法治论坛 关于智能手机取证应用的探讨 张磊 (重庆邮电大学,重庆400065) 摘要:从手机证据的来源和荻取两个方面对国内外当前手机关于的研取证究现状进行概括和分析,同时了介绍一些的手常证见取软件,机并目 前且指出了此在领域尚中存的问题主要一些,最后手机就取证研究的方向发展进了行展望 关键词:计算机取证;手机取证;S IM卡信息获取;电子证据获取 随着移动所提技术供服务水平通信和服务种类的提高不断和扩 据户注册信库中还包括用可获取户姓名、手机号码、住址、SIM卡号、 充,手机已日益人们成为生活工作中不可或联系缺的工具,然而,利 证件号码、及其PIN和PUK、IMSI号和所开在目后案件类型通的服务信 用进行手机诈骗、诽谤和伪造犯等罪活动屡也见不鲜。取证手机正是 息。在我国即将机实实行 手名制 的大环境下,这些信息可调查实取 打击这类与此同时犯罪的一个有效。从概手商段念上讲就是从SIM,手 证过程挥巨大的中发质性作用。 机取证卡以及移动网络运营数手机据库中收集、保关的子手机内/外置 2取证过程中的证据获取方法 存储卡电证据,并从中最终获得具有法律效力、能被法庭全分析和相 不同的证据源应该采用不同的取证方法,下面三种证据源就以上 所接充当通信据的过程。目前牵涉到手犯罪行机的为大致有三种:一是 分别介绍: 在犯罪行为证的实施受过程使用中的手机来工具:二是手机被用据的存 储媒作一种犯罪证质:最联络后是手式被当作短信短信骚扰和病毒软件 2.1 SIM卡的证据获取 传播等新型手机犯施工机一种方具这些都诈骗、充分地表明进术的相= sIM卡存储器的可由一文件系统个三层树来表结构示,在此结 研究对于维持罪活动的实社会稳定、保障打击犯罪行为具有充分行手 构中,树节点三种文包括件类型:主文件(MasterFile)与基本文件 机取证技大的迫的必要人民权益和性和极切性。 (ElementaryFile)、专用文件(DedicatedFile)。在整个系统中树形文 件树的由主文件构成,主文件用文件根中包含了专节点和基本文件。 1.取证源 在手机取证过程中,第一步的工作据源机各个相中获取是从手关 2.2手机存储卡的证据获取 证有线索价值的电子证据。手机的SIM卡、内存、外置移动存储卡网络 手机卡可分存储为外置存储卡和内置存储卡两种。对于外置存 营商运和的业务数据库一手机取同构成中的重了证要证据源。 储卡(如闪存卡)可使ase用诸如Enc的取证软来获取存件工具储据镜卡 上的数像。相比之下,从手储卡(如机内置存内存)中就要显得复杂一 1.1 SIM卡 些。目前有两种通过物理途径获取其中数据的方法,其中一个是通过 在移通信网动络中,手机sIM卡共同构通信成移设备动终端。 拆提取数据解手机以特定的数据缆线与手机设备来获得其数主板连 SIM(SubscribeIdentityModule)卡即为客户它也识别模块,被称为识 接,然后从中读取内存得到其内存芯片,接着使用专门的芯片读取据 别卡。移动通过此卡来信网络通对用户身户通话份且同时别,并用户 镜像。另一种是的数据使用芯片信息。这些方法虽可减程中外界少在 身对用进行鉴份音信息进行时的语加密目前,常见SIM卡的存储容量有 取证过因素据对取证数的干扰,但对取手机硬证人员的件知识的要求 8kB、16kB、32kB和64kB这几种内容上看,SIM卡中所数据信存储的息 很高。因此在手机的证据获取存储卡中还地采用指令集是较多和软件 大致可分为五类: 的方式。 (1)SIM卡生产的产品厂商存原始储数据。 2.3网络运营商的证据获取 (2)手机存储的固有信息,主要包括各种鉴权和加密信息、IMS认 证算法、加密密匙、CDMA的MIN码、GSIM的IMSI码生成算法。 调查取证人员可根据SIM卡所注册机号码的手来对数据库进行通话 (3)在手机使的个存储人用过程中数据,如短消息、电话薄和行程 记录数据搜索,以得到此有通话记录号码的所与息记短消录,另以手 表通话记录信息。 外也可机I_ⅥEI号来户注册搜索用信息数手机的用据库中此户注册信息 (4)移动方面的数据中网络包使用括用户在SIM卡过中自动程存入 记录。在实和通话行了 手机实名制 之后,调查取可简便证人员还地 和更新的机所在网络服务和用户信息数据,如设置置的周期性位更新 对息数据库用户注册信中的相关数据和居民系统数据库中的身份证数 和最近间隔时间一次记时位置登置识别手位号。 据进行比对分析。然网络而由于运营商的业务有数据数据库具量大、 (5)其它的手机相关参数,其中人身份包括个识别号(PIN),及解 更新的特快点,因此调证人员查取应尽快地完成对网商相关业务数据 以开锁定用人解锁的个号(PUK)等信息。 库络运营提取的证据工作,以免需数或删据被更所新除。 1.2手机内/外置存储卡 3常见的手机取证软件 随着手机功能的增强,手机存储芯内置的片容量呈现不充的断扩 在实际的手中,各种取证越来用已变越普遍。虽然目手机取证软 趋势。手机内存储存根据数据的动态存储差异可分为区和静态部分存 件机合过程多少都利用还是可取证存在一些缺陷,但只要证人员能有 储区两。动区中主要存储执系统行操作应产生的指令和用户临时用程 前的一些针对性地对其件可加以综以达到调查取令人满意的取软件的 序时数据,而静态存储态存储区存着操保系作统、各种以及~个配置 使得证效果。如今,业的手机取证软大致分为是专门处理两类:其一手 数据些用户人数据。 机SIM卡界常用的取证软件。 从手机的角调查取证度来看,静区中的数态存储据往往具有更大 4结束语 的证据价值。GSIM手机识别号MA手机识别号EsIMEI、CDN、电话薄资 本文重点探证据 从哪获得 和 怎样获得 两个关键问题,介绍了 一料、收发与编辑的短信息,主/被叫通话机的铃声记录、手、日期络 些常见的手机取证软讨了手机件。目前,我国打相关法律和条例还 设置时间以及网等数据都可在此存区中获储取。但是手机和在不同的 不完善,仍存在一些空白洞进行取,尚未有完全符合犯罪的法击手机 移动网络中,这些在读取方数据式格式上会有差异。另外,为了满手 庭取证具和方法,有些取证软件也无法保手机证证和漏取性和要求的 性化需求,许机功能的个多品牌和内容型号的手机都提供足人们对于 工一致性。所以,至今仍然没有统一、有取的手机证技术标效准对不 了外置扩充存储存储卡来容量著作权的。当前市的外面上常见置和存 证数据的完整同生产和、型号和规范来厂商统的软件系。 SD、 ̄iniSDMemoryStick。外置存理涉及版权储卡在处或案件时储卡有 参考文献 是一个重要的证据来源。 【1】黄刘生.电子商务安全问题[M】.北京理工大学出版社,201 0. 1.3移动网络运营商 [2】王汝林.移动电子商务理论与实务【M】.清华大学出版社,2Ol1. 移动数据记网络运营商的通话录与用数据库户息数据库存储注册 [3】赵文,戴宗坤.WPKI应用体系架构研究【J】.四川大学学报,2011. 信着大量的潜在证据。通话记录数据数据库中一条记的录信括有主/ [4】童俊,郭涛.移动电子商务的安全问题【J】.计算机安全,2O11. 息包被叫手机号码、主/被叫手通话机的IMEI号、时长、服务和通话过 作者简介 程类型中起始用户的端与终止端服务基站网络信息。另外,在用息数 张磊(1990一),男,内蒙古包头市人,重庆邮电大学法学院2O1 3级研 究生,主要从事电子证据与知识产权研究。 ..459..
