沈燕峰 王鸿南

摘 要：在我国互联网的发展过程中，PC互联网已日趋饱和，但移动互联网却呈现喷井式发展，移动通讯产业走到了真正的移动信息时代，以此背景下，移动终端正在从简单的通话工具变成一个综合信息处理平台，数以万计的信息在移动终端上处理，关系着人们生活的方方面面。与此同时，各类违法犯罪活动也大量在移动终端上体现，如何从移动终端上获取与案件有关联的电子数据，本文就移动终端进行了一些概述。

关键词：电子取证；移动终端；电子数据；操作系统

移动终端，最具代表性的为手机与笔记本电脑，其中笔记本电脑又分为超级本与平板计算机。移动终端在方便人们快捷地数据传递外，也为犯罪分子作案提供了便利。不仅仅在非法侵入计算机、非法控制计算机、非法获取计算机数据等专业领域犯罪，在一些普通聚众斗殴、盗窃等案件中使用移动终端串联、销赃。由于移动终端软硬件更新速度快，运行机制不尽相同，移动终端取证已经成为公安工作中的一个重点、难点，本文将详细阐述移动终端的一些结构、框架等知识，为后期取证工作提供一个理论基础。

一、移动终端的定义

移动终端，又叫移动通信终端是指可以在移动中使用的计算机设备，广义的讲包括手机、笔记本、平板计算机、POS机甚至包括车载计算机。本文所指的移动终端为手机及平板计算机。

二、移动终端的分类

由于这里探讨有关电子数据取证方面方向，分类从系统角度出发，主要分为二种类型：

1）非智能终端。在安卓、IOS、Winds Phone等移动操作系统未面试前，几乎主流移动设备都是非智能终端，各个操作系统也是有各家厂商独立开发或者合作开发，最为典型的厂商有诺基亚、摩托多拉、LG、三星、等厂商。

2）智能终端。目前市场上的主流移动设备，自带独立的操作系统，主要的系统有安卓、IOS、塞班、Windows Phone等系统。从市场占有率看，主要是谷歌的安卓与苹果的IOS系统，工作中遇到的移动设备绝大多数为这类操作系统的移动终端。

三、移动终端的存储方式

移动终端通过两种方式存储内部数据：只读存储ROM、随机存储RAM。ROM用来存储和保留永久数据，设备关闭电源后其内的信息仍旧保存。一般来讲，手机操作系统及用户个人等信息存储在ROM中；RAM用于系统加载、执行程序、保存动态数据等，设备电源一旦关闭，RAM中的数据不会保存。

四、移动终端的一些基本常识

1）解锁（unlock）：通过软件或者硬件手段解除移动通讯设备对于运营网络的限制。一些移动通讯设备运营商为维护自身利益，使某些特定产品与自身的网络进行绑定，使得通过自身购得此产品的用户只能使用自身网络，对于其他网络无效。

2）越狱（jailbreak）：“越狱”指的是绕过苹果在其设备上对操作系统施加的很多限制，从而可以“Root访问”基础的操作系统。简单来说，“越狱”可以让iPhone用户从苹果应用商店外下载其他非官方的应用程序，或者对用户接口进行定制。

3）Root：针对Android系统对于手机而言，它使得用户可以获取Android操作系统的超级用户权限。root通常用于帮助用户越过手机制造商的限制，使得用户可以卸除手机制造商、运营商、第三方管道商预装在手机中某些应用，以及运行一些需要超级用户权限的應用程序。Android系统的root与Apple iOS系统的越狱类似。

五、移动终端数据取证的特点

移动终端数据取证作为电子数据取证的一部分，相比传统计算机，有自身的数据存储特点，主要表现在以下几个方面：

（一）存储数据的动态性

由于移动终端本身存储是集成存储，存储空间有限，用户所存储的数据主要是嵌入式动态存储，其存储的数据随时更新，而且各厂商产品的存储方式也不尽相同，故移动终端的数据更容易被影响甚至篡改，很难保证数据的原始性及完整性。

（二）存储形式差异性

移动互联网发展迅速，终端的更新速度快，主流厂商更新硬件的周期一般在六个月左右，每次更新都在不断优化设备运行方式、存储结构等；APP应用开发商更新速度更是在硬件之上，各个版本的软件存储方式截然不同。

（三）系统的封闭性

计算机设备的存储介质一般是单独部件，但移动终端的存储基本上固化在主板上；除了安卓等少数系统开源之外，其余的操作系统厂商都是私有系统，具体系统结构和存储方式不公开，甚至对安卓系统的优化各个厂商也存在巨大的差异。

六、目前主流移动终端的取证方式

笔者从事电子取证工作多年，从日常工作中总结了几种移动终端的取证方式。

（一）人工提取

侦查人员直接在移动终端上查看相关数据，并使用相机等翻拍设备记录证据。手工提取的优点在于门坎底，且总会存在工具无法提取的移动终端，局限性在于只能提取已有数据，无法提取已删除的数据。

（二）逻辑分析

移动终端通过连接线（USB、RS232）或无线（蓝牙、红外、WiFi）等方式与取证专用硬件或安装软件的工作站连接，提取移动终端中的逻辑数据。大多数的逻辑提取都是由取证工具发出指令并由移动终端的处理器接收并返回相应的数据。虽然逻辑获取可以在一定程度上提取到已删除的数据，但是不能恢复在未分配空间的数据。

（三）十六进制镜像和JTAG提取

JTAG是一种国际标准测试协议，原先涉及的目的主要用于芯片内部测试。目前，JTAG提取方式常常用于处理已被密码锁定，或无法正常提取的设备。它使用标准JTAG（Joint TestAction Group）埠来访问已连接设备的原始数据。通过特殊的JTAG数据线和相关设备，以及对特定内存/芯片组型号或设备型号相匹配的引导档，对兼容设备进行完整内存内容的提取。

（四）Chip-off芯片提取

Chip-Off技术是当前移动设备检验中，最复杂且最底层的数据采集技术。这种方法需要将移动终端中的存储芯片通过热风枪或拆焊台与主板剥离，清理芯片表面的焊锡，然后将芯片安装到芯片读取设备上，直接对芯片本身的电路和协议进行分析，获取其原始镜像或相关资料。

参考文献：

[1] 刘晓宇，李锦，刘浩阳，等.电子数据检验技术与应用，2015.

[2] 林远进，吴世雄，刘浩阳，徐志强.电子数据勘验取证与鉴定——数据恢复与取证，2012.