一种基于AT指令的手机取证方法

陈丹

摘要：随着网络信息技术的普及，利用手机进行犯罪的案件呈上升的趋势。智能手机取证成为司法行政机关用于侦破此类案件的关键。时下为了使用的安全性，所有的智能手机都设置了自动锁屏功能，而许多手机取证涉及的信息，都被这个锁屏功能保护起来。通过对手机AT指令集的研究，找到一种在不破坏手机硬件软件的基础上，可以暂时解除手机屏幕锁定，获取手机信息的方法，即使用AT%KEYLOCK = 0指令删除手机屏幕锁定功能。没有了屏幕锁定功能的手机，犹如敞开着大门的房子，取证人员可以轻松“进入”手机，从而获取相应的数据。

关键词：手机取证;锁屏;AT指令

中图分类号：TP399      文献标识码：A

文章编号：1009-3044（2019）18-0013-02

Abstract：With the popularization of network information technology， Crimes committed by mobile phones are on the rise. Smartphone forensics has become the key for judicial administrative organs to detect such cases. Nowadays， in order to use security， all smart phones have set up automatic lock screen function， and many information related to mobile forensics are protected by this lock screen function. Through the research of AT instruction set of mobile phone， we find a method that can temporarily unlock the screen of mobile phone and obtain the information of mobile phone without destroying the hardware and software of mobile phone， that is use  instruction of AT% KEYLOCK = 0 to delete the mobile screen lock function. Mobile phones without screen lock function are like houses with open doors. Witness collectors can easily "enter" mobile phones to obtain corresponding data.

Key words：mobile forensics; lock screen; AT command

1 引言

隨着网络信息技术的飞速发展，手机已成为人们不可或缺的生活必需品。手机的功能从最初的通信工具，变成现时人类全能的贴身朋友—能支付、能沟通交流、能休闲娱乐、能学习知识。

中国互联网信息中心的统计报告显示，截至2018年6月，我国网民数量为8.02亿，其中手机网民规模达7.88亿。

智能手机功能的不断拓展，为用户提供了越来越多、越来越智能的服务，与此同时，也为不法分子提供了更多的“机遇”，使用手机带来的安全问题日益凸显。中国互联网信息中心于2018年6月发布的中国互联网络状况调查显示，使用手机过程遭遇的网上诈骗比例为26.3%，安全问题不容忽视。

由于手机的普遍使用，现在很多犯罪案例的取证，均需通过手机获取犯罪信息，因此，手机信息的完整获取，为各类案件的破解起着举足轻重的作用。

2 手机取证现状及难点

手机取证之关键是取得手机里的各种资料。为了保护个人数据的安全，各品牌的手机都设有自动锁屏保护的功能，如果能知道锁屏密码（无论是哪种锁屏方式），就可以把手机接入取证设备，及时、完整地获取手机里的数据。但是在不知道锁屏密码的情况下，想要完整无损地获取手机数据是非常困难的。现今，不论是安卓手机还是苹果手机，锁屏密码是手机取证的最大障碍。

虽然已经有不少方式可以绕过或破解手机锁屏密码，但是这些方法或多或少地都存在一定的缺陷和安全隐患。

文献[1]指出，基于第三方recovery的提取方式，虽然不会改变用户的数据分区，能保证获取到原始的取证数据，但是随着安卓系统的升级，在安卓手机锁定Bootloader引导分区的前提下，这种方法已经不再适用。

文献[2]指出，通过连接手机的JTAG触点，可以读取手机的镜像文件。该方法适用于手机主板可通电、CPU完好的情况。如果被检设备开启了“全盘加密”一类的功能，JTAG提取到的镜像也还是加密镜像，破解工作仍然很艰难。且JTAG的数据获取方式还存在速度较慢、接入点难以寻找等缺点，有些设备商甚至屏蔽了JTAG的接入方式[3]。

文献[4]介绍的Chipoff方法是指将手机存储芯片取下，然后对其数据进行直接读取的方法。该方法的使用范围是芯片必须完好，不足之处是无法解析“全盘数据加密”的手机、不能提取芯片损毁的手机。

3 AT指令技术依据

智能手机中除了处理器、内存、电池等设备之外，还有一个很关键的模块叫作Modem（调制解调器），它是手机与外界保持一切连接的主要桥梁。

智能手机作为一种多功能通讯工具，其最主要的功能就是“通讯”，Modem就是让手机保持通讯的核心部件，是接受和输出信息的通道。如果智能手机没有了Modem，既不能打电话，也不能发短信，更不能上网。手机信号的强和弱，在一定程度上取决于Modem的性能。

任何一台处于开机状态但未解锁的智能手机，其Modem都是处于实时运行状态。这也是为什么平时手机在锁屏状态下照常能够收到短信、微信和电话的原因。当把一台未解锁的智能手机通过USB插入电脑时，由于屏幕被锁定所以无法选择USB连接模式读取手机数据，但是可以读取到调制解调器的信息。因此，在手机取证时，遇到手机屏幕锁屏，可以考虑通过Modem来获取手机中相关的证据信息。

每种型号的手机都支持制造商定义的一些基本AT指令集。利用这些指令集就可以实现对手机相关信息的获取。

4 AT指令取证方法

由于Hayes公司发明的AT指令得到了广泛的应用，大多数其他生产调制解调器的公司都使用Hayes公司的AT指令来控制调制解调器，因此，几乎每个手机调制解调器都是Hayes兼容的，这就意味着Hayes在1977年开发的AT语言指令支持调用手机调制解调器。因此，即使手机受密码保护，也可以使用AT指令获取有关手机的一些有用信息。

AT指令在当代手机通讯中起着重要的作用，能够通过AT指令控制手机的许多行为，包括拨叫号码、按键控制、传真、GPRS等。表1列出了部分AT指令及其功能。

每一种手机厂商都可以设置不同的AT硬件指令，用于唤醒相应的手机软件功能。因此想要获取手机相关信息，需要找到取证手机对应厂商制定的指令集。

以LG手机为例，LG手机支持大多数基本的AT 指令集，可以用于提取一些公共信息。此外，LG手机还有自己品牌的专有指令集（AT%类型的指令），这些指令（包括AT%IMEIx，AT%SIMID，AT%SIMIMSI，AT%MEID，AT%HWVER，AT%OSCER，AT%GWLANSSID）可以返回有关手机的基本信息。指令集中包含一个AT%KEYLOCK指令，用于管理手机屏幕锁定状态。

当调用指令AT%KEYLOCK时，根据参数不同，会从/system/lib/libatd_common.so库中调用lge_set_keylock（）或lge_get_keylock（）函数。如果传递给函数lge_set_keylock（）的值为“0”= 0x30时，将最终调用该函数，然后返回字符串“[0] KEYLOCK OFF”。显然，指令AT%KEYLOCK = 0允许删除屏幕锁定，无须进行任何其他操作。至此，手机将移除屏幕锁，无论手机使用的是PIN码、锁定图案、密码、抑或指纹来锁定屏幕[5]。

这个指令的工作原理是：将零值（意味着解锁）写入特殊RAM区域，该区域存储着负责屏幕锁定的值。这意味着该命令不以任何方式修改ROM。

需补充说明的是，这个指令只会删除屏幕锁定，而不会影响任何用户设置，因此能保证手机数据的完整性，可用于手机取证。并且，当智能手机重启后，将返回锁定状态，屏幕锁定再次启用。另外，该指令无法获取屏幕锁定密码（无论是哪种密码方式），它只是删除密码一段时间。

通过向Modem发送AT指令进行解锁取证的方法，仅适用于Android手机。由于Android手机平台的开放性，使得其取证环境复杂多样化，在具体的应用过程中，应仔细挑选合适的取证方法[6]。

5 结语

为了提高使用的安全性能，各手机厂商都给手机设置了相应的安全措施，其中最普遍的是锁屏功能，而手机取证往往受屏幕锁定的限制，无法得到相关的证据信息。本文介绍了一种在不破坏手机硬件软件的基础上，可以暂时解除手机屏幕锁定，获取手机信息的方法，即使用AT%KEYLOCK = 0指令删除手机屏幕锁定功能，虽然这种删除是暂时性的，但是没有了屏幕锁定功能的手机，犹如敞开着大门的房子，取证人员可以轻松“进入”手机，从而获取相应的数据。

手机取证任重而道远，新的犯罪手段层出不穷，为了维护社会安定，打击此类犯罪，仍需对手机取证方式方法进行深入研究，比如引入机器学习，大数据分析等领域的技术，这将是手机取证下一步的研究方向。

参考文献：

[1] 计超豪，王即墨，裴洪卿. 非root条件下获取安卓手機物理镜像[J]. 刑事技术， 2018（43）：464.

[2] 李刚. 案件侦办中手机电子证据取证难点及解决方法[J]. 广西警察学院学报， 2018（31）：68-72.

[3] 杨雪. Android手机取证技术研究综述[J]. 计算机时代， 2015（6）：7-9.

[4] 孔攀，蔡睿奇. Android手机取证技术研究[J]. 网络犯罪与取证， 2018（2）：153-154.

[5] 秦玉海， 孙奕. 智能手机取证[M]. 北京： 清华大学出版社， 2014： 125-130.

[6] 刘浩阳，李锦，等. 电子数据取证[M]. 北京： 清华大学出版社， 2015： 212-215.

【通联编辑：李雅琪】