摘要

随着移动通信技术的发展,手机成为人们工作生活中必备的通讯工具,与此同时,手机犯罪也与日俱增,手机取证是打击这类犯罪的有效手段"目前国内尚无成熟产品面世,因此手机取证任务紧迫,社会意义也非常重大"智能手机不同于一般的手机,它有操作系统,用户可以安装软件!游戏!程序!扩充它的功能,还可以用无线网络接入上网,获得更多的资源,无异于一个微型电脑"由于智能手机的强大功能,深受大众的喜爱,目前我国智能手机占比达10%,而且智能手机的渗透率还在成倍增长,预计2013年占有率将有可能接近50%"iphone是智能手机的领跑者,论文以iPhone为例进行取证分析"本文首先介绍了取证工作的原则,确保取证工作的合法性和权威性,接着深入分析了iPhone的硬件结构及系统结构,详细介绍了iPhone存诸数据信息的文件夹"Preferences记录了系统配置的详细信息以及网络信息的备份,是取证工作的重点对象"iPhone使用Sqlite数据库,其中三个最大的数据库是电话本!通话记录和短消息,详细介绍了三个数据库的各个表的组成及取证过程"在取证前,首先对iphone进行越狱处理"由于iphone为保持系统的稳定性!

省电!删除文件不产生垃圾等优势,用户只有读没有写的权限"对iphone的数据库信息进行提取时,要使用第三方软件,因此必须进行越狱处理"在我们安装取证工具时,接触操作系统不能毁坏用户的分区"iLiberty+程序是一个取证工具,能够安装到操作系统的核心部件中,安全的安装到iPhone中而不经过iPhone本身的允许"恢复工具包括oPenssH安全系统!Netcat通过网络发送数据!

mds建立硬盘的镜像!dd复制硬盘的镜像访问"

将恢复出来的数据进行分析,例如发现Consol记ated.db里有巨大的地理定位数据,数据包含了系统使用的每个基站的信息,这些数据可以确定打电话的时间和"Clients.plist是wi一fi热点信息,包含地理位置!MAC地址!Wl一Fx热点以及"Clients.nlistpropertyhst包含了使用应用程序的数据,收集到的应用程序的名字!程序开始的日期和时间!结束的日期和时间数据信息"最后提出一种新的取证思路,将常用的取证工具打包放到一起,加速取证的过程,并搭建一个连接取证手机!主控手机!远程服务器的取证平台系统"客户端系统植入目标手机后,隐藏地运行在后台,提取手机中的信息,包括用户的通话记录!电话本!短消息!上网记录!google地图使用信息!取证人员可以充分掌握嫌疑人过去的情况,还可以实时监控新收发信息!新通话记录!上网记录!

进一步掌握最新活动动态"目前设计工作初步实现目标,有待进一步提高!完善"

 

第1章绪论

法证科学,是一门兴起于美国的新型科学,要由法医学家和实验室研究员利用先进的DNA检测技术!指纹识别技术!枪支工具痕迹调查技术!文档鉴定标准技术来破案"法证科学是犯罪司法程序的一个完整而重要的部分,对犯罪的物证调查!分析!比对!研究是法证科学必备的环节"手机取证是现代取证科学的一个分支,它涉及保存!恢复电子文档,一般情况下取证者不是从现场,而是从嫌疑人的手机中寻找证据,可能面对的是一个嵌入式设备,一个智能手机,它们可能已经关机也可能损坏了难以恢复,所以比传统的取证挑战更大"

附着移动通信技术的发展,移动电话己成为人们工作!生活的必备工具"其中储存了用户的大量信息"在一些案件中,手机提供了非常重要的信息,例如可以通过手机获取嫌疑人短信内容!通话记录!上网记录!电子邮件,还可以通过GPS定位功能确定用户到过的地方,所以手机的取证对于案件的侦破工作帮助非常重大,要求通过合法的技术手段获得可靠全面的证据"手机一般需要操作系统,软件配合硬件,从而实现多种功能的人机交互,即

使是最简单的电话也不例外"现在,具有单纯通话功能的手机已经逐渐被淘汰了,另一方面,功能手机的数量却增长非常迅速,所有的手机都融合了数码相机,这些设备仍然是以通话业务为主导,添加了一些新的功能,并没有真正升级到以通话为中心的移动电脑平台"手机正在变化,逐渐趋向个人电脑的标准"于是智能手机与PDA越来越近,但具有以下三个特点:(l)通话仍是最主要的功能,(2)高级的处理能力,(3)相当的扩展能力"智能手机是一种功能强大并且具有应用扩展能力的手机,这些设备有着和掌上电脑相当的处理能力和容量,所以能够使计算机的很多功能在移动设备上实现"随着游戏和应用程序的发展,智能手机将会有力冲击个人电脑在业界中的核心位置"不断增加的市场份额为智能手机提供了发展机遇,很快手机可能全智能化,虽然会有部分老式的手机去占领低端市场,主要面向底层用户,但是手机的技术和生产成本不断降低,伴随着智能手机的研发队伍不断壮大,智能手机必然会在不久的将来成为市场的主流"智能手机可以提供大量的信息和服务,随着其数量的不断扩大,势必影响到计算机通信与传统通信的比重"1.1手机取证的发展现状随着移动通讯技术的发展,手机用户越来越多,成为个人必备的通讯工具,手机中存储的信息十分重要,手机的取证工作越来越紧迫,同时也遇到了前所未有的挑战"现在越来越多的人投入到手机取证的研究中去,由于手机的协议各不相同,很多是专有的协议,当前的取证工具只是对某一种手机进行取证研究,而且取证的全面性也有待进一步提高"在我国常用的手机有好几百种,它们属于不同的厂商,各自拥用自己的知识产权,除些之外还有些山寨机!以及不在生产的手机,关于他们的协议是未知的,对于取证工作就更难了"现在美国!俄罗斯!澳大利亚等国有部分产品面世,也只是对他们本国的几款主流手机进行取证,而且取证的内容也不够全面,我国的大部分手机他们是不支持的,这和我的司法工作是极其不相称的,所以手机取证的意义十分重大"1.2智能手机的功能升级的语音质量!升级的短信功能!整合的数码相机!个人资料的管理!应用扩展能力!硬件扩展能力!网页浏览器!多样的游戏,所有的这些功能,都给手机行业带来巨大的利润"这不仅增加了手机的销售量,同时给第三方应用研发商创造了广阔的市场"但最重要的是,它也增加了语音和数字信息的传输量"商用市场最为看重的是智能手机的无线个人数据管理!公司电子邮件的收发,以及一些商业应用软件和网页浏览等功能"但对于个人用户,也不光着眼于以上功能,也会考虑到多媒体功能!照相和游戏功能"

1.3智能手机操作系统

智能手机有很多不同的子系统和不同的市场定位,但是有一点可以肯定,最大的智能手机市场是那种可单手操作的设备,它们有的保留了字母的键盘,有的使用触摸屏幕,还有的是用拇指遥控杆等方法来达到这一目的"智能手机操作系统有两大功能:一!它成功地开发并应用了智能设备的硬件功能,例如照相!数据管理等,并且同时提供非常人性化的操作界面,真正达到了人机互动的效果"二!它为第三方应用开发商提供了可操作的平台,开发商可以编写出具有一定浓度编码的应用程序,从而进一步地挖掘出硬件的全部潜力"

操作系统对设备功能如此重要,所以它影响到通讯行业的整个产业链"

(l)终端用户

由于极大的扩充了手机的功能,使用户可以安装各种各样的软件来满足不同的需求,大大提高了手机的用途,方便了用户"操作系统管理工作的设备,能够调整应用模块来提高性能"操作系统之间延迟能够得到改进,用户一旦习惯于一种操作系统,就会倾向于购买具有相同至少具有类似界面的操作系统的手机"

2)网络运营商

从普通智能手机的高质量通话和数据传输中获利"高质量的通话和信息服务被设计来鼓励更多的用户进行交流通信,操作系统为这种内容和服务提供了平台,从而让用户提高互联网的访问量和增大数据交流"

3)应用开发商

拥有一个相同的智能操作系统平台来进行应用程序的开发,应用程序就能被深层编译,这样就能够进一步利用系统资源,从而抢占到可观的市场份额"本文根据目前手机市场的定位分析,对iPhone智能手机进行取证研究分析"。

第2章取证原则及过程

电子证据是科技高速发展的产物,是将法律与高科技相结合的一种新形式的

证据"电子证据的取证规则!取证方式都有别于传统证据,需要通过特定的技术

手段进行分析和获取,因此在电子证据的取证过程中应当注意规范取证流程,遵

循一定的原则和方法"

2.1取证原则

一!合法取证原则

首先保证取证工作的合法性是非常重要的"一般情况下,在一个公司里,企业没有权利检查员工的物品,但是我们可以检查属于公司的物品"在公司调查中,取证前一定要确定物品的所有权,在合法的授权下,可以检查电脑以及手机"检查员尤其注意存储在里面的数据信息,包括查询记录!地图!日历!音乐!邮件!

浏览历史记录!通话记录!以及和其它设备的联系"取证活动包括取证人员!取证物品!技术手段和程序四个方面,同时合法才可以为法律所认可"取证人员的合法性,根据国家相关法律的要求,首先检查员必须具有专业的计算机网络与安全及通信知识,其次,取证人员应熟悉相关法律知识,有较高的职业和道德修养,并签署诚信承诺书,保证不泄密"

1!取证物品合法"有时为获取充足的证据,需要涉及很多的物品,为保护公民的合法权益,不能随意查看,必须经过审查允许,确实有重大嫌疑的,才能检查"2!技术手段合法"取证的技术必须是安全可靠的,绝对不能改动数据,必须符合相应的安全检测标准,如果技术方法不可靠,取证工作就失去了意义"3!程序合法"在取证的过程中,不能对物品进行改动,分析保存电子证据,应有二名以下检查员,与案件有关人员应当回避"

2.2全面取证原则

手机取证是对手机通过技术分析,确保获取里面的相关数据,帮助公安人员破案"所以应对里面的证据能够全面提取,得到完整的证据链,确保不遗漏相关的证据"2.3无损取证原则证据必须是真实的,不能有任何的歪曲,在取证的时候,应保持手机的状态不变,不能随意的开关机,这样会修改手机的日志,有可能破坏了案件的相关有价值的证据,所以在取证时,不能对取证物品做任何修改"此外,还要远离高磁场!高温环境!避免静电!灰尘!挤压,以保证取证的无损原则,确保证据的真实可靠"

2.4及时取证原则

手机的状态随着时间会发生变化,生成系统的一些相关信息如系统日志!相关的系统进程,导政容量变小,覆盖原来的信息,以后不能再恢复了"

2.5取证过程

(l)建立调查详单

在调查取证前,要做好详细的步骤,指导我们的取证工作,以确保不遗漏任何细节"

(2)物理处理

物理处理是我们取证的第一个步骤,它包括处理指纹,确保我们有权利处理取证的设备,可以将SIM卡取下,放在屏蔽器中,防止接收信息,改变原始状态"不像个人电脑,硬盘可以取出,手机不能直接镜像处理,需要专门连接手机的芯片,可以通过合适的物理和网络连接,再通过工具包恢复"

(3)数据恢复

数据恢复涉及从手机中提取数据,建立镜像,这需要专门的检查,确保数据在手机和电脑中间不能发生变化"取证最关键的一步是提取数据,存储在SIM卡中的内容,可以利用智能卡读写器,或者是TULPZG!SimBrush等"存储在记忆卡中的内容,利用MMC!SD来读取"最难提取的是内存中的数据,包括两部分,一是ROM存储器,存储操作系统的文件,二是RAM,存储了运行的数据,用户的多媒体数据!文件!文档!日志!录像!声音等,内存是一个记忆芯片和一个主板的集成,由于数据擦除和写入是有次数限制的,所以必须采取安全有效的方

法"

(4)电子证据发现

能过对证据的提取和分析,发现电子证据,通过这一步,恢复删除的文件,找到的证据最终还原整个案件的过程"3.1iphone配置尽管iPhone手机有很多种,它的核心部件是相同的11一,0],组成配置如表

3.1所示"

表3.1iphone结构配置

部件配置

CPUSamsung/ARM55L8900B01512MbitSRAM

EDGEInfineonPMB8876S一Gold2EDGEBasebandProeessor