浅谈电子物证中手机数据的保护与提取

李军辉　李金月　邓强

摘要：手机作为目前社会最普遍的通讯工具，其中存储着大量有利于直接举证或间接提供破案线索的有价值信息，其重要性已不必再强调，本文便以手机为主要客体，以电子取证的检验流程为基础，针对不同情况，不同检材条件，不同办案阶段，结合目前的检验技术对手机取证的实战与应用进行介绍。

关键词：保护手机证据；提取手机证据

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2015）20-0179-02

In the Introduction to Electronic Evidence Protection and Extraction of Mobile Data

LI Jun-hui，LI Jin-yue，DENG Qiang

（Shijiazhuang City of Hebei Province People's Procuratorate， Shijiazhuang 050072， China）

Abstract： As the most common social communication tools， which stores a lot of beneficial to proof directly or indirectly provide valuable information investigation clue， already no longer have to emphasize the importance， with a mobile phone as the main object， this paper is based on electronic evidence of inspection process， according to different situations， different material conditions， different working stages， combined with the current inspection technology to introduce the practice and application of mobile phone forensics.

Key words： protect mobile phone evidence； extract the phone evidence

手机数据检验属于小型电子设备检验工作中的一个主要分支，小型电子设备英文统称SSDD（Small Scale Digital Device Forensics），是目前国际司法检验行业投入最大、发展最快，也是面对困难最多、最具挑战的一个检验项目，具体课题包括：手机取证、PDA取证、GPS取证、MP3-MP4等等。手机作为目前社会最普遍的通讯工具，其中存储着大量有利于直接举证或间接提供破案线索的有价值信息，其重要性已不必再强调，本文便以手机为主要客体，以电子取证的检验流程为基础，针对不同情况，不同检材条件，不同办案阶段，结合目前的检验技术对手机取证的实战与应用进行介绍。

手机检验虽然在细节的处理方式上与传统计算机取证存在差异，但在取证步骤上同样遵循证据固定、提取，备份和后期分析的检验流程，检验前提同样是要在保证原始检材不被污染的前提下最大程度提取证据。

1 保护手机证据的方式

保护证据是电子取证需要考虑的第一个问题，也是所有后续工作可以顺利开展的前提条件。在实战中，保护目标手机最为重要的手段就是信号屏蔽。其意义有三：一是避免污染检材。由于不同手机对于数据存储设有不同的存储上限，任何新电话的打入和信短的接收都会对手机原有内容进行覆盖导致永久性丢失，甚至在一定程度上影响原始证据的可信性。二是科学手段阻断沟通渠道。主要体现在避免办案人员在没有准备的情况下接到其他疑犯或团伙成员的试探性电话，此时只有在信号得到屏蔽的情况下才能消除其他疑犯的戒心避免打草惊蛇，同时防止手机遭到窃听或定位等高端反侦查手段，强调了案件侦破的严谨性和科学性。三是安全保障。在很多恐怖活动中手机都充当了重要的操控和触发手段，及时对犯罪嫌疑人的手机进行信号控制是某些恐怖活动案件中首当其要的任务。

实现信号屏蔽的手段大体分为四种，检验人员可以根据以下每种方法的特点和不足，在不同情况不同办案条件下运用不同手段。

1.1 屏蔽箱方式

借助电子取证专业屏蔽箱。此类屏蔽箱一般体积较小便于携带，箱体顶层采用透明屏蔽材料使检验人员可以对手机内容进行直接翻看，高端设备还能支持数据同步，也就是屏蔽箱的内部提供数据接口与手机相连，从箱体外部引出一条数据线与其他同步设备相连，在保证信号屏蔽的条件下将数据同步至其他设备或计算机。这种方式的优点是可靠性高，但透过屏蔽膜翻看手机操作较为不便。

1.2 屏蔽袋方式

原理与屏蔽箱一致，采用的材料是穿插金属丝的丝织材料。优点是携带方便，使用简单，更适用于室外取证，但缺点是不支持数据传输，不能直接翻看手机内容，在反复使用或清洗后可能由于金属丝断裂导致性能衰减。

1.3 屏蔽卡方式

利用SIM卡克隆机制作带有信号屏蔽功能的SIM卡，此卡插入原始证手机后可以正常开机，翻看内容，同时不会接收到信号，效果与物理屏蔽一样。关键在于克隆卡的IMSI、ICCID等唯一性标示信息与原SIM卡一致，插入原手机后不会清除通话记录等证据信息。

1.4 拆除电池

在没有任何设备的情况下办案人员通常采用拔电池的方法使手机断电，这种方式可以达到让呼叫方听到“您拨打的手机暂时无法接听”或“用户不在服务区”的效果，但直接的弊端是手机内容无法察看，如果嫌疑人设有PIN码或手机密码则无法后期开机检验。

2 提取手机中证据的方法

在通过正确方式方法将原始证据保护好之后，下一步工作则是通过技术手段对证据进行固定，提取和备份留档。目前最有效可行的方法是借助专业手机数据提取设备。其主要功能是快速高效的将手机数据，包括电话本、短信、通话记录、文档日至、多媒体信息，以及SIM卡ID等信息提取至移动存储介质，或直接提取至计算机便于证据留档和后期分析。

对于手机数据的提取方法可以按照设备支持与非设备支持粗分为两种：

方法一、设备支持型号的提取

在设备支持的情况下一定要首先尝试设备提取，除了提高效率节省人力外，设备不会出现人为错误。虽然不同设备的操作方式有所区别，难易程度也有所差异，但主要围绕以下几个操作步骤。具体操作方法需要参考设备说明书，这里只是对技巧和方法进行说明。

2.1 选择手机

通常情况下检验人员都需要在设备上输入具体手机的品牌和型号，使设备能够调用正确的驱动和数据协议。问题在于除了常见或流行的几种型号，很少有人能够通过外观判断所有手机的型号，有些手机将型号印在外壳上，比较直观，而有些从外观上是不能看出型号的。这里的技巧在于绝大多数手机都会将型号标签贴在手机机壳内部电池的背面，只要扣开电池都可以找到，但缺点在于需要断电，如果手机上有密码就无法重新开机。一种保守的方法是通过手机品牌的官方网站查找。

2.2 选择连接线

如果设备支持一款手机型号，一般都会提供对应的数据线。而好的设备会根据检验人员输入的手机型号提示相对应的数据线。如果设备不提供提示，此类信息可以从官方网站上查找。

2.3 设置手机

一般情况下设备需要通过USB、蓝牙，或红外三种方式与手机建立连接，有些手机在USB线缆接入后自动调节至数据传输状态，有些则要用户自己设置。高端设备往往会提供所支持的每款手机的设置步骤，也就是说在检验人员输入手机型号后会自动提示该款手机的设置方法。

2.4 选择获取内容

在数据传输之前，设备会让用户选择所提取数据的范围，内容包括：短信、电话本、通话记录、日志、图片视频等等，用户可以根据需要和时间情况决定，电话本、通话记录和短信往往是最为关键的几种信息，而且文本内容的提取速度很快，总而言之提取内容越多，获取时间越长。有些高端设备在数据传输过程中还可以提示检验员某些数据的具体大小，获取时间等信息，询问是否跳过以节省时间。

方法二、非设备支持型号的提取

手机检验设备的一个固定发展规律是设备永远落后于市场，设备支持的手机型号永远要追赶市场供应的手机型号，主要原因是手机行业日益更新的推进速度，和手机检验开发的技术兼商业难度。所以检验人员永远会面对被检手机不被设备所支持的问题，而以不变应万变的解决方案同样存在。

2.5 利用同步软件

市面上大多数手机都支持同步功能，也就是将手机数据导入电脑的一种功能。而具备这种功能的手机供应商都会在其官方网站上免费提供数据同步软件，现在同步功能已经成为手机的一项基本功能，而这种运用同步软件逐个解决问题的方式很可能在相当一段时间里作为手机检验设备的替补方法。缺点是同步软件获取的内容大都比较有限，有些仅仅支持电话本的获取，且数据输出格式不标准，无法导入分析软件进行后期分析，最关键的是检验手段非正规手段，同步软件具有污染检材的潜在危险。

2.6 运用手机翻拍设备

该方法是以传统文件检验的证据固定技术作为参考推出的，同时参考了国外处理小型电子设备的检验方法，目的就是将嫌疑人手机屏幕显示的信息用照相的方法固定提取下来，将嫌疑信息落实为证据档案。除此之外，手机翻拍设备可以将手机外观拍照固定，对手机图片进行拍照，录制视频，与电脑结合运用软件将不同内容的照片进行分类归档，生成MD5哈希校验值等等。这种方法虽然需要配合大量的人工操作，却非常实用，通用性最佳，只要屏幕可以显示就能提取，如果可以结合OCR将照片内容电子化，更有支持后期分析的潜在能力。

参考文献：

[1] 张明旺. 基于手机的电子证据获取技术研究[J]. 电脑知识与技术，2012（13）.