部分，即如果手機(jī)斷電關(guān)機(jī)后就會(huì)丟失的，存儲(chǔ)于內(nèi)存中的程序數(shù)據(jù)和手機(jī)運(yùn)行狀態(tài)等。

（4）證據(jù)分析階段：是對(duì)所有提取出的潛在電子證據(jù)進(jìn)行分析，試圖找出有用的線索或證據(jù)。對(duì)手機(jī)證據(jù)分析時(shí)，可以從以下幾點(diǎn)進(jìn)行：

①對(duì)個(gè)人信息如通訊錄、短信、備忘錄等文本信息，圖片、音頻、視頻文件和網(wǎng)絡(luò)記錄等常用信息進(jìn)行詳細(xì)分析；

②對(duì)手機(jī)內(nèi)存、閃存卡、SIM 卡等存儲(chǔ)介質(zhì)進(jìn)行證據(jù)分析；

③從移動(dòng)運(yùn)營商處獲取證據(jù)并分析。

（5）證據(jù)提交階段：在對(duì)證據(jù)進(jìn)行分析后，應(yīng)出具完整的分析報(bào)告。將電子數(shù)據(jù)證據(jù)以可接受的書證形式提供給法庭，作為對(duì)違法犯罪進(jìn)行認(rèn)定的證據(jù)的一部分。

3.3.2 證據(jù)類型分析

在被動(dòng)偵查中，嫌犯的身份證據(jù)往往可以通過SIM卡配合手機(jī)移動(dòng)運(yùn)營商處登記數(shù)據(jù)來獲取，同時(shí)嫌犯所有聯(lián)系人的身份證據(jù)也可以通過本機(jī)所存電話簿配合手機(jī)移動(dòng)運(yùn)營商處數(shù)據(jù)庫進(jìn)行匹配。嫌犯所處位置證據(jù)往往需要通過回顧手機(jī)移動(dòng)運(yùn)營商處對(duì)應(yīng)基站信息進(jìn)行匹配。此外，本機(jī)自帶的GPS程序的地圖信息中往往也可能存在嫌犯曾經(jīng)去過的具體位置，同樣構(gòu)成位置證據(jù)。手機(jī)中每一個(gè)通話、信息、上網(wǎng)操作記錄等都有對(duì)應(yīng)的時(shí)間戳信息，結(jié)合手機(jī)移動(dòng)運(yùn)營商處數(shù)據(jù)庫匹配信息，可以明確各個(gè)事件的時(shí)間信息，構(gòu)成時(shí)間證據(jù)。嫌犯手機(jī)中具體的通話記錄，短信內(nèi)容，上網(wǎng)內(nèi)容可以歸納出案件相關(guān)內(nèi)容，歸類為事件證據(jù)，動(dòng)機(jī)證據(jù)和手段證據(jù)。

4 總結(jié)

本文通過分析手機(jī)數(shù)據(jù)證據(jù)類型，提出了手機(jī)主動(dòng)偵查與被動(dòng)偵查兩種取證策略的構(gòu)建。由以上分析看出，主動(dòng)偵查相對(duì)被動(dòng)偵查在獲取證據(jù)時(shí)間上有較大優(yōu)勢(shì)，為案件偵破獲取先機(jī)。但是由于監(jiān)聽技術(shù)和監(jiān)控途徑受限，主動(dòng)偵查獲取數(shù)據(jù)證據(jù)內(nèi)容并不全面。因此，在實(shí)戰(zhàn)中，應(yīng)根據(jù)不同案件的特點(diǎn)，選擇合適的手機(jī)偵查取證方式，或?qū)煞N偵查策略相結(jié)合，為案件偵查提供更好的幫助。

[1]M ylonas A，M eletiadis V，Tsoumas B，et al.SmartphoneForensics：A Proactive Investigation Scheme for Evidence Acquisition[M].Information Security and Privacy Research.Springer Berlin Heidelberg.2012.

[2]S.H.Mohtasebi and A.Dehghantanha.Towards a Unified Forensic Investigation Framework of Smartphones.International Journal of Computer Theory and Engineering[J].2013.

[3]戴吉明.手機(jī)取證及其電子證據(jù)獲取研究[J].計(jì)算機(jī)與現(xiàn)代化.2007.

[4]陳德俊，丁紅軍.手機(jī)取證研究概述[J].法庭科學(xué).2012.

[5]張明旺.手機(jī)取證調(diào)查模型研究[J].計(jì)算機(jī)工程應(yīng)用技術(shù).2012.

[6]許昱.手機(jī)取證若干問題研究[D].中國政法大學(xué).2008.