於 跃,潘 程,陈 潮

（浙江警察学院，浙江杭州，310053）



安卓手机调查取证

於 跃,潘 程,陈 潮

（浙江警察学院，浙江杭州，310053）

摘要：由于社会中科技的高速发展，智能手机也普遍运用在平时生活中。随着智能手机的普及，网上购物、钱财收支都能用手机完成，也因此给了不法分子可乘之机。安卓系统作为居民生活中使用率最广的手机系统，掌握安卓手机取证能力必不可少。

关键词：安卓手机；密码破解；电子证据；证据恢复

0　前言

智能手机的普及使绝大多数的一般群众都开始使用智能手机。而且随着智能手机功能的不断优化和发展，老百姓的生活更是和智能手机息息相关。鉴于智能手机操作的方便快捷，人们会倾向于将照片、个人信息、亲友联络方式乃至更加私密的内容存储于手机内。安卓手机系统作为主要的手机操作系统，区别于IOS是单独系统，更加兼容各类应用程序。科技的迅猛发展，也增加了不法分子的犯罪伎俩。

1　电子取证评定流程

介于电子证据自身的多样性、无形性、不稳定性、易修改性和体系依附等特性，所有人为成分或外界力量都会对电子数据造成难以辨别的修正、删改、覆盖等改变。所以，和传统数据取证的方式方法相比，电子数据取证要用特殊的技术手段来判断、掌握，在电子证据的取证流程中尤其需要注意的是取证流程的规范，遵守基础的取证原则和方式。

注意事项

1.获取电子证据和司法鉴定主体一定要具备法定的取证与司法鉴定资格，需要具有合法的调查取证与司法鉴定身份，才能执行相应的取证和司法鉴定行动。

2.调查对象合法，在调查取证中，关于和案件事实无关的内容，不可随意地获取，以避免侵犯无关人员的隐私权等合法权益

3.取证手段合法，取证人员要须按照技术操作规范进行取证，所使用的用具和流程要符合国家相关规定。

4.取证过程合法，须确保备份数据与源文件相同、在不变动数据的情况下对其进行判别、须使用执法记录仪等音视频采集工具，对取证的整个经过完整记录，确保可形成完整的证据链。在取证过程中须两个合法取证人员共同在场，整个取证、鉴定过程必须主动接受监督。

2　鉴定软件

2.1root explorer

root explorer是安卓一款文件管理工具，根资源管理器。支持常用文件管理功能、显示隐藏文件、快速查找文件、在获得root权限后可更改、查看系统文件、支持压缩文件/后缀为zip的文件。

2.2winhex

Winhex是一个用来应对内存取证、恢复数据、检测网络安全性等各类日常突发情况的工具。它可以用来检查和修复各类文件、恢复已删除的文件、硬盘损毁形成的数据丢失等。本文中使用winhex进行信息内容的完整复原及相同性测验。

2.3DC-4501 手机取证系统

此取证系统是美亚柏科公司研发的用于收集数据的查找、提取、恢复、判别的系统。文中会使用此取证系统参与取证过程研究。

2.4SIMcon

SIMcon可使用标准智能卡的读卡器完全地显示GSM手机SIM卡上的信息内容并提供分析报告。通过计算取证信息的Hash数值来确保前后取证内容的相同性。同时还支持多种语言显示。

2.5XRY

XRY不仅可以在取证过程中提取手机存储卡中的信息,而且还能对提取出的信息进行加密处理,以防止未授权人对数据进行任何删改。此外.XRY也会在取证结束后向取证人员提供一份分析报告。

3　取证方法

按照NIST定义，手机等移动设备的取证是报告之后，存储、收集、查验与分析的过程。2014年5月发布的《移动设备取证指南》中把移动设备的取证程序分为证据保全、证据获取、证据分析和生成报告四个步骤。安卓手机也须遵循相应规定进行取证。

3.1证据保全

公安机关在取证调查之前，须特别注意移动设备的完好，须保持手机设备的原形态，防止一切外力因素损坏；防止未经授权人员的接近和损毁证据。这个阶段除去使用移动终端、SIM卡、移动网络及多媒体服务提供商系统来筛查、复制手机中的内容外，还应该留意突然打入的电话、短信息等破坏证据的完整性，因电子证据的易修改性，在采集证据的过程中，应由调查人员或专业司法鉴定人员查看硬件设备，断开移动设备的网络等相关连接防止数据被远程删改。

3.2证据获取

获得证据后应先对原存放的物品备份处理，备份过程中，须保证只读接口的安全性，操作时使用技术保护，使用安卓镜像下载工具扫描手机分区，并备份处理为dd镜像文件。此方式不会改变手机的原有数据，通过计算hash数值以确保数据的完好。

3.3证据分析

判别电子证据阶段，应使用相应的备份文件展开非破坏性分析，公安机关还可以使用第三方软件对设备中的内容进行证据分析。在经过复原的备份文件中搜索并分析案件相关线索。与此同时，须仔细记录数据复原采用的方法、操作流程、操作时间、场所及相关人员等，以保证证据的真实性。

3.4生成报告

全方位调查取证后，生成报告是收集电子证据的最后一个步骤，仔细分析电子证据的来源并且于各种角度认真取证、分析，保证获取的证据内容和案件相关联。最后将所获得的包括其他证据的所有证据进行整合，最后获得的便是完整的证据链。便于其他破案人员等需要时可以快速查阅到相关证据内容。

4　数据分析

4.1设备基础信息

安卓设备中稳定存储区域内的信息有很大价值的证据。获得GSIM手机识别号IMEI、CDMA手机识别号ESN、设备响铃、日期时间还有网络参数等信息都是此存储区中。

4.2通讯录

data/data/com.android.provides.contacts/此文件目录可获取设备的通讯信息。

4.3通信记录

/data/data/com.android.providers.contacts/ databases/Contacts2.d此文件目录存储着设备所有的通信记录，同时可使用sqlite expert进行翻查、获取。通过DC4501进行镜像数据扫描扫描即可获得包括已被删改的所有通信记录。

4.4短信息

/data/data/com.android.providers.telphony/databases下的mmssms.db和mmssms.db-wal文件目录内存储设备接收、发出的短信息内容及发件人手机号码。

4.5图片信息

可在/sdcard/dcim文件目录中查阅全部设备中的图片内容，也可使用rm管理器将图片内容导出。通过DC4501软件进行镜像数据扫描可获得设备中的全部图片内容。其中包含着被损毁修改的图片、网络缓存下载的图片及设备操作过的图片。

4.6位置信息

GPS定位几乎存在于所有软件之中，软件的运行都会请求设备打开GPS定位，相机功能也相同。每次使用相机功能时，exif信息会自动存于在照片数据内，用过使用DC4501系统，便可以查阅exif信息中地理位置的相关数据，再通过手机设备内操作过的网络地图便可查看移动设备使用者曾出现过的位置信息，极大的便于公安机关掌握犯罪嫌疑人的动向。

5　工具分析

经过使用网络第三方软件与DC4501手机取证系统，两种工具皆有利有弊。除此之外，还应该针对性的使用相应软件。

5.1网络第三方软件种类繁多，只需使用网络便可方便快捷的下载使用。Rm管理器和winhex软件对于甄别恢复rom中存储、损坏的文件操作简单且快捷，直接搜索相关信息的数据库，再通过sqlite expert便可查看。然而这种方式却对相关合法分析人员的专业性有较高要求，须了解所有相关内容的具体储存位置才可，且损坏数据的可能性较大。

5.2DC4501手机取证系统是电子信息鉴别方面的“专家”，整个取证系统集有数十种取证软件，可直接对安卓设备、IOS设备及市面上大多数的手机设备进行分析取证。

5.3不同鉴定内容的软件使用。

5.3.1甄别分析SIM卡的取证软件

Cards4Labs、SIMIS、ForensicSIM、Forensic Card Reader、SIMCon、SIM Card Seizure等。

5.3.2对手机本身进行操作的取证软件

Oxygen Phone ManagerⅡ、BitPIM、CellBox等。

5.3.3综合取证软件

CellDEK、SVM、XPY、Oxygen Forensic Suite、Cellebrite、CellXtract、CellHunter、Cell Seizure、MOBILedit!Forensic等。

6　总结

安卓系统的移动设备取证是打压移动设备犯罪最强有力的方式，在多方面和计算机取证相似，但因它的众多特殊性及安卓系统手机的普遍及不断完善更新，于取证领域的必要意义将会越来越大。对于不法分子的负隅顽抗，公安民警也将有更多方式执法取证，使犯罪嫌疑人在多种犯罪证据面前认罪服法，显著提高公安民警侦查时的效率。

参考文献

[1]石慧霞. 智能移动信息设备电子取证算法及应用研究[D].重庆理工大学,2014.

[2]陈明艳. 手机信息取证系统的研究与设计[D].武汉理工大学,2014.

[3]方冬蓉. 基于Android手机的数据恢复方法研究及应用[D].兰州理工大学,2014.

[4]万雪姣. 面向安卓移动终端数字取证系统及其框架的设计与实现[D].北京工业大学,2015.

[5]赵凯. Android系统取证关键技术研究[D].广西民族大学,2015.

项目：2014年国家级大学生创新创业训练计划项目（201411483004）

Android mobile phone investigation and evidence collection

Yu Yue,Pan Cheng,Chen Chao
(Zhejiang Police College, Hangzhou,Zhejiang,310053)

Abstract：Due to the rapid development of science and technology in society, the smart phone is also widely used in the daily life. With the popularity of smart phones, online shopping, money payments can done using a mobile phone, and thus gave the criminals an opportunity. Android system as the most widely used in the life of the mobile phone system, the ability to grasp the essential Android mobile phone forensics.

Keywords：Android mobile phone; password cracking; electronic evidence; evidence recovery