移动终端取证 近几年,伴随着移动通讯技术的广泛发展,手机也成为了个人必备的通讯设备,同时,手机中的信息也越来越重要,手机犯罪率也相对以往提高了很多,在这些情况的影响下,对手机取证技术的要求也越来越高。从概念上来讲,手机取证是指在诉讼过程中,由有法定取证资格的取证主体运用符合规范的取证工具以及相关技术方法,发现提取和检验手机及相关设备,从中获得证据和案件线索的一种取证方式,具体就是从手机SIM卡,手机存储卡,外置存储卡以及移动网络运营商数据库中收集,保全,分析相关的电子证据,并最终从中获得具有法律效力,能被法庭认可的证据的过程。目前,有关手机犯罪的行为可以分为以下三类:手机在犯罪行为的实施过程中作为通讯联络工具使用,第二,手机用来存储犯罪证据,最后一类是手机用来实施短信诈骗,短信骚扰和病毒软件传播等新型手机犯罪活动。为了维持社会安定,保障人民利益,打击犯罪行为就需要充分的发展手机取证技术。 一移动终端设备取证的特点 手机,以及PDA等设备的取证,有别于传统的计算机取证,主要表现为四个因素:首先,取证对象很强的移动性决定了取证要有针对性;其次,文件系统存储于具有非易失性的存储中;手持式设备的产品周期非常短;由于每个手机生产商都有自己的操作系统,使得嵌入式操作系统的多样性的也成为移动终端设备取证有别于传统的计算机取证; 二手机取证的取证原则 (一)取证合法原则:这个原则和传统取证一样,首先,取证主义必须要有法定的权限和资格;其次,取证程序必须规范;最后,取证的工具也必须符合规范。 (二)取证及时原则:手机取证必须要迅速及时。 因为,首先,手机保存的数据具有天然的脆弱性,很容易因为外界环境的改变而破坏。其次,手机的内存相对来说容量较小,故其内存数据动态更新很快;最后,手机的电量也是有限的,为了防止电量消耗完后关机引起的数据丢失等,必须要及时获取信息。 (三)取证备份原则:由于数据信息本身具有易丢失的特性,在取证过程中,为了防止这种情况的发生,必须要对已经取得的数据进行备份。 (四)环境安全原则:手机证据中有一部分是属于电子证据的,它存储在电磁介质上,而电子介质易受外界环境的影响,因此,手机数据存储载体必须在安全的环境下进行妥善保管。 (五)证据保管流转链原则:即从手机被确定为取证对象时,就必须建立证据流转链记录,连续的记录下从发现或获得手机数据载体一直到取证结束的整个过程中所有和该手机数据载体取证相关的活动。 三手机的取证源 手机的取证源有SIM卡,手机内存,外置存储卡,移动网络运行商; (一)用户身份识别卡(SIM卡):用来作为用户识别模块的SIM卡,即用户身份识别卡,在通信网络中,和手机共同构成移动移动通信终端设备。SIM是一种特殊的智能卡,常见的SIM卡存储容量是16K到64K。SIM卡存储上的内容可以分为五类:SIM卡生产商存储的原始数据;手机存储的固有信息;手机使用过程中生成存储的信息;用户在使用SIM卡过程中自动存入和更新的网络服务及
电子数据取证标准 随着全球信息化的飞速发展,越来越多的数据以电子形式保存。信息安全产品、信息安全服务、安全事件处理与应急响应等方面都离不开电子证据;此外,在商务交易、政府服务、交流沟通、网络娱乐等各种网络应用中也大量涉及到电子证据。但是如同潘多拉的魔盒, 商务类应用的快速发展也伴随着互联网违法犯罪不断增长。有数据显示2013年中国网民在互联网上损失近1500亿,截止2013年12月,我国网民规模达到6.18亿,这就意味着2014年中国网民每人平均损失达243元。 电子数据取证技术,是信息安全领域的一个全新分支,逐渐受到人们的重视,它不仅是法学在计算机科学中的有效应用,而且是对现有网络安全体系的有力补充。近年来,我国的民事诉讼法、刑事诉讼法和行政诉讼法陆续将电子数据确立为法定证据种类之一,电子证据已在我国民事诉讼、刑事诉讼和行政诉讼法活动中发挥重要作用。 电子数据取证是一个严谨的过程,因为它需要符合法律诉讼的要求。因此,取证调查机构必须从“人、机、料、法、环”等多个方面规范电子数据取证工作。 我国电子证据的标准化工作起步较晚,但是国家对于相关标准工作十分重视。《全国人大常委会关于司法鉴定管理问题的决定》(以下简称《决定》)从国家基本法律层面对电子数据鉴定遵守技术标准的义务做了明确规定,即“鉴定人和鉴定机构从事司法鉴定业务,应当遵守法律、法规,遵守职业道德和职业纪律,尊重科学,遵守技术操作规范。” 部门规章和规范性文件层面也有类似规定。2005年《公安机关电子数据鉴定规则》(公 信安[2005]281号)明确要求公安机关电子数据鉴定人应当履行并遵守行业标准和检验鉴定 规程规定的义务;2006年《公安机关鉴定机构登记管理办法》(公安部令第83号)明确 将鉴定机构遵守技术标准的情况纳入公安登记管理部门年度考核的内容中;2007年《司法 鉴定程序通则》(司法部令第107号)对鉴定人采纳技术标准问题做出了详细的要求,其 第22条规定,“司法鉴定人进行鉴定,应当依下列顺序遵守和采用该专业领域的技术标准 和技术规范:(一)国家标准和技术规范;(二)司法鉴定主管部门、司法鉴定行业组织或者相关行业主管部门制定的行业标准和技术规范;(三)该专业领域多数专家认可的技术标 准和技术规范…..”
本技术涉及一种基于recovery的手机取证方法,所述的方法包括以下步骤:(1)电脑判断所述的手机是否以fastboot模式连入电脑;(2)如果所述的手机以fastboot模式连入电脑,则刷入第三方的recovery;(3)挂载所述的手机的分区;(4)将手机上的文件导出至所述的电脑中;(5)如果无手机以fastboot模式连入电脑,则继续步骤(1)。采用该种结构的基于recovery的手机取证方法,对Android手机进行手机信息读取,大大提高了Android手机信息读取效率,数据读取完整有效,能直接为司法取证以及实际工作需求提供有效的帮助,适用于大规模推广应用。 权利要求书 1.一种基于recovery的手机取证方法,其特征在于,所述的方法包括以下步骤: (1)电脑判断所述的手机是否以fastboot模式连入电脑; (2)如果所述的手机以fastboot模式连入电脑,则刷入第三方的recovery; (3)挂载所述的手机的分区;
(4)将手机上的文件导出至所述的电脑中; (5)如果无手机以fastboot模式连入电脑,则继续步骤(1)。 2.根据权利要求1所述的基于recovery的手机取证方法,其特征在于,所述的步骤(1) 具体包括以下步骤: (1.1)所述的手机进入fastboot模式; (1.2)所述的手机连接至电脑; (1.3)所述的电脑判断所述的手机是否以fastboot模式连入电脑。 3.根据权利要求2所述的基于recovery的手机取证方法,其特征在于,所述的步骤(1.2) 具体为: (1.2)所述的电脑安装与所述的手机相对于的驱动; (1.3)所述的手机连接至电脑。
手机取证技术研究 李健 摘要:手机在犯罪的过程中出现的频率越来越高了,对手机的取证也显得越来越重要。本文简述手机取证的概念、原则、特征,对目前手机取证在当前侦查取证中的现状进行介绍,同时,根据手机取证的取证源详细介绍手机取证的方法,详细介绍一些常用的手机取证工具软件的特点和适用情况以便于侦查人员的实际选择与应用,介绍当前主流的手机系统Android和苹果iOS的分析方法和取证的注意事项,另外,对手机用户提供一些保护手机的建议,最后对手机取证的研究及应用前景进行展望。 关键词:手机取证;取证方法;取证工具;对比实验 随着当今社会移动通信技术的飞速发展,手机已经走进千家万户,据工信部统计,截止2014年1月,我国使用手机的的人数已达12.53亿,用户数占全国人口的90.8%,可以说手机已经成为人们日常联系的必备工具。然而,伴随着手机业迅猛发展和手机功能不断强大的同时,利用手机进行违法犯罪的案件牵涉到手机的违法犯罪案件的比例逐年升高,对于公安机关办案,通过手机提取线索、证据也逐渐成为一种非常有效和重要的侦查手段。因此,侦查人员系统的认识手机取证,掌握手机取证的基本方法,了解一些常见的手机取证工具软件,从而打击与手机相关的各类犯罪活动,对于维护社会稳定、保障人民生命财产安全、打击犯罪行为具有重大现实意义。 一、手机取证的概念、原则、特征 (一)手机取证的概念 手机取证是数字取证中的一种,所谓手机取证就是对存在于手机SIM卡、手机内存卡、外臵存储卡、短信服务提供商系统和移动网络运营商保存的电子证据进行提取、保存、分析,整理出有价值的案件线索或能被法庭所采纳的证据的过程。 (二)手机取证的原则 1.合法原则 手机取证的合法原则和传统取证一样,所谓合法主要包括以下四
手机微信QQ聊天记录取证方法(非常详细实用) 如今,由于互联网为交易双方提供了跨越物理空间的沟通渠道,通过网络协商订立合同条款越来越成为追求交易便捷、降低成本的商事主体的选择。 在案件当中,通过微信、QQ、电子邮件协商确定双方权利义务的情况比比皆是,也成为认定案件关键事实的主要证据。目前互联网电子数据证据成为案件主要证据的比例逐步上升,甚至部分案件中此类证据,特别是微信证据成为当事人证明自己主张的唯一证据。 为了统一司法实践中互联网电子证据认定标准,南沙法院在全省率先出台《互联网电子数据证据举证、认证规程(试行)》(以下简称《规程》)。 《规程》对互联网电子数据证据的内涵予以了界定,依据及参考已经颁布施行的《电子签名法》以及尚在审议过程中的《电子商务法》,并结合法院审判实践中出现较多的证据类型,列举了短信、电子邮件、QQ、微信、支付宝或其他具备通讯、支付功能的互联网软件所产生的,能够有形地表现所载内容并可以随时调取查用的数据信息。 针对各种证据类型,《规程》对当事人向法院提供证据方面作出指引,包括固化证据的形式、使用的介质、展示证据的程序。同时法院也在立案窗口和
应诉送达时专门放置举证指引清单,对于提交此类证据的当事人及时进行指导,减少不规范的举证行为,提高审判效率。 《规程》还对法官采信电子证据的认证过程作出指引。对于通过公证、鉴证可以解决证据真实性认证问题的,引导当事人进行公证、鉴证,而对于没有进行公证、鉴证或者公证、鉴证内容尚不足以证实证据真实性的情况,主要通过电子数据证据中当事人的身份真实性、通讯内容的完整性来对证据进行认证。 ▌关于微信相关证据《规程》这样说 当事人提交微信相关证据需注意以下三方面: 1、使用终端设备登陆本方微信账户的过程演示。用于证明其持有微信聊天记录的合法性和本人身份的真实性。 2、聊天双方的个人信息界面。借助微信号不可更改的特点,并结合个人信息界面中显示的手机号码、头像等信息固定双方当事人的真实身份。 3、完整的聊天记录。根据微信聊天记录在使用终端中只能删除不能添加的特点,根据双方各自微信客户端完整聊天信息进行对比,以验证相关信息的完整性和真实性。 法官采信微信相关证据时如何做? 1、法官在采信微信相关证据时如何确定微信使用者身份? 微信并未强制实名认证,法官在采信微信相关证据时,根据当事人提供的对方微信号、绑定的手机号码以及聊天记录中透露的相关信息内容,法官可以
定了!微博微信聊天记录可当证据(附9大电子证据取证、存证、举证指引)法律唯你前天 中华人民共和国最高人民法院 12月26日公布的《最高人民法院关于修改<关于民事诉讼证据的若干规定>的决定》据该决定第十四条规定电子数据包括下列信息、电子文件(一)网页、博客、微博客等网络平台发布的信息;(二)手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息;(三)用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息;(四)文档、图片、音频、视频、数字证书、计算机程序等电子文件;(五)其他以数字化形式存储、处理、传输的能够证明案件事实的信息。此次决定的颁布标志着国家最高审判机关正式在司法解释中确认了微信微博聊天记录的证据位。 目录一、手机短信二、传真件三、电子邮件四、网页证据五、电子聊天记录六、录音七、支付宝证据八、微信证据九、电子照片十、互联网电子数据证据举证指引▌一、手机短信1、如何在法庭上出示手机短信应当庭出示,并将短信内容、发(收)件人、发(收)时间、保存位置等相关信息予以书面摘录,作为庭审笔录的一部分。举证方也可自愿申请短信公证,并将公证文书作为证据出示,此时手机短信可以不予出示。2、审查手机短信应注意哪些情况经过法院审查核实符合证据"三性"要求的手机短信,可以作为定案依据。但因手机短信存在删改的特性,一般情况下不宜
单独作为认定案件事实的依据,应结合其他证据予以补强,短信证据应该注意以下几点: 1) 审查发、收件人(姓名及手机号码)以及发送、接收的时间;发、收件人与案件当事人之间的关系,确定双方属于案涉当事人; 2) 审查手机短信的位置是否出现变动,有无中间删减的情况; 3) 审查手机短信的内容是否完整,与其他证据是否有矛盾,与待证事实是否有关联; 4) 必要时可申请鉴定或向电信运营商作调查。 3、已删除的短信哪里找? 1)搜索APP“手机数据恢复精灵”2)打开APP,点击“短信恢复” 3)APP会对手机进行扫描4)扫描完成后可以恢复查看了▌二、传真件 由于传真件的真实性较难判断,采用某些技术性手段可以变造内容,同时传真件的保存时间不长,通常传真件经过两三年的时间,字迹会变淡、模糊,纸质会泛黄,故对其真实性及证明力应注意审查。(所以重要的传真一定要记得复印备份!)1、核实传真的收件人、发件人,发、收传真的号码、传真时间,以判断传真收、发人与案件当事人之间的关系,传真过程,传真内容是否真实。在核实双方当事人身份的时候,应当注意双方的名片上或合同约定中是否留有传真号码;2、存在多份传真件的,应审查各传真件之是否相互衔接,与其他证据能否印证。通过一系列传真件结合其他证据能够证明各传真件之间存在连续性及关联性的,可认定传真件的证据效力;3、对单一传真件的审查,可以适用证据补强规则,结合其他证据加以佐证。 ▌三、电子邮件
电子数据取证试题 说明:考试时间100分钟,满分100分,答案写在答题纸上。 一、单选题(共10题,每题2分,共计20分) 1.硬盘作为最常见的计算机存储介质,近几年从容量到性能都有了很大的提高,以下哪种 硬盘的理论传输速率最慢 A.SCSI B.IDE C.SAS D.SATA 2.以下哪种规格是市场上最常见的笔记本硬盘 A.英寸 B.英寸 C.英寸 D.1英寸 3.以下哪种规格不是SCSI硬盘的针脚数 A.50 B.68 C.72 D.80 4.下列哪种接口的存储设备是不支持热插拔的 https://www.doczj.com/doc/fb6472725.html,B接口 B.E-SATA接口 C.SATA接口 D.IDE接口 5.下列哪个选项是无法计算哈希值的 A.硬盘 B.分区 C.文件 D.文件夹 6.下列文件系统中,哪个是Windows 7系统不支持的 A.exFat B.NTFS C.HFS D.FAT32 7.下列有关文件的各类时间属性,操作系统是一定不记录的 A.创建时间 B.修改时间 C.访问时间 D.删除时间 8.下列哪种不是常见的司法取证中的硬盘镜像格式 A.Gho B.AFF C.S01 D.001 9.系统日志中某些内容可能对取证有重要意义,比如“事件日志服务启动”通常被视为计 算机开机的标志,该事件所对应的事件编号为: A.5005 B.5006 C.6005 D.6006 10.Encase Forensic是业界文明的司法取证软件,它是下面哪家公司开发的 A.Guidance B.GetData C.AccessData D.PanSafe 二、多选题(共10题,每题3分,共计30分) 1.通常Windows系统中涉及文件的3个时间属性,M代表Modify,表示最后修改时间;A 代表Access,表示最后访问时间;C代表Create,表示创建时间;下列解释错误的是A.M始终要晚于C B.M、A、C在Linux系统中也适用 C.M、A、C时间是不能被任何工具修改的,因此是可信的
Intella ? 取证检索技术的未来 30 DAY FREE TRIAL + ONLINE SUPPORT Latest version online now! CP0025.02 Intella ? 将手机数据和邮件或其它文档数据集成到一起,提供全局线索图。 扩展您的手机取证产品,使用 在很多的案件调查中,手机数据现在已经成为线索的主要来源,包含邮件、短信、地理位置信息和通话记录,这些数据对于了解涉案人员的活动情况至关重要。 至今为止,仍未有简单的方法可将手机中的线索和其他基于电脑的线索整合到一起。通过与取证行业领导者的合作,例如Oxygen 、Micro Systemation's XRY 和Cellebrite's UFED 移动设备产品,Intella?可以帮助您将案件中的数据和手机中的数据集成到一起,从而极大地提高数据之间可视化关系分析的能力。使用Intella 创新的可视化集群图,可以将所有用户通讯的记录放置在一个中央工作区,进行简单搜索,并采用直观的图形进行结果展示。现在您可以获得: 提升、增强现有取证产品的搜索能力 集成手机数据和电子邮件数据,并与其他产品形成全视图的线索 通话记录连接时间线分析 降低手机报告和其他数据单独分析的时间和复杂性 支持办案人员执行数据检索 搜索多部手机中的信息、日志和其他手机特有的数据。 针对通话明细提供可视化图分析 I n t e l l a ?新的手机功能提供切面、表格、列、时间等字段。一个I n t e l l a ?案件可以包含多部手机提取的数据,并可于任何时间调查任何手机数据。Intella?可将Oxygen 、Micro Systemation ’s XRY 和Cellebrite ’s UFED 的数据整合到同一个案件中。 地 址:上海市长宁区江苏路121号中西大厦9楼C座
手机取证相关知识 1.取证源 1.1 SIM卡 SIM卡通常包含16-64K的内存,一个处理器和操作系统。一个SIM卡唯一地标示出用户,号码和授权用户连上网络的算法,用于存放姓名和电话号码,短信和网络配置参数。SIM卡的内容通过设置PIN来限制访问。 从SIM卡中可获得如下信息。 (1)国际移动用户识别码(IMSI):国际上为唯一识别一个移动用户所分配的号码 (2)联系人信息 (3)SMS通信流量信息:发送和接受的短信 (4)用户的位置信息:是指系统登记的最后使用地区 (5)电话信息:最后若干个通话和对最后通话解密的密钥 (6)系统信息:每个SIM卡唯一的ID SIM卡的结构及其存储数据。 SIM卡是一个装有微处理器的芯片卡,它的内部有5个模块,并且每个模块都对应一个功能:微处理器CPU(8位)、程序存储器ROM(3~8kbit)、工作存储器RAM(6~16kbit)数据存储器EEPROM(128~256kbit)和串行通信单元。 SIM卡存储的数据可分为四类:第一类是固定存放的数据。这类数据在ME(Mobile Equipment)被出售之前由SIM卡中心写入,包括国际移动用户识别号(IMSI)、鉴权密钥(KI)等;第二类是暂时存放的有关网络的数据。如位置区域识别码(LAI)、移动用户暂时识别码(TMSI)、禁止接入的公共电话网代码等;第三类是相关的业务代码,如个人识别码(PIN)、解锁码(PUK)、计费费率等;第四类是电话号码簿,是手机用户随时输入的电话号码。 1.2移动网络运营商 在GSM网络中,网络操作员的呼叫数据记录数据库,包含了所有移动网
络电话的信息。比如用户数据库,呼叫数据记录(CDRs):每个呼叫记录(CDR)包含如下信息:源MSISDN和目的MSISDN,源和目的IMEI,长度,服务类型,初始提供服务的基站。以及用户的位置。 3.常用的取证软件 (1)Cell Seizure:允许在运行CDMA、TDMA和GSM网络的手机上获取、报告数据。通过RS-232和USB接口连接。可以找到的内容包括:SMS历史:Inbox/Outbox。电话薄:SIM-Card,本机号码。通话记录,照片,消息提醒等。(2)Oxygen Phone Manager:其取证版本可以用于执法部门调取证调查,目前最新的是Oxygen Forensic Suite 2012:支持超过3500种手机型号,涵盖Nokia、Blackberry、Apple,Android等主流厂商。 商业: 瑞典Micro Systemation(MSAB)的XRY系列软件 英国Radio Tactics 公司的“Forensic Mobile Toolkit” SIM卡中A3 A8算法介绍: GSM 的加密系统里面大致涉及三种算法,A3,A5,A8,这些并不特定指代什么算法,只是给出算法的输入和输出规范,以及对算法的要求说到这里就不能不简单介绍一下SIM 卡, SIM 卡是一种智能卡片,里面有个非常简单的CPU 和一点NVRAM,可以存储和读出数据,还可以进行一些运算。卡里面有很多内容,不过我只介绍和加密相关的。每张SIM 卡里面一般都存着一个全球唯一的标志号,叫做IMSI,这个是用来唯一标识你SIM 卡的,手机在开机时候会从卡里面读出这个号发给移动网络,移动那里有一个很大的数据库,描述了IMSI 和手机号的对应关系,于是网络就知道你的手机号是多少了(如果你手机卡[/B]丢了去补,新补来的卡IMSI 和原有的不同,而移动数据库那里将你原来的手机号指向新的IMSI,旧的卡就再也不能用了)除了IMSI ,还有16 个字节的密钥数据,这个数据是无法通过SIM 卡的接口读出的,通常称为Ki,Ki 在移动网络那
电子数据取证标准 随着全球信息化的速展,越来越多的数据以子形式保存。信息安全品、信息 安全服、安全事件理与急响等方面都离不开子据;此外,在商交易、政府服 、交流沟通、网等各种网用中也大量涉及到子据。但是如同潘多拉的魔盒, 商用的快速展也伴随着互网法犯罪不断增。有数据示2013 年中国网民在互网上失近1500 ,截止 2013 年 12 月,我国网民模达到 6.18 ,就意味着 2014 年中国网民每人平均失达243 元。 子数据取技,是信息安全域的一个全新分支,逐受到人的重,它不 是法学在算机科学中的有效用,而且是有网安全体系的有力充。近年来,我国的民事法、刑事法和行政法将子数据确立法定据种之一,子据已在我国民事、刑事和行政法活中重要作用。 子数据取是一个的程,因它需要符合法律的要求。因此,取 机构必从“人、机、料、法、” 等多个方面范子数据取工作。 我国子据的准化工作起步晚,但是国家于相关准工作十分重。《全国 人大常委会关于司法定管理的决定》(以下称《决定》)从国家基本法律面子数据定遵守技准 的做了明确定,即“ 定人和定机构从事司法定, 当遵守法律、法,遵守道德和律,尊重科学,遵守技操作范。” 部章和范性文件面也有似定。2005 年《公安机关子数据定》(公信安 [2005]281号)明确要求公安机关子数据定人当履行并遵守行准和定 程定的;2006 年《公安机关定机构登管理法》(公安部令第83 号)明确 将定机构遵守技准的情况入公安登管理部年度考核的内容中;2007 年《司法定程序通》(司法部令第107 号)定人采技准做出了的要求,其 第 22 条定,“司法定人行定,当依下列序遵守和采用域的技准 和技范:(一)国家准和技范;(二)司法定主管部、司法定行或 者相关行主管部制定的行准和技范;(三)域多数家可的技 准和技范?..”
法律诉讼手机电子证据获得方法教程 随着移动互联网的发展,当今社会几乎是人手一部智能手机,基本上所有的案件中我们都需要进行手机电子证据固定。今天给大家分享下我平时工作中遇到手机检材时的思路和方法,希望能给大家带来帮助。 一、准备工作 在平时的取证过程中,我们很容易会忽视掉准备取证前的一些准备工作,主要是一下几点: 1、飞行模式 很多时候,手机在现场被扣留后,没有在现场及时开启飞行模式。在后续我们做证据固定的时候,打开手机可能手机流量是打开的。由于目前很多手机品牌都有自己的云空间、云服务这类远程功能,有可能被还没抓住的犯罪分子利用,造成现有检材的数据丢失。(有条件的话,我们需要打开信号屏蔽器后再进行开机操作) 2、手机电量 通常在扣留了手机检材后,为了保证数据安全通常都是关机处理,到了需要固定的时候才打开手机,这里我们会很容易忽视掉手机电量的问题。通过需要保持电量在50%以上,如果电量过低,在取证过程中会出现各种各
样的问题,有可能导致手机强制关机、没有任何反应,更严重的话可能会导致数据丢失,电子数据固定失败。 面对这种情况,我建议最好的解决方法就是:准备进行数据固定前,先把手机关机充电,等手机电充满了再进行后续操作。 3、配套工具 平时我们取证时,最关注的是我们的电脑,因为一台性能可靠的电脑会让我们的工作事半功倍。但是其他小的工具我们也不能忽视,常用的像:①数据线②SD卡③SIM卡读卡器④OTG 等等。 ?数据线:正常我们需要准备三种数据线,苹果Lightning 接口数据线、安卓MicroUSB接口、Type-C接口数据线,其他 还有些冷门的可以先不用考虑。数据线是经常被大家所忽略了,但是它真真实实的会影响到我们的固定速度和稳定性。 举个例子:苹果Lightning接口数据线在某宝的价格有很多便宜的,但是它们都是没有经过苹果MFi认证的,有可能只 支持充电而无法读取手机中的数据。 ?SD卡:我建议最好准备两张,一张4GB/8GB的,一张64GB以上的,因为有些老款的手机,它们虽然支持SD卡扩展, 但是没办法支持到大容量的SD卡。 ?OTG:上面提到的SD卡是我们常用的工具,但是目前市面上很多中高端手机,他们是不支持SD卡扩展的,所以一个
手机电子数据取证固定与确认都很重要 作者:彭劲荣(重庆市江北区人民检察院),来源于检察日报 在司法实践中,手机作为物证和电子数据存储源的地位越来越突出,利用专业手段提取电子数据的手机取证工作在侦查犯罪中的作用日渐重要。但手机取证还存在思想认识不够、程序不规范等问题,亟须予以完善。 一、提高认识,将手机取证作为常规性侦查工作来抓。在审查案件过程中,经常发现犯罪嫌疑人、被害人和证人在笔录中陈述通过手机、QQ、短信、微信等方式进行联系,但案卷中没有相关的手机电子数据材料予以印证。手机电子数据作为电子证据的一种,具有很大的易变性,容易因人为或环境因素而变化和灭失,一旦错过时机可能造成重要证据流失。因此,侦查人员必须及时做好手机的扣押及电子数据的提取固定工作。 二、规范程序,确保手机取证形式合法内容客观真实。手机SIM卡、手机内/外置存储卡以及移动网络运营商数据库中存储的信息是以电子数据形式存在的,从证据分类上看属于修改后刑诉法第48条第1款第(八)项新增的“电子数据”。对电子数据的提取和固定是一项专业性很强的工作,在目前的侦查实践中相关取证程序还需规范。 1、手机电子数据提取应当分阶段进行。作为通讯工具的手机,本身
是重要的物证,其品牌、型号、规格等物理属性对于案件事实具有一定的证明作用。而手机内的短信、通话记录等电子信息是电子数据,能够对案件的事实起到证明作用。因此,对于手机及手机内的电子数据应当分阶段提取,即首先依照物证收集程序对手机进行提取,然后依照电子数据的收集程序对手机电子数据进行提取,二者不能混同和互相替代。 2.手机电子数据应当由专业人员提取。手机是高科技通讯设备,特别是智能手机的功能已堪比电脑,具有较高的技术水平。手机电子数据具有自动生成性、易变性等特征,很容易被修改、删除,非专业人士无法进行识别和恢复,而且即使提取到也易被犯罪嫌疑人或辩护人提出质疑。如在郑某强奸案中,侦查人员以拍照方式提取了犯罪嫌疑人郑某案发后发给被害人的悔过短信,该短信在来源处只显示了“郑某”的姓名,没有附带显示电话号码。在法庭审理阶段,郑某及辩护人辩解该短信不具有客观性,指出该短信不是其所发送,可能系侦查人员将来源于其他人的短信篡改后显示为“郑某”,法庭认为该条短信具有瑕疵不予采信。这提醒侦查人员扣押手机后,应当送交技术部门或者委托通信公司的专业人员提取电子数据,以保证手机电子数据得到全面、客观收集,被损毁、修改的数据信息能够被正确识别和恢复。 3.手机电子数据的呈现形式应当规范。电子数据是以电子方式存储,具有无形性的特点,必须转化为可以再现的形式才能对案件事实起到
手机电子取证的大数据应用 作者简介:苏洋(1978-),男,汉族,北京人,研究生,北京瑞源文德科技有限公司,研发经理,研究方向:手机电子取证。 一、大数据时代 手机数据,尤其是智能手机数据伴随着智能手机软硬件的高速发展,目前每月智能手机但从移动运营商产生的上网流量数据量也已经平均达到1Gb,爱立信移动报告了解到,等到2021年,智能手机普通用户每个月将用掉8.9 GB的数据。智能手机数据本身,还将包括机身存储,云端备份,电脑备份等,如何应对这些数据,来更好的完成数据关联分析,相信大数据应用技术可以给我们指明方向。[1] 二、大数据应用 (一)手机号码联系人数据分析 作为传统手机数据分析,以往最为关心的就是嫌疑人手机中的手机号码联系人碰撞分析模型。即将所有相关手机中的通讯录、通话记录、短信息进行存储,以电话号码为核心数据进行分析,这种分析的模型单一,数据量小,碰撞结果有限。只能给出有或无的单一指向性数据结果,作用有限. (二)手机相关关系型数据分析 目前手机数据分析的最主要诉求,集中在时空刻画,也就是是与时间,位置相关的数据关联分析。在手机数据中与位置相关的数据关联性被更多的关注与使用,下面将针对4种主要位置相关数据的分析手段总结如下:
1.通话基站数据。利用手机通话、上网时使用的运营商基站进行地理位置映射的数据分析模型。根据手机运营商基站的密度不同,定位的精度也从城市中的几百米到乡村的几公里。 2.wifi ap数据。利用手机中wifi联接数据,根据wifi公共ap定位位置信息,目前公共wifi ap的相关数据库已经在陆续投入使用中,个人ap的位置数据则可以根据mac唯一性进行反向印证。 3.照片GPS数据。随着手机中GPS数据的不断丰富,照片图片文件的Exif数据中有可能存储当前照片拍摄地的准确GPS数据,可以作为位置数据直接使用。 4.app定位数据。随着智能手机app的不断丰富,如下类别的APP 数据中都有可能涉及到城市,乡村,区域等的大范围位置相关信息:(1)点评类:当前位置LBS应用,附近商业信息等。 (2)地图导航:当前位置,导航记录。 (3)运动记录:路书、轨迹、城市信息。 (4)天气类:当前城市,周边信息。 (5)旅游类:当前城市,目的地信息,订单(交通工具、住宿)。 (6)交友类:当前城市,附近数据。 (7)上网类:当前城市。 (8)可穿戴设备APP:当前位置,轨迹。 (9)拼车类:当前位置,订单数据,轨迹等。 当前的大数据分析,除了个人的轨迹分析模型以外,还可以利用分析结果数据再次进行关联分析,通行分析,碰面分析等都是在这个
电子数据取证成为信息安全产业的新引擎 计算机和网络技术的迅速普及大大改变了人们的生活和生产方式,人们在享受计算机和互联网所带来的便利的同时,也面临着大量有关电子数据的安全问题,如网络信息窃取、木马病毒、网络色情、网络诈骗等等。计算机、手机等电子设备的使用为不法分子实施违法犯罪行为提供了更加隐蔽和便利的条件,不法分子不但可以将计算机等电子设备做为违法犯罪的目标,而且也可以将其做为实施违法犯罪的工具,所造成的危害也越来越大。 近年来在西方一些发达国家,计算机犯罪每年都在翻番,成为十分严重的社会问题。据报道美国计算机犯罪造成的损失已在千亿美元以上,年损失达几十亿至上百亿美元。英国、德国在这方面的年损失也达几十亿美元。为了对付计算机犯罪,美国去年在网络保安工作上花费了60亿美元,英国的公司每年也要花5.3亿英镑来对付计算机伪造和入侵。 我国于1986年首次发现计算机犯罪案件,进入90年代,随着我国计算机应用和普及程度的提高,涉及电子数据的违法犯罪案件呈迅猛增长态势,涉及领域包括银行、证券、保险、贸易、工业企业以及国防、科研等各个行业。据公安部公布的信息显示,2005年,我国刑事案件的数量为4,648,401件,2006年为4,744,136件,2007年为4,807,517件,每年呈递增趋势。据统计,这些案件中有50%的案件涉及计算机系统或网络中的电子数据,每年就有超过240万起案件需要进行电子数据取证,这里还不包括民事案件的数量。随着社会信息化水平的提高,涉及电子数据的案件在总案件中的比例还将不断提高。 如何防范侵害计算机及网络系统中的电子数据的行为,获取与之相关的电子证据,将不法分子绳之以法,已成为司法和计算机科学领域中亟待解决的重要课题。作为计算机科学、法学和刑事侦查学的一门交叉科学——电子数据取证已日益成为人们研究与关注的焦点。 与传统的指纹、笔迹、DNA等取证对象所不同的是,电子数据取证的对象是虚拟空间的电子数据。计算机硬盘、U盘、手机、数码相机等设备中存储的电子数据,往往会遇到存储介质被损坏、数据被删除等情况无法读取,必须通过电子数据取证技术进行恢复、提取和分析,从而客观、真实地反映存储介质中的电子