网络犯罪案件中智能手机取证的应用

满超 郭永帅

摘  要：互联网已经越来越深地融入了人们的日常生活、工作中，移动支付已经深刻地改变了人们的生活方式，智能手机已经成为人们日常生活中必不可少的物品，利用智能手机进行网络犯罪的案件也不断增多。智能手机的厂商、型号及版本系统各不相同，数据存储方式也不同，给取证人员进行电子数据取证增加了难度。对网络犯罪案件中智能手机的取证流程以及涉案手机数据包信息进行研究，为公安机关在网络犯罪案件中智能手机取证方面提供参考。

关键词：网络犯罪;智能手机;电子数据;取证

中图分类号：TP316;D917.6      文献标识码：A 文章编号：2096-4706（2020）21-0169-03

Application of Smartphone Forensics in Cybercrime Cases

MAN Chao，GUO Yongshuai

（Anhui Public Security Education Research Institute，Hefei  230088，China）

Abstract：The internet has become more and more deeply integrated into peoples daily life and work. Mobile payment has profoundly changed peoples lifestyles. The smartphone has become an indispensable item in peoples daily lives，and the number of cybercrimes using smartphone has also increased. Smartphone manufacturers，models，and version systems are different，and data storage methods are also different，making it more difficult for forensics personnel to conduct electronic data forensics. Research on the evidence collection process of smartphone in cybercrime cases and the data packet information of the mobile phones involved in the case，to provide reference for public security organs in collecting evidence from smartphone in cybercrime cases.

Keywords：cybercrime;smartphone;digital data;forensics

0  引  言

随着网络逐步地融入我们的日常生活，网络犯罪的形式将更加多样，侵犯的领域将继续扩展，造成的危害也将更加严重[1]。随着智能手机的广泛应用和5G技术的发展，利用智能手机从事的售假、电信诈骗等违法犯罪活动也随之日益高发。由于智能手机储存着使用者的银行卡号、通讯录、私人照片等大量重要信息，而且可以通过网络与其他设备进行通信[2]，因此，利用智能手机进行的网络犯罪案件形式多样、犯罪获利大、隐蔽性强，上述问题是网络犯罪案件中办案人员侦察取证的难点。通过本次安徽省公安教育研究院的课题研究，对网络犯罪案件中智能手机的取证流程和取证数据进行分析，挖掘案件线索，为案件侦查提供技术支持和证据支撑，对服务公安实战部门有较強研究价值。

1  网络犯罪案件中智能手机取证的研究意义

随着网络技术的不断创新与发展，新的犯罪手法和犯罪趋势不断涌现，智能家居、物联网等新兴技术产业面临着严峻的网络安全威胁。伴随着5G时代的来临，人们在出行、支付、购物、通信时更多的依赖智能手机。智能手机给人们带来便利的同时，利用智能手机进行的网络犯罪也愈发猖獗。因智能手机存储着使用者的银行卡号、通讯录、即时通信软件账号及大量私人照片，所以智能手机已经成为犯罪分子进行网络犯罪的工具。但由于智能手机的生产厂商、机型型号、系统版本各不相同，其数据的存储方式也有所不同，给公安机关办案人员侦查取证带来了新的挑战[3]。更好地对网络犯罪案件中的智能手机进行取证，获得全面、完整、客观的电子证据，对服务公安实战有较强的实践研究意义。

2  网络犯罪中的智能手机取证流程

智能手机是指内嵌操作系统，具备运算、通信、存储、拍摄等功能的方便携带的智能化设备。智能手机生产厂商众多，产品类型多种多样，不能以厂商或者产品加以区别，但智能手机具备以下特点：（1）数据的动态性;（2）存储方式的多变性;（3）系统的封闭性。

2.1  智能手机取证流程

图1为在侦查中对智能手机数据的收集提取的基本流程。

智能手机取证，是指针对智能手机的内部存储、外部存储、附属设备中的电子数据，进行获取、分析并固定的过程。

2.1.1  智能手机数据手机提取准备

在对涉案的智能手机进行取证前，侦查办案人员需要全面、客观地了解案情，根据掌握的手机数据情况以及可能存在的涉及手机数据的相关线索，提前做好相关准备工作，包括人员准备、案情了解、法律文书准备、勘验工具准备等。

2.1.2  智能手机现场保护

在办案实践中，需要对待检手机进行隔离和信号屏蔽。隔离手机首先是切断目标手机与其他设备的连接，防止数据同步导致新数据对当前数据的污染。常见的手机同步是通过数据线与计算机同步，以及通过网络与云端存储空间进行数据同步。一般对手机进行隔离的方法有开启飞行模式或直接关机。

2.1.3  智能手机现场勘验

在对涉案手机进行现场勘验时，首先要对待检的手机进行拍照固定，然后确认手机所处状态，已经开机的手机仍要保持开机状态，处于关机状态的手机可以对外部存储进行镜像，然后对镜像文件进行分析取证。其次，确保手机信号处于屏蔽或者关机状态，防止外界数据对待检手机的原始数据造成污染。

2.1.4  智能手机的数据提取

对待取证的智能手机进行数据提取一般通过数据线，将待取证手机与取证主机连接后，使用取证软件，例如DC-4501等，对手机内的信息进行导出和固定，然后再对导出后的数据进行分析，获得与案件有关的线索。

2.2  iOS系统和Android系统智能手机取证模型

现阶段智能手机基本都是使用iOS系统和Android系统;iOS是由苹果公司开发的操作系统，Android是Google开发的基于Linux平台的开源移动操作系统。下面以iOS和Android为例，介绍智能手机取证的模型。

2.2.1  iOS系统智能手机取证的基本流程

对iOS设备进行数据提取，首先要安装iTunes;其次要保证设备屏幕锁已打开。使用iTunes提取智能手机中的文件系统备份来完成数据获取操作，对提取到的数据进行分析。图2为iOS系统智能手机取证的一般模型。

并非所有的iOS智能手机中的数据都可以通过iTunes备份的方式进行获取，例如某些权限控制比较严格的即时通信工具，无法通过iTunes备份的方式获取数据，则可以尝试通过“越狱”的方式进行获取，但是对iOS智能手机进行“越狱”操作存在一定的风险，可能会造成数据的损坏。

2.2.2  Android系统智能手机取证的基本流程

目前大部分取证工具对Android智能手机进行取证一般都遵循这个步骤：首先对待取证手机进行USB调试模式，USB调试模式是Android提供的一个用于开发工作的功能，使用该功能可在计算机和Android设备之间复制数据、读取数据等等。在Android手机中，用户获取root权限后可以对手机中的文件数据进行备份。一般在手机设置中会有“权限管理”设置，点击打开，然后就可以获取root权限，进而提取数据进行分析。图3为Android系统智能手机取证的一般模型。

2.3  智能手机取证时注意事项

第一，在现场勘验阶段，办案取证人员应首先确认目标手机安全，比如在一些案件中，手机是爆炸的引爆器;第二，待检测的智能手机在进行取证之前应当放在电磁信号屏蔽环境中或者关机，在取证过程中应当将SIM卡移除或者开启飞行模式，保证智能手机的初始状态不发生改变，原始数据不被污染;第三，仔细勘验现场，关联现场中出现的其他物证、书证与智能手机使用者和智能手机之间的关系。

3  网络犯罪中的智能手机取证的信息应用

在网络犯罪案件中，涉及智能手机的犯罪行为主要有三种，第一种是使用智能手机作为犯罪行为实施过程中的通信工具;第二种是将手机用作存储介质;最后一种方式是通过智能手机发送信息进行诈骗、骚扰和病毒传播。而在这几种犯罪的取证检验工作中，手机取证的电子证据来源主要有三个：手机的SIM卡、手机内存和手机的扩展存储卡。

3.1  SIM卡信息

智能手机与SIM卡共同构成移动通信终端设备[4]，并且SIM卡提供了存储文本信息的空间。智能手机用户可以将部分信息、通讯录中常用联系人信息等存储在SIM卡上，可用常用的SIM卡取证软件Cell Seizure、SIMcon、DC-4500等对SIM卡中的重要信息进行获取。图4为DC-4500获取到的SIM卡信息。

3.2  手机机身内存信息

除了SIM卡中存储的信息外，手机内存也包含着用户数据，它主要用来存放从SIM卡中释放出来的数据[5]，还可以用于存储通讯录、通话记录等。正常情况下手机内存保存的数据主要包括电话设置信息，日历信息，短信、彩信信息，呼叫记录，时间日期应用程序的可执行文件等信息，使用较常用的取证系统如DC-4500手机取证系统对手机机身信息进行提取，图5为DC-4500获取到的智能手机机身内存信息。

3.3  手机扩展卡信息

由于SIM卡与手机内存的容量有限，手机存储卡已经成了手机的标配之一。通常存储卡中包含的多是音频、视频、图片、文档等信息[6]。对存储卡进行检验时需要安装有USB的只读锁，然后将存储卡和读卡器相连，继而对存储卡信息进行读取。图6为DC-4500获取到的智能手机扩展卡信息。

4  结  论

人们的日常生活已经越来越离不开智能手机，针对智能手机取证的工作质量将直接影响网络犯罪案件的侦破效果。在网络犯罪案件中对智能手机采用规范的流程进行取证，并且全面、完整、客观的获取网络犯罪案件中智能手机取证信息，可以为网络犯罪案件的侦察提供电子数据支撑，与其他物证构成完整的数据链，对实际侦破网络犯罪案件起到重要作用。

参考文献：

[1] 李建军，熊俊.涉疫情类电信网络诈骗犯罪案件侦查对策研究 [J].江西警察学院学报，2020（5）：15-21.

[2] 夷冰倩.智能手机中刑事电子数据搜查规范研究 [J].公安学刊（浙江警察学院学报），2019（4）：77-81.

[3] 陈瑞君.Android手机数据取证应用研究 [D].兰州：甘肃政法学院，2019.

[4] 董立波，罗洁，邵永军.SIM卡中信息提取方法的研究 [J].刑事技术，2007（2）：29-31.

[5] 张鹤.电子数据取证勘查调研综述 [J].电脑知识与技术，2020，16（28）：34-38.

[6] 顾伟超.手机数据应用下的司法取证方法 [J].计算机产品与流通，2020（3）：102.

作者简介：满超（1995—），男，汉族，安徽合肥人，助教，硕士在读，研究方向：网络安全;郭永帅（1992—），男，汉族，安徽合肥人，讲师，硕士研究生，研究方向：網络安全。