赵晓松
(天津公安警官职业技术学院 计算机教研部,天津 300382)
移动互联网技术的高速发展,带动了移动终端的使用与普及。新型智能移动终端设备的研发入市,给人们的生活带来了翻天覆地的变化。借助智能移动终端,足不出户便可满足购物、餐饮、娱乐、旅游等各种需求。中国互联网络信息中心(CNNIC)在2019年初发布的报告显示,截至2018年底,中国网民规模已经达到了8.29亿,互联网普及率达到59.6%。其中,使用手机上网的中国网民数量达到8.17亿,网民通过移动终端接入互联网的比例高达98.6%。[1]
与此同时,智能移动终端也成为了许多不法分子实施犯罪活动的工具。一方面,他们借助智能移动终端进行沟通交流,例如使用电话、短信、即时通信软件、电子邮件等,进行文字、图片、语音或视频的传输,以团伙分工合作的方式实施不法活动;另一方面,利用智能移动终端所提供的高科技功能为其做案提供帮助,如使用GPS功能在涉案路线上予以帮助,使用电子商务功能在电商平台购买作案工具,使用电子银行、微信红包等方式进行财务往来。此外,有的不法分子还将智能移动终端用于病毒传播,进行电信诈骗、钓鱼欺骗、远程攻击、数据截获、信息盗取等恶劣的犯罪活动,给广大人民群众带来经济、物质、心理上的伤害。不法分子利用移动终端实施违法犯罪活动的几种常见途径如图1所示。
图1 不法分子利用移动终端的几种常见途径
通过对涉案智能移动终端的研究发现,如果在侦破案件的过程中,能够对犯罪嫌疑人的智能移动终端进行及时、完整、系统的电子数据取证,便可查找到许多与违法犯罪行为有关的证据及线索,了解犯罪嫌疑人的个人信息、行为习惯、社交网络等,从而有效提高案件的侦破效率。但是,新型智能移动终端技术发展迅速,为了更好地保障使用人信息的安全,不同操作系统的智能移动终端设备都增强了自身的保密性、可靠性和安全性,这也给公安机关的取证工作带来了新的挑战,如何从新型的智能移动终端获得有关数据,成为取证工作的新难题。为了解决这一难题,本文拟从介绍新型移动终端取证技术的概念、原则、特征及研究现状入手,详细分析目前应用领域中主流的几种智能移动终端操作系统的特点及难点,分别提出取证的方案。办案人员可以根据对电子证据的不同需求来选择适合的解决方案。
智能移动终端取证,通俗的来说,就是对目前大家普遍使用的智能手机的取证,是电子数据取证技术领域中专门针对移动通讯设备的一个取证分支。新型智能移动终端取证技术主要是指借助于专用的硬件或者软件,提取存贮在手机SIM卡、内存卡、外存卡中的数据,或者借助于短信服务商、微信服务商、移动网络运行商等服务器上保存的电子数据来提取、保存、分析、恢复、转换信息等,从而整理出能够提供犯罪嫌疑人作案证据、线索的有用信息,或者是能够被法庭所采纳的证据。
(1)合法性原则。合法性原则是取证的前提条件。要求取证的人员具有合法的授权和资格,取证的程序和手段符合法律规定,取证所借助的工具(包括硬件及软件)是合法的,获取的电子数据证据符合司法程序的证据信息要求。
(2)及时性原则。及时性原则是取证的必要条件。手机内保存的数据具有易失性,随着时间、环境的变化,数据会发生改变、丢失或增减等。如强磁场、强电场、高温高湿等都会破环手机中存储的数据;内存中的临时信息会因为基站的改变而随之变化;电量耗尽后会造成内存数据丢失;系统后台的自动更新则会不定时地替换原有设置。因此,只有及时取证,才能更好地获得真实可靠的数据。
(3)客观性原则。客观性是取证的基本要求。任何事物,只有符合其客观性,才能够反映事物的本质。因此,只有提取涉案手机的真实信息,才能将案件还原到其原始状态,方便办案人员依据事实来进行侦察工作。
(4)备份原则。手机信息存储在电子介质中,容易受到外界环境的干扰,具有易失性,所以需要及时将手机内所存储的信息进行备份和固化,这样才能避免因手机信息的丢失或者改变而造成信息的失真。
(5)物证保管链原则。手机作为取证对象,这就意味着对其保管要遵守法律办案程序中的物证保管链原则,建立规范的证据流转链记录,详细真实地记载手机取证过程中的每一个环节,直至取证结束。
手机取证是电子取证的一部分,在取证的某些环节,可以参照电子取证的程序。但同时,手机取证又有其自身的独特性,比如手机的位置移动性使得定位比较难,手机品牌、厂家的多样性使得操作范围较大,手机数据的易失性使得数据稳定性较差,手机的性能技术发展迅速而取证技术相对滞后。
从近年来公安机关办理的案件来看,目前手机取证已经成为提供办案线索的一种强有力的技术支持手段。在犯罪活动中,手机有可能是嫌疑人用来联络的通讯工具,也有可能是记录其犯罪事实的媒体介质,还有可能是其实施犯罪活动、传播恶意程序的犯罪工具。手机取证已经成为公安机关不可或缺的一种侦察手段,公安部近年来在这方面投入了大量的技术及资金力量。但是,智能手机技术的迅猛发展,数据安全性的提升,也给手机取证带来了巨大的考验。目前在手机取证领域主要面临三个方面的问题:一是取证人员的专业技术不过关,二是取证工具不够先进,三是国家在手机取证方面的法律法规还不够健全。
2.1.1 IOS系统智能移动终端取证的特点及难点
iPhone是用户非常喜爱的手机品牌之一,这款智能终端以其完美的外观和强大的功能设计,拥有了一定的市场占有率,尤其受到年轻人的喜爱。因此,研究iPhone手机数据取证技术,对于公安机关侦查办案,具有非常大的实用价值。
iPhone手机采用的操作系统是IOS系统,这种系统具有独特的安全性与封闭性,且具有较完善的数据权限保护机制。该智能终端的数据存储分为三种:一是可共享的数据,如照片、视频等;二是已下载至本机的App应用程序所对应的数据;三是系统内核数据。
对于照片、视频等可共享的数据,可以通过WPD模式直接读取[5]。对于APP应用程序对应的数据,IOS8.2之前的版本,可以从AppDomain区域中的第三方程序目录下提取;而IOS8.2版本之后,便很少有APP程序还将数据存储在AppDomain区域中了,这给数据提取带来了不少麻烦。对于没有获得ROOT权限的智能终端来说,其中的数据,根本无法读取。
2.1.2 IOS系统智能移动终端取证的解决方案研究
选取适合的取证技术,是取证成功与否的关键。对不同的IOS智能终端设备进行取证其复杂程度也各不相同,比如开机密码的有无、密码的复杂程度、指纹密码、面部识别等,第三方APP应用程序也会有其相应的不同长度及不同组合方式的密码。目前在IOS系统取证的应用领域中,常用的取证手段主要有下述三种。
(1)直接取证。即通过手机直接进行取证,这要求取证人能够以第一使用人的身份对手机进行全权限的操作。这种获取方式最为直接,数据也会最为完整。
(2)逻辑取证。借助于iTunes或者其他备份软件工具,对手机数据进行提取。这种方法需要借助于第三方软件对手机上的数据进行导出操作。这种方式便于对数据的分析及二次存储。
(3)物理取证。利用专门的设备或者程序对手机中的存储器进行数据的镜像拷贝,包括系统数据及应用程序数据。这种方式可以实现位的拷贝,但对于数据格式的分析,有时候会因为对其程序的规则不了解而无从入手。
在IOS设备中数据有不同的种类,分别是系统自带数据、用户设定数据以及第三方应用程序数据。在IOS系统中,通话记录、电话本信息、地图信息、Safari浏览器信息、SMS/iMassage信息都位于路径“Library/”下;音频记录、日历、Email、图片、记事本信息都位于路径“private/var/mobile/”下。
2.2.1 Android系统智能移动终端取证的特点及难点
Android系统是当今非常主流的智能手机操作系统之一,它的市场占有率非常高,超过了80%。其最大的特点是代码平台具有开源性,这种特性使得各个厂商可以根据自己的需求来开发产品,具有很大的灵活性。也正因为不同的厂家会个性化定制自己的智能移动手机,造成了Android系统手机的多样化、繁杂化,这给电子证据的获取带来了许多困难。同时,大量的APP开发商也看中了其代码的灵活性,基于Android系统纷纷推出多样化的APP,在方便易用的同时,不同的界面、不同的接口、不同的数据格式也给电子证据的获取带来了很多困扰。
2.2.2 Android系统智能移动终端取证的解决方案研究
对于Android系统智能移动终端进行取证,一项关键的技术是Root。Root是一种专门获得Android系统数据提取权的技术,获取了Root权限之后,便可以从Android系统的手机中读取整个文件系统。
目前网上流行的Android系统Root工具,方便易用的有:SuperOneClick[6],z4root[7],GingerBreak[8],以及最新的zergRush[9]。在Android系统取证的应用领域中,通常使用的取证手段主要有下述三种。
(1)在线取证。类似于IOS系统的直接取证,通过USB连线,将Android手机与电脑直接相连,开启Android设备上的“USB调试模式”,即可开启取证设备与Android设备的数据通讯模式[10]。
(2)Recovery模式取证。Recovery模式是设备生产商为了对自己的产品进行系统初始化设置或恢复系统而设计的,这个功能不需要掌握开机密码就可以直接以Root权限来读取Android设备中的数据,其权限与在线取证方式是一样的。不同的设备会有不同的进入Recovery模式的方式,也有的设备厂商并不公开这种进入系统的方式,仅仅是内部工程技术人员在维修调试时使用。
(3)芯片级取证。如果前面介绍的破解方式失败了,那么芯片级取证便是Android设备取证的终结者。这种技术需要利用JTAG“测试接口”[11]。JTAG是一种国际标准测试协议[12],取证时需要打开Android设备的主板,在主板上找到JTAG接口(一般是隐藏在主板上的几个小金属触点),利用专门的工具与触点进行焊接,便可直接利用调试协议驱动CPU读取存储在Android设备中的数据,实现数据的全盘镜像。
如同IOS系统,在Android设备中数据有三类,分别是系统自带数据、用户设定数据以及第三方应用程序数据。在Android系统中,通话记录、电话本信息、短信息、多媒体信息、浏览网页信息都位于路径“/data/data/com/android.*”下。
目前,市场上还有其他一些智能终端移动设备,使用的是非主流的操作系统,主要包括:Windows Phone、Symbian 和 BlackBerry。对 Windows Phone系统的取证,可以采用直接联接、数据备份及芯片级取证这三种手段。对Symbian系统的取证,可以采用Nokia PC Suite制作的设备备份来取证。对BlackBerry系统的取证,可以采用直接连接或者是备份后对数据进行提取分析的方式。
新型智能移动终端取证技术是电子数据取证技术领域中专门针对移动通讯设备的一个取证分支,在互联网高速发展的时代,高科技、高智能的犯罪活动呈现出高速增长及多样性变化的趋势,公安机关在办案过程中,可能会越来越多地把破案侦察手段建立在电子数据取证的基础之上,司法证据可以来源于不同方式的电子证据,司法证明将步入电子证据时代(如图2所示)。这便意味着,深入研究新型智能移动终端取证技术,将为电子取证技术提供强大的技术保障和支持。
图2 电子证据时代司法证明取证方式
本文介绍了新型智能移动终端取证技术的概念、原则、特征及现状,重点研究了主流的IOS系统与Android系统的取证技术难点及取证手段,简单提及了非主流的Windows Phone、Symbian和BlackBerry系统的取证技术。
目前,移动终端取证技术的难点在于因权限的不足而导致信息的获得不够全面。而各个厂商为了提高自身产品对个人信息的安全保护级别,不断地升级设备,给取证技术带来了新的困扰。将来,随着5G技术大规模投入使用,海量的数据存储及高速的信息流转,会给移动终端取证带来新的挑战。因此,在技术上,应该更注重于对破解技术的研究,针对智能移动设备的数据保护及分析探索新的途径,积极寻求云端服务等高端数据存储模式的取证分析方法;在政策上,应该进一步完善取证流程、取证原则,建立适合我国国情的一系列取证制度。通过多方努力创建更具活力的新型智能移动终端的取证技术系统,为我国司法鉴定工作提供强有力的保障。