手机侦查取证策略研究

王 冠 宋涤非

（1.辽宁警察学院 辽宁 116036；2.大连市公安局 辽宁 116000）

0 引言

随着科学技术的不断进步和人们生活水平的不断提高，手机已经成为普通老百姓日常生活必不可少的通信工具。根据中华人民共和国工业和信息化部的数据，截至2013年1月，中国的移动电话用户总数已经突破11亿户。可以说，手机与人们的生活密不可分。与此同时，近年来利用手机和手机网络作为载体和工具进行犯罪的相关案件逐年增多。在各种案件的侦查过程中，通过手机获取线索的情况越来越多，手机数据证据对案件的侦破也越来越重要。因此，从手机和手机相关业务中获取线索成为当前案件侦破过程中不可忽视的环节。

然而，由于很多案件的案情复杂，不定因素众多，手机数据证据并不是在每个案件中都具备明显地作用。在此情况下，手机取证是否需要进行，怎样进行更加有效，成为涉案手机侦查中研究的重点，因此，构建一个科学的手机侦查取证策略是非常有必要的。

1 手机取证对象介绍

1.1 手机存储数据

在案件侦查过程中，手机取证其主旨就是从手机或手机相关设备中获取对案件侦查有用的电子数据，作为案件侦查的线索或证据。随着手机的智能化，大部分的手机都具备上网功能，手机相关业务和应用功能的不断增多，使得手机中能对案件侦查提供帮助的数据范围也在不断扩大。因此，手机取证在当前已经成为案件侦查的一个重点，甚至关键点。为了明确提取和分析哪些手机数据证据会对案件有所帮助，首先要了解手机中存储的数据。

（1）手机通用功能信息

电话簿，用于存放联系人的姓名、电话号码等相关联系信息。电话簿通常由手机自身存储电话簿和SIM卡存储电话簿两个部分组成，包括已删除电话簿的数据恢复，是当前手机取证中重要的取证对象；

通话记录，存储本机呼出、呼入及未接等所有相关通话记录，包括已删除通话记录的数据恢复，是当前手机取证中重要的取证对象；

短信及彩信，已发送、已接收、已删除及草稿箱的短信及彩信，包括已删除信息的数据恢复，这些信息往往成为发现线索、证明事实的重要依据；录音、视频及图片文件；日程表、记事本中存储的文本信息；其它手机内部存储的各种类型文件。

（2）常用应用软件信息：GPS地图导航信息，明确具体地理位置信息；通讯软件（如邮件、QQ、飞信、微博等）应用记录，包括登录账号密码，聊天内容等；上网记录，能够记录手机的上网时间、访问网址、以及登录网站缓存文件等相关信息；连接w ifi的账号和密码；蓝牙对接信息和传输文件信息。

（3）手机基本信息、设备信息，包括手机和SIM卡中的基本数据、各种程序运行时产生的缓存文件、数据库信息以及设备相关软件和硬件标识等；

（4）应用服务在网络运营商服务器中产生的信息，包括用户身份识别信息、基站位置信息和详细通话记录等重要证据信息。

1.2 手机数据存储位置

在手机取证侦查过程中，必须明确该案件涉及到的手机证据可能存在于什么位置。通常手机数据存储于三种存储位置：

（1）手机内部存储设备：内部存储设备通常包括SIM卡、ROM存储、RAM存储和闪存，其中SIM卡是网络运营商为区分不同用户而为每一位用户建立的个人身份识别模块，主要用途是存储国际移动台识别码（用于识别手机用户的电话号码和计费账号）以及通话过程中的加密运算等，也能存储少量的信息如电话簿、短信及通话记录等。此外，SIM卡中还存有移动网络更新数据和位置识别号；ROM存储操作系统引导映像及各种配置数据；RAM主要存储执行操作系统指令和应用程序产生的临时数据；闪存中主要存放安装于系统中的程序文件以及网络或程序产生的数据。

（2）手机外部存储设备：外部存储主要是指各种类型的扩展卡，用于满足用户对手机功能和存储空间的个性化需求。另外，与手机进行同步的个人计算机也可以归类为一种手机外部存储设备。

（3）手机网络运营商：在网络运营商的基站系统和网络交换系统中可以获取用户和手机相关识别信息、通讯信息以及位置信息等。

2 手机数据证据类型分析

在案件侦查过程中，不同的线索或证据会起到不同的作用，手机中存在的电子数据证据也不例外。从手机中提取到的不同类型的电子数据证据往往可以证实一个人的身份或在事件中扮演的角色、获取重要事件的时间和物理位置信息、确定事件的动机或手段、描述事件的过程等。现将手机中各种数据可以推断的证据类型总结如下：

（1）身份证据，可用以确定嫌犯身份特征的相关证据。如手机号、手机设备标识码、使用软件登录账户和手机持有人身份证号等。

（2）位置证据，可用于判断手机持有者位置的相关证据。如所处基站位置变换信息、通话和收发短信时所处基站位置信息和GPS应用程序定位地址信息等。该证据往往需要和时间证据结合判定什么时间点位于什么地方。

（3）时间证据，可用于推断事件发生时间的相关证据。如通话时间、短信收发时间、上网时间和基站变换时间等。时间证据通常并不是独立存在的，需要结合位置证据、事件证据等明确具体事件内容。

（4）事件证据，可提供一个事件具体的描述或性质的相关证据，如通话记录、上网记录、发信内容或网络通讯软件聊天内容等。事件证据往往是手机取证中最重要的内容，所有涉案证据内容中最主要的部分就是明确事件证据。

（5）动机证据，用于推断一个行为动机的相关证据。如，发送违法信息、传播手机病毒、骚扰电话或诈骗短信等。动机证据往往需要从具体的事件证据中进行提炼和挖掘，即通过收集相关事件证据推断嫌犯的犯罪动机。

（6）手段证据，用于确定犯罪所采用的具体手段证据，如诈骗类案件中短信内容或上网聊天记录等内容，可确定嫌犯所采用的诈骗手段。该证据往往需要从事件证据中进行挖掘。

在上述六种证据类型中，身份证据通常是独立存在的，用以将网络虚拟身份和真实身份绑定。位置证据和时间证据相结合用以明确对应的位置信息。事件证据往往需要时间证据的支撑。而动机证据和手段证据均为事件证据的引申与推断，所以也可以把两者看作事件证据的附属证据。几乎所有从手机中获取的数据都可以归纳为上述几种证据类型，明确手机证据的具体证据类型可以更有效的取证和完善侦查策略。

3 手机侦查取证策略

3.1 手机取证策略分析

手机取证策略通常分为主动侦查取证策略和被动侦查取证策略。主动侦查往往在控制嫌犯手机之前，通过技术监听手段从移动网络运营商处拿到有价值的证据，属于一种秘密侦查手段。因此，主动侦查策略的执行需要严格的审批程序，用于在重大案件中对嫌犯的动向和有价值线索的掌握。被动侦查策略是在控制嫌犯手机以后，通过合理的手机取证流程来获取各种手机内的证据，在被动侦查取证过程中，往往也需要配合调查手机在移动网络运营商处的一些信息，但被动侦查所需的证据内容往往更有目的性而且也更加全面。所以主动侦查和被动侦查两者间的主要区别在于控制嫌犯手机这一时间点的前后，主动侦查偏向与案情线索的收集，而被动侦查侧重于犯罪证据的获取。

下面对各种不同类型案件中使用手机侦查策略进行分析，目前牵涉到手机的犯罪行为主要有：

（1）手机被用来充当嫌犯通信联络工具。此类案件可以采取主动侦查取证策略，在前期布控嫌犯所用手机，获取有价值证据。

（2）利用手机存储犯罪证据，如视频、照片、短信等文档信息。此类案件往往采用被动侦查策略。

（3）利用手机诈骗，如电信诈骗、短信诈骗等。这类案件的发生通常需要对涉案人员手机进行被动侦查取证。

（4）利用手机网络功能进行犯罪，如传播反动信息、淫秽色情信息、网络病毒等，此类案件一般采用被动侦查取证。

此外，当发生重大刑事案件时，如杀人毁尸案等，对现场遗留的被害人手机进行被动侦查取证，往往可以明确被害人身份等有价值线索。

3.2 手机主动侦查策略构建

3.2.1 策略构建

主动侦查一般是在案件发生之前或案件正在发生过程中，经过研判明确手机证据对案件侦查会起到绝对作用的前提下进行。在执行前必须进行调查申请，一个严格的审批程序是手机主动侦查顺利实现的保障。一般将主动侦查分为三个阶段：调查申请阶段、调查阶段和调查结果分析阶段。

调查申请阶段主要包括向上级部门申请对涉案人员手机主动调查的许可，以及完成与移动网络运营商的沟通工作。

调查阶段是在移动网络运营商的配合下，对相关证据进行提取。通常包括通话记录内容、短信记录内容、上网记录内容等个人数据以及手机通讯和所处基站位置的实时监听，此外，随着监控技术的发展，可以尝试远程获取手机内部存储文件，并通过激活手机麦克风、摄像头等设备进行手机现场的语音和视频证据收集，也可通过手机自带的GPS导航程序获取手机具体位置信息等。

调查结果分析阶段是将得到的证据进行整理分析和调查回顾，通过证据分析得出案件相关线索，并做出下一步的行动计划。

3.2.2 证据类型分析

在主动侦查中，可以通过手机移动运营商处登记手机用户对应身份信息和手机通信记录中对应的电话身份信息，明确嫌犯及其联系对象的具体身份。此种数据类型构成身份证据。通过手机移动运营商处得到手机所处基站信息、地址转换信息或通过远程激活嫌犯手机GPS获得详细地图信息，可以明确嫌犯的实时位置数据，此种数据类型构成位置证据。嫌犯的通话记录、短信记录和上网记录等与网络交互行为，均会在手机移动运营商数据库中留有时间戳，此类数据类型可以构成时间证据。嫌犯使用手机产生的具体通话，短信、上网操作内容或远程激活手机麦克风摄像头功能获取的数据，这些都可以构建出与案件相关的事件证据、动机证据和手段证据。

3.3 手机被动侦查策略构建

3.3.1 策略构建

手机被动侦查是在嫌犯手机被控制之后进行，和其它电子数据证据获取方式基本一致，但在整个过程中仍有很多应该注意的环节，该过程主要分为以下几个阶段：

（1）准备阶段：主要包括了解犯罪的目的和动机；成立取证小组；准备手机取证工具

（2）物证获取阶段：此阶段的主要任务是保护现场证据和物证的完整存储。物证获取阶段大致有如下三个部分：

记录现场：记录犯罪现场的原始状态，对准确记录所有的可疑证据。

搜集物证：对可疑手机及其相关设备（如：手机SIM卡、蓝牙、外置存储卡等）进行搜集。

存储物证：从发现物证开始，应屏蔽手机信号，防止与外界通信，不能对物证的原始状态及其数据有任何的改动，防止破坏手机数据证据的完整性。

（3）证据提取阶段：是从手机及其相关设备中提取电子数据证据信息的过程，该过程主要有：

确定手机型号：由于手机型号的不同，提取证据的工具也不相同。因此，首先必须弄清手机的品牌、型号及网络供应商等相关信息。在此过程中，一定要避免对手机原始数据造成更改。

选择证据提取方法：确定手机型号后，就选择相应的证据提取工具和方法，同时，为了最大限度的提取证据，在取证中，可以采用多种取证工具和方法相结合的方式对手机及其相关设备进行证据的提取。

提取证据：确定好适当的取证工具和方法后，就可以通过取证步骤开始进行证据的提取。这里强调应该先提取手机易失性证据部分，即如果手机断电关机后就会丢失的，存储于内存中的程序数据和手机运行状态等。

（4）证据分析阶段：是对所有提取出的潜在电子证据进行分析，试图找出有用的线索或证据。对手机证据分析时，可以从以下几点进行：

①对个人信息如通讯录、短信、备忘录等文本信息，图片、音频、视频文件和网络记录等常用信息进行详细分析；

②对手机内存、闪存卡、SIM 卡等存储介质进行证据分析；

③从移动运营商处获取证据并分析。

（5）证据提交阶段：在对证据进行分析后，应出具完整的分析报告。将电子数据证据以可接受的书证形式提供给法庭，作为对违法犯罪进行认定的证据的一部分。

3.3.2 证据类型分析

在被动侦查中，嫌犯的身份证据往往可以通过SIM卡配合手机移动运营商处登记数据来获取，同时嫌犯所有联系人的身份证据也可以通过本机所存电话簿配合手机移动运营商处数据库进行匹配。嫌犯所处位置证据往往需要通过回顾手机移动运营商处对应基站信息进行匹配。此外，本机自带的GPS程序的地图信息中往往也可能存在嫌犯曾经去过的具体位置，同样构成位置证据。手机中每一个通话、信息、上网操作记录等都有对应的时间戳信息，结合手机移动运营商处数据库匹配信息，可以明确各个事件的时间信息，构成时间证据。嫌犯手机中具体的通话记录，短信内容，上网内容可以归纳出案件相关内容，归类为事件证据，动机证据和手段证据。

4 总结

本文通过分析手机数据证据类型，提出了手机主动侦查与被动侦查两种取证策略的构建。由以上分析看出，主动侦查相对被动侦查在获取证据时间上有较大优势，为案件侦破获取先机。但是由于监听技术和监控途径受限，主动侦查获取数据证据内容并不全面。因此，在实战中，应根据不同案件的特点，选择合适的手机侦查取证方式，或将两种侦查策略相结合，为案件侦查提供更好的帮助。

[1]M ylonas A，M eletiadis V，Tsoumas B，et al.SmartphoneForensics：A Proactive Investigation Scheme for Evidence Acquisition[M].Information Security and Privacy Research.Springer Berlin Heidelberg.2012.

[2]S.H.Mohtasebi and A.Dehghantanha.Towards a Unified Forensic Investigation Framework of Smartphones.International Journal of Computer Theory and Engineering[J].2013.

[3]戴吉明.手机取证及其电子证据获取研究[J].计算机与现代化.2007.

[4]陈德俊，丁红军.手机取证研究概述[J].法庭科学.2012.

[5]张明旺.手机取证调查模型研究[J].计算机工程应用技术.2012.

[6]许昱.手机取证若干问题研究[D].中国政法大学.2008.