浅议 智能手机应用程序的取证技术研究

陈安定

上海市公安局徐汇分局刑事科学技术研究所

摘要：近年来，目前我国科学技术发展水平越来越高，国内智能手机的发展速度也越来越快。对于越来越多不同的新型移动通信设备更需要创建其更加全面和有效的取证以及管理方式，提升智能手机应用取证程序的完整程度。因此，如何对有效的取证机制进行优化，是广大研究人员在进行问题处理期间必须要思考的问题之一。本文正是基于此，首先阐述了智能手机应用程序的取证原则，之后分析了智能手机取证具体工具，最后总结了智能手机应用程序的取证技术运行具体过程，以期指导实践。

关键词：智能手机 应用程序 取证 技术

前言

近年来，智能手机逐渐成为了我国手机发展市场当中的主流，智能手机所存在的强大功能几乎和电脑相差无几。同时，和手机相关的事件也越来越多，这类事件包含有用户实际操作期间误删文件，无意破坏，垃圾文件、病毒以及黑客等程序的干扰，还有部分犯罪和手机信息相关的案件。所以，以手机取证技术作为关键点的研究逐渐成为了广大研究人员必须要思考的问题。智能手机的优势在于能够支持应用程序，可以对用户使用需求进行满足。在运行应用或者程序期间将会遗留下一些痕迹。然而手机当中的应用越复杂，所具备的功能也越来越强大，所占据的空间也非常大，后续的取证工作也更加艰难。

1. 智能手机取证原则

1. 、全面取证原则

在进行智能手机的取证期间，相关的项目研究人员必须要创建更加有效的项目处理制度，能够采取高效的智能手机信息提取技术，实现更加具有完整性的数据链，跟踪以及取证手机当中的浏览记录，提升数据信息完整度。

2. 、合法取证原则

在对智能手机进行取证的重要前提是相关的取证项目必须要符合我国的法律法规，之后在得到了合法的授权之下才能够进行相关的智能手机取证行为。在进行取证活动创建期间，必须要进行取证物品、人员、技术手段以及基本程序等情况的创建，确保智能手机相关的取证行为能够在合理的取证机制之下进行^[1]。

3. 、及时取证原则

在进行收取信息的过程当中，相关的管理人员必须要有效跟踪手机的即时生成系统日志以及系统进程，防止手机因为容量的原因使得信息出现覆盖的问题。

4. 、无损取证原则

在集中取证数据信息的过程当中，相关的管理人员必须要以实际情况为依据，建立其更加全面和有效的项目处理机制，在源头上保证信息数据的真实、完整以及有效。此外，需要注意的是在进行信息的取证期间智能手机必须要在开机的状态之下，且无法自行删除手机日值，同时还需要尽量远离高温以及高磁场的地区，防止因为载体损伤的问题导致智能手机当中的信息受到损坏^[2]。

2. 智能手机取证工具

（一）、苹果手机

手机当中有闪存区，大部份的信息都在内存区内部进行存储，大概的空间在30M左右，主要是用于系统以及应用软件的操作，手机的默认数据都存储在手机的内存中，始终保持着出厂设置，其余的部份则有用户自己自行进行使用，用户使用期间可以直接存储自身所使用到的运行内容以及信息^[3]。在进行这些设计时苹果公司的主要目的是对客户实际体验感进行优化，宗旨在于在手机当中的两个区域内进行活动。在取证工具安装过程中，出厂设置区域内部进行安装是一个更加安全的工作环境，第二区当中有非常多智能手机使用者的信息，是取证工作的工作重点。在划分取证工具的过程中，相关的管理人员还需要以实际情况为依据，创建起最为优质和全面的通信方式选择，不仅仅需要有蓝牙结构还需要有 WiFi ，这些都可以完成好信息传输工作，在此期间完成了串口协议之后，可以采取发送指令的方式恢复实现模式^[4]。

除此之外，还需要保存好数据的恢复模型以及数据完整性，在开启智能手机之后，只有在采取相关的措施下，可以确保其不会被数据所污染，但是如果电话和其他设备同步连接的话，苹果手机就可以对对接电话当中的电话号码、照片和一些其他数据进行集中复制。所以在进行取证期间，管理人员必须要设置Syncing为无法自动同步的模式，确保在对取证工具进行安装之后，不会对手机当中原先的分区造成损害。在恢复实际数据的过程当中，管理人员还需要集中处理数据信息，实现操纵系统的有效管控。这其中最为基本的Unix系统当中，基本的安全系统是OpenSSH，利用网络发送数据的系统是Netcat，建立硬盘镜像的系统软件是The md5，复制硬盘镜像结构来进行磁盘项目的系统是The dd。在进行实际取证工作期间，具体的步骤为进行最新版本系统软件的下载，将 iLiberty+系统运行到手机的C：\ 盘，然后再采取串口确保电脑当中的USB口能够实时连接，手机和电脑之间创建了联系之后，采取可以识别好项目当中的具体信息以及数据，对取证工具的安装工作进行落实^[5]。

2. 、Android 手机

在进行Android 手机取证期间可以采取JTAG的方式进行提取，采取手机背后的JATG点向手机进行命令的发送，采取JTAG命令对手机进行控制，将Flash芯片当中的数据发送给手机的CPU，之后再从手机当中的CPU取走Flash芯片数据。在实际的提取过程当中，只需要打开手机外壳，将仪器夹具夹于手机主板当中的JATG焊点，使用相关软件完成好数据提取工作

^[6]。采取JATG提取技术不会改变手机机身当中的硬件，同时也不会因为手机软件系统版本的原因存在一定限制，首先该方式中，手机不管是否root，是否打开USB调试，具体的版本，都能够直接地进行Flash芯片镜像进行直接获取。

3. 智能手机取证技术的具体运行过程

在进行智能手机的取证过程当中，相关的研究人员需要以实际的情况作为依据创建起最为优化的项目分析制度，确保手机取证的整个过程都符合实际的要求。首先相关的取证人员需要根据取证的项目建立起相关的取证单据，提升智能手机取证行为的合法性，标注和分析好取证工作，创建其最为优化的取证登记措施^[7]。其次，需要对收集情况进行物理处理，在处理期间相关处理人员需要采取相关技术对信息完整性以及真实性进行保证，在进行物理处理期间还需要对需要指纹解锁的手机进行相关的指纹处理，保证能够读取手机信息，取下SIM卡，将其放在屏蔽器当中，保证在进行信息收集期间不会被其他外界信息干扰，保证信息处于原始状态。

结语

综上所述，在运行智能手机提取技术期间，相关的取证人员必须要依据实际的情况进行分析机制的创建，确保信息可以实现集中收集，同时在取证期间严格遵循信息取证的原则，依据取证标准完成相关的取证，建立起最为有效的取证操作流程。当前，我国智能手机的用户人数已经突破了十亿，在此情况下，想要对取证工作进行优化就必须要在日常的工作当中对思路进行创新，建立起更加全面和优化的取证方式，推动整个取证过程的发展。

参考文献

[1]何明. iPhone手机取证的应用分析[J]. 通讯世界,2016(02):118-119.

[2]李强,刘宝旭,姜政伟,严坚. 一种Android系统下的QQ取证模型分析[J]. 信息网络安全,2016(01):40-44.

[3]金波,吴松洋,熊雄,张勇. 新型智能终端取证技术研究[J]. 信息安全学报,2016,1(03):37-51.

作者简介：陈安定：男，汉族，1987年生，上海

工作单位：上海市公安局徐汇分局刑事科学技术研究所，

研究方向：刑事科学技术