|
移動終端主要指手機(jī)�����、平板電腦����、車載電腦等具備操作系統(tǒng)和數(shù)據(jù)處理能力的便攜類設(shè)備����。2014年,全球共出售了近22億臺智能手機(jī)及平板電腦���。據(jù)2014年全球互聯(lián)網(wǎng)流量發(fā)起終端數(shù)據(jù)統(tǒng)計(jì)����,手機(jī)占比31%���,平版電腦占比6.6%���,而PC已下降到62.4%。雖然輿論時常將2015年的手機(jī)市場喻做寒冬��,但是根據(jù)TrendForce的預(yù)計(jì),2015年全年全球智能手機(jī)出貨量同比增長10.3%���,而根據(jù)IDC的預(yù)計(jì)����,這一數(shù)字也能達(dá)到9.8%�。 隨著移動終端的迅速發(fā)展,利用移動終端進(jìn)行各類非法或犯罪行為的犯罪行為不斷出現(xiàn)��,而且呈現(xiàn)出高速增長的勢頭�,這使得電子數(shù)據(jù)取證的主要目標(biāo)從存儲介質(zhì)向移動終端延伸。據(jù)市場不完全統(tǒng)計(jì)�����,2015年的手機(jī)取證工具發(fā)展尤為迅速���,僅國產(chǎn)工具就有廈門美亞柏科的DC-4501系列�、上海盤石軟件的SafeMobile�����、廣州高奈特的全采通108系列����、公安部第三研究所的取證先鋒、大連睿海的RH-6900�、效率源的SCE9168等。從近幾年的發(fā)展趨勢來看�,未來幾年將會是移動終端取證快速發(fā)展的黃金期。 2014年5月��,美國國家標(biāo)準(zhǔn)與技術(shù)研究院NIIST發(fā)布了移動終端取證的操作指南NIST SP 800-101 Revision1 《Guidelines on Mobile Device Forensic》���,將移動終端的取證分為5個層次:微讀��、芯片分析�、十六進(jìn)制鏡像/JTAG����、邏輯分析以及人工分析。 
第一級:人工提取 移動終端取證在專業(yè)化的取證設(shè)備出現(xiàn)之前����,都是直接在移動終端上查看相關(guān)數(shù)據(jù),并使用相機(jī)等翻拍設(shè)備記錄證據(jù)�����。這種方法任何一個取證人員都能勝任,但也存在相當(dāng)?shù)木窒扌?。首先,這種檢驗(yàn)手段僅能獲取已有數(shù)據(jù)�����,對于刪除的數(shù)據(jù)無法進(jìn)行提取和固定��,同時對于手機(jī)加密和破損的情況也無法應(yīng)對�。其次,必須保證該設(shè)備能正常開機(jī)��,同時并未設(shè)置密碼或者已知密碼���。即便能正常進(jìn)行仍提取�����,機(jī)身存儲的數(shù)據(jù)數(shù)量龐大對于取證人員手工查看和翻拍來說是一個相當(dāng)大的工作量�。最后���,對于智能手機(jī)而言�,這種檢驗(yàn)手段無法快速定位到有效信息�����,同時也無法進(jìn)行高效的關(guān)聯(lián)�����。 手工提取的優(yōu)點(diǎn)在于門檻底���,且總會存在工具無法提取的移動終端�。對于那些缺少其他提取固定手段的取證人員來說���,這無疑是唯一的解決辦法���。目前,國內(nèi)也有不少專用于翻拍的設(shè)備��,可以在一定程度上減小翻拍的工作量�����,例如瑞源公司生產(chǎn)的EDEC 1030小型數(shù)碼設(shè)備翻拍儀等�。 
第二級:邏輯提取 移動終端通過連接線(USB、RS232)或無線(藍(lán)牙����、紅外�、WiFi)等方式與取證專用硬件或安裝軟件的工作站連接�,提取移動終端中的邏輯數(shù)據(jù)。大多數(shù)的邏輯提取都是由取證工具發(fā)出指令并由移動終端的處理器接收并返回相應(yīng)的數(shù)據(jù)��。雖然邏輯獲取可以在一定程度上提取到已刪除的數(shù)據(jù)����,但是不能恢復(fù)在未分配空間的數(shù)據(jù)。同時��,邏輯獲取的數(shù)據(jù)量往往取決于移動終端是否越獄�����。最重要的是�,使用邏輯獲取的方法,會帶來改變檢材數(shù)據(jù)的風(fēng)險(xiǎn)��。 目前�����,大多數(shù)移動終端取證工具都是基于邏輯提取的���,主要分為硬件和軟件兩種����。硬件設(shè)備的形態(tài)分為定制開模和平板電腦(筆記本)。而軟件形態(tài)的產(chǎn)品���,也需要配載連接線、適配器等設(shè)備才能使用��。 第三級:十六進(jìn)制鏡像和JTAG提取 JTAG是一種國際標(biāo)準(zhǔn)測試協(xié)議���,原先涉及的目的主要用于芯片內(nèi)部測試����。目前���,JTAG提取方式常常用于處理已被密碼鎖定��,或無法正常提取的設(shè)備��。它使用標(biāo)準(zhǔn)JTAG(Joint TestAction Group)端口來訪問已連接設(shè)備的原始數(shù)據(jù)�。通過特殊的JTAG數(shù)據(jù)線和相關(guān)設(shè)備���,以及對特定內(nèi)存/芯片組型號或設(shè)備型號相匹配的引導(dǎo)文件�����,對兼容設(shè)備進(jìn)行完整內(nèi)存內(nèi)容的提取�����。如果被檢設(shè)備開啟了“全盤加密”一類的功能���,那么JTAG提取到的鏡像也還是加密鏡像����。 對移動終端進(jìn)行十六進(jìn)制鏡像可以完整的獲取移動終端存儲芯片中的數(shù)據(jù)����,只要在未覆蓋的情況下,被刪除數(shù)據(jù)通常都可以被提取���。對于智能手機(jī)而言�����,未越獄的iPhone4S及以后型號的手機(jī)在物理鏡像的提取和解析上仍然無解�。對于Android系統(tǒng)手機(jī)而言,針對不同品牌型號的手機(jī)���,最廣泛的幾種技術(shù)即JTAG以及META模式的獲取��。當(dāng)然也有檢驗(yàn)工具利用手機(jī)本身的硬件漏洞和特殊協(xié)議直接進(jìn)行芯片鏡像���。目前,移動終端取證工具支持十六進(jìn)制鏡像的越來越多��,支持JTAG功能的取證設(shè)備也已經(jīng)正式進(jìn)入移動終端取證領(lǐng)域��。 第四級:Chip-off芯片提取 Chip-Off技術(shù)是當(dāng)前移動設(shè)備檢驗(yàn)中��,最復(fù)雜且最底層的數(shù)據(jù)獲取技術(shù)���。這種方法需要將移動終端中的存儲芯片通過熱風(fēng)槍或拆焊臺與主板剝離,清理芯片表面的焊錫����,然后將芯片安裝到芯片讀取設(shè)備上,直接對芯片本身的電路和協(xié)議進(jìn)行分析�,獲取其原始鏡像或相關(guān)數(shù)據(jù)。Chip-off提取具有破壞性��,對于設(shè)備和檢驗(yàn)人員來說都有相當(dāng)?shù)募夹g(shù)挑戰(zhàn)。此外���,芯片提取對于iOS設(shè)備無效����,因?yàn)槠溥M(jìn)行了硬件級加密��。 由于價格�����、檢驗(yàn)設(shè)備成熟程度����、檢驗(yàn)人員技術(shù)水平等多種因素的限制,目前這個層次的提取技術(shù)并不普及���,但是隨著越來越多的取證廠商開始涉及該領(lǐng)域的研究���,相關(guān)芯片讀取設(shè)備也開始推向取證市場,例如俄羅斯ACE的PC-3000 Flash��、大連睿海的RH-6900、效率源的SCE9168等�����。 第五級:微讀 微讀技術(shù)是指在電子顯微鏡下對NAND或NOR芯片存儲層進(jìn)行微觀狀態(tài)的觀察��,并借助均衡磨損原理等固態(tài)介質(zhì)存儲理論進(jìn)行數(shù)據(jù)還原�����。這種技術(shù)已經(jīng)上升到電子取證領(lǐng)域的最尖端領(lǐng)域����,完成這樣的檢驗(yàn)需要有具備整個領(lǐng)域深厚知識的專家級的團(tuán)隊(duì)、昂貴并且專用的設(shè)備以及大量的時間��。目前在國際上都鮮有達(dá)到這個技術(shù)層次的執(zhí)法機(jī)構(gòu)��。而且目前也沒有商業(yè)微讀技術(shù)設(shè)備��。 《移動終端取證的操作指南》還列出了一些移動終端取證設(shè)備對應(yīng)支持的提取層級��。下表列出了本篇所提及的幾款主流取證移動終端取證設(shè)備對應(yīng)支持的提取層級�。 
1����、UFED Touch以色列Cellebrite公司是國際上最早生產(chǎn)的手機(jī)取證工具的廠商之一�����,其設(shè)備代表著移動終端取證設(shè)備的最高水平���。UFED Touch是其生產(chǎn)的新一代、高性能的獨(dú)立便攜式手機(jī)司法分析工具設(shè)備����,也是目前國際主流的手機(jī)取證工具。它支持以“位對位”的形式對手機(jī)��、GPS����、平板電腦以及中國山寨手機(jī)等大部分移動設(shè)備中的數(shù)據(jù)進(jìn)行物理獲取和深度分析。 
2��、XRY瑞典MicroSystemation公司是全球最早從事手機(jī)信息取證及手機(jī)物證檢驗(yàn)分析技術(shù)研發(fā)的企業(yè)之一���。XRY是其推出的手機(jī)取證產(chǎn)品���,目前已發(fā)展到了全新的第6代技術(shù)���。XRY創(chuàng)造手機(jī)取證領(lǐng)域的多個第一,包括最早提出邏輯獲取�����、物理獲取�����,最早破解iPhone4鎖屏密碼�����,最早實(shí)現(xiàn)了Android系統(tǒng)微信解析�����,最早支持三星高端系列手機(jī)物理獲取和解析���,最早實(shí)現(xiàn)GPS和平板電腦數(shù)據(jù)獲取解析。 XRY用戶包括警察����、執(zhí)法機(jī)構(gòu)、軍隊(duì)、政府情報(bào)機(jī)構(gòu)以及法醫(yī)實(shí)驗(yàn)室�。客戶遍及90多個國家與地區(qū),產(chǎn)品被廣泛用于搜集情報(bào)�����、調(diào)查欺詐和犯罪以及懲治腐敗案件等�。僅在英國,超過97%的警察隊(duì)伍使用XRY進(jìn)行手機(jī)移動設(shè)備的取證和數(shù)據(jù)恢復(fù)�。目前,XRY分為辦公室版�����、現(xiàn)場版和平板電腦版�,比較普及的是其辦公室版。
3��、DC-4501DC-4501手機(jī)取證系統(tǒng)是廈門美亞柏科信息股份有限公司自主研制生產(chǎn)的����、用于手機(jī)數(shù)據(jù)提取和恢復(fù)并進(jìn)行深度分析及數(shù)據(jù)檢索的調(diào)查取證產(chǎn)品。該產(chǎn)品作為DC-4500手機(jī)取證系統(tǒng)的升級換代產(chǎn)品����,集成了更高性能的主機(jī)設(shè)備�,采集速度更快��。
4���、RH-6900 RH-6900是大連睿海推出的一款集邏輯提取��、JTAG和芯片數(shù)據(jù)提取等多種方式的綜合型手機(jī)數(shù)據(jù)提取分析系統(tǒng)�����。由于傳統(tǒng)的移動終端取證工具都采用了邏輯提取和十六進(jìn)制鏡像的方式�����,很少有產(chǎn)品支持JTAG和芯片數(shù)據(jù)提取�,因此該系統(tǒng)一經(jīng)推出備受好評���。
5�����、Oxygen Forensic SuiteOxygen Forensic Suite2015是俄羅斯Oxygen Forensics公司最新推出的手機(jī)取證軟件����。Oxygen Forensic Suite產(chǎn)品系列一直是世界領(lǐng)先的移動設(shè)備數(shù)據(jù)提取和檢驗(yàn)軟件之一��,從諾基亞等非智能機(jī)�、Symbian、BlackBerry到現(xiàn)在的iOS��、Android���、Windows Phone�����、Oxygen Forensics公司不斷完善其產(chǎn)品并適應(yīng)市場對移動設(shè)備取證的需求�。Oxygen產(chǎn)品系列被廣泛使用在執(zhí)法部門���、警局��、軍隊(duì)�����、海關(guān)���、稅務(wù)部門��、企業(yè)和鑒定中心�����,并在超過50個國家中取得了良好的反饋�����。 6��、MPE+Mobile Phone Examiner Plus(簡稱MPE+)是美國AccessData公司推出的專用于手機(jī)數(shù)據(jù)檢驗(yàn)的工具��。MPE+能與綜合分析軟件FTK無縫集成��,在同一界面內(nèi)完成對手機(jī)數(shù)據(jù)和計(jì)算機(jī)數(shù)據(jù)的關(guān)聯(lián)分析���。
7、Secure ViewSecure View是美國Susteen公司推出的手機(jī)取證軟件����,目前已發(fā)展到了第4代。美國Susteen公司是國際領(lǐng)先的手機(jī)取證和分析技術(shù)的解決方案供應(yīng)商����,專攻數(shù)據(jù)通信和移動通訊設(shè)備取證分析領(lǐng)域���。Secure View廣泛適用于執(zhí)法機(jī)關(guān)�、軍事或民用、咨詢機(jī)構(gòu)���、企業(yè)或教育領(lǐng)域的調(diào)查人員��,在技術(shù)支持�、數(shù)據(jù)管理及報(bào)告方面均表現(xiàn)卓越�。
8、Device Seizure
Device Seizure美國Paraben公司推出的一款移動終端取證軟件�����,也是全球第一款移動終端取證工具��,目前已發(fā)展到了第7代��。它支持邏輯采集�����、物理采集�、文件系統(tǒng)采集��,支持繞過密碼�,取證人員可以執(zhí)行全方位的調(diào)查并創(chuàng)建已獲取的所有數(shù)據(jù)的報(bào)告�����。
9�、MOBILedit Forensic Mobiledit Forensic是捷克COMPELSON公司的拳頭產(chǎn)品,也是一款老牌手機(jī)取證工具����。COMPELSON公司研制了全球第一款手機(jī)取證工具SIMedit。Mobiledit Forensic的客戶遍布全球75個國家�,包括美國聯(lián)邦調(diào)查局、美國軍方和國防部以及警察部門��。
10�、FINALMobile ForensicsFINALMobile Forensics是韓國FINALDATA公司研發(fā)的一款手機(jī)取證軟件,目前已發(fā)展到了第4代�。該款工具支持對手機(jī)內(nèi)數(shù)據(jù)、刪除的信息進(jìn)行獲取和分析�����,如短信息、彩信�、通話記錄、視頻��、照片�、語音文件、電話簿�、記事簿、互聯(lián)網(wǎng)登陸信息及賬戶和密碼等�����,尤其對CDMA手機(jī)支持比較好�����。
---------------------------------- 小編語: 羊辭舊歲���,猴接新年。感謝各位讀者在過去的一年對本公眾號的關(guān)注����。在新的一年中,本公眾號將繼續(xù)關(guān)注國內(nèi)外關(guān)于電子數(shù)據(jù)取證與鑒定的技術(shù)�����、標(biāo)準(zhǔn)、工具和實(shí)戰(zhàn)應(yīng)用����,也希望大家能一如即往支持本公眾號。 預(yù)祝大家新年快樂����,身體健康,工作順利�,萬事大吉!
|
