淺談智慧手機取證—流程篇

語言: CN / TW / HK

​智慧手機取證流程共分四個階段:證據保全、證據獲取、鑑定和分析、報告。在上篇中,將著重介紹智慧手機取證的概述、歷史與智慧手機取證流程的前兩個階段:證據保全和證據獲取,這兩步在智慧手機取證中發揮很重要的作用。

美國司法學會(National Institute of Justice, NIJ)定義電子資料是以二進位制形式儲存或傳輸的資訊,可以在法庭上被依賴,可以在電腦硬碟、行動電話、個人數字助手、數碼相機中的快閃記憶體卡等中找到。電子資料證據可用於起訴所有型別的犯罪,而不僅僅是電子犯罪。智慧手機取證作為電子資料取證的一個分支扮演著越來越重要的作用,通過手機電子資料可以獲取到嫌疑人的聊天記錄、出行記錄、地理位置、支付記錄、通話記錄和簡訊等資訊,根據這些資訊,調查人員可以推測出嫌疑人的交友、活動、財富等個人情況。然而,電子資料需要符合一定的規範和流程才能保證合法性,這對智慧手機取證來說是非常困難的,比如,一些取證工具需要與手機通訊,這使得手機電子資料取證期間不能使用防寫;移除晶片或者手機系統越獄,都會導致智慧手機電子資料改變。因此遵循適當且合法的方法和指南對手機電子資料取證至關重要。

1.智慧手機取證流程

1984年,聯邦調查局和其他執法機構開始基於早期版本的計算機對數字證據的檢查進行建模。第一個數字取證過程模型計算機取證調查過程(CFIP),主要關注資料採集以及這些資料的可靠性和法律接受程度。計算機取證調查過程模型分4個階段進行:獲取、識別、評估、作為證據。

相較於傳統的計算機取證調查,智慧手機取證在當今的調查中越來越普遍。但因為智慧手機作業系統的巨大可變性、標準的多樣性、資料儲存技術和資料保護程式等原因,從智慧手機收集數字證據成為一項更艱難的任務。美國國家標準與技術研究所(National Institute of Standards and Technology, NIST)在2014年5月推出了移動裝置取證的指導原則,對移動裝置取證的目的、範圍、方式和方法做了系統性的分析和介紹。綜合來講,移動裝置取證可以分為證據保全、證據獲取、鑑定和分析、報告四個步驟,如圖1所示。

圖1  移動取證流程

1.1. 證據保全

證據保全是在不改變智慧手機資料內容的前提下確保證據安全的過程,是智慧手機取證的第一步。證據保全的目的有兩個,一是要最大限度地獲取相關的證據資料,二是要保護證據資料的完整性和原始性以確保其可採用性。如果不能以原始狀態儲存證據,可能會丟失與案件相關的資訊。證據保全的基本步驟有保護和記錄現場、隔離和證據儲存。

1.1.1. 保護和記錄現場

現場獲取之前,首先要確定現場獲取的目的和範圍,現場獲取的人員需明確分工,落實責任並明確需攜帶的儀器裝置。其次要明確手機現場獲取採用的方法、標準、規範和步驟,並明確各操作可能造成的影響。工作人員應徹底搜查現場的所有區域,確保相關證據不被忽視。

現場獲取主要分為靜態獲取和動態獲取。在智慧手機扣押期間,對手機的不當處理可能會導致數字資料的丟失,因此需要謹慎行事。靜態獲取是指對於已經關閉的手機,在法律允許的範圍內對已授權的手機進行拍照或者拍攝,獲取並記錄手機的相關附件裝置資訊,這些資訊包括但不限於手機品牌和型號、手機唯一性標識(如:IMEI號)、手機SIM卡和外接儲存卡資訊、手機安全驗證機制資訊(如:啟動密碼和PIN碼)、手機附件裝置(如:電源線、資料線和其它配備裝置)和相關手冊。動態獲取是指標對處於執行狀態的手機獲取資料。如果手機未啟用安全驗證機制或能解決其安全驗證機制,應按照靜態獲取的方法進行資料獲取,並記錄手機的作業系統資訊。如果手機已啟用安全驗證機制,且無法獲得解決安全驗證機制的方法,應將手機在無線網路隔離的狀態下提取資料。

1.1.2. 隔離

將手機無線網路隔離的方法主要包括使用電子/射頻遮蔽,設定飛航模式以及禁用Wi-Fi、藍芽和紅外通訊等。之後要將手機連線至計算機進行資料同步,要注意防止資料傳輸或同步覆蓋,同步時不可取出手機中的資料儲存卡和SIM卡。同時,許多移動裝置都有重置程式碼,可以將裝置的內容清除到原廠狀態。主復位可以遠端進行,因此動態獲取時需要採取網路隔離和物理隔離等措施,以確保證據不被修改或破壞。如圖2所示,可以使用法拉第包對手機進行隔離運輸。

圖2  法拉第包

1.1.3. 證據儲存

對於已經關閉的手機,應儘量取下手機可拆卸電池,然後使用訊號遮蔽容器進行裝置封存並予以標記,封存前後應對手機進行拍照或錄影,照片或者錄影應當從各個角度反映手機封存前後的狀況,清晰反映封口或張貼封條處的狀況。對於處於執行狀態的手機,如需保持開機狀態,應將手機放置在專門設計的硬質容器中,防止無意觸碰按鍵,在封存時同樣需要使用訊號遮蔽容器並對手機狀態進行拍照或錄影。除此之外,還應該建立一個所有可見證據的記錄,即現場所有的數字裝置,包括其他移動裝置、資料線、電源、媒體裝置等,應將其一起拍照記錄下來,同時記錄下每個數字裝置的報告。最後,現場獲取資料結束後,應對現場整體進行拍照記錄。

1.2. 證據獲取

證據獲取是對智慧手機及其相關裝置進行映象和獲取資訊的過程。在現場進行證據獲取的好處是可以避免在運輸和儲存過程中由於電池耗盡、損壞等造成的資訊損失。而如果要進行非現場證據獲取,則需要將手機封存好後由相關人員送回實驗室進行檢驗。送檢過程中要對送檢手機進行唯一性編號,同時要對送檢手機進行拍照並記錄其相關資訊,包括品牌、型號和作業系統版本等。隨後在實驗室中要對手機資料進行檢驗分析,手機資料一般儲存在手機快閃記憶體、SIM卡以及外接儲存卡中。獲取手機快閃記憶體資料一般有一下幾種方法:

(1)手工獲取:不借助其他手機取證裝置,對屏顯資料進行獲取;

(2)邏輯獲取:對送檢手機的檔案系統進行獲取;

(3)物理獲取(映象獲取/JTAG):對送檢手機檔案系統進行映象備份,或使用JTAG方式進行獲取;

(4)晶片獲取:對送檢手機中的實體記憶體晶片進行獲取;

(5)微讀獲取:使用高倍電子顯微鏡對手機記憶體單元進行物理觀察以獲取資料。

在選用物理獲取時應該首先確定好手機主機板各部分功能以及儲存晶片的位置,如圖3所示。

圖3 智慧手機結構

通過智慧手機取證裝置或者SIM卡取證裝置對SIM卡進行復制,從複製的SIM卡中提取資料。SIM卡中能提取到的資料包含IMSI、ICCID、短訊息、通訊錄和通話記錄等。對於外接儲存卡資料的恢復和獲取,首先要對儲存卡進行唯一性編號以及拍照,然後對具備保全條件的檢材進行保全備份。在檢驗過程中,要提前用防毒軟體對電子物證檢驗工作站系統進行防毒,再把檢材通過只讀方式連線到電子物證檢驗工作站,計算檢材的雜湊值,然後使用軟體工具進行資料恢復,將恢復的資料進行篩選後複製到檢驗專用儲存介質中,計算儲存介質的雜湊值並進行唯一性編號,貼上標籤。

參考文獻

[1]. Lin X, Lin X, Lagerstrom-Fife. Introductory Computer Forensics[M]. Springer International Publishing, 2018.

[2]. 金波, 吳松洋, 熊雄, 等. 新型智慧終端取證技術研究[J]. 資訊保安學報, 2016 (3): 37-51.

[3]. 廖曉龍. 基於手機資料的司法取證方法研究與應用[D]. 貴州大學, 2019.

[4]. 陳光宣,劉雪花.手機取證的挑戰[J].中國資訊保安,2019(05):69-70.

[5]. Fukami A, Stoykova R, Geradts Z. A new model for forensic data extraction from encrypted mobile devices[J]. Forensic Science International: Digital Investigation, 2021, 38: 301169.