網(wǎng)絡(luò)犯罪案件中智能手機取證的應(yīng)用

滿超 郭永帥

摘 ?要：互聯(lián)網(wǎng)已經(jīng)越來越深地融入了人們的日常生活、工作中，移動支付已經(jīng)深刻地改變了人們的生活方式，智能手機已經(jīng)成為人們?nèi)粘Ｉ钪斜夭豢缮俚奈锲罚弥悄苁謾C進行網(wǎng)絡(luò)犯罪的案件也不斷增多。智能手機的廠商、型號及版本系統(tǒng)各不相同，數(shù)據(jù)存儲方式也不同，給取證人員進行電子數(shù)據(jù)取證增加了難度。對網(wǎng)絡(luò)犯罪案件中智能手機的取證流程以及涉案手機數(shù)據(jù)包信息進行研究，為公安機關(guān)在網(wǎng)絡(luò)犯罪案件中智能手機取證方面提供參考。

關(guān)鍵詞：網(wǎng)絡(luò)犯罪;智能手機;電子數(shù)據(jù);取證

中圖分類號：TP316;D917.6 ? ? ?文獻標識碼：A 文章編號：2096-4706（2020）21-0169-03

Application of Smartphone Forensics in Cybercrime Cases

MAN Chao，GUO Yongshuai

（Anhui Public Security Education Research Institute，Hefei ?230088，China）

Abstract：The internet has become more and more deeply integrated into peoples daily life and work. Mobile payment has profoundly changed peoples lifestyles. The smartphone has become an indispensable item in peoples daily lives，and the number of cybercrimes using smartphone has also increased. Smartphone manufacturers，models，and version systems are different，and data storage methods are also different，making it more difficult for forensics personnel to conduct electronic data forensics. Research on the evidence collection process of smartphone in cybercrime cases and the data packet information of the mobile phones involved in the case，to provide reference for public security organs in collecting evidence from smartphone in cybercrime cases.

Keywords：cybercrime;smartphone;digital data;forensics

0 ?引 ?言

隨著網(wǎng)絡(luò)逐步地融入我們的日常生活，網(wǎng)絡(luò)犯罪的形式將更加多樣，侵犯的領(lǐng)域?qū)⒗^續(xù)擴展，造成的危害也將更加嚴重[1]。隨著智能手機的廣泛應(yīng)用和5G技術(shù)的發(fā)展，利用智能手機從事的售假、電信詐騙等違法犯罪活動也隨之日益高發(fā)。由于智能手機儲存著使用者的銀行卡號、通訊錄、私人照片等大量重要信息，而且可以通過網(wǎng)絡(luò)與其他設(shè)備進行通信[2]，因此，利用智能手機進行的網(wǎng)絡(luò)犯罪案件形式多樣、犯罪獲利大、隱蔽性強，上述問題是網(wǎng)絡(luò)犯罪案件中辦案人員偵察取證的難點。通過本次安徽省公安教育研究院的課題研究，對網(wǎng)絡(luò)犯罪案件中智能手機的取證流程和取證數(shù)據(jù)進行分析，挖掘案件線索，為案件偵查提供技術(shù)支持和證據(jù)支撐，對服務(wù)公安實戰(zhàn)部門有較強研究價值。

1 ?網(wǎng)絡(luò)犯罪案件中智能手機取證的研究意義

隨著網(wǎng)絡(luò)技術(shù)的不斷創(chuàng)新與發(fā)展，新的犯罪手法和犯罪趨勢不斷涌現(xiàn)，智能家居、物聯(lián)網(wǎng)等新興技術(shù)產(chǎn)業(yè)面臨著嚴峻的網(wǎng)絡(luò)安全威脅。伴隨著5G時代的來臨，人們在出行、支付、購物、通信時更多的依賴智能手機。智能手機給人們帶來便利的同時，利用智能手機進行的網(wǎng)絡(luò)犯罪也愈發(fā)猖獗。因智能手機存儲著使用者的銀行卡號、通訊錄、即時通信軟件賬號及大量私人照片，所以智能手機已經(jīng)成為犯罪分子進行網(wǎng)絡(luò)犯罪的工具。但由于智能手機的生產(chǎn)廠商、機型型號、系統(tǒng)版本各不相同，其數(shù)據(jù)的存儲方式也有所不同，給公安機關(guān)辦案人員偵查取證帶來了新的挑戰(zhàn)[3]。更好地對網(wǎng)絡(luò)犯罪案件中的智能手機進行取證，獲得全面、完整、客觀的電子證據(jù)，對服務(wù)公安實戰(zhàn)有較強的實踐研究意義。

2 ?網(wǎng)絡(luò)犯罪中的智能手機取證流程

智能手機是指內(nèi)嵌操作系統(tǒng)，具備運算、通信、存儲、拍攝等功能的方便攜帶的智能化設(shè)備。智能手機生產(chǎn)廠商眾多，產(chǎn)品類型多種多樣，不能以廠商或者產(chǎn)品加以區(qū)別，但智能手機具備以下特點：（1）數(shù)據(jù)的動態(tài)性;（2）存儲方式的多變性;（3）系統(tǒng)的封閉性。

2.1 ?智能手機取證流程

圖1為在偵查中對智能手機數(shù)據(jù)的收集提取的基本流程。

智能手機取證，是指針對智能手機的內(nèi)部存儲、外部存儲、附屬設(shè)備中的電子數(shù)據(jù)，進行獲取、分析并固定的過程。

2.1.1 ?智能手機數(shù)據(jù)手機提取準備

在對涉案的智能手機進行取證前，偵查辦案人員需要全面、客觀地了解案情，根據(jù)掌握的手機數(shù)據(jù)情況以及可能存在的涉及手機數(shù)據(jù)的相關(guān)線索，提前做好相關(guān)準備工作，包括人員準備、案情了解、法律文書準備、勘驗工具準備等。

2.1.2 ?智能手機現(xiàn)場保護

在辦案實踐中，需要對待檢手機進行隔離和信號屏蔽。隔離手機首先是切斷目標手機與其他設(shè)備的連接，防止數(shù)據(jù)同步導(dǎo)致新數(shù)據(jù)對當前數(shù)據(jù)的污染。常見的手機同步是通過數(shù)據(jù)線與計算機同步，以及通過網(wǎng)絡(luò)與云端存儲空間進行數(shù)據(jù)同步。一般對手機進行隔離的方法有開啟飛行模式或直接關(guān)機。

2.1.3 ?智能手機現(xiàn)場勘驗

在對涉案手機進行現(xiàn)場勘驗時，首先要對待檢的手機進行拍照固定，然后確認手機所處狀態(tài)，已經(jīng)開機的手機仍要保持開機狀態(tài)，處于關(guān)機狀態(tài)的手機可以對外部存儲進行鏡像，然后對鏡像文件進行分析取證。其次，確保手機信號處于屏蔽或者關(guān)機狀態(tài)，防止外界數(shù)據(jù)對待檢手機的原始數(shù)據(jù)造成污染。

2.1.4 ?智能手機的數(shù)據(jù)提取

對待取證的智能手機進行數(shù)據(jù)提取一般通過數(shù)據(jù)線，將待取證手機與取證主機連接后，使用取證軟件，例如DC-4501等，對手機內(nèi)的信息進行導(dǎo)出和固定，然后再對導(dǎo)出后的數(shù)據(jù)進行分析，獲得與案件有關(guān)的線索。

2.2 ?iOS系統(tǒng)和Android系統(tǒng)智能手機取證模型

現(xiàn)階段智能手機基本都是使用iOS系統(tǒng)和Android系統(tǒng);iOS是由蘋果公司開發(fā)的操作系統(tǒng)，Android是Google開發(fā)的基于Linux平臺的開源移動操作系統(tǒng)。下面以iOS和Android為例，介紹智能手機取證的模型。

2.2.1 ?iOS系統(tǒng)智能手機取證的基本流程

對iOS設(shè)備進行數(shù)據(jù)提取，首先要安裝iTunes;其次要保證設(shè)備屏幕鎖已打開。使用iTunes提取智能手機中的文件系統(tǒng)備份來完成數(shù)據(jù)獲取操作，對提取到的數(shù)據(jù)進行分析。圖2為iOS系統(tǒng)智能手機取證的一般模型。

并非所有的iOS智能手機中的數(shù)據(jù)都可以通過iTunes備份的方式進行獲取，例如某些權(quán)限控制比較嚴格的即時通信工具，無法通過iTunes備份的方式獲取數(shù)據(jù)，則可以嘗試通過“越獄”的方式進行獲取，但是對iOS智能手機進行“越獄”操作存在一定的風(fēng)險，可能會造成數(shù)據(jù)的損壞。

2.2.2 ?Android系統(tǒng)智能手機取證的基本流程

目前大部分取證工具對Android智能手機進行取證一般都遵循這個步驟：首先對待取證手機進行USB調(diào)試模式，USB調(diào)試模式是Android提供的一個用于開發(fā)工作的功能，使用該功能可在計算機和Android設(shè)備之間復(fù)制數(shù)據(jù)、讀取數(shù)據(jù)等等。在Android手機中，用戶獲取root權(quán)限后可以對手機中的文件數(shù)據(jù)進行備份。一般在手機設(shè)置中會有“權(quán)限管理”設(shè)置，點擊打開，然后就可以獲取root權(quán)限，進而提取數(shù)據(jù)進行分析。圖3為Android系統(tǒng)智能手機取證的一般模型。

2.3 ?智能手機取證時注意事項

第一，在現(xiàn)場勘驗階段，辦案取證人員應(yīng)首先確認目標手機安全，比如在一些案件中，手機是爆炸的引爆器;第二，待檢測的智能手機在進行取證之前應(yīng)當放在電磁信號屏蔽環(huán)境中或者關(guān)機，在取證過程中應(yīng)當將SIM卡移除或者開啟飛行模式，保證智能手機的初始狀態(tài)不發(fā)生改變，原始數(shù)據(jù)不被污染;第三，仔細勘驗現(xiàn)場，關(guān)聯(lián)現(xiàn)場中出現(xiàn)的其他物證、書證與智能手機使用者和智能手機之間的關(guān)系。

3 ?網(wǎng)絡(luò)犯罪中的智能手機取證的信息應(yīng)用

在網(wǎng)絡(luò)犯罪案件中，涉及智能手機的犯罪行為主要有三種，第一種是使用智能手機作為犯罪行為實施過程中的通信工具;第二種是將手機用作存儲介質(zhì);最后一種方式是通過智能手機發(fā)送信息進行詐騙、騷擾和病毒傳播。而在這幾種犯罪的取證檢驗工作中，手機取證的電子證據(jù)來源主要有三個：手機的SIM卡、手機內(nèi)存和手機的擴展存儲卡。

3.1 ?SIM卡信息

智能手機與SIM卡共同構(gòu)成移動通信終端設(shè)備[4]，并且SIM卡提供了存儲文本信息的空間。智能手機用戶可以將部分信息、通訊錄中常用聯(lián)系人信息等存儲在SIM卡上，可用常用的SIM卡取證軟件Cell Seizure、SIMcon、DC-4500等對SIM卡中的重要信息進行獲取。圖4為DC-4500獲取到的SIM卡信息。

3.2 ?手機機身內(nèi)存信息

除了SIM卡中存儲的信息外，手機內(nèi)存也包含著用戶數(shù)據(jù)，它主要用來存放從SIM卡中釋放出來的數(shù)據(jù)[5]，還可以用于存儲通訊錄、通話記錄等。正常情況下手機內(nèi)存保存的數(shù)據(jù)主要包括電話設(shè)置信息，日歷信息，短信、彩信信息，呼叫記錄，時間日期應(yīng)用程序的可執(zhí)行文件等信息，使用較常用的取證系統(tǒng)如DC-4500手機取證系統(tǒng)對手機機身信息進行提取，圖5為DC-4500獲取到的智能手機機身內(nèi)存信息。

3.3 ?手機擴展卡信息

由于SIM卡與手機內(nèi)存的容量有限，手機存儲卡已經(jīng)成了手機的標配之一。通常存儲卡中包含的多是音頻、視頻、圖片、文檔等信息[6]。對存儲卡進行檢驗時需要安裝有USB的只讀鎖，然后將存儲卡和讀卡器相連，繼而對存儲卡信息進行讀取。圖6為DC-4500獲取到的智能手機擴展卡信息。

4 ?結(jié) ?論

人們的日常生活已經(jīng)越來越離不開智能手機，針對智能手機取證的工作質(zhì)量將直接影響網(wǎng)絡(luò)犯罪案件的偵破效果。在網(wǎng)絡(luò)犯罪案件中對智能手機采用規(guī)范的流程進行取證，并且全面、完整、客觀的獲取網(wǎng)絡(luò)犯罪案件中智能手機取證信息，可以為網(wǎng)絡(luò)犯罪案件的偵察提供電子數(shù)據(jù)支撐，與其他物證構(gòu)成完整的數(shù)據(jù)鏈，對實際偵破網(wǎng)絡(luò)犯罪案件起到重要作用。

參考文獻：

[1] 李建軍，熊俊.涉疫情類電信網(wǎng)絡(luò)詐騙犯罪案件偵查對策研究 [J].江西警察學(xué)院學(xué)報，2020（5）：15-21.

[2] 夷冰倩.智能手機中刑事電子數(shù)據(jù)搜查規(guī)范研究 [J].公安學(xué)刊（浙江警察學(xué)院學(xué)報），2019（4）：77-81.

[3] 陳瑞君.Android手機數(shù)據(jù)取證應(yīng)用研究 [D].蘭州：甘肅政法學(xué)院，2019.

[4] 董立波，羅潔，邵永軍.SIM卡中信息提取方法的研究 [J].刑事技術(shù)，2007（2）：29-31.

[5] 張鶴.電子數(shù)據(jù)取證勘查調(diào)研綜述 [J].電腦知識與技術(shù)，2020，16（28）：34-38.

[6] 顧偉超.手機數(shù)據(jù)應(yīng)用下的司法取證方法 [J].計算機產(chǎn)品與流通，2020（3）：102.

作者簡介：滿超（1995—），男，漢族，安徽合肥人，助教，碩士在讀，研究方向：網(wǎng)絡(luò)安全;郭永帥（1992—），男，漢族，安徽合肥人，講師，碩士研究生，研究方向：網(wǎng)絡(luò)安全。