1、移动电话电子数据获取及取证分析摘要 移动电话装载了大量电子数据,这些数据往往成为查找犯罪线索、发现犯罪、证明犯罪的重要证据来源。本文将就移动电话电子数据取证进行研究,探讨移动电话的电子数据获取和取证分析的方法和程序。 关键词 移动电话 电子数据 取证 作者简介:王军、李海,北京市丰台区人民检察院副处级检察员。 一、移动电话电子数据的特点 (一)虚拟性 移动电话电子数据实质上是按编码规则处理的电磁信号,它处于电子虚拟环境中,需要通过存储介质及软件载体表现出来。 (二)多样性 和普通的物证、书证的单一性相比,移动电话电子数据表现得更为多样,不仅可以表现为文本信息如短信,也可以表现为图片、音频、视频
2、等多媒体文件,还可以是 GPS 地理信息等等。 (三)易破坏性 移动电话电子数据由于存在于个人移动电话中,非常容易且快速地删除,如通话记录、短信等删除操作简便,或采用破坏移动电话机身的方式使电子数据无法提取。 (四)实时性 移动电话只要处于开机状态,其基本处于实时在线状态,随时进行信息的交互,如会接收到电话、短信及 GPS 信息等,极易破坏原有数据,因此,在对移动电话取证时一定要屏幕信号,防止对原有检材的破坏。 二、移动电话电子数据取证的原则 (一)合法性原则 移动电话电子数据取证的合法性原则,是指对移动电话电子数据证据的收集和分析必须依法进行,包括收集、分析的主体要合法,收集、分析证据的程序
3、要合法,取证的技术方法要合乎规范。 (二)关联性原则 移动电话电子数据取证,要求获取的电子数据必须与案件事实存在着必然的客观联系,且对证明案件事实具有实际意义。电子数据证据对于案件有无联系,决定着电子数据证据对于案件事实有无证明力,因此,在电子数据取证过程中必须收集与案件事实有关联,能够证明案件事实的电子数据证据。 (三)及时性原则 由于移动电话本身的脆弱性,破坏后便不易提取其中电子数据,移动电话中的电子数据存在于电子虚拟环境中,非常容易受到改动或破坏且不容易察觉和证实,而且移动电话会不断接收信息及电话等,极其容易把原来删除的内容覆盖,使之不容易恢复,电讯运营商对移动电话信息的保存也具有一定期
4、限,过了期限则无法调取。这些限制都要求及时对移动电话的电子数据及时进行固定,以免受到破坏或毁损。 (四)安全性原则 由于移动电话本身的脆弱性,以及电子数据的易损性,使移动电话的电子数据极易受到破坏及毁损,因此,在取证过程中应当保证:一是移动电话机不应受到非合法管理人接触,以防止毁损移动电话,破坏电子数据;二是保管环境应当安全,移动电话及其存储卡应当放在安全的环境中,使其电子数据不因环境影响而毁损;三是及时备份,对移动电话提取的电子数据应当及时备份,防止因原始数据毁损而无法取证。 (五)证据流转锁链原则 移动电话确定为取证对象后,应当有严格的证据流转记录,对每一个接触人,每个接触人对移动电话进行
5、的所有操作,以及移动电话在部门和个人之间的流转都应当在详细的记录,防止数据的毁损及污染。 三、移动电话的电子数据取证 (一)移动电话存储器 目前移动电话存储器可分为三种类型:RAM、ROM 和外置存储卡。RAM(random access memory)即随机存储器,存储单元的内容可按需随意取出或存入,且存取的速度与存储单元的位置无关的存储器。这种存储器在断电时将丢失其存储内容,故主要用于存储短时间使用的程序。ROM 是由英文 Readonly Memory 的首字母构成的,原意为只读存储器。顾名思义,就是这样的存储器只能读,不能像 RAM 一样可以随时读和写。它只允许在生产出来之后有一次写的
6、机会,数据一旦写入则不可更改。它另外一个特点是存储器掉电后里面的数据不丢失。但随着技术的进步,ROM 的功能也得到发展。在移动电话上,ROM 它一部分固化了移动电话操作系统,这部分只能读不能更改,要改只能整个系统更改(俗称刷机) ,剩余部分则可以像电脑硬盘那样安装运行程序和存储数据,如 QQ 等程序软件。 外置存储卡则种类比较多,主要有以下几种:MMC 卡、RS-MMC 卡、SD 卡、miniSD 卡、Trans Flash 卡和索尼记忆棒等。MMC 是 Multi Media Card 的缩写,也就是多媒体卡的意思,是比较早期的移动电话使用的小型存储卡。RS-MMC 即 Reduce Siz
7、e MMC,也就是缩小尺寸的 MMC 卡,除了体积缩小外,它的主要性能与标准 MMC 卡完全一样。SD 卡(Secure Digital Memory Card,安全性数字存储卡) ,是一种基于半导体快闪记忆器的新一代记忆设备,拥有高记忆容量、快速数据传输率、极大的移动灵活性以及很好的安全性。mini SD 卡,同 RS-MMC 卡一样,mini SD卡只是减小了体积,其他方面与传统 SD 卡并无差别。TransFlash(T-flash)存储卡又称 micro SD,是目前大部分移动电话均使用这类存储卡。索尼记忆棒(Memory Stick)又称 MS 卡,是一种可移除式的快闪记忆卡格式的存
8、储设备,它包括了 Memory Stick PRO(容许更佳的最大储存容量和更快的传输速度) 、Memory Stick Duo(Memory Stick 的小型格式版本,包括 PRODuo) 、和比 Duo 更小的 Memory Stick Micro(M2) ,主要用于索尼移动电话。 随着通讯技术及存储技术的发展,现在移动电话的存储器容量越来越大,使操作系统的功能越来越丰富,这些功能成为电子数据证据的重要来源: (1)电话簿,电话簿里存储着大量联系人电话,是重要的取证对象;(2)通话记录,包含着呼出、呼入及未接的记录,新款智能移动电话一般机身都带存储器,因此对通话记录条数没有限制,能够记录
9、所有通话记录,而部分老款手机一般对通话记录有限制,如呼入及呼出一共 20 条;(3)已发送、已收到、已删除、草稿的短信及彩信,这些信息往往成为发现线索、证明事实的重要依据;(4)录音、录像及图片;(5)日期时间及日程安排信息;(6)存储的文件及文档;(7)GPS 导航信息及地图导航信息;(8)通讯工具如 QQ、飞信等聊天记录;(9)上网记录,能够记录上网者的上网时间、网址、用户名及密码;(10)蓝牙传输的文件。 对移动电话存储器的取证程序一般应遵循以下程序: (1)如移动电话处于关机状态下,应先将移动电话充满电;(2)将移动电话接入屏蔽袋里,防止移动电话接入网络,接收来电及信息,并打开移动电话
10、电源;(3)运行取证工具软件,提取移动电话内置存储器中的电子数据;(4)提取完后,关掉移动电话电源,取出移动电话卡及外置存储卡;(5)运行取证工具,对外置存储卡制作镜像文件;(6)运行取证工具软件,对外置存储卡镜像文件进行分析,提取与案件相关的电子数据。 (二)移动电话卡 移动电话卡在 GSM 网络称为 SIM 卡,是 Subscriber IdentityModule客户识别模块的缩写,也称为智能卡、用户身份识别卡;在 3G 网络中移动电话卡称为 USIM,即 Universal Subscriber Identity Module(全球用户识别卡)的缩写,是升级的 SIM 卡。移动电话卡可
11、供通讯运营商对客户身份进行鉴别,并对客户通话时的语音信息进行加密。对移动电话卡取证时,应该注意以下问题: 1.有些 SIM 卡是 STK 卡,如有些中国移动通信公司 SIM 卡是 STK 卡,里面固化了有移动通信公司的应用交互程序,提供了超级号簿功能,里面分为三个电话簿,每个 250 条,一共 750 条,但只支持一个号簿在线,中国电信公司的 USIM 卡超级号簿则提供了四个号簿,每个 250 条,一共1000 条,因此在提取时要注意全部提取。 2.由于每款取证工具软件对每个移动电话卡的支持度并不相同,如A 工具能提取 80%电话簿,B 工具能提取 30%电话簿,因此,在条件允许的话,应当尽量
12、多尝试几款工具对移动电话卡进行提取。 3.对于老款非智能机来说,移动电话卡可能存有通话记录,一般为10 条或 20 条,因为机身本身不能存储,而对于新款移动电话来说,通话记录一般都存储在机身上。 (三)通讯运营商 通讯运营商的数据库中存有移动电话用户的大量信息,通过数据库可以查询到每个用户的个人登记信息,每个成功呼入、呼出的通话记录,每次通话使用的信号基站,通过信号基站可以对通话时所处的位置进行定位,还可以查询到一定时期内的短信内容。需要注意的是,移动运营商一般会存储三个月到半年的用户的通话记录、短信、彩信以及通话时的信号基站信息,在获取移动运营商的电子数据时,一定要在移动运营商的保存期限内及时提取。 (四)移动电话操作系统外应用程序 除了移动电话操作系统固化的应用程序外,一些智能移动电话往往允许用户自行安装应用程序,这些应用程序也将成为收集电子数据证据的来源,如用户安装的 QQ、飞信、微信、微博、google 地图等地图类程序以及邮件程序,这些程序中存储着聊天记录、发表的博客、搜索地图记录、地理位置信息以及收发的邮件,这些电子数据都有可能成为证明案件事实的证据。
