手機取證及其應(yīng)用
——以職務(wù)犯罪偵查為剖析視角*

陳涌濤，管世奇，鄒蜀睿

手機取證及其應(yīng)用
——以職務(wù)犯罪偵查為剖析視角*

陳涌濤，管世奇，鄒蜀睿

（重慶市江北區(qū)人民檢察院，重慶400025）

隨著移動通信技術(shù)的發(fā)展和應(yīng)用的推廣，手機犯罪成為了新的犯罪趨勢，手機取證成為打擊犯罪的有效手段，在職務(wù)犯罪偵查中發(fā)揮著重要作用。當(dāng)前，手機取證技術(shù)還不成熟，因電子數(shù)據(jù)的不穩(wěn)定性和手機系統(tǒng)軟件的特殊性，手機取證在設(shè)備配置、軟件升級、取證標(biāo)準(zhǔn)、規(guī)范，以及技術(shù)人員培養(yǎng)等方面還面臨著嚴峻挑戰(zhàn)。應(yīng)對挑戰(zhàn)，應(yīng)當(dāng)以云技術(shù)為基礎(chǔ)，在全國范圍建立手機取證數(shù)據(jù)的統(tǒng)一管理平臺，設(shè)定取證標(biāo)準(zhǔn)、規(guī)范，建立有效的機制培養(yǎng)專業(yè)取證人才，最終全面提高取證能力。

手機取證；職務(wù)犯罪；應(yīng)用

2012年3月14日通過的新刑事訴訟法正式將“電子數(shù)據(jù)”規(guī)定為法定證據(jù)種類之一，電子證據(jù)在刑事訴訟中取得了合法地位［1］。手機作為人們生活中越來越不可缺少的電子產(chǎn)品，其功能也從簡單的語音通話發(fā)展到如今集通話、娛樂、存儲、聊天、辦公等為一體［2］。手機因其便攜性、功能強大等特點成為實施犯罪活動的重要工具，這就讓手機取證成為司法工作中打擊犯罪的有效手段［3］，同時成為電子證據(jù)研究的重要方向之一［4-5］。

一、手機取證證據(jù)來源

手機取證是數(shù)字取證的一種，是指在健全的取證環(huán)境中，使用恰當(dāng)?shù)姆椒◤氖謾C及相關(guān)設(shè)備中恢復(fù)數(shù)字證據(jù)的科學(xué)［6］。根據(jù)數(shù)據(jù)在手機中的存儲位置，手機取證證據(jù)來源主要為：SIM卡、手機內(nèi)存、手機外置存儲卡、移動運營商。

（一）SIM卡

SIM（subscriber identity model）卡即用戶身份識別卡。從SIM卡中可獲取用戶的入網(wǎng)信息，如IMEI、秘鑰、PIN碼以及客戶姓名及身份證號碼等。同時，SIM卡也自帶一定容量的存儲空間，其大小主要有16K、32K、64K三種，從中也可獲取用戶存儲在其中的部分短信和通訊錄等數(shù)據(jù)。

（二）手機內(nèi)存

手機出產(chǎn)時自帶的存儲空間，是手機取證的重要證據(jù)來源之一。主要存儲了手機操作系統(tǒng)信息：操作日志、上網(wǎng)記錄、基本設(shè)置等；手機短信接受與發(fā)送記錄及內(nèi)容；通話記錄；通訊錄以及語音拍照等相關(guān)數(shù)據(jù)。通過相關(guān)技術(shù)，還可將刪除的信息恢復(fù)，從而獲取重要證據(jù)。

（三）手機外置存儲卡

目前，市面上除部分定制機及特殊機型（如蘋果）外，都能通過外插存儲卡的形式擴展手機本身的內(nèi)存，從而獲得大容量的存儲空間，滿足人們的各種需求。在外置內(nèi)存卡中，用戶主要用來存儲電子文檔、各種音頻視頻文件、備份手機重要數(shù)據(jù)以及安裝必要的應(yīng)用程序等。

（四）移動運營商

從移動運營商處，可以獲得用戶身份信息、通話記錄清單、短信記錄、繳費記錄等歷史數(shù)據(jù)。并通過基站信息分析獲取用戶的行為軌跡，從而實現(xiàn)實時定位以及犯罪痕跡。

二、手機取證原則

電子證據(jù)是在高科技不斷發(fā)展和現(xiàn)實社會的多元化格局下，新刑事訴訟法確定的新的證據(jù)類型。相對于傳統(tǒng)證據(jù)的取證，在電子取證的過程中需要利用相關(guān)的科學(xué)技術(shù)方法，整個過程必須在法律的條件下進行，遵循一定的取證原則。手機取證作為電子取證中的一種具體形式，同樣應(yīng)遵循這些原則。

（一）合法取證原則

這是取證過程的基本原則。第一，取證使用的技術(shù)必須是合法的，對電子數(shù)據(jù)進行取證時，不能改變原始數(shù)據(jù)；第二，需進行電子取證的物件，必須是合法的；第三，取證程序合法。電子取證必須嚴格按照法律要求執(zhí)行，并由獲得相應(yīng)司法鑒定資格的人員操作，任何與案件相關(guān)的人員不得參與。

（二）及時取證原則

電子數(shù)據(jù)具有易修改、易刪除的特點，手機中的數(shù)據(jù)會隨著時間發(fā)生變化。短信的收發(fā)、往來通話記錄、手機系統(tǒng)產(chǎn)生的進程信息等新生成的數(shù)據(jù)會覆蓋歷史數(shù)據(jù)從而導(dǎo)致刪除數(shù)據(jù)無法恢復(fù)。

（三）全面取證原則

取證時應(yīng)盡量保證數(shù)據(jù)的完整性，對手機包含SIM卡、內(nèi)存、外存儲卡等存有電子數(shù)據(jù)的軟硬件設(shè)備都應(yīng)進行取證分析。

（四）無損取證原則

該原則要求保證數(shù)據(jù)的原始性、真實性，在取證時要求保證手機處于一開始的狀態(tài)，不隨意開關(guān)機，并保證手機處于信號屏蔽的環(huán)境中，防止修改手機日志，破壞手機內(nèi)的數(shù)據(jù)。

三、手機取證在具體案例中的應(yīng)用及挑戰(zhàn)

（一）手機取證的具體應(yīng)用

2012年底，本著科技強檢、提高檢察工作科技含量的目的，重慶市某區(qū)人民檢察院裝備手機取證、話單分析等辦案軟件運用于案件偵查中。在具體運用過程中，手機取證軟件能成功獲取手機SIM卡、存儲卡中的信息并對刪除的通話記錄、短信等能有效恢復(fù)，為案件突破提供了新途徑，成為打擊犯罪分子的重要工具。

案例一：在2013年辦理征地拆遷中存在的貪污、行受賄的專案中，隨著案件的進展，數(shù)名嫌疑人被陸續(xù)鎖定。通過運用專業(yè)的手機取證軟件對每位嫌疑人的手機進行分析取證，技術(shù)人員從其中一嫌疑人手機中恢復(fù)出大量的QQ聊天記錄，在對每條QQ聊天記錄進行分析篩選后發(fā)現(xiàn)其中有涉及其生活中不為人知的隱私。這些聊天記錄的獲取成為案件前期初查工作中該嫌疑人行為異常的有力證據(jù)及打開犯罪事實的重要突破口。

案例二：在2014年辦理市教委一受賄案件中，面對辦案人員的審訊，犯罪嫌疑人心存僥幸，百般狡辯，多次改變自己的供述，聲稱自己沒有任何問題。然而在對其手機分析后，在手機存儲卡中恢復(fù)發(fā)現(xiàn)其與其他女性的隱秘生活照片。面對鐵的證據(jù)，犯罪嫌疑人只能低下頭，承認其與多名女性的不正常關(guān)系以及在工作中多次收受他人錢財?shù)姆缸锸聦崱?/p>

（二）手機取證在應(yīng)用中面臨的挑戰(zhàn)

手機取證軟件在職務(wù)犯罪案件中的大量運用展現(xiàn)了其在密碼破解、數(shù)據(jù)恢復(fù)、手機鏡像獲取、關(guān)聯(lián)分析等方面的強大功能，為案件的辦理提供了直接幫助，然而在具體的應(yīng)用過程中，也發(fā)現(xiàn)一些亟需解決的問題。

1．電子數(shù)據(jù)的特殊特性與職務(wù)犯罪案件特點之間的矛盾

智能手機作為人們?nèi)粘９ぷ魃畹臄?shù)字助理，人們開始習(xí)慣于將各種信息數(shù)據(jù)存儲于智能手機中，如聯(lián)系人基本信息、通信記錄、聊天記錄、照片、視頻等。這些內(nèi)容都以電子數(shù)據(jù)類型保存下來，同樣也具有了電子數(shù)據(jù)表現(xiàn)形式多樣、依賴介質(zhì)、易破壞、易修改、易刪除等特點。然而，職務(wù)犯罪案件調(diào)查往往是在犯罪事實發(fā)生后的幾個月、幾年甚至十幾年后才進行，很難在犯罪事實發(fā)生的第一時間取得調(diào)查對象的手機，通常只能在嫌疑人接受調(diào)查時獲取嫌疑人手機。職務(wù)犯罪案件的這一特點，使得在辦理這類案件時，犯罪分子有充分的時間處理手機中相關(guān)的犯罪證據(jù)，如更換手機或刪除并覆蓋手機中有關(guān)犯罪的線索。

2．手機系統(tǒng)軟件保護用戶隱私和手機取證軟件破解用戶隱私之間的矛盾

隨著手機的發(fā)展，手機日益智能化，功能更強大，手機不僅僅是一個通訊工具，大容量的存儲空間、強大的拍照功能、高性能的處理器等讓手機逐漸變成了集存儲、娛樂、辦公為一體的智能工具。尤其是各大銀行推出手機銀行功能以及以阿里巴巴為代表的互聯(lián)網(wǎng)公司推出手機余額寶，使手機成為繼電腦之后又一新的金融理財平臺。新功能的不斷出現(xiàn)，也對手機系統(tǒng)的安全性提出了更高的要求。人們通過不斷升級手機系統(tǒng)，或是安裝第三方的保護軟件來保護手機的正常使用。而使用手機取證軟件的目的就是為了破除手機密碼保護、獲取手機權(quán)限、提取QQ、微信等聊天軟件內(nèi)的加密信息以及恢復(fù)刪除數(shù)據(jù)等，從而獲取與案件相關(guān)的信息，為突破案件以及固定犯罪事實提供依據(jù)和證據(jù)。但在實際的運用中，手機取證軟件在手機密碼破解和手機權(quán)限獲取方面的功能往往跟不上手機系統(tǒng)的步驟。主要矛盾表現(xiàn)為：（1）手機開機密碼的繞過。Android手機在未打開USB調(diào)試模式時，手機取證軟件無法繞過開機密碼；（2）Android手機root權(quán)限獲取。Android手機在未root情況下，目前使用的手機取證軟件在An-droid系統(tǒng)版本4．4以上時無法獲取手機數(shù)據(jù)；（3）iPhone 4S及以上版本無法提取手機數(shù)據(jù)。

3．手機多樣性和手機取證軟件功能之間的矛盾

根據(jù)手機品牌劃分，手機品牌有蘋果、三星、HTC、華為等數(shù)百個品牌；根據(jù)手機性能劃分，手機又分智能機和非智能機；根據(jù)手機系統(tǒng)劃分，手機系統(tǒng)可分為Android、ios、Symbian、Windows phone、Blackberry OS、MeeGo、Windows Phone8；根據(jù)生產(chǎn)渠道劃分，手機又可分為行貨手機及山寨機。不同手機品牌由于操作系統(tǒng)、接口、驅(qū)動等的不同，使得目前還未有一款手機取證軟件能夠適應(yīng)所有不同型號的手機。以正在使用的手機取證軟件為例，為了滿足各類手機數(shù)據(jù)接口，該套軟件配備的數(shù)據(jù)線就接近百根并支持藍牙無線連接模式，其中用于山寨機取證的數(shù)據(jù)線40根；在取證方式上，一般智能機能夠通過數(shù)據(jù)線與電腦連接后，使用軟件直接取證，而針對“山寨機”的取證相對復(fù)雜，首先要對手機平臺以及芯片進行分析，而后通過獲取手機鏡像并對鏡像分析的方式取證。

4．手機取證的專業(yè)性和檢察技術(shù)人員培養(yǎng)之間的矛盾

手機取證涉及手機硬件構(gòu)造、手機操作系統(tǒng)、電子數(shù)據(jù)存儲、數(shù)據(jù)安全等方面，只有對手機各個方面有充分的了解，才能對手機取證有更深刻的認識，也才能在實際工作中正確使用手機取證軟件，甚至在手機取證軟件不能正常提取手機數(shù)據(jù)時，找到其他的代替方法，從而達到手機取證的目的。然而，對手機、手機系統(tǒng)以及手機安全與破解有全面了解的專家往往集中在軟件開發(fā)公司，相對檢察系統(tǒng)而言，這樣的人才比較匱乏，尤其在基層檢察院，手機取證剛起步，人才儲備比較薄弱，相關(guān)技術(shù)人才的培養(yǎng)和技術(shù)設(shè)備的搭建仍需加強。

四、對手機取證在應(yīng)用中面臨的挑戰(zhàn)的建議

（一）建立手機取證數(shù)據(jù)的統(tǒng)一管理平臺

面對手機取證中，手機信息易刪除、易修改以及案件偵辦過程中手機信息獲取的延后性等特點，可在檢察系統(tǒng)的信息查詢平臺的基礎(chǔ)上建立統(tǒng)一的手機數(shù)據(jù)管理和查詢平臺。各基層檢察院、分院應(yīng)將每次案件辦理過程中獲取的手機數(shù)據(jù)及時上傳，供其他檢察院在辦理有相關(guān)涉案人員的案件時能及時查閱其歷史的手機數(shù)據(jù)，實現(xiàn)數(shù)據(jù)共享。

（二）制定嚴格的手機取證技術(shù)標(biāo)準(zhǔn)和相關(guān)的法律法規(guī)

雖然電子證據(jù)作為新刑事訴訟法中新的證據(jù)類型，尤其是手機取證作為電子證據(jù)中新興的研究領(lǐng)域，但手機證據(jù)的獲取還缺乏權(quán)威的技術(shù)標(biāo)準(zhǔn)和規(guī)范。由于缺乏相關(guān)文件對取證過程的指導(dǎo)，在取證時由于手機保管不當(dāng)或是取證方法不對，容易導(dǎo)致破壞或修改手機中的原始數(shù)據(jù)，從而使手機數(shù)據(jù)作為證據(jù)使用的有效性受到質(zhì)疑，導(dǎo)致獲取的證據(jù)不能成為有效證據(jù)［7］。因此，亟需以法律法規(guī)或是行業(yè)標(biāo)準(zhǔn)的形式規(guī)定手機取證過程中如何保管手機、手機取證的操作流程以及驗證手機數(shù)據(jù)作為有效證據(jù)使用的技術(shù)參數(shù)等。

（三）建立多層次的電子證據(jù)取證人才培養(yǎng)機制

基層檢察院處于職務(wù)犯罪案件偵查的第一線，接觸調(diào)查對象時能在第一時間扣押犯罪嫌疑人隨身攜帶的手機、平板電腦等物品，能有效地保護嫌疑人手機等電子產(chǎn)品中電子數(shù)據(jù)的完整性以及在最快的時間內(nèi)獲取電子產(chǎn)品內(nèi)的數(shù)據(jù)用于案件的突破。上級檢察院比基層檢察院有更雄厚的技術(shù)力量和人力資源，能夠配備更多的電子取證平臺，能夠從整體上對轄區(qū)基層檢察院電子取證方面的特點有宏觀的認識。根據(jù)各級檢察院的特點，建立基層檢察院有技術(shù)人員直接參與職務(wù)案件辦理，上級檢察院根據(jù)需要提供設(shè)備更新支持、培訓(xùn)的多層次人才培養(yǎng)機制。

五、結(jié) 語

新刑事訴訟法使手機取證的研究成為了熱點，但是手機取證仍處于起步階段，不管是立法、移動通信的復(fù)雜現(xiàn)狀，還是手機取證設(shè)備的研究，都對手機取證的發(fā)展有著不同程度的制約。在日益復(fù)雜化和智能化的職務(wù)犯罪中，手機取證對案件的突破作用愈發(fā)凸顯。如何提升手機取證能力，規(guī)范手機取證方式，既是亟待解決的現(xiàn)實問題，又是迫切需要研究的理論課題，需要我們在實踐中不斷摸索，更需要在立法、技術(shù)規(guī)范和機制建設(shè)層面不斷探索。

［1］ 汪振林．電子數(shù)據(jù)原件問題研究［J］．重慶郵電大學(xué)學(xué)報：社會科學(xué)版，2012（5）：33-37．

［2］ 杜江，褚?guī)洠悄苁謾C取證研究［J］．電腦知識與技術(shù)，2011（9）：2120-2121．

［3］ 陳德俊，丁紅軍．手機取證概述［J］．中國公共安全：學(xué)術(shù)版，2012（3）：100-102．

［4］ 羅會明．Android智能手機取證研究［D］．北京：北京化工大學(xué)，2013．

［5］ 楊中皇．?dāng)?shù)字取證平臺技術(shù)的研發(fā)［J］．上海交通大學(xué)學(xué)報，2012（2）：276-279．

［6］ 麥永浩．計算機取證與司法鑒定［M］．北京：清華大學(xué)出版社，2009：204．

［7］ 趙長江．智能手機鑒定的困境及對策［J］．重慶郵電大學(xué)學(xué)報：社會科學(xué)版，2014（5）：32-38．

The M obile Phone Forensics and Its Application：Taking the Duty Crime Investigation as the Angle of View

CHEN Yongtao，GUAN Shiqi，ZOU Shurui
（Jiangbei District People’s Procuratorate of Chongqing Municipality，Chongqing 400025，China）

With the development and the wide application ofmobile communication technology，mobile phone crimes be-come an new trend，Mobile phone forensics is an effectivemeans to crack down onmobile phone crimes，and also plays an important role in investing the duty crime．However，mobile phone forensic technology is notmature，due to the insta-bility of the electronic data and the particularity ofmobile phone system software，mobile phone forensics face grave chal-lenges of device configuration，software updating，forensics criteria and standards，technical staff training and so on．To undertaking the challenge，based on the cloud technology，we should establish a unified management platform formobile forensic data，make forensics criteria and standards，establish effectivemechanism to train professional forensic person-nel，and improve evidence ability in all respects．

mobile phone forensics；duty crime；application

D918．2

A

1673-8268（2015）05-0053-04

（編輯：劉仲秋）

10．3969／j．issn．1673-8268．2015．05．010

2015-01-21

陳涌濤（1986-），男，湖南永州人，書記員，碩士，主要從事電子取證研究。