【行业资讯】谈谈手机取证中的“取”在整个取证过程中有多重要？

       目前公安检察院等部门，都相继开展了电子取证工作，尤其是智能机的快速发展，推动了手机取证技术的不断进步。目前，行业内各个公司在取证手段及方法上不断取得突破。手机取证，可以分为取和证两部分。

       取：从手机中将使用者的各类信息提取出来。
 

       证：结合实际案情将取出的与案件有关的内容作为线索、证据。
 

       可见，取是根本，我们只有不断的丰富从手机中提取数据的手段，才能为案件提供有价值的帮助，使得我们的取证工作更有意义和价值。
 

目前行业内的一些研发团队经过多年努力，在手机数据提取之路上不断攻克难关，为一线取证人员打开了方便之门。那么目前哪些数据提取的手段最行之有效呢？本文将做一个简要的归纳，以供后续取证工作的开展。

       一、逻辑提取

       手机直接开机后连接数据线完成数据提取的方法。目前苹果手机的取证主要使用这种方法。对于安卓的逻辑提取，依赖与手机是否有ROOT权限，如果没有ROOT权限，获取的数据量相对来说较少。

       二、自备份取证

华为、小米、OPPO等手机在出厂时内置有自备份功能，我们在取证时也可以利用该功能将手机数据备份，实现数据提取。部分阿里云手机在进入到RECOVERY模式后有备份功能，同样可以通过备份实现对手机的数据提取。

       三、安卓手机ROOT后提取镜像

       这个方法适用所有能够获取ROOT权限的安卓手机，通过ADB方法直接获取手机镜像，再对镜像文件进行数据分析和数据挖掘。但安卓6.0开始，手机ROOT的权限获取比较难。因此这种取证方法主要适用安卓6.0之前版本能够易于获取ROOT权限的手机。

       四、DOWNLOAD/FASTBOOT方式提取镜像

       部分三星手机可以在DOWNLOAD模式或华为、小米手机在FASTBOOT模式下实现镜像文件读取。

       五、MTK安卓手机关机镜像提取

       MTK CPU是国内各手机厂家基于硬件成本考虑广泛使用的一种手机设计方案。目前这类CPU的手机，基本都可以实现关机直接读取镜像文件，再对镜像文件进行分析。典型的如OPPO,VIVO,乐视等品牌。这种取证方法的好处是不用考虑手机是否有屏幕锁，是否ROOT。

       六、高通9008读取镜像

       采用高通CPU设计方案的安卓手机，只要能够关机状态让手机进入9008模式，就可以使用这种方法来读取镜像。同样的，这种方法也不需要考虑手机的屏幕锁和ROO，只要能进入9008模式，就可以实现数据的读取。

       七、非智能机读取镜像

       早期基于MTK、展讯、互芯等设计方案的非智能机，通过软件自动识别接口定义后读取手机的镜像文件。

       八、JTAG方案读取手机镜像

       华为三星等部分非智能机及早期安卓手机，在手机主板上预留有JTAG通讯点，通过这些通讯点实行对手机镜像文件读取。同样，不需要手机解锁及ROO。

       九、ISP方案读取EMMC存储芯片安卓手机镜像

       部分采用EMMC存储方案的安卓手机，可通过手机主板上的ISP焊点焊接连线后进行数据读取。这种方法也可以解决手机无法解锁和ROOT的难题。

       十、破损手机芯片读取镜像

       广泛适用于智能和非智能手机，即使手机严重破损但只要手机存储芯片没有损坏，都可以通过拆取手机存储芯片，放到专用读取设备上进行数据读取。