查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《湖北警官学院学报》
提取破损手机芯片获取电子数据证据的研究
【作者】 苏洋【作者单位】 北京瑞源文德科技有限公司
【分类】 刑事诉讼法【中文关键词】 公安刑侦;电子数据;手机芯片级提取
【文章编码】 1673―2391(2015)02―0139―03【文献标识码】 A
【期刊年份】 2015年【期号】 2
【页码】 139
【摘要】 以典型案例解析了提取破损手机芯片,进而获取重要电子数据证据,并对刑侦领域的应用规范与应用场景作了总结。
【全文】法宝引证码CLI.A.1200923    
  引言
  当今,有的作案人的犯罪活动日趋隐蔽化、智能化、群体化、新型化、反侦查化等特点,尤其对手机中存储的关键线索数据都有较强的防范意识,主动销毁、故意损坏、提前删除等手段层出不穷{1}。2012年新修改的《刑事诉讼法》将电子数据首次规定为法定证据类型。手机芯片作为手机机身数据的载体,如何直接提取案中的破损手机及破损的密码保护手机、特殊系统手机芯片中的电子数据,已经在刑侦过程中凸现出来。
  一、典型案例分析
  (一)浸水手机案例
  典型案例1。在某刑事案现场,找到几部浸水时间超过1月的手机,由于水泡时间过长,所有标签、手机电路板都遭到破坏,其中1部手机如下图所示(图1)。委托单位希望通过技术手段,得到手机机身IMEI,同时尽量获取机身存储数据,进行身份识别、线索分析。
  (图略)
  图1某案现场浸水1月余的手机
  该手机电路生锈严重,常规的手机开机检验已经不可能,只能将手机电路板上的主存储芯片与手机电路板分离后,通过专门手机芯片提取设备进行读取,然后再对得到的机身数据进行分析。
  首先,将机身外围无效器件、锈蚀部分清理掉,露出主存储芯片。该手机采用存储为256Mb Nand存储芯片。在芯片读取设备的支持中确认可进行数据读取后,开始拆除芯片,即将热风枪调节到270℃加热60秒后,将芯片与主板电路剥离。
  其次,对拆除的存储芯片进行预处理植球除胶后,放置在专用读取设备上读取,用时约1分钟。
  最后,对读取手机芯片数据进行分析,通过分析系统,自动与手动结合进行分析,得到相关手机IMEI 2条,通话记录若干。最终通过运营商协助确认本案手机的真实IMEI,为本案提供了重要线索。
  (二)破损手机案例
  典型案例2。嫌疑人在抓捕过程中,故意将HTC G14手机损坏,机身屏幕粉碎,机身被折弯为90°角,导致手机无法开机。办案干警希望通过技术手段获取相关机身数据。
  本案手机电路如下图所示(图2),由于主板电路集成度已经非常高,仅占据屏幕上方1/3的空间,因此,将手机电路拆下后发现,虽然机身变形严重,但主板电路完整度较高,而且存储芯片为新型三星EMMC 4G容量存储芯片。
  (图略)
  图2HTC G14手机存储芯片和电路
  本案对应数据提取过程如下:
  芯片拆除、准备过程同案例1。
  芯片读取过程。由于EMMC芯片具有高速、控制算法集成等特点,4G容量仅需要10分钟左右即可全部读取完毕。
  数据分析。利用现有成熟分析系统,以及开源硬盘镜像分析工具,即可快速整理本手机安卓系统中的EXT4文件系统分区,快速到用户数据目录,继而分析得到用户相关数据、电话簿、通话记录、短信若干条。由于安卓系统使用的Sqlite数据库,通过进一步分析,还可得到对应的部分删除数据。本案同时获取包含机身图片、视频、录音文件等多种格式,为侦查破案提供了大量基础数据和相关线索。
  (三)加密手机案例
  典型案例3。嫌疑人手机为moto XT910智能安卓手机,设置了开机屏幕保护锁,安全锁类型为9宫格,且相关系统开发者选项中,ADB调试模式关闭。
  由于安卓手机本身硬件方案的不同,存在着很多软件硬件漏洞,可以方便破解及绕过开机屏幕保护锁。但是,Moto XT910手机使用了TI的一款CPU,硬件上没有相关破解方法,软件上由于安卓系统为2.3.6,也是当时最新的操作系统,也没有可以使用的任何软件漏洞。综上所述,最终同意通过拆卸存储芯片的检验手段进行数据提取。
  本案对应数据提取过程如下:
  芯片拆除、准备过程同案例1。
  芯片读取。本案手机芯片为东芝16G 存储芯片,由于容量巨大,因此,整个读取过程耗时2小时。
  数据分析。由于本手机系统为yaffs文件系统,因此,分析难度巨大,目前还没有好的方法可以分析,但由于手机本身电路完好,因此,通过技术手段,分析找到了安卓系统中存储9宫格的密码文件gesture.key。通过分析,首先破解得到了真正的开机密码;其次,通过手机芯片返修设备,将存储芯片重新安装到手机上;最后,输入破解得到的密码后,验证通过,手机正常进入,通过常规手段获取了大量数据,其中包含数量众多的微信聊天数据,为本案侦破提供了大量线索。
  二、手机芯片提取
  手机芯片提取技术,是基于手机及其他通用小型化数码设备的存储芯片,直接针对存储芯片进行提取,从而获取最终数据的方法。随着手机技术的快速发展和智能手机的高度普及,手机检验技术也不断细分,根据检验工具采集信息的渠道不同,共分为:人机交互界面直接检验;应用层接口检验;系统层接口检验;芯片级检验;微读技术等5个等级。第一级由于纯手工开机检验无需产品;第二、第三级目前都有相对成熟的产品(MPE+/UFED/Oxygen……);第五级由于仅仅存在理论支持,因此,商用产品还未出现;第四级的芯片检验,是目前正在逐渐成熟中的解决方案,该检验摆脱了手机硬件设计的束缚,直接通过对存储介质的读取获得检验数据

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【参考文献】 {1}王桂强.手机物证检验及其在刑事侦查中的应用[J].刑事技术,2006(1).
  {2}Rick Ayers.Sam Brothers.Guidelines on Mobile Device Forensics,2013.
  {3}丁红军.手机规范取证研究[J].信息网络安全,2012(5):88-91.
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
本篇【法宝引证码CLI.A.1200923      关注法宝动态:  

法宝联想
【共引文献】
【相似文献】
【作者其他文献】
【引用法规】

热门视频更多