論手機電子數據的取證

徐鴻志

四川省攀枝花市公安局網安支隊，四川　攀枝花　617062

?

論手機電子數據的取證

徐鴻志

四川省攀枝花市公安局網安支隊，四川攀枝花617062

本文主要以手機為主要研究對象，通過現有的技術和工具，分析手機中存儲數據的真實性，推進犯罪偵查和電子數據取證的進一步發(fā)展。

手機；電子數據；取證；發(fā)展

手機作為信息聯系發(fā)展工具，為我們在生活和工作的各個方面提供了幫助，但是手機也很容易被犯罪分子利用，成為作案工具?，F在利用手機詐騙、不良信息傳播等犯罪行為越來越多，導致很多市民上當受騙。犯罪分子在使用手機的過程當中，也經常會存儲一些與犯罪違法活動相關的信息。偵查人員可以運用專業(yè)的手段對手機進行電子數據取證，獲得有利線索，進行破案。

一、Android系統(tǒng)手機和iphone手機電子數據取證的方法

(一)Android系統(tǒng)手機電子數據取證步驟

對Android系統(tǒng)手機進行取證，首先就是要對Android系統(tǒng)手機進行技術分析，然后將手機內的相關數據收集起來。我們在對Android系統(tǒng)手機進行電子取證之前，要確定取證方案，這就要根據手機的操作系統(tǒng)來看，使用MTK系統(tǒng)的手機需要獲取手機鏡像，然后通過手機鏡像進行取證。使用Android系統(tǒng)手機取證要看是否已經獲取了root權限。其次是進行手機取證時，要通過數據線或者藍牙將手機與計算機進行連接，但是由于手機的生產廠家不同，有些手機需要安裝驅動程序，計算機才可以識別。如果想要使手機與計算機有效連接，就要選擇適當的數據線。最后一步，也是最關鍵的一步，就是在進行手機取證之前，要將手機信號進行屏蔽，以免在取證的過程當中有電話和信息進入，導致手機的原始數據丟失或者遭到破壞。

(二)iphone未越獄和已越獄手機電子數據取證的不同之處

iphone手機電子數據的主要存儲于手機內存和SIM卡中，對其電子數據的取證，主要是對用戶數據進行提取。關于iphone手機，最需要弄清楚的一點就是手機是否已經越獄，因為iphone未越獄和已越獄所使用的電子數據取證方法是不同的。未越獄的iphone手機只能查看手機的Media目錄，這個目錄一般存儲的都是照片、電子書和視頻三個部分。而已經越獄的iphone手機則可以訪問的程度更深一些，可以訪問到設備的根目錄，在Media目錄中一般都不存儲個人數據，個人數據基本存在根目錄中。大部分使用iphone手機的用戶，數據手儲存在mobile用戶下的Library中，通過其中的數據表，我們可以查看出手機存儲的聯系人信息。通過Safari瀏覽器可以查看出手機用戶的上網歷史記錄和用戶在使用過程中存儲的書簽。通過對Mail文件夾下的查找，可以閱讀手機用戶的郵件信息，并且可以看到緩存的單封郵件信息。如果iphone手機中的個人數據一旦被刪除，辦案人員又想將這些電子數據恢復，作為證明犯罪分子犯法的證據。那么就可以研究一下iphone手機的數據儲存機制。其實iphone手機在將記錄刪除時，并沒有完全刪除，還可以將手機中的記錄進行適當恢復。至于恢復數據的方式和工具是多樣的。根據iphone手機的系統(tǒng)設置，比較適用于iphone手機的恢復數據軟件有效率源SD iphone Mobile和From by te Recovery For iphone等。同時，iphone手機也具有緩存功能，因此在iphone中可以通過鍵盤來將用戶刪除的信息進行恢復。

二、規(guī)范手機電子取證過程

手機電子取證對于辦案人員是否能夠順利破案，為犯罪分子定罪有著重要的作用。因此在對手機電子數據進行取證的過程當中，一定要規(guī)范取證程序。手機SIM卡、手機內存和外置儲存卡還有網絡運營數據庫中存儲的信息都以電子形式存在的，而對電子數據的提取需要專業(yè)性很強的人員進行正規(guī)操作，在目前的偵查取證程序中還存在著一些不規(guī)范的地方，還需要嚴加制定規(guī)范程序。這就需要做到以下幾點：第一，要做好取證準備工作，在進行取證之前，要全面了解取證手機的各方面特點，Android系統(tǒng)手機也好，iphone手機也罷或者說就算是山寨手機，也都要搞清楚手機的系統(tǒng)，配置，充分做好取證計劃，一旦出現問題，要有緊急計劃方案。第二，獲取證據后，要對數據進行系統(tǒng)分析。第三，手機電子數據取證之后，一定要保存得當，至少要保存兩個副本以上，并且要在屏蔽安全的環(huán)境下有專門人員對證據進行看管。

三、結論

隨著信息技術的發(fā)展，手機電子數據已經被越來越多的辦案人員認為是解決手中大案、難案的有效方法之一。因此在手機電子數據取證的過程中要遵循堅決不予破壞的原則，讓專業(yè)技術人員進行公正、嚴謹而完整的取證，避免手機中的電子數據遭到損害。在取證后一定要有專門進行有效的保存?zhèn)浞?。以便將來在法庭上作為有力證據指控犯罪分子。在對手機電子數據進行取證時，要保證其數據的完整性，也要使取證流程走向規(guī)范化和標準化。只有這樣，對手機進行電子數據取證后，才能保證獲取數據的真實性，以這些真實的數據為證據，來讓犯罪分子為自己的行為付出代價。

[1]苗得水，夏虹.Android系統(tǒng)手機電子數據取證研究[J].中國刑警學院學報，2015，12701：49-50.

[2]賀瀅睿，陸道宏，李建新，徐云峰.面向iphone手機的電子數據取證分析[J].信息網絡安全，2013，15410：87-90.

D915.13

A

2095-4379-(2016)21-0149-01

徐鴻志(1974-)，男，漢族，四川樂至人，四川省攀枝花市公安局網安支隊，工程師，研究方向：電子物證勘驗。