400-0797-119

手机取证

手机取证

发布时间:2021-12-20 15:59:58

从手机证据的来源和获取两个方面对当前国内外关于手机取证的研究现状进行概括和分析 ,同时介绍了一些常见 的手机取证软件,并且指出了在此领域中尚存的一些主要问题 ,最后就手机取证的研究发展方向进行了展望 。

随着移动通信技术所提供服务水平和服务种类 的不断提高和扩充 ,手机已日益成为人们工作生活中 不可或缺的联系工具 ,然而与此同时 ,利用手机进行 诈骗、诽谤和伪造等犯罪活动也屡见不鲜 。手机取证 正是打击这类犯罪的一个有效手段 。从概念上讲 ,手 机取证就是从手机 SIM 卡 、手机内 /外置存储卡以及 移动网络运营商数据库中收集、保全和分析相关的电 子证据 ,并最终从中获得具有法律效力 、能被法庭所 接受的证据的过程 。牵涉到手机的犯罪行为大 致有三种 :一是在犯罪行为的实施过程中使用手机来 充当通信联络工具 ;二是手机被用作一种犯罪证据的 存储媒质 ;最后一种方式是手机被当作短信诈骗、短 信骚扰和病毒软件传播等新型手机犯罪活动的实施 工具。这些都充分地表明进行手机取证技术的相关 研究对于维持社会稳定 、保障人民权益和打击犯罪行 为具有充分的必要性和极大的迫切性。

在手机取证的过程中 ,第一步的工作是从手机各 个相关证据源中获取有线索价值的电子证据 。手机 的 SIM 卡、内存、外置存储卡和移动网络运营商的业 务数据库一同构成了手机取证中的重要证据源。

1. 1 SIM 卡

在移动通信网络中 , 手机与 SIM 卡共同构成移 动通信终端设备。 SIM ( Sub sc ribe Iden tity Modu le ) 卡 即为客户识别模块 ,它也被称为用户身份识别卡。移 动通信网络通过此卡来对用户身份进行鉴别 ,并且同 时对用户通话时的语音信息进行加密。常见 SIM 卡的存储容量有 8 kB、16 kB、32 kB 和 64 kB 这几 种 。从内容上看 , SIM 卡中所存储的数据信息大致可分为五类 :

( 1) SIM 卡生产厂商存储的产品原始数据 。

( 2)手机存储的固有信息 , 主要包括各种鉴权和加密信 息 、GSIM 的 IM S I码 、CDMA 的 M IN 码 、IM S I认证算法 、加密密匙生成算法 。

( 3 )在手机使用过程中存储的个人数据 ,如短消息 、电话薄 、行程表和通话记录信息 。

( 4 )移动网络方面的数据中包括用户在使用 SIM 卡过程 中自动存入和更新的网络服务和用户信息数据 ,如设置的周 期性位置更新间隔时间和最近一次位置登记时手机所在位置 识别号 。

( 5 )其它的相关手机参数 , 其中包括个人身份识别号

( P IN ) ,以及解开锁定用的个人解锁号 ( PU K)等信息 。

1. 2 手机内 /外置存储卡

随着手机功能的增强 ,手机内置的存储芯片容量 呈现不断扩充的趋势。手机内存根据存储数据的差

异可分为动态存储区和静态存储区两部分 (见图 1 ) 。动态存储区中主要存储执行操作系统指令和用户应 用程序时产生的临时数据 ,而静态存储区保存着操作 系统、各种配置数据以及一些用户个人数据。

从手机调查取证的角度来看,静态存储区中的数据往往具有更大的证据价值。GSIM 手机识别号IMEI、CDMA 手机识别号ESN、电话薄资料、收发与编辑的短信息,主/被叫通话记录、手机的铃声、日期时间以及网络设置等数据都可在此存储区中获取。但是在不同的手机和移动网络中,这些数据在读取方式和内容格式上会有差异 。另外,为了满足人们对于手机功能的个性化需求,许多品牌型号的手机都提供了外置存储卡来扩充存储容量。当前市面上常见的外置存储卡有SD、MiniSD和Memory Stick。外置存储卡在处理涉及版权或著作权的案件时是一个重要的证据来源 。

1. 3 移动网络运营商

移动网络运营商的通话数据记录数据库与用户注册信息数据库存储着大量的潜在证据。通话数据记录数据库中的一条记录信息包括有主/被叫用户的手机号码、主/被叫手机的IMEI号、通话时长 、服务类型和通话过程中起始端与终止端网络服务基站信息。 另外 ,在用户注册信息数据库中还可获取包括用户姓名、证件号码 、住址、手机号码、SIM 卡号及其 P IN 和PU K、IM S I号和所开通的服务类型信息。在我国即将 实行“手机实名制 ”的大环境下 ,这些信息可在日后案件调查取证过程中发挥巨大的实质性作用。

专属客户经理在线解答,提供专业的上云服务

专属客户经理在线解答,提供专业的上云服务备份