隨著移動互聯(lián)網(wǎng)技術(shù)發(fā)展,手機已成為人們工作生活中不可或缺的聯(lián)系工具��,與此同時 ,利用手機進行詐騙�、偽造和傳播色情等犯罪活動也屢見不鮮 。手機取證正是打擊這類犯罪的一個有效手段 ��。手 機取證就是從手機安裝手機應用程序 、手機內(nèi) /外置存儲卡及SIM 卡中收集和分析相關的數(shù)據(jù)證據(jù) ����。
目前牽涉到手機的犯罪行為大致有以下幾種 :
在犯罪行為的實施過程中使用手機來通信聯(lián)絡 ;
被用作犯罪證據(jù)的存儲介質(zhì)���,如照片�、短信��、QQ���、微信聊天記錄 ;
手機被作為短信騷擾���、詐騙和病毒軟件傳播等犯罪活動的工具。
用于民事取證�,如婚外情調(diào)查。
手機取證所面臨的一些問題:
廠商與用戶的安全意識不斷提高��,不斷產(chǎn)生的新的 保護措施和加密技術(shù)手段.
手機存儲容量日益增大�����,取證平均耗時大大增加
手機存儲容量日益增大���,取證平均耗時大大增加
從“怎么取”逐漸轉(zhuǎn)換為“怎么看”和“怎么用”
下面我們說一下手機取證遇到的一些常見問題��,按照IOS(蘋果系統(tǒng))和Android(安卓系統(tǒng))進行了區(qū)分:
手機取證的一些常用方法
1��,App備份限制
Android 6.0版本下��,目前微信無法通過備份方式獲取 導致微信提取結(jié)果為 0��。解決思路: 1. 利用廠商自帶備份工具��,將手機數(shù)據(jù)備份��,隨后將廠商備份數(shù)據(jù)轉(zhuǎn)換 為可解析格式后�����,進行數(shù)據(jù)提取和分析�����。 2. 少數(shù)非原生Android 6.0手機�����,通過提取root權(quán)限方式取得應用程序 數(shù)據(jù)。
Android 4.x以及5.x版本下,部分應用程序限制了自身的備份�, 如騰訊QQ�、微信、WhatsApp等���。解決思路: 1. 首先將手機中的應用程序替換為舊版本��。 2. 通過支持備份的舊版本進行備份��。 3. 取證完成后�,替換為原始版本����。 潛在問題:證據(jù)有效性問題、系統(tǒng)安全機制問題����、數(shù)據(jù)完整性問題。
2�����,iOS高版本密碼
Android 4.x以及5.x版本下,部分應用程序限制了自身的備份��, 如騰訊QQ��、微信�、WhatsApp等。解決思路: 1. 找到iOS設備使用者對應的計算機��,將Lockdown文件拷貝并移動至 取證計算機���,以實現(xiàn)無密碼建立信任關系����。 2. 使用芯片替換的方法突破iOS的密碼嘗試次數(shù)限制��,目前POC階段�。
1吹下iPhone Flash芯片���,并使用復制設備制作副本�;
2將副本使用測試架橋接至iPhone主板,開機����;
3窮舉密碼,5-10次為一輪��;
4如觸發(fā)長時間鎖定或觸發(fā)數(shù)據(jù)抹除���,則更換副本����;
5重復上述步驟�,直至解鎖���。
3�����,Android高版本設置密碼/無調(diào)試解決方案
在Android 4.4以上����,尤其是Android 5.x版本中,用戶設置密碼 無法進入用戶交互開始調(diào)試和允許調(diào)試.
在設備沒有Bootloader鎖定的情況下�����,通過刷入第三方Recovery程 序?qū)崿F(xiàn)備份(如TWRP)�。針對有Bootloader鎖定的,根據(jù)情況采用芯片級取證方案���。
4�����,芯片級取證解決方案
目前�,手機芯片級解決方案主要適用于以下幾種情況:
1. 手機損壞����,無法通過在線提取方式進行取證;
2. Android手機設置密碼�����,無法破解或者繞過的;
3. 部分非智能手機無可用數(shù)據(jù)接口或通訊協(xié)議��。
路將越走越窄�����,日子會越來越難�����,以后的手機取證我們還會遇到更多的困難:
Android 6.0原生設備�,全盤加密
更多的BL鎖定
App加密
App數(shù)據(jù)抹除�、閱后即焚
云端存儲
新興系統(tǒng)(YunOS)
移動支付相關信息和安全保護
