浅谈刑事案件现场手机物证的提取与检验

周俊臣

重庆市涪陵区公安局刑警支队，重庆　408000



浅谈刑事案件现场手机物证的提取与检验

周俊臣

重庆市涪陵区公安局刑警支队，重庆408000

摘要：21世纪，手机作为重要的通讯工具，刑事案件现场勘查中时常遇到它，但由于侦查人员对电子物证知识的不了解，对手机提取和检验规范和流程不熟悉，现场提取粗糙，检验简单，导致证据灭失，侦查过程陷入困境。为摆脱这一窘境，结合实际工作，查阅相关文档，以现场为基点，探讨手机的提取与检验规范，为增强打击犯罪能力添砖加瓦。

关键词：手机；电子物证；提取；检验

一、现场手机与电子物证关系

电子物证，是指以存储于介质载体中的电磁记录或光电记录对案件事实起证明作用的电子信息数据及其附属物。新刑事诉讼法第48条已将“电子数据”纳入法定证据种类之一，与视听资料同列为第八种刑事诉讼证据。手机作为最普遍的电子物证种类之一，记录着个人使用特征，利用相应技术能够提取到与案件有关的信息。这些信息以电子数据的形式存储在手机里面，为侦查提供线索、为起诉提供证据，在实际工作中发挥着重要的作用。

二、对现场手机物证的提取

物证的提取是指在刑事诉讼活动中司法工作人员运用法律许可的方法和手段发现、采集、提取证据与案件有关的各种证据材料的活动。借鉴我国法律规定的证据取证程序，现场手机的提取工作应分为以下几个过程：

(一)保护现场阶段

不管是派出所民警，还是侦查人员，在保护现场的时候应当架设警戒带，禁止无关人员进入现场。

(二)了解案情阶段

了解犯罪的动机，准备好所需的手机取证调查工具，建立调查小组，分配成员角色(案件主管，犯罪现场素描编制人，记录员等)，了解相关的法律条例以及组织、企业等的规章制度等，为接下来的现场提取工作做好铺垫。

(三)动态提取阶段

技术人员在进入现场后按照传统的现场勘查方法进行照相、摄影，发现有手机设备，应及时查看手机状态，若关机状态则无需开机，用专用物证袋提取、封存，若开机状态则应将手机放在屏蔽箱或屏蔽袋内，保持手机电量充足，同时不让其他人触摸，减少设备和证据的污染。

(四)收集相关资料及数据线

现场勘验人员应仔细搜寻与手机有关的资料，如手机说明书、购置发票及操作手册等；目前手机种类繁多，因此尽量在现场搜寻手机的配套数据线及充电设备，防止因无法找到相应的数据线而延误检验鉴定工作。

(五)询问当事人

手机的提取有别于传统的物证，传统物证在现场提取时，往往偏重收集与嫌疑人有关的物证，而手机作为相互沟通的工具，受害者与嫌疑人之间也存在沟通的可能，因此提取手机时，还要重点询问手机的使用者，包括手机内安装的软件信息、聊天工具及密码信息、开机锁(九宫图)等相关信息。

(六)填写电子物证现场勘查检查工作记录

此记录与传统记录方式相似，要细致、明确地记录“七何”要素，包括人、事件、地点、时间(日期和开始、结束工作的时间)、手段等详细过程，还包括提取物证的部位及手机标签信息等，同时邀请见证人并签字确认。

(七)填写扣押清单、封存设备

侦查人员在勘验、搜查中发现的可用以证明犯罪嫌疑人有罪或者无罪的相关电子证据存储设备与介质，应当予以扣押或封存。对于扣押或封存的手机物证，事前必须做好拍照及固定工作。

三、对现场手机物证的数据检验

手机数据的检验，是利用仪器设备及科学的检验方法对手机里存储的信息进行分析，找出与犯罪有关的信息。从目前实践来看，手机数据的检验包括以下几个阶段：

(一)传统物证信息的采集

现场遗留的手机，往往是有人使用过的物品，可能是嫌疑人用过，也不排除事主(受害者)使用。因此对手机壳上的指纹及DNA信息的采集不可遗漏，以此证明手机的拥有者或使用者。

(二)手机机身内存的检验

目前市面上有多种取证的设备及软件，比较常见的有美亚DC-4500设备、大连睿海的综合手机取证设备等。大多数的手机能够通过软件读取机身内的数据，但部分手机如山寨机无法直接读取，则需要通过生成镜像文件，用综合取证分析软件对镜像文件解析，分析机身存储及删除数据，检出与犯罪有关的信息。对损坏手机已经无法开机的情况，可以利用打开手机，取出内存芯片，用相应的芯片读取工具，直接快速显现手机内存数据。

(三)手机扩展卡的检验

手机扩展卡也叫存储卡，是用来扩展手机的物理空间的，例如有MMC卡、RS-MMC卡、SD卡、mini SD卡、T-Flash卡、Sony记忆棒、CF卡等。往往软件、照片、录像、录音等信息都存储在手机扩展卡上。通过相应的读卡设备，中间用只读设备作为中介连接到取证计算机上，使用如Encase、X-way、Final Data等综合分析软件对卡上数据搜索及数据恢复，提取犯罪信息、寻找删除数据。

(四)手机SIM卡上的数据

SIM卡是(Subscriber Identity Module 客户识别模块)的缩写，也称为智能卡、用户身份识别卡，它在电脑芯片上存储了数字移动电话客户的信息，加密的密钥以及用户的电话簿、短信、通话记录等内容。对SIM卡的检验，读卡器接入取证设备上，用Device Seizure、卡e通、SIM Manager、DC-4500等软件来分析数据，检出与案件有关的信息。对于SIM卡上删除的数据，往往是嫌疑人刻意删除，存在犯罪信息的可能性更大，对删除数据的分析显得更为重要，可以使用SIM Card Data Recovery Software、Undelete SMS、SIM Card Seizure等软件接入数据恢复并综合分析。

四、手机数据在侦查破案中的应用

手机中存储的犯罪信息包括身份信息、通话记录、通讯录、短信息、照片、录像等，以多种方式给侦查部门提供帮助。

(一)查找嫌疑对象

手机的识别信息如SIM卡号、电话号码、IMEI号码等，这些信息通过情报系统能够方便地查找用户信息，特别是在运营商处登记有个人身份信息的情况，锁定嫌疑人就显得更为简单。不仅如此，还应加强与传统物证相互结合，提取指纹及生物信息，其中的人员信息相互印证。

(二)时间属性助破案

手机的时间功能，记录着通话记录、发送接收短信息的时间，在一些尸体现场，往往能够在手机中查找最后的通话记录或者是最后发送短信的时间，可以判断死者的死亡时间，通过与法医的检验相互印证，确定死亡时间。需要注意的是将手机上的时间可能与标准时间不一致，因此需要时间校对，最终为案件的侦办提供准确的信息。

(三)内存数据直破案

在手机内存及存储卡中不但记录着通讯录、通话记录等信息，而且还存储着照片、录像、录音等。往往在非正常死亡案件中能够起到非常重要的作用，嫌疑人在自杀等情况下，喜欢在手机上存储着自己最后一刻的照片或录像，而这个信息就为案件侦破定性起着关键性的作用。

(四)手机定位精度高

目前智能手机已经占有90%的市场份额，而智能手机普遍带有GPS定位功能，记录了使用者去过的地方，因此这个信息可以方便地分析活动轨迹，同时与侦查中掌握的情况相互印证确定犯罪嫌疑人。

五、结语

手机作为电子物证种类的一种，具有电子物证的特性，与传统如指纹、足迹等痕迹物证比较，提取有所不同，检验各有侧重。实际工作中加强与传统物证的配合，使其发挥最大效能。手机数据的不稳定和易失性，应更加注重现场保护，切忌无关人员操作手机。提取需灵活，对现场综合分析，观察手机状态，选择安全、可行的方法。对于手机的检验，应制定可行的计划，规范做好每一步，为侦查提供数据支持，用科技力量捍卫人民群众的生命财产安全，增强打击犯罪的能力。

[参考文献]

[1]戴吉名.手机取证及其电子证据获取研究[J].计算机与现代化.2007，5(141).

[2]许昱.手机取证若干问题研究[D].中国政法大学，2008.

[3]赵小敏.手机取证概述[J].网络安全技术与应用，2005(12).

[4]李学军.电子数据与证据.证据学论坛(第2卷)[M].北京：中国检察出版社，2001.

作者简介：周俊臣(1986-)，男，汉族，重庆人，本科双学位，重庆市涪陵区公安局刑警支队，工程师，研究方向：电子数据提取与检验。

中图分类号：D918.2

文献标识码：A

文章编号：2095-4379-(2015)35-0169-02