手机取证-取证源
1.1SIM卡
在移动通信网络中,手机与SIM卡共同构成移动通信终端设备。SIM(Subscribe Identity Module)卡即为客户识别模块,它也被称为用户身份识别卡。移动通信网络通过此卡来对用户身份进行鉴别,并且同时对用户通话时的语音信息进行加密。常见SIM卡的存储容量有8kB、16kB、32kB和64kB这几种。从内容上看,SIM卡中所存储的数据信息大致可分为五类:
(1)SIM卡生产厂商存储的产品原始数据。
(2)手机存储的固有信息,主要包括各种鉴权和加密信息、GSIM的IMSI码、CDMA的MIN码、IMSI认证算法、加密密匙生成算法。
(3)在手机使用过程中存储的个人数据,如短消息、电话薄、行程表和通话记录信息。
(4)移动网络方面的数据中包括用户在使用SIM卡过程中自动存入和更新的网络服务和用户信息数据,如设置的周期性位置更新间隔时间和最近一次位置登记时手机所在位置识别号。
(5)其它的相关手机参数,其中包括个人身份识别号(PIN),以及解开锁定用的个人解锁号(PUK)等信息。
1.2手机内/外置存储卡
手机内存根据存储数据的差异可分为动态存储区和静态存储区两部分。动态存储区中主要存储执行操作系统指令和用户应用程序时产生的临时数据,而静态存储区保存着操作系统、各种配置数据以及一些用户个人数据。
从手机调查取证的角度来看,静态存储区中的数据往往具有更大的证据价值。GSIM手机识别号IMEI、CDMA手机识别号ESN、电话薄资料、收发与编辑的短信息,主/被叫通话记录、手机的铃声、日期时间以及网络设置等数据都可在此存储区中获取。但是在不同的手机和移动网络中,这些数据在读取方式和内容格式上会有差异。另外,为了满足人们对于手机功能的个性化需求,许多品牌型号的手机都提供了外置存储卡来扩充存储容量。当前市面上常见的外置存储卡有SD、MiniSD和Memory Stick。外置存储卡在处理涉及版权或著作权的案件时是一个重要的证据来源。
1.3移动网络运营商
移动网络运营商的通话数据记录数据库与用户注册信息数据库存储着大量的潜在证据。通话数据记录数据库中的一条记录信息包括有主/被叫用户的手机号码、主/被叫手机的IMEI号、通话时长、服务类型和通话过程中起始端与终止端网络服务基站信息。另外,在用户注册信息数据库中还可获取包括用户姓名、证件号码、住址、手机号码、SIM 卡号及其PIN和PUK、IMSI号和所开通的服务类型信息。在我国即将实行“手机实名制”的大环境下,这些信息可在日后案件调查取证过程中发挥巨大的实质性作用。
手机取证-手机取证软件
在实际的手机取证过程中,各种取证软件的使用已变得越来越普遍。虽然的一些手机取证软件多少都存在一些缺陷,但只要调查取证人员能有针对性地对其加以综合利用还是可以达到令人满意的取证效果。如今,业界常用的手机取证软件可大致分为两类:其一是专门处理手机SIM卡的取证软件。另一种是对手机存储卡进行取证的软件。主要有:
(1)SIMcon:SIMcon可使用标准智能卡的读卡器来完整地显示GSM手机SIM卡上的数据信息并提供分析报告。另外它使用计算取证数据的Hash值来保证取证前后数据的一致性。同时它也支持多国语言的字符集,能正常显示不同语言下的文本信息。
(2)ForensicSIM:ForensicSIM是一个软件工具包,它支持多个国家语言的字符集,能正常显示各种语言下的短消息、电话簿和个人行程表等文本信息。此外,除了用来获取SIM卡上的数据信息外,它还能对这些数据进行分析并以标准格式(DTF或HTML)生成分析报告。
(3)Cell Seizure:本软件主要用来获取手机存储卡中的数据,包括地址簿、电话簿、电话记录以及保存的和已删除的文本信息。此外还可对手机中的数据提供完整性检验并且可最后生成HTML格式的分析报告。
(4).XRY:.XRY不但能在取证过程中提取手机存储卡中的数据,而且还会创建一个加密文件,以防止未授权人对数 据进行任何操作。此外.XRY也会在取证结束后向取证人员提供一份分析报告。
(5).移动公证是一款智能手机取证软件,主要功能包括:通话录音、现场录音、拍照取证、录像取证等,同时将电子证据实时存储于云端,防止文件被剪辑篡改。
手机取证-证据获取方法
针对不同的证据源应该采用不同的取证方法,下面就以上三种证据源分别介绍:
SIM卡的证据获取
SIM卡存储器的文件系统可由一个三层树结构来表示,在此结构中,树节点包括三种文件类型:主文件(Master File)、专用文件(Dedicated File)与基本文件(Elementary File)。在整个树形文件系统中树的根节点由主文件构成,主文件中包含了专用文件和基本文件。
在GSM移动网络标准中定义了一些重要的专用文件作为主文件的子节点,其中有GSM专用文件、DCS1800专用文件和Telecom专用文件。此标准在这些专用文件下又定义了一些与之对应的基本文件。
在从属于GSM专用文件和DCS1800专用文件的基本文件中分别含有GSM900MHz频率和DCS(Digital Cellular System)1800MHz频率下的移动网络信息,而Telecom专用文件下的基本文件则含有与网络服务相关的信息。虽然通过严格的标准定义使得SIM卡的文件系统架构具有一定程度上的通用性,但是不同移动网络运营商发行的SIM卡的文件系统架构还是存在一定的差异性。
如今对手机SIM卡进行取证的常用方法有两种。一个是通过智能读卡器的设备来提取SIM卡中的数据。在此方法中读卡器只要使用符合欧洲电信标准协会TS31.101和TS51.011标准的数据访问指令集就可获取SIM卡中的数据。另外一种方法是直接通过指令操作来获得SIM卡中的数据。在GSM手机的TS27.007标准中特别定义了一个指令集来访问SIM卡上的数据。
手机存储卡的证据获取
手机存储卡可分为内置存储卡和外置存储卡两种。对于外置存储卡(如闪存卡)可使用诸如Encase的取证软件工具来获取存储卡上的数据镜像。相比之下,从手机内置存储卡(如内存)中提取数据就要显得复杂一些。有两种通过物理途径获取其中数据的方法,其中一个是通过拆解手机以得到其内存芯片,接着使用专门的芯片读取设备来获得其数据镜像。另一种是使用特定的数据缆线与手机主板连接,然后从中读取内存芯片的数据信息。这些方法虽可减少在取证过程中外界因素对取证数据的干扰,但对取证人员的手机硬件知识的要求很高。因此在手机存储卡的证据获取中还是较多地采用指令集和软件的方式。
1.AT指令集。
AT指令集最初是由Hayes微系统公司设计出来用以控制调制解调器的,后来专门应用于手机的版本也被开发出来。通过使用GSM版本的AT指令集可获得手机信息包括:手机生产商、产品型号、手机操作系统版本、IMEI号、IMSI号、电话簿、电话记录和短消息记录等数据。另外通过使用CDMA版本的AT指令集可从手机中得到生产商、型号、软件版本信息和手机的ESN号等信息。
2.OBEX。
OBEX(Object Exchange,对象交换协议)最早是由微软、苹果和诺基亚公司专门为红外线传输而制定的一套协议规则,它在功能上类似于HTTP协议。OBEX协议通过简单地使用“PUT”和“GET”指令来实现对手机中存储数据的远程浏览和访问,通常在此方式下可获得手机中所存的图像、音频和视频数据以及所下载的铃声和应用程序等数据信息。
3.JTAG。
JTAG(Joint Test Action Group,联合测试行动小组)是一种国际标准测试协议。它与IEEE1149.1标准兼容,本来主要用于芯片内部的测试和调试。由于大部分电子设备一般都是由本设备的存储控制器来处理对其存储卡的访问操作,而JTAG能用来对存储控制器进行调测,于是在测试过程中就可方便地获取存储卡中的数据。
4.手机生产商提供的软件包。当前在市场上所购的手机多数都会附带同步手机与计算机数据的软件包。这些软件可得到手机中一些存储数据的镜像。常见的此类软件有Nokia PC Suite和SonyEricsson SyncStation。Nokia PC Suite软件可从手机内存中得到电话簿、接听/呼叫电话记录、接收/发送短消息记录以及个人行程表等信息。SonyEricsson SyncStation是一款数据同步软件,可通过它来得到手机内存中的电话簿和个人行程表数据。
网络运营商的证据获取
调查取证人员可根据SIM卡所注册的手机号码来对通话记录数据库进行数据搜索,以得到此号码的所有通话记录与短消息记录,另外也可以手机IMEI号来搜索用户注册信息数据库中此手机的用户注册信息和通话记录。在实行了“手机实名制”之后,调查取证人员还可简便地对用户注册信息数据库中的相关数据和居民身份证系统数据库中的数据进行比对分析。然而由于网络运营商的业务数据库具有数据量大、更新快的特点,因此调查取证人员应尽快地完成对网络运营商相关业务数据库的证据提取工作,以免所需数据被更新或删除。