隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)發(fā)展���,手機(jī)已成為人們工作生活中不可或缺的聯(lián)系工具�,與此同時(shí) ,利用手機(jī)進(jìn)行詐騙�、偽造和傳播色情等犯罪活動(dòng)也屢見不鮮 。手機(jī)取證正是打擊這類犯罪的一個(gè)有效手段 ����。手 機(jī)取證就是從手機(jī)安裝手機(jī)應(yīng)用程序 �、手機(jī)內(nèi) /外置存儲(chǔ)卡及SIM 卡中收集和分析相關(guān)的數(shù)據(jù)證據(jù) �。
目前牽涉到手機(jī)的犯罪行為大致有以下幾種 :
在犯罪行為的實(shí)施過程中使用手機(jī)來通信聯(lián)絡(luò) ;
被用作犯罪證據(jù)的存儲(chǔ)介質(zhì),如照片�����、短信��、QQ���、微信聊天記錄 ;
手機(jī)被作為短信騷擾�����、詐騙和病毒軟件傳播等犯罪活動(dòng)的工具���。
用于民事取證,如婚外情調(diào)查���。
手機(jī)取證所面臨的一些問題:
廠商與用戶的安全意識(shí)不斷提高��,不斷產(chǎn)生的新的 保護(hù)措施和加密技術(shù)手段.
手機(jī)存儲(chǔ)容量日益增大�����,取證平均耗時(shí)大大增加
手機(jī)存儲(chǔ)容量日益增大�����,取證平均耗時(shí)大大增加
從“怎么取”逐漸轉(zhuǎn)換為“怎么看”和“怎么用”
下面我們說一下手機(jī)取證遇到的一些常見問題�,按照IOS(蘋果系統(tǒng))和Android(安卓系統(tǒng))進(jìn)行了區(qū)分:
iOS: 高版本有密碼\iTunes備份加密\應(yīng)用程序數(shù)據(jù)加密\刪除文件恢復(fù)\刪除應(yīng)用程序恢復(fù)
Android:有密碼未開調(diào)試\高版本root問題\BL鎖\應(yīng)用程序備份限制\應(yīng)用程序刪除填充
以及對(duì)損壞����、被破壞手機(jī)的取證
手機(jī)取證的一些常用方法
1,App備份限制
Android 6.0版本下����,目前微信無法通過備份方式獲取 導(dǎo)致微信提取結(jié)果為 0。解決思路: 1. 利用廠商自帶備份工具����,將手機(jī)數(shù)據(jù)備份,隨后將廠商備份數(shù)據(jù)轉(zhuǎn)換 為可解析格式后���,進(jìn)行數(shù)據(jù)提取和分析����。 2. 少數(shù)非原生Android 6.0手機(jī)��,通過提取root權(quán)限方式取得應(yīng)用程序 數(shù)據(jù)。
Android 4.x以及5.x版本下,部分應(yīng)用程序限制了自身的備份�, 如騰訊QQ、微信����、WhatsApp等。解決思路: 1. 首先將手機(jī)中的應(yīng)用程序替換為舊版本����。 2. 通過支持備份的舊版本進(jìn)行備份。 3. 取證完成后�����,替換為原始版本�。 潛在問題:證據(jù)有效性問題、系統(tǒng)安全機(jī)制問題��、數(shù)據(jù)完整性問題�����。
2,iOS高版本密碼
Android 4.x以及5.x版本下��,部分應(yīng)用程序限制了自身的備份����, 如騰訊QQ、微信���、WhatsApp等。解決思路: 1. 找到iOS設(shè)備使用者對(duì)應(yīng)的計(jì)算機(jī)���,將Lockdown文件拷貝并移動(dòng)至 取證計(jì)算機(jī)��,以實(shí)現(xiàn)無密碼建立信任關(guān)系�����。 2. 使用芯片替換的方法突破iOS的密碼嘗試次數(shù)限制��,目前POC階段��。
1吹下iPhone Flash芯片����,并使用復(fù)制設(shè)備制作副本;
2將副本使用測(cè)試架橋接至iPhone主板�,開機(jī);
3窮舉密碼�����,5-10次為一輪�;
4如觸發(fā)長(zhǎng)時(shí)間鎖定或觸發(fā)數(shù)據(jù)抹除,則更換副本�;
5重復(fù)上述步驟,直至解鎖�����。
3����,Android高版本設(shè)置密碼/無調(diào)試解決方案
在Android 4.4以上,尤其是Android 5.x版本中����,用戶設(shè)置密碼 無法進(jìn)入用戶交互開始調(diào)試和允許調(diào)試.
在設(shè)備沒有Bootloader鎖定的情況下����,通過刷入第三方Recovery程 序?qū)崿F(xiàn)備份(如TWRP)��。針對(duì)有Bootloader鎖定的��,根據(jù)情況采用芯片級(jí)取證方案�。
4�����,芯片級(jí)取證解決方案
目前��,手機(jī)芯片級(jí)解決方案主要適用于以下幾種情況:
1. 手機(jī)損壞����,無法通過在線提取方式進(jìn)行取證����;
2. Android手機(jī)設(shè)置密碼,無法破解或者繞過的��;
3. 部分非智能手機(jī)無可用數(shù)據(jù)接口或通訊協(xié)議。
路將越走越窄��,日子會(huì)越來越難�,以后的手機(jī)取證我們還會(huì)遇到更多的困難:
