移动数字取证技术

丁丽萍　岳晓萌　李彦峰

摘要：对应移动数字取证技术的4个方面：移动设备取证、移动系统取证、移动网络取证和移动应用取证，给出了移动设备取证的步骤和手段，基于iOS和Android系统的数字取证技术及其特点，移动网络下数字取证的基本手段和技术，移动应用取证的基本特征；认为随着越来越多的新概念和新技术的发展，未来智能移动终端数字取证技术将成为数字取证的主流之一。

关键词： 智能移动终端；数字取证；移动取证；网络犯罪

数字取证是指科学地运用提取和证明方法，对于从电子数据源提取的电子证据进行保护、收集、验证、鉴定、分析、解释、存档和出示，以有助于进一步的犯罪事件重构或者帮助识别某些与计划操作无关的非授权性活动。无线通信技术的普及和智能终端应用的便捷带来了诸多的安全问题及针对智能终端的犯罪活动。移动支付等涉及个人财产和隐私信息的应用层出不穷，导致针对移动通信系统的犯罪激增。据统计，欧洲80%的犯罪涉及移动数字取证，英国90%的犯罪涉及移动数字取证，美国70%的犯罪涉及移动数字取证。移动取证正在发展成为数字取证的主要工作。同时，移动通信安全事件的事前安全防护与事后追责的讼诉相关理论和技术的研究也是信息安全和取证领域的研究热点问题。

数字取证技术的研究有鲜明的国家特点，即国家的性质、法律和制度对于数字取证技术的研究均具有一定的影响和制约。照搬照抄国际上的数字取证技术和工具的做法是不可取的，结合中国国情的数字取证探索值得大力提倡。目前，中国在操作系统的可取证研究、BIOS芯片取证方面已经推出了自主创新的研究成果，但与国际上更为成熟的数字取证技术相比，差距还比较大。

无线通信技术的复杂性和多样性使得数字取证面临诸多难点问题。从移动互联网的组成看，移动取证包括：

（1）移动设备取证，包括各种不同型号品牌的手机、平板电脑（PAD）、自带设备办公（BYOD）、各种不同的物联网终端等。

（2）移动系统取证，包括各种移动终端操作系统的取证。

（3）移动网络取证，包括对于各种协议的分析和网络中传输的数据包的截获与提取分析。

（4）移动应用取证，包括对各种不同的应用采用不同的技术方法有针对性地进行证据获取和分析。

移动设备取证、移动系统取证、移动网络取证、移动应用取证是无法完全隔离开来的，需要综合考虑。

1 移动设备取证

美国国家标准技术研究所（NIST）在2014年5月份推出了移动设备取证的指导原则[1]，对移动设备取证的目的和范围、方式和方法做了系统性的分析和介绍，其中包括移动设备的特点、存储结构、标识模型特点、移动网络的特点、取证工具的能力、现场的保护和评估、打包传输和存储证据、现场应急处理、移动设备标识、工具选择和期望、移动设备存储获取、外围设备、对移动设备的云服务等内容。

综合来讲，移动设备取证可以分为4个步骤：保护证据、获取、检查和分析、报告。移动取证的步骤如图1所示。

保护证据的目的有两个，一是要最大限度地获取相关的证据数据，二是要保护证据数据的完整性和原始性以确保其可采用性。获取证据是针对原始数据的镜像、提取等。鉴定与分析是要找出能证明特定事件的发生与否的证据。报告是要按照诉讼和调解部门的要求出具鉴定和取证的结论性报告。

根据提取数字证据的不同手段和方式，可以将移动设备取证分为5个层次，自底向上逐个难度增加，其分别是：手工提取、逻辑提取、十六进制转储、芯片拆除和微码读取。移动设备取证的5个层次如图2所示。

1.1 手工提取

所谓人工提取是指手工使用按钮、键盘、触屏等方法浏览并用照相机拍摄显示的数据内容。如果数据量很大，人工提取的难度将会很大。现在有一些自动化的工具可以帮助自动实现人工提取过程。目前，已经有一种设备，把手机固定在一个装有照相机的架子下，相机拍摄下每一个屏幕显示会通过一根线自动传输到电脑中并打上Hash固定成证据。

1.2 逻辑提取

逻辑提取就是要用计算机和移动设备建立连接，然后，使用相应的逻辑提取工具进行提取。进行逻辑提取应该注意的问题是要牢记连接方式和相关的协议，因为错误的连接方式和协议可能会导致数据被篡改和提取到错误的数据。

1.3 十六进制转储

十六进制转储主要是用来直接提取闪存上的数据。这类方法的挑战是如何解析和解码捕获到的数据。检测到文件系统的逻辑视图并报告一些文件系统以外的残余数据也是一个挑战。这个层面的工具包括：连接线或者Wi-Fi以及取证工作站等等。

1.4 芯片拆除

芯片拆除方法也是用来提取闪存中的数据。但是，这种方法是更直接的，要求对芯片创建一个二进制/十六进制镜像。为了获取二进制/十六进制文件，均衡抹除算法必须被逆向工程。完成后，二进制镜像文件就可以被分析了。这种方法和传统的磁盘镜像密切相关。这种方法的操作者需要进行训练。

1.5 微码读取

微码读取是通过电子显微镜对NAND和NOR两种类型的闪存进行物理提取的方法。需要专家、合适的设备、时间和对相关信息的深度了解。这种方法仅仅用于其他方法不能用并且案件是大案和要案的情况。

1.6 移动设备取证工具

目前国际上有一些移动设备的取证工具，例如：

（1）FinalShield

FinalShield是一种用来屏蔽手机信号的取证辅助工具，该工具通过内部USB与Android系统手机进行连接，计算机或特定的手机取证工具利用FinalShield外部USB与该设备进行连接，作为手机取证的辅助工具共同得到有效的电子证据，可以有效的防止取证过程中有电话打入或短信接收，从而造成手机原始数据不必要的破坏或丢失。

（2）XRY

XRY是一款便携式取证箱，用来手机内存转储和采集数据的工具。此设备是由SIM卡读写器、USB通信单元、数据线、记忆卡读卡器、SIM复制卡等组成的。在安全模式下可以读取手机内的Message、telephonenumber、addressbooks、pictures、video等。该工具效果理想，并且容易操作，可以方便快捷的完成手机数据的分析、获取、查看工作，同时，还能通过加密文件的创建，保护数据不被其他未经允许的人员进行查看。该工具完成取证工作后，会得出相应的分析报告，方便调查工作人员查看详细的取证结果。

（3）OxygenForensic

OxygenForensic通过运用高级底层通信方式，获取更多数据，相比其他对智能手机、PDA以及普通手机的逻辑分析软件，显示了更大的优越性，尤其适合于Android系统手机的取证工作。

（4）BitPIM

BitPIM是一种电话管理软件，能够查看手机的Phonebook、calendar、wallpapers、ringtones等数据。该软件可以在Linux等操作系统上运行，前提是需要我们安装正确的驱动程序。

（5）CELLDEK

CELLDEK是一款便携式手机取证箱，可以提取Android系统手机的原始数据。设备中嵌入一台笔记本，数据的提取和分析就是通过笔记本内的特定软件来实现的。

2 移动系统取证

一般而言，移动设备的常用操作系统有iOS、Android、Windows Phone、BlackBerry等，目前比较主流的是iOS和Android，主要的移动系统取证研究也是围绕着这两个操作系统[2]。

分析移动操作系统的取证方法，首先，要了解其文件系统及存储管理系统：用于存储的硬件是闪存控制器、NAND闪存、多媒体存储卡。内核负责存储的模块包括：存储设备的驱动、用于访问内存设备的子系统、块设备子系统、虚拟文件系统（VFS）、能够很好地支持大容量NAND的文件系统等等。Android操作系统为了实现应用的隔离，使用了沙箱的安全架构，这也是移动系统取证需要考虑的[3]。

2.1 Android系统取证

（1）逻辑技术取证

在有ROOT权限的情况下，可以用adb pull命令把文件系统的不同部分复制到Ubuntu工作站中进一步分析。备份分析使用的RerWare、AFLogical等也是不错的取证工具。

（2）物理取证

包括硬件与终端实现连接的方法或者是物理上获取终端设备的方法，也包括将终端设备中的软件在具有ROOT访问权限条件下运行以获取分区完整镜像的技术，JTAG以及ROOT权限下的各种技术方法等。

通过各种取证手段获取时间的时间序列、系统的文件类型、对文件分区的镜像和分析等等。

2.2 iOS系统取证

iOS系统越狱和取证的关系问题：越狱使得取证容易了，数据却不安全了。越狱的好处——提权并安装未经Apple验证的程序；越狱后的风险——系统安全性大幅降低、可随意安装未经验证的应用（App）。iOS的文件系统是HFS+，SQLite数据库包括地址簿、短信和呼叫记录等[4]。

iOS设备和Android设备的最大区别就是其安全性。iOS设备可以设置一个PIN码（一般4位）来阻止非法访问，可以设置连续10次错误码将抹掉手机上的所有数据，还有一个会员机制——MobileMe，允许用户在设备丢失的情况下远程设置密码[5]。

iOS系统取证的内容：由于iOS的加密机制，仅仅获取磁盘镜像还不行，应该先破译或者绕过密钥；内容保护密钥必须在获取阶段从设备中提取；需要解密存储的内容；密码需要用来完成一个主密钥集合；实际操作中，应该先线下提取源数据和计算机保护密钥[6]。

iOS系统取证方法[7]：

（1）直接从iPhone获取数据。这种方式是指从连接在电脑上的手机中直接获取数据。

（2）利用苹果的协议获取iPhone文件系统一个备份或者逻辑拷贝[8]。这种方式仅仅能从一个镜像文件中获取证据（利用同步协议），最大的问题也是密钥的破解。

（3）物理逐字节复制。这种方式即以传统的物理克隆的方法产生一个镜像文件。此方法的困难在于数据太大并且分析过程复杂，有时需要修改分区。iOS系统移动取证的最大难点在于突破加密机制[9]。

2.3 Android与iOS系统取证对比

iOS系统和Android系统各有优势，iOS系统是完全封闭的系统，不开源，但是这个系统经过苹果的严格管理，在大部分情况下，第三方应用是无法拿到所有应用编程接口（API）的，是高安全性的一个优秀的系统，但是很多软件收费，必须通过越狱来达到免费得目的。从移动取证的难度上来说，iOS系统的取证难度较大，尤其是在不越狱的情况下尤为困难。

Android是一个开源并且免费的系统软件，在设计上Android就允许自由替换系统组件，但是，这个系统本身安全性不高，并且平台系统散乱，形成了一个系统多个硬件的情况，但是由于系统开源，造成了软件免费，盗版猖獗的情况[10]。从移动取证的难度上来说，Android系统的取证较iOS系统来说难度相对小些。

3 移动网络取证

移动网络取证的目的是分析网络传输的信号，包括截获数据包，分析数据和确定一些关键信息，如嫌疑人手机的位置等等。

在移动网络中，每一个移动基站有其自己的覆盖区域。蜂窝网络或者其标识（ID）也可用于识别无线电信号在该区域中的位置。基站会根据ID来识别属于它的用户及其具体位置。

取证人员首先需要获取网络的一个真实的拓扑图。然后，要了解移动网络的覆盖区域，或者是，我们要取证的区域内的基站数量、基站的拥有者等等。获取的网络数据对于蜂窝的覆盖可以用来判断嫌疑人可能或者不可能在案发现场。

4 移动应用取证

移动终端应用程序数量非常庞大，特别是对于苹果和安卓手机的应用，而且第三方应用程序包含的数据非常丰富。这些第三方应用由世界各地的开发人员完成，应用的数据也会有各种不同的格式：文本格式、SQLite数据库格式等等。文件备份的位置也很重要，很多智能手机应用的数据存在SQLite数据库中。App的数据恢复就是对于SQLite数据的恢复，如果数据没有被覆盖过，数据很容易恢复，使用的工具也很多，常用的取证工具都能做到。总之，App的取证应该具体问题具体分析，目前没有统一的解决方案[11]。

5 结束语

移动数字取证的趋势应该集中在移动设备取证、移动系统取证、移动网络取证和移动应用取证这4个方面。取证的效率一直是数字取证的重点和难点问题，移动取证也是如此。取证过程的处理速度主要表现在数据获取的速度、密码破解的速度等等。数据存储的特征主要表现在容量、结构、速度等[12]。随着云计算和大数据技术的发展，云计算技术和大数据技术对移动取证的影响也开始凸显。云计算给数字取证带来的是便利和挑战，基于基础设施即服务（IaaS）提供的条件，建立专门的取证服务器，通过克隆技术，我们无需临时寻找存储设备，并花时间等待其启动并进入使用状态，从而大大降低成本和缩短时间；同时，云计算也给从云环境中提取证据成为一个新的研究课题[13]。除此之外，如何利用大数据技术取证和如何对大数据中的电子证据进行提取两个方面的研究也在同步进行[14]。结合越来越多的新概念和新技术的发展，未来智能移动终端数字取证技术将成为数字取证的主流之一。

参考文献

[1] AYERS R， BROTHERS S， JANSEN W. Guidelines on mobile device forensics [J]. NIST Special Publication， 2013， 80（1）：101-104

[2] Bill Teel. Mobile Device Forensics Overview [EB/OL]. [2015-03-01]. http：//www.mobileforensicscentral.com/mfc/documents/MobileDeviceForensicsOverview-March2011.ppt

[3] ANDROULIDAKIS I I. Mobile Phone Security and Forensics： A Practical Approach [M]. Springer Science & Business Media， 2012

[4] HOOG A， STRZEMPKA K. iPhone and iOS forensics： Investigation， analysis and mobile security for Apple iPhone， iPad and iOS devices [M]. Elsevier， 2011

[5] ZDZIARSKI J. Hacking and securing iOS applications： stealing data， hijacking software， and how to prevent it [M]. O'Reilly Media， Inc.， 2012

[6] AHMED R， DHARASKAR R V. Mobile forensics： an overview， tools， future trends and challenges from law enforcement perspective [C]//Proceedings of the 6th International Conference on E-Governance， ICEG， Emerging Technologies in E-Government， M-Government. 2008： 312-23

[7] ANDREW H. iPhone Forensics [EB/OL]. [2015-03-01]. http：//www.mandarino70.it/Documents/iPhone-Forensics-2009.pdf

[9] BELENKO A， SKLYAROV D. Evolution of iOS Data Protection and iPhone Forensics： from iPhone OS to iOS 5 [C]//Proceedings of the Blackhat Abu Dhabi Conference. 2011

[9] JONATHAN Z. iOS Forensic Investigative Methods [EB/OL]. [2015-03-01]. http：//www.zdziarski.com/blog/wp-content/uploads/2013/05/iOS-Forensic-Investigative-Methods.pdf

[10] QUICK D， ALZAABI M. Forensic analysis of the android file system yaffs2 [J]. NIST Special Publication， 2011， 78（1）：81-87

[11] LESSARD J， KESSLER G. Android Forensics： Simplifying Cell Phone Examinations [J]. NIST Special Publication， 2010， 77（1）：55-83

[12] BARMPATSALOU K， DAMOPOULOS D， KAMBOURAKIS G， et al. A critical review of 7 years of Mobile Device Forensics [J]. Digital Investigation， 2013， 10（4）： 323-349

[13] SIMOU S， KALLONIATIS C， KAVAKLI E， et al. Cloud Forensics： Identifying the Major Issues and Challenges [C]//Proceedings of the Advanced Information Systems Engineering. Springer International Publishing， 2014： 271-284

[14] GUARINO A. Digital Forensics as a Big Data Challenge [M]. ISSE 2013 Securing Electronic Business Processes. Springer Fachmedien Wiesbaden， 2013