09手机取证全解.ppt

GSM手机硬件结构 不同品牌的GSM手机，其硬件实现是有区别的，采用的专用集成电路、元器件、工艺，机械结构也不一样 但是，不同的手机对同类无线网络的接口是一样的，即采用统一的GSM规范，以保证不同厂家的产品均可以在GSM网络中使用，这也是各种机型的共同之处。 各种存储器的特性和功能 （1）RAM 随机存储器 （2）ROM只读存储器 （3）FLASH闪存 （4）NVRAM 非易失性存储器 基础知识 手机软件 手机软件按技术含量高低分为三层 第一层是Operating System(OS，操作系统) 主要与RF（射频信号）芯片进行沟通与指令处理，它基于一些基础的网络协议（如GSM/GPRS或CDMA/WCDMA）等 第二层是内置的手机本地应用 如电话薄/短信息等内容，更为重要的是，在一些手机上已经集成J2ME的开发平台，即它可以运行第三方开发的应用程序 第三层是在一些Kjava平台上开发的一些Kjava应用程序 如各种游戏/图片浏览等，还有一些API的接口函数，可以同外部的PC通过数据线进行数据传送，也可以通过无线方式与外界的应用服务提供商进行传递数据。 基础知识 通信协议 在手机取证的过程中可能需要从手机中提取数据，因此我们需要了解手机与外界（PC）的通信协议。 现有的手机取证工具在提取数据时，一般遵循以下的协议： （1）AT命令集 （2）OBEX （3）NOKIA FBUS 基础知识 IMEI号 所有的移动电话生产厂家为了使自己生产的手机能进入市场，都必须取得国际移动设备标识（而且这个标识在全球范围内是唯一的），也就是大家熟悉的IMEI(International Mobile Equipment Identifier)，没有IMEI的手机在GSM网络中将无法使用。 IMEI一般由15个数字组成，通常在开机状态下输入“*#06#”即可显示IMEI号。 IMEI号存储在手机的EEPROM里，每一个移动设备都对应一个唯一的IMEI。其组成结构为： IMEI = TAC（6位）+ FAC（2位）+ SNR（6位）+ SP（1位） 基础知识 概述 现在市场上有不少的手机取证工具，但绝大多数都是国外公司的产品。 由于手机在硬件和软件系统上的多样性，这些取证工具无法完全支持所有型号的手机。 同时，由于各个工具开发的技术上的问题，对同一部手机使用不同的取证工具有可能提取出的内容不完全相同。 基于上述的两个原因，通常取证人员手中要持有一种以上的取证工具才能有效地进行取证。 取证工具 几种常用的手机取证工具 取证工具 便携式手机取证箱CellDEK CellDEK是一款用于手机取证的便携式智能工具箱，可以用于从手机、PDA、SIM卡和基于闪存的介质中提取数据。 CellDEK的整个系统被包装在一个防震、防水的可拖动的箱中，包括内嵌的PC 机、一支用以点击电脑屏幕的操作笔和19根用于连接各种手机的数据线，能够在现场智能、实时地获取手机的信息。 它设计的目的并不是提取手机中的每一条信息，而在于获取关键信息，即从手机中获取关键信息以推动案件调查的进展。 取证工具 XRY系统 Micro systemation手机取证主导系统XRY系统能够快捷高效的处理关于犯罪分子的移动电话调查和其它类型的欺骗或误用。 XRY系统的目的是保护那些可能在法庭上用作证据的信息，以及今后调查的信息。 XRY系统可在安全模式下读取SMS消息、电话号码、地址本、图片、音像等。 而且，它能从移动电话的记忆和SIM卡中得到信息，XRY系统容易连接到个人计算机。 它支持510种不同的电话机型。 XRY系统创建报表非常容易，这个系统创建XRY加密文件，免费分布在XRY Reader。 取证工具 本章小结 利用手机取证打击手机犯罪势在必行。 手机取证的概述，包括手机取证的背景、概念、原则和流程，并对手机取证未来的发展方向做了简要的展望。 了解移动通信、SIM卡和手机的相关知识，并介绍了当前广泛应用的第二代移动通信系统GSM系统 对SIM卡的容量、内部数据、如何从SIM卡中提取数据和GSM手机的硬件结构、手机软件、通信协议等内容做了详细的介绍 取证工具——便携式手机取证箱CellDEK和Micro systemation手机取证主导系统XRY系统 总结 思考问题 1、什么是手机取证？手机犯罪侦破有哪些困难？ 2、手机取证与计算机取证等数字取证一样，需要遵循怎样的取证原则？ 3、手机取证的流程是怎样的？ 4、如何获取和提取手机犯罪的证物和数据？ 5、GSM系统的安全性需要达到怎样的目标？GSM系统是如何实现上述目标的？ 6、如何从SIM卡中提取数据？ 7、如何通过网络跟踪器跟踪手机？ 8、要想有效的进行手机取证，通常手机取证人员需要具备几种取证工具，为什么？ 9、使用便携式手机取证箱Cell