摘要 :
從手機證據的來源和獲取兩個方面對當前國內外關於手機取證的研究現狀進行概括和分析 ,同時介紹了一些常見 的手機取證軟體 ,並且指出了目前在此領域中尚存的一些主要問題 ,最後就手機取證的研究發展方向進行了展望 。
關鍵字 :手機取證 ;計算機取證 ;電子證據獲取 ; SIM卡信息獲取
引 言
隨著移動通信技術所提供服務水平和服務種類 的不斷提高和擴充 ,手機已日益成為人們工作生活中 不可或缺的聯繫工具 ,然而與此同時 ,利用手機進行 詐欺、誹謗和偽造等犯罪活動也屢見不鮮 。手機取證 正是打擊這類犯罪的一個有效手段 。從概念上講 ,手 機取證就是從手機 SIM 卡 、手機內 /外置存儲卡以及 行動網路運營商資料庫中收集、保全和分析相關的電 子證據 ,並最終從中獲得具有法律效力 、能被法庭所 接受的證據的過程 。目前牽涉到手機的犯罪行為大 致有三種 :一是在犯罪行為的實施過程中使用手機來 充當通信聯絡工具 ;二是手機被用作一種犯罪證據的 存儲媒質 ;最後一種方式是手機被當作簡訊詐欺、短 信騷擾和病毒軟體傳播等新型手機犯罪活動的實施 工具。這些都充分地表明進行手機取證技術的相關 研究對於維持社會穩定 、保障人民權益和打擊犯罪行 為具有充分的必要性和極大的迫切性。
1 取證源
在手機取證的過程中 ,第一步的工作是從手機各 個相關證據源中獲取有線索價值的電子證據 。手機 的 SIM 卡、記憶體、外置存儲卡和行動網路運營商的業 務資料庫一同構成了手機取證中的重要證據源。
1. 1 SIM 卡
在移動通信網路中 , 手機與 SIM 卡共同構成移 動通信終端設備。 SIM ( Sub sc ribe Iden tity Modu le ) 卡 即為客戶識別模組 ,它也被稱為用戶身份識別卡。移 動通信網路通過此卡來對用戶身份進行鑑別 ,並且同 時對用戶通話時的語音信息進行加密。目前 , 常見 SIM 卡的存儲容量有 8 kB、16 kB、32 kB 和 64 kB 這幾 種 。從內容上看 , SIM 卡中所存儲的數據信息大致可分為五類 :
( 1) SIM 卡生產廠商存儲的產品原始數據 。
( 2)手機存儲的固有信息 , 主要包括各種鑒權和加密信 息 、GSIM 的 IM S I碼 、CDMA 的 M IN 碼 、IM S I認證算法 、加密密匙生成算法 。
( 3 )在手機使用過程中存儲的個人數據 ,如短訊息 、電話 薄 、行程表和通話記錄信息 。
( 4 )行動網路方面的數據中包括用戶在使用 SIM 卡過程 中自動存入和更新的網路服務和用戶信息數據 ,如設定的周 期性位置更新間隔時間和最近一次位置登記時手機所在位置 識別號 。
( 5 )其它的相關手機參數 , 其中包括個人身份識別號
( P IN ) ,以及解開鎖定用的個人解鎖號 ( PU K)等信息 。
1. 2 手機內 /外置存儲卡
隨著手機功能的增強 ,手機內置的存儲晶片容量 呈現不斷擴充的趨勢。手機記憶體根據存儲數據的差
異可分為動態存儲區和靜態存儲區兩部分 (見圖 1 ) 。 動態存儲區中主要存儲執行作業系統指令和用戶應 用程式時產生的臨時數據 ,而靜態存儲區保存著操作 系統、各種配置數據以及一些用戶個人數據。
從手機調查取證的角度來看,靜態存儲區中的數據往往具有更大的證據價值。GSIM 手機識別號IMEI、CDMA 手機識別號ESN、電話薄資料、收發與編輯的簡訊息,主/被叫通話記錄、手機的鈴聲、日期時間以及網路設定等數據都可在此存儲區中獲取。但是在不同的手機和行動網路中,這些數據在讀取方式和內容格式上會有差異 。另外,為了滿足人們對於手機功能的個性化需求,許多品牌型號的手機都提供了外置存儲卡來擴充存儲容量。當前市面上常見的外置存儲卡有SD、MiniSD和Memory Stick。外置存儲卡在處理涉及著作權或著作權的案件時是一個重要的證據來源 。
1. 3 行動網路運營商
行動網路運營商的通話數據記錄資料庫與用戶註冊信息資料庫存儲著大量的潛在證據。通話數據記錄資料庫中的一條記錄信息包括有主/被叫用戶的手機號碼、主/被叫手機的IMEI號、通話時長 、服務類型和通話過程中起始端與終止端網路服務基站信息。 另外 ,在用戶註冊信息資料庫中還可獲取包括用戶姓名、證件號碼 、住址、手機號碼、SIM 卡號及其 P IN 和PU K、IM S I號和所開通的服務類型信息。在我國即將 實行“手機實名制 ”的大環境下 ,這些信息可在日後案件調查取證過程中發揮巨大的實質性作用。
2 取證過程中的證據獲取方法
針對不同的證據源應該採用不同的取證方法 ,下 面就以上三種證據源分別介紹 :
2. 1 SIM 卡的證據獲取
SIM 卡存儲器的檔案系統可由一個三層樹結構 來表示 (見圖 2 ) ,在此結構中 ,樹節點包括三種檔案
類型 : 主檔案 ( Master File ) 、專用檔案 ( Dedicated File)與基本檔案 ( Elementary File ) 。在整個樹形文 件系統中樹的根節點由主檔案構成 ,主檔案中包含了 專用檔案和基本檔案。
在 GSM 行動網路標準中定義了一些重要的專用檔案作為主檔案的子節點 , 其中有 GSM 專用檔案 、
DCS1800 專用檔案和 Te lecom 專用檔案 。此標準在 這些專用檔案下又定義了一些與之對應的基本檔案。
在從屬於 GSM 專用檔案和 DCS1800 專用檔案的基本檔案中分別含有 GSM 900MH z頻率和 DCS (D igita l Ce llu la r System ) 1800MH z頻率下的行動網路信息 ,而 Te lecom 專用檔案下的基本檔案則含有與網路服務相關的信息。雖然通過嚴格的標準定義使得 S IM 卡的 檔案系統架構具有一定程度上的通用性 ,但是不同移 動網路運營商發行的 S IM 卡的檔案系統架構還是存 在一定的差異性 。
如今對手機 S IM 卡進行取證的常用方法有兩 種 。一個是通過智慧型讀卡器的設備來提取 S IM 卡中的數據。在此方法中讀卡器只要使用符合歐洲電信 標準協會 TS31. 101 和 TS51. 011 標準的數據訪問指 令集就可獲取 S IM 卡中的數據 。另外一種方法是直 接通過指令操作來獲得 S IM 卡中的數據。在 GSM 手 機的 TS27. 007 標準中特別定義了一個指令集來訪問S IM 卡上的數據。
2. 2 手機存儲卡的證據獲取
手機存儲卡可分為內置存儲卡和外置存儲卡兩種 。對於外置存儲卡 (如快閃記憶體卡 )可使用諸如 encase的取證軟體工具來獲取存儲卡上的數據鏡像 。相比之下 ,從手機內置存儲卡 (如記憶體 ) 中提取數據就要顯得複雜一些。目前有兩種通過物理途徑獲取其中 數據的方法 ,其中一個是通過拆解手機以得到其記憶體晶片 ,接著使用專門的晶片讀取設備來獲得其數據鏡像。另一種是使用特定的數據纜線與手機主機板連線 , 然後從中讀取記憶體晶片的數據信息 。這些方法雖可 減少在取證過程中外界因素對取證數據的干擾 ,但對取證人員的手機硬體知識的要求很高。因此在手機 存儲卡的證據獲取中還是較多地採用指令集和軟體的方式。
1. A T指令集 。
A T指令集最初是由 H aye s微系統公司設計出來 用以控制數據機的 ,後來專門套用於手機的版本也被開發出來。通過使用 GSM 版本的 A T指令集可獲得手機信息包括 :手機生產商、產品型號、手機操作 系統版本 、IM E I號 、IM S I號、電話簿 、電話記錄和短消 息記錄等數據 。另外通過使用 CDMA 版本的 A T指
令集可從手機中得到生產商 、型號、軟體版本信息和 手機的 ESN 號等信息。
2. OB EX。
OB EX (O b jec t Exchange, 對象交換協定 ) 最早是 由微軟、蘋果和諾基亞公司專門為紅外線傳輸而制定
的一套協定規則 , 它在功能上類似於 H TTP 協定。 OB EX協定通過簡單地使用“PU T”和“GET”指令來 實現對手機中存儲數據的遠程瀏覽和訪問 ,通常在此 方式下可獲得手機中所存的圖像 、音頻和視頻數據以 及所下載的鈴聲和應用程式等數據信息。
3. JTA G。
J TA G ( Jo in t Te st A c tion Group , 聯合測試行動小 組 )是一種國際標準測試協定 。它與 IEEE1149. 1 標 準兼容 ,本來主要用於晶片內部的測試和調試。由於 大部分電子設備一般都是由本設備的存儲控制器來
處理對其存儲卡的訪問操作 ,而 J TA G能用來對存儲 控制器進行調測 ,於是在測試過程中就可方便地獲取 存儲卡中的數據。
4. 手機生產商提供的軟體包 。 當前在市場上所購的手機多數都會附帶同步手機與計算機數據的軟體包 。這些軟體可得到手機中 一些存儲數據的鏡像。常見的此類軟體有 Nok ia PC Su ite和 SonyE ric sson Sync Sta tion。Nok ia PC Su ite 軟 件可從手機記憶體中得到電話簿、接聽 /呼叫電話記錄、 接收 /發 送 短 消 息 記 錄 以 及 個 人 行 程 表 等 信 息。SonyE ric sson Sync Sta tion 是一款數據同步軟體 ,可通 過它來得到手機記憶體中的電話簿和個人行程表數據。
2. 3 網路運營商的證據獲取
調查取證人員可根據 S IM 卡所註冊的手機號碼 來對通話記錄資料庫進行數據搜尋 ,以得到此號碼的所有通話記錄與短訊息記錄 ,另外也可以手機 IM E I號來搜尋用戶註冊信息資料庫中此手機的用戶註冊 信息和通話記錄。在實行了“手機實名制 ”之後 , 調 查取證人員還可簡便地對用戶註冊信息資料庫中的相關數據和居民身份證系統資料庫中的數據進行比 對分析。然而由於網路運營商的業務資料庫具有數 據量大、更新快的特點 ,因此調查取證人員應儘快地 完成對網路運營商相關業務資料庫的證據提取工作 , 以免所需數據被更新或刪除 。
3 常見的手機取證軟體
在實際的手機取證過程中 ,各種取證軟體的使用 已變得越來越普遍。雖然目前的一些手機取證軟體 多少都存在一些缺陷 ,但只要調查取證人員能有針對 性地對其加以綜合利用還是可以達到令人滿意的取 證效果。如今 ,業界常用的手機取證軟體可大致分為 兩類 :其一是專門處理手機 S IM 卡的取證軟體。另 一種是對手機存儲卡進行取證的軟體 。主要有 :
( 1) S IM con: S IM con 可使用標準智慧卡的讀卡器來完整 地顯示 GSM 手機 S IM 卡上的數據信息並提供分析報告 。另 外它使用計算取證數據的 H a sh 值來保證取證前後數據的一 致性 。同時它也支持多國語言的字元集 ,能正常顯示不同語 言下的文本信息 。
( 2) Fo ren sicS IM : Fo ren sicS IM 是一個軟體工具包 ,它支持 多個國家語言的字元集 ,能正常顯示各種語言下的短訊息 、電 話簿和個人行程表等文本信息 。此外 ,除了用來獲取 S IM 卡 上的數據信息外 ,它還能對這些數據進行分析並以標準格式 (D TF或 H tml )生成分析報告 。
( 3) Ce ll Se izu re:本軟體主要用來獲取手機存儲卡中的數 據 ,包括地址簿 、電話簿 、電話記錄以及保存的和已刪除的文 本信息 。此外還可對手機中的數據提供完整性檢驗並且可最 後生成 H TML 格式的分析報告 。
( 4) . XR Y: . XR Y不但能在取證過程中提取手機存儲卡 中的數據 ,而且還會創建一個加密檔案 ,以防止未授權人對數 據進行任何操作 。此外. XR Y也會在取證結束後向取證人員提供一份分析報告 。
4 結束語
本文重點探討了手機證據“從哪獲得 ”和“怎樣 獲得 ”兩個關鍵問題 ,介紹了一些常見的手機取證軟 件 。目前 ,我國打擊手機犯罪的相關法律和條例還不 完善 ,仍存在一些空白和漏洞 ,尚未有完全符合法庭取證要求的工具和方 法 ,有些取證軟體也無法保證取證數據的完整性和一致性。所以 ,至今仍然沒有統一、有效的手機取證技 術標準和規範來對不同生產廠商 、型號和軟體系統的 手機進行取證。
關於手機取證的未來發展方向 ,一方面可繼續加強
對手機取證工具、軟體和方法的研發 ,改善它們的取證效 果 ,使其符合法庭取證的各項要求。另一方面 ,各手機生 產廠商與取證專家之間可通過交流協作制定出統一的手 機取證技術標準。此外 ,我國的立法部門還應不斷地加強涉及手機犯罪方面的立法工作 ,從法律法規上不給犯罪份子留下空子 ,切實有效地打擊手機犯罪。
參考文獻 :
[ 1 ] Fab io Ca sade i, A n ton io Savo ld i, Pao lo Gub ian. Fo ren sic s and S IM ca rd s: an overview [ J ]. In te rna tiona l Jou rna l of
D igita l Evidence, 2006, 5 ( 1 ) .
[ 2 ] sve in Yngva r W illa ssen. Fo ren sic s and the GSM mob ile te l2 ep hone system [ J ]. In te rna tiona l Jou rna l of D igita l Evi2 dence, 2003 , 2 ( 1) .
[ 3 ] W ayne J an sen, R ick A ye rs. Fo ren sic Softwa re Too ls fo r Ce ll Phone Sub sc ribe r Iden tity Modu le s [ R ]. Confe rence O n D igita l Fo ren sic, A ssoc ia tion of D igita l Fo ren sic s, Secu rity
and L aw, 2006.