裴珊珊
摘要:现代社会中,手机犯罪现象作为高科技犯罪的一种,亟待研究相应的对策加以应对,智能手机的普及使对手机取证技术的研究迈向新的高度,越来越多的智能手机采用Android系统,针对Android系统手机取证的电子证据来源以及取证分析方法进行了相应地介绍和研究,最后提出采用Android系统的手机取证应解决的问题。
关键词:手机犯罪;手机取证;Android
中图分类号:TP309文献标识码:A文章编号:1009-3044(2012) 05-1052-05
The Forensic Analysis of Android Mobile Phone System
PEI Shan-shan
(Department of Information Science and Technology, ShanDong University of Political Science and Law, Jinan 250014, China)
Abstract: In modern society, mobile phone crime phenomenon as a high-technology crime, need to study and the corresponding counter? measures to deal with, the popularity of intelligent mobile phone make the mobile phone on evidence research to a new height, wherein more and more intelligent mobile phone use Android system.this paper mainly introduces the Android system mobile phone forensics elec? tronic sources of evidence and forensic analysis method, finally puts forward using Android system should solve the problem of mobile phone forensics.
Key words: mobile phone crime; mobile phone forensics; Android
1概述
信息技术迅猛发展的今天,作为当今最为普及的信息技术产品,各种手持设备发展日新月异。手机是当今社会最重要的通讯工具之一,更新换代发展迅速,不再仅仅停留在通讯功能上,智能手机逐渐成为市场新宠,以前需要一台电脑才能具备的功能,现在往往一个手机就能具备。其中android系统作为一款开源手机系统,很成功的吸引了大批开发者,android系统手机市场潜力剧增,android系统手机的迅猛发展的同时,利用手机进行诈骗、诽谤和伪造等犯罪活动随之而来。为打击这一系列的犯罪活动和维持社会的稳定,迫切需要我们对android系统手机进行取证技术方面的相关研究。[1]
2 Android系统手机取证概述
Android系统手机的市场份额逐年快速增长,2011年第一季度,Android系统在全球的市场份额首次超过塞班系统,跃居全球第一。2011年11月数据,Android占据全球智能手机操作系统市场52.5%的份额,中国市场占有率为58%。并且可以预见它将有更大的市场空间。
随着越来越多的人加入到使用Android系统手机的队伍当中,并且可以利用Android系统手机可以代替计算机处理很多日常应用,用户大量的信息存储在Android系统手机上,对于犯罪分子的作案工具Android系统手机,我们可以通过某些操作获取其数据副本,并多次加以分析,最终挖掘出更有效的信息,Android系统手机取证应运而生。[2]
电子证据是科技高速发展的产物,是将法律与高科技相结合的一种新形式的证据。
Android系统手机取证就是对Android系统手机通过技术分析,确保收集手机内的相关数据,并最终从中获取具有法律效力、能够帮助公安人员破案的证据的过程。
Android系统手机有操作系统,用户可以安装软件、游戏、程序、扩充它的功能,还可以接入网络上网,获得更多的资源,无异于一台微型计算机。
2.1取证源
Android系统手机取证的重要证据源是由手机的内存、用户识别卡、SD卡以及移动运营商的业务数据库构成的。
2.2证据信息的内容
联系人、通话记录、短信息、多媒体信息、浏览网页、录音文件等。[3]
3 Android手机取证工具
手机取证在实际的操作过程当中,出现了式样繁多的取证软件,并且已经被越来越广泛的使用,但是现在这些手机取证工具都或多或少的存在一些弊端,仅使用其中一种取证工具还很难达到我们的取证要求,只有对这些取证工具进行综合使用,才能满足调查人员的特定需求。
1)Final Shield:是一种用来屏蔽手机信号的取证辅助工具,该工具通过内部USB与Android系统手机进行连接,计算机或特定的手机取证工具利用Final Shield外部USB与该设备进行连接,作为手机取证的辅助工具共同得到有效的电子证据,可以有效的防止取证过程中有电话打入或短信接收,从而造成手机原始数据不必要的破坏或丢失。
2)XRY:是一款便携式取证箱,用来手机内存转储和采集数据的工具。此设备是由SIM卡读写器、USB通信单元、数据线、记忆卡读卡器、SIM复制卡等组成的。在安全模式下可以读取Message, telephone number, address books, pictures, video等。该工具效果理想,并且容易操作,可以方便快捷的完成手机数据的分析、获取、查看工作,同时,还能通过加密文件的创建,保护数据不被其他未经允许的人员进行查看。该工具完成取证工作后,会得出相应的分析报告,方便调查工作人员查看详细的取证结果。
3)Oxygen Forensic:该工具通过运用高级底层通讯方式,获取更多数据,相比其他对智能手机、PDA以及普通手机的逻辑分析软件,显示了更大的优越性,尤其适合于Android系统手机的取证工作。[4]
4)BitPIM:BitPIM是一种电话管理软件,能够查看Phone book, calendar, wallpapers, ringtones等数据。该软件可以在Linux等操作系统上运行,前提是需要我们安装正确的驱动程序。
5)CELLDEK:CELLDEK是一款便携式手机取证箱,可以提取Android系统手机的原始数据。设备中嵌入一台笔记本,数据的提取和分析就是通过笔记本内的特定软件来实现的。
4 Android系统手机取证方法
所谓取证的概念,即是对潜在的手机数据证据进行分析提取的过程,最终取得有效的证据和案件线索,对Android系统智能手机的取证工作,主要需注意以下几点:
1)保证手机电量,切忌因电量不足意外关机。可以准备手机电源线,及时对手机进行充电;采用Android系统的手机有些数据在删除后并不会立即清除,只有在下次重启以后,才会被完全清除掉,这是因为Android系统手机在数据处理上与传统手机存在差异。所以说,在Android系统手机取证的过程中,保证充足的电量是十分必要的。
2)将手机设置为飞行模式,防止取证过程中有电话打入或短信接收,造成手机原始数据的破坏。
3)无线网连接需断开,因为如果手机在取证过程中连上网络,也可能造成数据破坏。
4)首先对手机SD卡和内存的原始数据进行备份,然后再开始分析备份好的数据。
5)成功备份手机内存数据后,可以单独分析SIM卡和SD卡中的数据。[5]
5 Android手机的取证分析
5.1电话本信息
电话本信息存储在/data/data/com.android.providers.contacts/databases里面的contacts2.db文件中。
图1电话本文件
打开后可显示所有联系人电话,截图如图2:
图2联系人信息
5.2通话记录信息
通话记录信息也是存储在/data/data/com.android.providers.contacts/databases里面的contacts2.db数据库文件中。通话人,接的电话,拨打的电话及通话时间都可以很准确的查看到。
图3通讯记录信息
5.3短信息
短信息存储在/data/data/com.android.providers.telephony/databases里面的mmssms.db文件中。
图4短信息文件
打开mmssms.db文件后可看到所有短信内容及发件人手机号。
图5短信息内容
5.4多媒体信息
多媒体信息是在/data/data/com.android.providers.media/databases里面做了个链接文件external-f6f21cel.db,实际是存储到了SD卡中了,打开该文件可清晰的看到,其中手机录音也存储在这个文件中。
图6多媒体文件
1)歌曲信息
图7歌曲信息
2)图片信息
图8图片信息
3)视频信息
图9视频信息
5.5浏览的网页信息
浏览网页信息存储在/data/data/com.android.browser/databases里面的browser.db文件中。
图10网页信息
打开browser.db文件后可看到用Android系统手机自带浏览器浏览到的所有网页题目及网址。
图11网页题目及地址
6面临的问题
由于Android系统手机的标准,设备及网络的多样性,它的取证较困难。市场上也出现了一些商业产品,但Android系统手机取证还有许多问题亟待解决,主要表现在:
1)采用Android系统的手机种类繁多,很多数据线等没有统一的标准,使取证工作变得复杂。
2)对Android系统手机数据进行完全镜像备份的软件工具还较少;
3)如今对Android系统手机取证工作还主要停留在数据获取阶段,分析数据的能力还需要进一步提高和完善;
4)目前我国自主研发的取证工具还不是很成熟,而国外的取证工具由于代码的保密性,还存在不小的风险;且成本较高;
5)缺乏Android系统手机取证的技术标准和规范;
6)进一步完善相关政策法律,为手机取证工作提供强有力的法律保护和政策支撑。
7结束语
Android系统手机取证是打击手机犯罪现象有效的技术手段,在很多方面与计算机取证有共通之处,但是由于它的物理特点以及Android系统手机功能的日益强大,在取证领域中所占的比重越来越大。本文针对Android系统手机的特点,对其取证源、证据信息及取证方法进行分析研究,并列举了一些常用的取证工具,最后提出了Android系统手机取证技术面临的问题,本文对Android系统手机取证工作进行的初步研究探讨,以期对手机的取证工作提供有价值的参考依据。
参考文献:
[1]戴吉明.手机取证及其电子证据获取研究[J].计算机与现代化,2007(5):100-101.
[2] Svein Y,Willassen,M.Sc.Forensic Analysis of Mobile Phone Internal Memory[C].IFIP WG 11.9 conference on Digital Forensics in Orlando. Florida.2005.
[3]杜江,褚帅.智能手机取证研究[J].电脑知识与技术,2011(9):2120-2121.
[4] Christopher V,Marsico,Marcus K. Rogers.iPod Forensics[J].International Journal of Digital Evidence,Fall 2005.
[5]黄芹华,欧阳为民.手机及小型手持数字设备数字取证研究综述[J].计算机工程与应用,2009,45(18):83-84.