针对智能手机应用程序的取证技术刍议

代礼维 李奥

【 摘 要 】 随着科技的进步和发展，我国智能手机的发展进入了高速期，针对新型的移动通信设备，要建立有效的管理和取证措施，才能保证取证程序的完整，如何优化运行有效的取证机制，是需要研究人员在实际问题处理过程中深化思考的。论文针对智能手机取证原则、取证过程以及具体取证工具进行了详细的阐释，并且对数据分析结构展开了讨论，旨在为管理人员提供有效的技术指导。

【 关键词 】 智能手机；应用程序；取证技术

【 中图分类号 】 TP311

【 文献标识码 】 A

【 Abstract 】 With the progress and development of science and technology， the development of China's smart phone entered the period of rapid， for new mobile communication equipment， it is necessary to establish effective management and measure of evidence， in order to ensure complete forensic procedures， how to optimize the operation of effective forensics mechanism， is required to researchers in a practical problem processing in the process of deepening thinking. In this paper， the principle of smart phone forensics， evidence collection process and the specific tools for a detailed explanation， and the data analysis of the structure is discussed， designed to provide effective technical guidance for the management staff.

【 Keywords 】 smart phone； application； forensic technology

1 引言

随着科学技术的不断发展，针对手机取证工作的研究，也在不断地深入。在进行智能手机取证时，项目研究人员要集中遵循几项原则。

第一，合法取证原则。进行智能手机取证的前提就是相应的项目符合法规，只有在合法授权条件下，才能建立相应的取证行为。在建立取证活动过程中，要设立取证人员、取证物品、取证技术手段以及取证基本程序等，保证取证行为在手段和技术合法的机制下运行。

第二，全面取证原则[1]。在进行手机取证的过程中，项目管理人员要保证建立有效的项目处理机制，运行高效的信息提取技术，真正实现完整的数据链，通过对手机上相应的浏览记录进行跟踪和取证，保证整体数据信息的完整。

第三，无损取证原则。在对数据信息进行集中取证的过程中，管理人员要根据实际情况建立建立有效的项目处理机制，从根本上确保信息数据的完整和真实有效。特别要注意的是，在信息取证的过程中，智能手机要保证开机状态，且不能对手机日志进行自行的删改，也要远离高磁场以及高温地区，避免由于载体损伤才造成的信息受损。

第四，及时取证原则。在信息收取的过程中，管理人员要针对手机即时生成的系统日志和系统进程进行有效跟踪，一定要避免由于手机本身容量导致的信息覆盖问题。

2 智能手机取证技术运行过程

在实际智能手机取证时，研究人员要根据实际情况建立最优化的项目分析机制，保证整体取证过程符合具体要求。

首先，取证人员要针对取证项目建立相应的取证单据，以保证整体取证行为的合法化，针对取证工作进行有效的标注和分析，建立最优化的取证登记。

其次，取证人员要对收集进行基本的物理处理。在处理过程中，相应的处理人员要利用具体技术保证信息的完整和真实有效，物理处理中要对指纹解锁的手机进行指纹处理，以保证有权对手机能信息进行读取和收集，将SIM卡取下，放置在屏蔽器内，以保证收集停止接受外界信息，并且有效的保留原始状态。由于手机不能进行镜像处理，智能利用专业连接收集的信息收集芯片进行信息的处理，保证手机能实现有效的物理和网络连接，进行工具包的实时恢复。

再次，进行数据恢复，针对于整个取证过程，数据的恢复是重中之重，取证人员要利用镜像专门检查，保证手机内相应的数据得到很好的留存，利用相应的技术手段对数据进行优化提取，保证对SIM卡内的内容进行及时的智能读写，或者是在实际信息取证过程中利用TULP2G技术以及SimBrush技术等，利用MMC软件以及SD技术对存储卡内的信息进行读取。特别要注意的是两方面信息的收集和读取：其一是ROM存储，主要存储的系统操作软件[2]；其二是RAM，主要存储的是及时运行数据，在手机实际运行过程中，主要是利用内存形式进行数据的擦除和写入，相应运行操作也是需要次数限制的，因此，取证人员要运行最优化的信息收集方案。

最后，是所有的相应技术操作完毕后，利用相应的技术进行证据的有效提取和分析，保证文件得到有效的恢复。

3 智能手机取证工具

本文针对苹果的IOS系统进行取证工具的分析，苹果手机内部存在闪存区，多数信息都存储在闪存区内部，大约空间为300M，主要是实际操作系统和应用软件，并且其默认数据都存储在存储器内部，始终保持出厂设置，剩余部分划分为用户使用区，用户将自身使用信息以及运行内容直接存储进去。这样的设计时苹果公司为了优化客户的实际体验而建立的，旨在手机两个区域内进行相应活动。出厂设置区域内部安装取证工具具有非常安全的工作环境，第二区有大量使用者的实际信息，是取证工作的重点。

在对取证工具进行划分的过程中，管理人员要根据实际情况建立最优化的通信方式选择，不仅包括串口通信，也包括WiFi以及蓝牙结构，都能实现信息的传输，在达成串口协议后，通过指令的发送就是实现模式的恢复。

另外，还要进行数据的恢复模型和数据完整性保存，在智能手机开机后，只有利用相应的措施才能保证不会受到数据的污染，但是若是电话和其他设备进行同步连接，苹果手机就能集中复制对接电话的电话号码，照片以及其他数据，因此，在实际取证前，相应的管理人员要将Syncing设置为不能自动同步模式。以保证安装取证工具后，不会损坏手机原有的分区。

在实际数据恢复过程中，相应的管理人员要利用必要的数据信息进行集中的处理，保证对相应操作系统进行有效的管控，其中最基本的Unix系统部分中，OpenSSH是基本的安全系统，Netcat是利用网络发送数据的系统，The md5是建立硬盘镜像的系统软件，The dd是复制硬盘镜像结构来访问磁盘项目的。在实际取证工具建立的过程中，主要的步骤包括下载最新版本的系统软件，叫做iLiberty+，直接运行至C：＼盘，然后利用相应的串口保证电脑USB接口的实时连接，一旦两者建立相应的联系，就能识别项目中的具体数据和信息，真正落实取证工具的安装[3]。

4 智能手机数据分析

在手机中进行数据和信息的收集以及取证，需要研究人员针对不同问题进行不同软件的运行，以保证整体信息传递的实效性。其中包括：users/Desktop/Recovered iphone files等目录，且能实现相关联数据在整体程序中有效运行，在数据处理过程中，相应管理人员要利用具体操作进行集中数据库分析，利用SQLite对Addressbook、SQLitedb以及addressbookimages.sqlitedb两个数据库进行集中的数据处理，真正实现有效的取证技术整合。

取证人员能通过相应的浏览工具进行数据的处理和分析，真正实现主数据阈限的有效控制。除此之外，相关取证人员也可以利用GPS系统跟踪进行有效的取证数据分析，保证对人员的时间信息以及空间信息进行直接的指引和运用，也能利用GPS系统对用户的兴趣点和爱好进行详细信息的收集和整理没保证利用历史记录进行有效信息的取证。

5 结束语

总而言之，在智能手机取证技术运行的过程中，取证人员要针对具体问题建立具体分析机制，保证对有效信息进行集中的收集，并且遵循信息取证原则，严格遵守相应的取证标准进行取证操作，在取证过程中优化运行相应的取证技术，提高取证工具的安装行为，建立最为有效的取证操作。我国智能手机用户已经突破了10亿，要进行优化的取证工作，就需要相关取证人员在实际工作中不断更新思路，建立最优化取证路径，推动整体工作的可持续发展。

参考文献

[1] 辛蔚妮.智能手机：医学教育的新工具[C].第七届东西方联盟大会暨第十四届海峡两岸及香港地区医学教育研讨会论文集.2013：59，135.

[2] AnneDiNardo，周怡.掌上革命在继续——零售商利用智能手机技术成为趋势[C].第十五届国际商业论坛论文集.2012：51-51.

[3] 蒋文明，杨志新，蒋敏等.智能手机应用程序图标设计的可用性研究[J].人类工效学，2015，21（03）：21-24，30.

作者简介：

代礼维（1983-），男，贵州遵义人；主要研究方向和关注领域：电子数据现场勘察、电子物证取证。

李奥（1984-），男，贵州安顺人；主要研究方向和关注领域：电子数据现场勘察、电子物证取证。