打开文本图片集

摘要：随着手机移动通讯终端技术的快速发展，移动终端设备现在已经渐渐的成为了人们生活中、社交中和娱乐中不可或缺的必备工具之一。每个人的活动轨迹和生活线索很多的时候都不再是以传统物证的形方式，而是以电子数据的形式存在于这些移动终端中，因此手机取证成为案件侦破中不可或缺的一步。

首先，既然取证的对象是手机。那么我们就要了解手机的构成，知道手机每一个部件的作用。知道了这些部件的作用我们才能加以利用，利用取证技术提取数据。平时遇到的大部分系统的手机是安卓系统和苹果系统的手机。针对不同系统的手机，取证的方法也不同。一般使用取证的方法大致为通过手机调试的方法提取手机数据，通过这些方法和严格的手机检验流程。才能使我们的检验人员可以更容易的破解手机寻找案件突破口。

关键词：手机取证；构成；系统；

引言

手机取证是电子取证中专注于手机等移动通讯设备领城的一个取证分支。在电子取证的不同领域中，手机取证毫无疑问是发展最快的一门学科，在犯罪调查、情报收集中具有重要的影响力。随着手机市场的持续快速发展，手机取证的重要性也日渐增强。此外，由于移动设备通常属于某个单一个体，而不像电脑可能被多个人共用（如企业里的电脑），因此通过手机取证更能获得一些与某个个体相关的信息。从取证的角度来讲，移动设备的不断更新给取证带来了巨大的挑战。每周都有不同品牌、不同类型的手机问世，加上之前无数类型的手机型号，使得几乎不可能制定一套统一的流程、方案或者开发一种单一的软件工具来为不同场景下层出不穷的手机进行取证。

除了各种各样的智能手机和不同的操作系统（如苹果iOS、谷歌Andorid、黑莓OS、微软Windows Phone OS），还有大量所谓的“功能手机”使用更老的手机操作系统。因此，在谈及手机取证/智能手机取证时，通常需要对目标手机进行完整的检查，从中提取短信/彩信、图片、视频、安装的应用程序、电子邮件以及地理位置信息等特定的数据。《中国移动互联网发展状况及其安全报告（2023）》显示，2022年中国境内活跃的智能手机联网终端达16.83亿部，根据调研公司Kantar World-panel ComTech的调研报告，截至2023年9月，Android手机在中国的市场份额达77.1%。同期间内，Android手机在美国的市场份额达到53.8%；在日本的市场份额达62.0%。Android市场的繁荣也为Android手机取证的发展起了巨大的推动作用。

在现实的电子取证实践中，取证人员经常面临对Android手机进行取证的场景，因此需要对Android手机系统架构、取证过程以及软硬件工具等有一个清晰的认识。

1 Andorid系统简介

Andorid系统是谷歌公司开发的基于Linux内核的开源手机操作系统，是首个为移动终端打造的开放和完整的移动软件。Andorid的系统架构和其操作系统一样，采用了分层的架构。从图1看，Andorid从高层到底层分成应用程序层、应用程序框架层、系统库和Android运行时层和Linux内核层等四个层。

应用程序层直接和用户进行交互，为用户提供服务，主要包含由Java语言编写的供用户使用的应用程序和系统后台运行的服务程序，如电话、短信息和邮件等。通常Android开发者使用Android Studio等开发工具自行开发的具有一定功能的应用，安装到手机后也运行在此层。应用程序框架层为应用层程序的开发提供丰富的API，方便开发者快速开发满足某种需求的应用程序，是进行安卓应用开发的基础。开发者可以使用继承等复用方式使用该层提供的框架，从而开发私有的功能模块。系统库多数是使用C/C++语言实现的，开发者不能直接调用它们，而是通过应用程序框架来调用，还可以通过JNI来调用，JNI是Android系统提供的连接Java和C/C++的桥梁。Android运行时环境的Dalvik虚拟机（Dalvik VM）不同于Java运行环境的Java虚拟机（JVM），JVM是基于栈的虚拟机，而Dalvik VM是基于寄存器的虚拟机，可以根据硬件实现更大优化，更适合移动设备。Android系统是基于Linux内核的，提供了电源管理、进程管理、内存管理和驱动模型等核心功能，为软硬件之间的连接提供了桥梁。另外Android系统对Linux内核进行了扩展，使得其在移动设备上性能更佳。

Android系统的架构使得手机取证工作变得复杂而困难。由于系统的开放性和定制化特点，不同厂商可能在系统的各个层次进行修改和定制，从而导致取证工作的不一致性和困难性。取证人员需要深入理解Android系统的架构和各个层次的功能和组件，才能准确地获取手机中的证据数据。

2 Andorid手机存储技术

Android文件系统通常分为内部存储和外部存储，内部存储即系统内存，用于存储Android操作系统以及应用程序的私有数据和缓存，外部存储则类似于 SD卡，正常情况下用户只能对该部分进行读写操作，外部存储目前也普遍内置到设备中。应用安装后，系统会自动在内部存储和外部存储分别建立应用的私有存储区域，对于不同的Android设备来说，它们往往具有一些通用的标准存储位置。图2展示了Android存储的层次化描述，最顶层红色部分表示在取证过程中应重点关注的Android系统分区，下层表示在这些分区中能够定位的电子数据信息的存储位置。

data分区包含所有的用户数据，是短信、联系人、应用程序和设置等存放的地方，擦除这个分区就相当于执行恢复出厂设置。在取证时“data”分区下应重点关注的数据存储目录见图3。

sdcard分区用作外部存储区域，主要用来缓解系统存储空间不足带来的影响，该分区不受安全保护，任何人都可以访问存储在这里的数据。“sdcard”分区中的有用信息包括：用户自定义下载的文件、相机应用程序拍摄的图片/视频以及应用程序公共存储区存储的数据。

system分区用来存放除内核和文件系统以外的系统相关配置，包括了用户界面、手机预装的软件、应用程序运行日志等，这些数据提供了深入了解应用程序运行底层逻辑的可能。

不同的Android设备虽然可能有着不同的文件系统结构，但是它们所具有的这些通用的数据存储位置给取证人员工作的开展指明了方向。

3 Andorid手机取证工具

手机取证软件可大致分为三类：其一是专门处理手机SIM卡的取证软件，另一种是对手机存储卡进行取证的软件，三是在通过手机软件来直接获取证据记录。目前针对手机进行取证的工具主要依赖于国外技术，例如EnCase、FTK（Forensic ToolKit）、Final Shield、XRY、Oxygen Forensic和SIMcon等。但是这些软件中或多或少存在一些弊端，如果我们仅仅使用一种取证工具还是很难达到取证要求，只有将这些软件综合利用起来才能满足取证人员的需求。

Encase是基于Windows平台按照法律实施人员的需求和规范的的基础上用C编写的用于数据获取和分析容量大约为1M的程序。Encase提供了简单的方法来管理大量计算机介质的调查并记录查找结果，Encase的主要特点就是保持证据的原始性，对证据硬盘操作时不改变其中的数据，使其具有着法律效力。它能够调查Windows，Macintosh，Anux，Unix或Dos机器的硬盘，把硬盘中的文件镜像或将证据文件设为只读。此外，任何大小的硬盘可以被压缩和存储在可移动的介质上，可以随身携带。甚至被删除文件、隐藏和被改名了的文件也可以用Encase方便快捷的定位。

FTK是美国警方标准配备、全球警方使用量第一的电子物证分析软件，执行自动、完整、彻底的计算机电子取证检查。FTK拥有强大自动的文件分析、过滤和搜索功能，自动对所有文件进行分类，自动定位有嫌疑的文件，快速自动找出所需的证据

Final Shield的作用是可以屏蔽手机信号为取证做辅助工作，它是通过内部的USB与Android系统手机连接，在将外部USB和手机取证工具相连接来得到有效的电子证据，还可以防止在有电话和短信进入时手机的原始数据不被破坏。

XRY的作用是手机内存数据的存储的工具，最大的优点是方便携带，该设备是由SIM卡读写器、USB通信单元、数据线等组成的。它可以进行多种模式的数据读取，不但操作方便，而且处理效果很好，还有很好的对文件的加密措施，在未经允许的情况下能够很好地保护数据的安全。

Oxygen Forensic是对一般的智能机、PDA和普通手机进行逻辑分析的软件，可以运用高级底层的通讯方式来获取更好的数据，很适合Android系统手机的取证。

SIMcon可使用标准智能卡的读卡器来完整地显示GSM手机SIM卡上的数据信息并提供分析报告。另外它使用计算取证数据的Hash值来保证取证前后数据的一致性。同时它也支持多国语言的字符集，能正常显示不同语言下的文本信息。

4 Andorid手机取证过程

4.1证据保全

证据保全是在不改变智能手机数据内容的前提下确保证据安全的过程，是智能手机取证的第一步。证据保全的目的是要最大限度地获取相关的证据数据，保护证据数据的完整性和原始性以确保其可用性。如果证据不能保持原始状态，可能会丢失与案件有关的信息。保存证据的基本步骤是保护和记录现场，隔离和保存证据。

4.1.1保护和记录现场

现场获取之前，首先要确定现场获取的目的和范围，参与现场获取的工作人员必须明确分工，落实职责，明确携带的仪器设备。其次，有必要明确现场获取的方法、标准、规范和步骤，并明确每次操作的潜在影响。工作人员应彻底搜查现场的所有区域，以确保相关证据不会被忽视。

现场获取主要分为静态获取和动态获取。扣押期间对智能手机的不当处理可能会导致数字数据丢失，因此需要谨慎。静态获取是指对于已经关闭的手机，在法律允许的范围内对已授权的手机进行拍摄，获取并记录手机配件的相关信息，包括但不限于手机品牌和型号、手机唯一性标识（如IMEI号码）、SIM卡和外部存储卡信息、手机安全验证机制信息（如启动码和PIN）、移动配件（如电源线、数据线等设备）和相关手册。动态获取是指针对处于运行状态的手机获取数据。如果手机未启用安全验证机制或能解决其安全验证机制，应按照静态获取的方法进行数据获取，并记录手机的操作系统信息。如果手机已启用安全验证机制，且无法获得解决安全验证机制的方法，应将手机在无线网络隔离的状态下提取数据。

4.1.2隔离

将手机无线网络隔离的方法主要包括使用电子/射频，设置飞行模式以及禁用Wi-Fi、蓝牙和红外通信等。之后要将手机连接至计算机进行数据同步，要注意防止数据传输或同步覆盖，同步过程中不要取出SIM卡。同时，许多移动设备都有重置代码，可以将设备的内容清除到原厂状态。主复位可以远程进行，因此动态获取时需要采取网络隔离和物理隔离等措施，以确保证据不被修改或销毁。

4.1.3保存证据

对于已经关闭的手机，应尽可能将移动电池从手机上取下，然后使用信号屏蔽容器进行设备封存并标记，封存前后应对手机进行拍照或录像，照片或者录像应当从各个角度反映手机封存前后的状况，清晰反映封口或张贴封条处的状况。对于处于运行状态的手机，如需保持开机状态，应将手机放置在专门设计的硬质容器中，防止无意触碰按键，在封存时同样需要使用信号屏蔽容器并对手机状态进行拍照或录像。除此之外，还应该建立一个所有可见证据的记录，即现场所有的数字设备，包括其他移动设备、数据线、电源、媒体设备等，应将其一起拍照记录下来，以及每个数字设备的报告。最后，现场获取数据结束后，应对现场整体进行拍照记录。

4.2证据获取

证据获取是对智能手机及其相关设备进行镜像和获取信息的过程。在现场进行证据获取的好处是可以避免在运输和储存过程中由于电池耗尽、损坏等造成的信息损失。而如果要进行非现场证据获取，则需要将手机封存好后由相关人员送回实验室进行检验。送检过程中要对送检手机进行唯一性编号，同时要对送检手机进行拍照并记录其相关信息，包括品牌、型号和操作系统版本等。随后在实验室中要对手机数据进行检验分析，手机数据一般存储在手机闪存、SIM卡以及外置存储卡中。获取手机闪存数据一般有一下几种方法：

（1）手工获取：不借助其他移动取证设备，对屏显数据进行获取；

（2）逻辑获取：恢复送检的手机文件系统；

（3）物理获取（镜像获取/JTAG）：对送检手机文件系统进行镜像备份，或使用JTAG方式进行获取；

（4）芯片获取：对送检手机中的物理内存芯片进行获取；

（5）微读获取：使用高倍电子显微镜对手机内存单元进行物理观察以获取数据。

4.3鉴定和分析

鉴定与分析是找出能证明特定事件发生与否的证据。鉴定和分析过程会发现很多新的数字证据，包括可能被隐藏或掩盖的证据。很多潜在的证据可能会隐藏在各种各样的位置中，例如用户和设备标识符、日期/时间、语言和其他设置、电话簿/联系人信息、日历信息、文本信息、发出、接收和未接来电记录、电子邮件、照片、音频和视频记录、多媒体信息、即时通讯、网络浏览活动、电子文件、社交媒体相关数据、应用程序相关数据、位置信息、地理定位数据等。调查人员应当确保不遗漏任何一点细节，在分析结果中也应该全面描述数据的内容和状态，包括数据的来源和潜在意义。

鉴定与分析过程应该使用从智能手机中拷贝的副本，通常是通过将移动设备的内存转储导入智能手机取证箱来完成的。调查人员需要将与案件相关的信息尽可能整合分析，以便发现潜在的证据。根据案件类型的不同，分析策略也有所不同。例如，关于儿童色情制品的案件可能从浏览器中的历史图像开始检查，而关于互联网相关犯罪的案件可能要从所浏览的所有互联网历史文件开始检查。

通常，鉴定和分析过程通常需要从以下关联中分析出重要信息：

（1）所有权分析。分析在非默认位置找到的与案件相关的文件，恢复设备密码来确定其所有权，确定特定用户的文件内容，确定创建、修改或访问文件的个人，以及确定持有涉嫌犯罪数据的嫌疑人。

（2）应用程序和文件分析。通过检查文件内容、将文件与已安装的应用程序相关联、确定文件之间的关系（例如，电子邮件文件与电子邮件附件），以及检查文件元数据（例如，包含作者身份的文件）来确定与调查相关的信息。

（3）时间线分析。通过审查日志和文件系统中的日期/时间戳，如通过文件最后修改时间来确定事件发生的具体时间，以便与案件联系起来。同时，信息和电子邮件的日期/时间对于理清案件发展逻辑也是非常有用的。

（4）数据隐藏分析。检测和恢复可能表明犯罪证据，获得对受密码保护、加密和压缩文件的访问权，获得对图像中检测到的隐写信息的访问权，以及获得对正常文件系统之外的数据存储保留区的访问权。

4.4报告

报告是对案件调查中采取的所有步骤和得出的结论进行详细总结的过程，要按照诉讼和调解部门的要求出具鉴定和取证的结论性报告。报告的权威性取决于对所有证据的仔细记录，包括详细描述证据检查的结果，并解释从中得出的推论。智能手机取证的报告记录应贯穿整个检验过程，记录的内容应包括但不限于：案件标识符或提交号码、案件调查员、提交人的身份、收到证据的日期、报告的日期、提交供检查的物品的描述性清单（包括序列号、品牌和型号）、检查员的身份和签名、检查中使用的设备和设置、简要描述检查中采取的步骤（如字符串搜索、图形图像搜索和恢复被删除的文件）、支持性材料（如特定证据项目的打印件、证据的数字副本和监管文件等）、发现的细节、与请求有关的具体文件、支持调查结果的其他文件（包括已删除的文件、字符串搜索、关键词搜索和文本字符串搜索）、与互联网有关的证据（如网站流量分析、聊天记录、缓存文件、电子邮件和新闻）、图形图像分析、所有权指标（可能包括程序注册数据、数据分析、被检查项目上的相关程序）、用于隐藏或掩盖数据的技术（如加密、隐写术、隐藏属性、隐藏分区和文件名异常）等，这些内容应该在报告中详细展示出来。

5 Andorid手机取证中注意的问题

在对Android手机进行数据的提取分析时，需要注意以下几点：

第一，要保证手机的电量充足，防止意外的关机，Android手机在有些数据删除后一般不立即小时，而是在下次重启的过程中才会完全消失，所以很有必要保持充足电量。

第二，避免在取证的过程中有电话和信息的进入，对手机的原始数据造成丢失或者破坏，应该提前将手机设置为飞行模式。

第三，注意将手机里的原始数据备份后才能进行分析。

第四，在成功备份好手机内存的数据之后，可以将SIM卡和SD卡中的数据分开进行分析。

结语

基于现在信息发达，越来越多的Android手机被使用，但同时越来越多的犯罪行为也产生的情况下，Android手机取证是对打击犯罪非常有效的技术手段。通过对电子证据的分析整理，为案件侦破提供有效线索，对法律的裁决上是至关重要的。但是因为如今流行的手机在数据的接口上存在很多的不统一，所以在Android手机取证这方面我们还需要多加努力，解决那些因为手机多样性造成的困难。

参考文献：

[1]杜江，山川. Android手机取证之权限提升[A]. 重庆邮电大学通信与信息工程学院，2013.

[2]姚伟，沙晶. Android智能手机的取证[A]. 中国司法鉴定论文集，2012.

[3]刘旭春. 对Android系统手机取证的研究[J]. 全国计算机网络与通信学术会议优秀论文，2013.

[4]郝万里. 安卓智能手机电子数据取证研究[D]. 武汉大学，2017.

[5]Majed H，Noura H N，Chehab A. Overview of Digital Forensics and Anti-Forensics Techniques[C]//2020 8th International Symposium on Digital Forensics and Security（ISDFS）. IEEE，2020：1-5.

[6]Groß T，Busch M，Müller T. One key to rule them all：Recovering the master key from RAM to break Android's file-based encryption[J]. Forensic Science International：Digital Investigation，2021，36：301113.

作者简介：赵辛（1980-），辽宁阜新人，汉族，警务技术副高级任职资格，从事电子数据检验鉴定工作。