学文网【摘 要】智能手机作为物证和电子数据存储源的地位越来越突出,利用专业手段提取电子数据的手机取证工作在侦查犯罪中的作用日渐重要。侦查人员必须及时做好手机的扣押及电子数据的提取固定工作。对手机取证的资料进行细致认真的编辑和整理,严肃认真的完成好分析工作,为确保手机取证工作完成好打下坚实的基础。
【关键词】智能手机 电子数据 取证分析
近年来,犯罪嫌疑人利用智能手机从事违法犯罪活动的案件越来越多,造成了极大的社会危害性与传统手机不一样,智能手机可以像个人电脑一样配备有***的操作系统,从单纯的通话工具发展为集通话、多媒体通信、网络接入为一体。司法实践中,智能手机作为物证和电子数据存储源的地位越来越突出,利用专业手段提取电子数据的手机取证工作在侦查犯罪中的作用日渐重要,如何能有效地获取手机中的电子证据,包括删除的证据,已经日益成为一个迫切需要解决的问题。
一、智能手机的电子数据取证的重要性和可能性
在数字时代,智能手机是沟通的组成部分。人们不再只是打电话、收发短信,而且还用手机建立社交网络,使用网上银行购买、销售商品,看新闻和电影,玩游戏。这也构成了手机取证的重要前提。随着计算机犯罪个案不断增加,犯罪手段日益数字化,搜集电子证据的工作成为提供重要线索及破案的关键。通过恢复已被破坏的计算机数据及提供相关的电子资料证据,安卓手机将在犯罪取证上占据一席之地。
在审查案件过程中,经常发现犯罪嫌疑人、被害人和证人在笔录中陈述通过手机、QQ、短信、微信等方式进行联系,但案卷中没有相关的手机电子数据材料予以印证。手机电子数据作为电子证据的一种,具有很大的易变性,容易因人为或环境因素而变化和灭失,一旦错过时机可能造成重要证据流失。因此,侦查人员必须及时做好手机的扣押及电子数据的提取固定工作。
科研出版社2014年7月《Journal of Information Security》(信息安全)英文期刊发表了爱尔兰都柏林大学Muhammad Faheem的研究成果,证明手机取证的可能性。研究过程首先须获得Root访问权限,然后是创建DD存储***像。之后,学者采用了一种叫UFED的客户端分析软件,对***片进行分析,获得取证的重要信息。研究数据显示,安卓手机在未来几年内将超过iPhone的销售量。学者认为安卓手机的取证是一项相对较新、不断发展的学科,是安卓手机新机型进入市场的结果。学者的研究表明,在没有取证工具的完全执照复印件的情况下,仍然可以做取证分析,而且与使用昂贵的商业工具的结果完全一样或相似。智能手机在司法取证中能够发挥作用,是智能手机对我们的生活越来越重要的又一佐证。
二、取证过程中的证据获取方法
SIM卡的证据获取。目前,对SIM卡进行证据获取的常用方法主要有两种,一个是在智能读卡器的作用下利用读卡器的设备功能对SIM卡中的数据进行有效的提取。在此方法过程中,读卡器使用的数据访问指令集需要完全符合欧洲电信标准协会TS31. 101和TS51. 011标准,否则很难将SIM卡中的数据进行获取。另外一种方法可以通过指令操作直接来完成SIM卡中数据的获取。
手机存储卡的证据获取。(1)AT指令集。AT指令集是由国外的公司设计的,1990年以前,只是用来控制调制解调器,随着技术的不断发展,应用于手机的AT指令集也被研究人员开发出来。通过使用应用于手机的AT指令集,我们可获得手机生产企业、手机型号、操作系统类型、、电话记录等多种手机信息;(2)手机生产商提供的软件包。当前,为了获得手机中存储数据的镜像功能,很多手机里都会附带一些与手机同步数据的软件包。常见的软件有ES 任务管理器、Google 星空地***、百度地***、支付宝软件、QQ同步助手、微软浏览器、360浏览器、新浪微博、手机备份软件等,这些可从手机内存中得到电话簿、电话记录、短消息记录以及个人行程表等信息;(3)OBEX。OBEX最早是由微软、苹果和诺基亚公司专门为红外线传输而制定的一套协议规则,它在功能上类似于HTTP协议。OBEX能够具有以下几个特点:可实现快速开发、可用在资源有限的小型设备上、跨平台、柔性的数据支持、方便的作为其他Internet传输协议的上层协议、可扩展性、可测试可调试。
三、手机电子数据取证与规范
规范程序,确保手机取证形式合法内容客观真实。手机SIM卡、手机内/外置存储卡以及移动网络运营商数据库中存储的信息是以电子数据形式存在的,从证据分类上看属于修改后刑诉法第48条第1款第(八)项新增的“电子数据”。对电子数据的提取和固定是一项专业性很强的工作,在目前的侦查实践中相关取证程序还需规范。
作为通讯工具的手机,本身是重要的物证,其品牌、型号、规格等物理属性对于案件事实具有一定的证明作用。而手机内的短信、通话记录等电子信息是电子数据,能够对案件的事实起到证明作用。因此,对于手机及手机内的电子数据应当分阶段提取,即首先依照物证收集程序对手机进行提取,然后依照电子数据的收集程序对手机电子数据进行提取,二者不能混同和互相替代。
电子数据是以电子方式存储,具有无形性的特点,必须转化为可以再现的形式才能对案件事实起到证明作用。在目前的侦查实践中,侦查人员普遍使用拍照后打印的方式对电子数据的内容进行呈现。这种方式的缺陷十分明显,一是信息不能连续完整显示,二是信息的来源及去向难以准确显示,三是普遍缺少手机持有人对打印内容的确认及制作人的制作说明。
强化分析手机取证的资料。手机取证包含了很多方面的工作,在这些工作中,资料和数据的分析和研究是非常关键和最重要的,因此,各级管理部门需要引起高度的重视。需要有人专门负责资料和数据的收集、整理、编辑、分析,分析工作人员要各自分好工,对手机取证的资料进行细致认真的编辑和整理,严肃认真的完成好分析工作,为确保手机取证工作完成好打下坚实的基础。
参考文献:
[1]吴叶科,宋如顺.陈波基于手机的取证调查模型研究[J].计算机时代,2010(12):24-26.
[2]刘洋洋.手机取证技术研究[J].网络安全技术与应用,2011(05):31-33.
[3]麦永浩.计算机取证与司法鉴定[M].北京:清华大学出版社,2009.
转载请注明出处学文网 » 智能手机的电子数据取证分析