智能手机的数据文件分析技术

欧阳伟　刘蔚

摘 要 本文主要研究了2种流行的智能手机类型： iPhone 3和三星i8000手机上使用的几种不同的文件备份及加密技术，特别是针对其储存格式及社交网络通讯信息的电子文档进行了深入分析，给出了比对后的实验结论。

关键字 智能手机 电子数据 备份技术

中图分类号：TN92 文献标识码：A

智能手机由于具有不断增强的计算能力、巨大的储存空间、便于使用、及利用日益增多的Wi-Fi网点覆盖可以随时上网等特点，已经在世界范围得到普及。智能手机越来越强大的功能使得其对人们的生活影响愈发明显，比如经由社交网络平台像微信、微博、陌陌等使用手机可以和朋友共享电子文件等信息。正因如此，利用手机为通讯中介（或工具）进行犯罪呈高发态势，这种现象也引起犯罪侦查等职能部门的高度重视，因此对智能手机的电子信息取证已经成为侦查分析人员及信息安全专家工作的重中之重。随着新刑事诉讼法第48条第2款规定：“证据包括‘视听资料、电子数据” ，在当前的技术侦查中，调查人员从智能手机中提取电子数据已经成为最重要的数字证据来源。

1背景介绍

智能手机电子取证技术（又名数字设备取证技术）是一门新兴且快速发展的交叉学科技术。根据不同手机品牌和操作系统类型，甚至是同一手机品牌不同阶段产品（比如iPhone 2与iPhone 3），其取证方法和程序仍不尽相同。笔者认为在目前手机品牌众多的环境下很有必要制定一套“从智能手机进行数字取证的标准”，这样的一套标准能够给具有资质的执法人员手机取证的所有程序规范，让执法人员知晓如何合法的从智能手机里读取电子资料，也能用来进一步设定对智能手机取证的标准及后续行动。目前主流的智能手机其取证技术分为两大类：大数据设备及小数据存储设备，本文只对后一种技术进行分析。

小数据存储设备取证是电子取证中一个比较新的名词。它包括了目前客户终端新型的通讯方式取证，例如从社交网络平台（前文提到的微信、微博、陌陌等）、短信、及电子邮件上截取信息。据中国互联网络信息中心（CNNIC）“第34次中国互联网络发展状况统计报告（2014年7月）”最新统计，我国网民规模达到6.32亿，智能手机用户达到5.9亿，手机网民达到5.27亿，手机上网的网民比例达到83.4%，首次超越80.9%的传统PC上网率。可见目前利用智能手机进行通讯和上网已经成为了现代社会人们社交联系的最主要方式，这使得利用手机进行技术侦查的工作越来越重要和必要。但由于智能系统软件的发展和反病毒扫描软件使用的低门槛，手机用户可以容易的删除保存在手机上的电子资料，但即便如此，我们也可以用专门应用程序来读取被删除或在系统里备份的短信和电子邮件，这些应用软件包括EverRun、Cell phone spy和 iRecovery stick。在进行取证时，取证人员使用硬盘复制机读取所有资料，然后使用特殊的电子取证机分析所获得的数字资料。目前大部分通讯或网络设备是利用电板供电，里面再使用微电池对一些耗电低的存储记忆晶片供电，一旦取出电板就容易造成数据的丢失。这就需要取证人员使用可携式设备读取被删除的数据，如邮箱地址、短信、个人资料、电话联络簿、多媒体文件等。

本文结构如下：首先我们列出从社交网络平台截取信息的软件工具，然后我们分析从iPhone和其他智能手机上读取的信息，检查智能手机的备份技术，用来帮助电子取证的工作。最后给出结论。

2工具介绍

实验步骤包含以下。首先我们选择了不同的智能手机，包括iPhone 3，三星i8000。其次，我们选取不同的软件来备份这些智能手机里的数据。例如我们用Converter和Device Seizure软件来备份iPhone3数据，使用ActiveSync软件备份三星i8000数据。智能手机数据备份完以后，我们就截取利用这些手机进行社交网络平台通讯时保存在手机中的通讯资料，最后对其分析。从iPhone里读取出来的数据文件包括Plist， Localstorage，Unix Executable file，Data Base File等。我们用Mobiledit软件来读取三星i8000的备份数据。需要说明的是所有的数据文件分析都在微软的XP系统下完成。

3数据读取分析实验

（1）IPhone 3实验说明

对iPhone 3数据备份会导出六类文档，这需要我们使用plist Editor、SQLite Database Browsers、Hex Editor Neo等工具来读取这些文件。在使用plist Editor后发现在“tencent/micromsg/download”“tencent/micromsg/camera”中的邮件文件和图片文件都没有加密，其它资料是加密了的，比如iPhone3里的“friends file” 文档已经加密。iTune 的Metadata文档可由Plist Editor 软件读出，但文档中只有使用人登入时间、日期、及登入的邮箱地址。最后我们用Hex Editor Neo軟件读取iTune Artwork文件时，发现Artwork文档最前面有一个JFIF头但有任何有关安全的设置， “http_pagead2.googlesyndication.com” 文件也是这样。如果使用者翻墙访问了推特，并且使用过的话就会留下大量有价值的信息，比如我们从推特截取出 “AC6164F9-D2A6-4DA3BD3E5F14128367C5”、“app.state”、“com.atebits.Tweetie2.plist”、“Cookies.plist”、“iTunesArtwork”、“iTunesMetadata.plist”等7个文件夹。这些从推特备份文件夹读取出来信息非常有用，文档都是完全不加密的 PropertyList （.plist） XML 文件。该使用者访问的所有推特使用人的公开资料都存储在“045FCA62-723A-4C50-A828-9B831D9078FC”、“app.state”文件夹中。在“iTunesMetadata.plist”文档中，使用者的苹果帐户ID（用来下载各应用程序的ID）是明文显示的。

（2）三星i8000实验说明

对三星i8000安卓智能手机，我们用Mobiledite应用程序来截取一些通讯的有关文档。所有通讯下载的资料存储在 “micromsg.vol”的文件中，但此文件被加密，无法获得更多信息。

4实验结论

首先我们用iTunes备份程序对iPhone 3进行备份。第二是检查社交网站的备份储存文件夹。我们在iPhone 3手机上使用plist Editor 读取了“app.state”、“Cookies.plist”、 “Unix Executable”、“iTunesMetadata.plist”和“iTunesArtwork” 等文件。可以得知联网不同社交平台保存的通讯文件会存储在不同的文件夹内，并且一些文件名的不同跟所用的軟件版本不同也有关。如我们使用SQLite Database Browser 2.0来读取“friends.db”文件时，只能用Hex editor编译“iTunesArtwork”文档，而使用Plist则无法打开文档。这个档案有一个JFIF头，但是没有任何隐藏的信息可被读取。在使用三星i8000智能手机时，没有在手机上找到任何推特的踪迹。但使用Mobiledite应用程序会还原一个notepad文件，里面包含通讯产生过的短信、照片名称、拨打的电话号码、以及没有接到的电话，除此之外就都是加密的。

可以得知苹果iPhone 是比较容易收集数据资料进行电子取证的手机。这是因为从iPhone 上我们能读取到很多没有加密的有用信息。并且iPhone上有其它很多开源程序的应用软件，这些数字证据是可以供法庭分析调查所用。比较起来，三星的安卓手机虽然也有很多应用软件可以读取手机上的一些资料，但是默认情况下，系统会自动对这些文件加密。

本文只涉及对移动设备取证技术方面的研究，可以给取证人员提供具体的方法路线，用来改进和优化有关的程序及技术。但是对于个案或程序中涉及的电子证据提取的法律问题应该咨询法律方面的有关人士。

本文是2014年度湖南省科技厅科研项目《基于LBS的动通信技术在侦查实战中应用与研究》（课题编号：2014FJ6089）阶段性成果。

参考文献

[1] 王海平，陈丹伟，孙国梓.电子数据取证有效性关键技术研究[J].信息网络安全，2006，（12）：51-53.

[2] 许榕生.中国数字取证的发展现状[J].中国教育网络，2U07，（08）：26-27.

[3] 崔净齐.“电子数据”初探[J].商品与质量，2012，（S5）：272-273.

[4] 米佳，刘浩阳.计算机取证技术[M].北京：群众出版社，2007.

[5] SveinYngvar Willassen，Forensics and the GSM mobile telephone system [J].International Journal of Digital Evidence，2008，2（1）.2