Wonderful activities
【行业资讯】手机数据取证技术的应用以及未来发展展望
发布时间:2021-04-18 21:56:01
摘自:科技强检
手机信息的安全与否越来越受到重视,保护手机信息安全成为保护个人隐私的缩影。全民信息安全意识的提高,加大了手机数据的提取难度,司法机关难以通过对手机信息的分析,抓获在手机中遗留证据的犯罪嫌疑人,进行手机取证。
手机信息的安全受到越来越多的人的重视,其实归根结底还是想要保护好我们个人的隐私不被泄露。随着全民信息安全意识的提高,在办案的取证工作中也会面临着更高的取证难度。
所谓道高一尺魔高一丈,在实际的取证工作中,犯罪分子利用手机作案所遗留的证据对案件侦破非常重要,从对QQ、微信、淘宝、支付宝信息、微博、贴吧等社交软件、浏览器中提取出重要的数据信息,为案件提供重要的突破口,协助快速破案。
手机取证技术的应用
1、单条数据的恢复
删除数据的信息是办案中经常要面临的一个大难题,不管是删除众多条数据记录中的一条(比如:删除一条通话记录、短信、电话本、聊天内容等),还是删除一个文件(比如:删除一个图片、音频、视频或者卸载某个应用等)。事实上,每一项手机操作都会以数据形式存储于手机的SQLITE数据库中,这些数据并没有被删除,只是被打上删除标记,在手机应用层面看不到。对于这些“暂不可见”的信息。
拿通讯录来说,当我们从通讯录删除掉一个联系人的时候,操作系统并没有为腾挪这一点空间而大动干戈,只是在存储这个联系人的数据前面做一个删除标记。当我们再翻看通讯录时,手机就会对做了删除标记的联系人视而不见,不予显示,我们也就看不到了,从而体会到了“那人已被删除”的感觉。此时,通过仔细核查这些删除标志,就可以很容易地获得已删除的联系人列表。如果这种删除操作十分频繁,被做了标记的数据就会越来越多,到了影响电话本显示的速度的时候,或者手机操作系统认为到了该清理的时候,手机内另外一个地方就会重新生成一个 contacts2.db 文件,里面是整理后的、不包括已删除联系人的通讯录文件,而原来的那个文件,将被标记为已删除文件。这时候,查找已删除联系人的工作的难度将大大增加。
短信、通话记录、QQ聊天记录等,单条已删除记录的恢复,和上面所说的,都是一个道理。删除的不很久的记录,总是能找到一些。
有一些应用的数据库,是经过加密运算之后,再保存到闪存上的。每一次改变数据之后,都需要对数据库中需要改动的部分进行重新加密再存盘,一旦发生单条数据的删除操作,那么在重新加密的过程中,就把那些删除数据剔除掉了。可以想象,这时候再去数据库文件中查询那些删除的条目,已经踪迹全无了。某些聊天软件,就是这样。
2、镜像提取
手机取证对软件内部的信息获取方式一般实行镜像提取,以保证数据的完整性,对手机的内存卡、SIM卡、闪存卡、短信服务提供商系统等都具有有效提取的功能。不论是JATG的提取方式,还是ISP的提取方式,或者是拆下芯片直接读取的手机镜像数据,不仅要通过文件解析使其成为一个个办案所需的文件,更要保证提取出来的数据保持原始性,这时候,我们就需要非常专业的电子数据取证设备来进行如上所提及的操作。
手机取证技术展望
时下,手机成为最新潮科技的代表,每时每刻都在进行着更新迭代和推陈出新,在各种软件的配合下我们的数据提取和分析已经走出了完美的第一步,除此之外,检察机关应加强检验鉴定机构建设和对鉴定人才的培训,并将电子取证和手机取证作为新技术鉴定门类,明确机构设置,加快实验室建设,加强取证方法研究,加快对手机取证专业技术人员的培养,形成国家、省(自治区、直辖市)、市三级电子证据检验鉴定体系。路漫漫其修远兮,吾将上下而求索,手机取证技术的发展任重而道远!
