手机取证的应用背景
随着移动终端的迅速发展,利用移动终端进行各类非法或犯罪行为的犯罪行为不断出现,而且呈现 出高速增长的势头,这使得电子数据取证的主要 目标从存储介质向移动终端延伸。美国科研机 构电子数据取证包括手机在内的取证实现方 式和技术做出了5个层次分类。
1、人工提取
移动终端取证在专业化的取证设备出现之前,都是直接在移动终端上查看相关数据,并使用相机等翻拍设备记录证据。人工提取的优点在于门槛底,且总会存在工具无法提取的移动终端,对于那些缺少其他提取固定手段的取证人员来说,这无疑是唯一的解决办法。这种检验手段仅能获取已有数据,对于删除的数据无法进行提取和固定,同时对于手机加密和破损的情况也无法应对。其次,必须保证该设备能正常开机,同时并未设置密码或者已知密码。图中北京瑞源的EDEC1030小型数码翻拍仪就是人工提取的辅助设备。
2、逻辑提取
手机通过连接线(USB、RS232)或无线(蓝牙、红外、WiFi)等方式与取证专用硬件或安装软件的工作站连接,提取逻辑数据。常见的如kingroot、360手机助等代理软件和专业的商业软件可以实现开机连接获取基本用户数据信息,在一定程度上逻辑提取可以获得删除数据记录,但不能恢复未分配空间的数据,同时对于目前高版本的具有root权限的智能手机逻辑提取存在一定的检材数据有损风险。
3、提取JTAG/ISP
对于低端智能机、国产机以及非智能手机取证有时候需要JTAG/ISP测试协议方式,利用手机主板触点连机进行数据提取和解析。此种技术对于无法正常开机、未获得root权限或者存在开机密码的手机取证很有帮助。但数据被覆盖或是被检手机进行过全盘加密,那么JTAG/ISP也仅仅获得是的全盘加密的镜像文件。
4、物理提取
chip-off技术是最复杂且最底层的数据获取技术。这种方法需要将移动终端中的存储芯片通过热风枪或拆焊台与主板剥离,清理芯片表面的焊锡, 然后将芯片安 装到芯片读取 设备上,直接 对芯片本身的 电路和协议进 行分析,获取 其原始镜像或相关数据。常见的手机存储芯片如图。
4.1、功能机芯片布局实物图
4.2、智能机芯片布局实物图
4.3、chipp-off技术特点
4.4、chip-off取证方法配套设备示例
微读
微读技术是指在电子显微镜下对NAND或NOR芯片存储层进行微观状态的观察,并借助均衡磨损原理等固态介质存储理论进行数据还原。这种技术已经上升到电子取证领域的最尖端领域,而且目前也没有商业微读技术设备。
历史浏览及聊天删除记录的恢复
目前智能手机上的浏览器历史记录和微信聊天记录对于司法取证人员来说可能存在很有价值的线索信息,然而伴随高智商的网络犯罪,一些用户可能会定期的清除历史缓存或者删除历史聊天记录,这给取证工作带来一定的麻烦。
-
苹果手机操作系统对用户只读模式无法对其历史浏览及聊天删除记录恢复也是无法镜像解析,而且系统 本身为保持操作流畅性能也会定期对
应用缓存和垃圾清理; -
即使我们获得全部镜像文件,但是 对于高版本的微信聊天记录本身就有 加密,这就存在破解难题。
手机投资、交易及支付等金融交易记录解析
智能手机在满足用户基本通话、聊天和娱乐的同时,也方便了用户一些投资理财和交易支付,可谓真正的足不出户。然而涉及用户金融安全的加密更是手机重中之重,司法取证对于金融交易更是一筹莫展,即便是我们通过层层方式获取了类似支付宝、京东及淘宝网购等其他APP镜像文件,目前软件也是无法解析其交易记录和密码。据业内人士说智能支付和交易平台的公司进行协助获悉。
原文来自互联网,由玉念聿辉转载编辑
