2 手机应用数据取证的总体设计方案
基于手机取证的基本原理和技术手段,设计一套可以实现、易于操作、实用性强的手机取证方案,为手机取证技术的使用和推广构筑一幅蓝图。进一步地,希望以后在公安部门调查犯罪证据时能派上用场、有所作为。
本章先简单地介绍手机取证的一般性流程,再对手机应用数据取证的总体方案进行阐述。
2。1 手机取证概述
现代社会,随着智能终端的飞速发展和快速普及,原先主要集中于计算机平台的高技术犯罪已经转移目标,各类高技术犯罪案件在手机、平板等智能终端上层出不从。司法和公安部门也把视线聚焦到移动智能终端上,希望能找到基于手机等智能终端的取证方案,为打击新形式高技术犯罪提供有力的武器。
什么是手机取证呢?手机取证,就是在法律允许的范围内,不对手机内原有的用户数据进行更改,尽可能减少对手机系统的损害,通过合理的技术手段转储手机上的数据,并且对这些数据进行分析,整理、总结出能作为案件合法证据的资料的过程。
手机取证的数据目标是作案工具(如手机)上与案件相关的信息,包括短信、通讯录、通话记录以及第三方应用(如QQ)等的相关数据文件。这些案件相关的数据文件大致可以分为两大类,即基本数据和敏感数据,将在2。6节作详述。
2。2 手机取证的特点
原先的高技术犯罪主要是基于计算机平台的,而随着技术的不断革新,作为高技术犯罪“新宠”的手机也越来越智能,已经逐步趋近于计算机的各种功能。因此,为了方便突出智能手机取证的特点,应该也很有必要将手机取证和计算机取证做一个对比,便于更加清晰地了解手机取证技术。
表2。1 计算机和手机取证的比较
平台 计算机 手机
证据类型 文本、图像、声音等 文本、图像、声音等
存储介质 电磁介质 电磁介质
证据性质 合法 合法
处理器 AMD、Intel ARM
操作系统 Windows、Mac、Linux、Unix Android、IOS、Black Barry、
Windows Mobile、Symbian
存储方式 海量存储、静态存储 集成存储。、动态存储
存储时间 静态为主、时间长 动态为主、实时更新
取证源 硬盘、网络缓存 。 SIM、SD卡、手机内存卡、RAM
数据格式 较少 繁多
通过表2。1可以清楚地看出,手机和计算机取证在证据类型、存储介质、证据性质上基本相同,而在操作系统、存储时间、取证源、数据格式等方面有着很大的差异。总的来说,在取证技术上,一方面可以借鉴计算机取证,比如手机主流操作系统Android是基于Linux内核的;但另一方面手机取证还有很多需要技术探索和创新的地方。