手机取证及其电子证据获取研究.docVIP

手机取证及其电子证据获取研究 　　[摘要]为了有效打击犯罪，手机取证逐渐得到了应用。通过手机取证的手段收集的信息就是电子证据，此类证据同样具有法律效力，可以作为定罪的参考依据。因此，从这方面来讲，手机取证的应用是新时期打击犯罪的有效手段，对于维护社会稳定秩序有着重要意义。本文对手机取证及电子证据获取中涉及的一些重要问题进行了探讨。 　　[关键词]手机取证;电子证据;取证源 　　1、前言 　　当前，利用手机从事犯罪活动的形式多种多样，但从大的方面来讲，手机在此类案件中充当的角色主要有三种，即通信工具、存储媒质、实施犯罪的工具[1]。在这样的情况下，传统的取证方式，已经无法有效获得有力证据，而手机取证作为一种新兴的取证方式，逐渐推广开来。 　　2、取证源 　　2.1SIM卡 　　对于通信网络来讲，终端设备由SIM卡和手机构成。前者是SubscriberIdentityModule的缩写，主要功能在于识别用户。利用这个识别卡，移动网络能够鉴别用户身份、加密通话。以存储内容为依据，该卡中的信息可细分为下述几种：一、原始数据，此类数据由厂家存储进去，属于其中最基本的信息。二、固有信息，此类信息由手机存储，通常包括MIN码、加密信息、IMSI码等。三、个人数据，此类信息是手机使用过程中由用户存储进去的，主要包括通话记录、短信等。四、网络数据，此类信息主要是服务更新信息以及用户数据、自动保存的信息等，主要是由用户自身设置以及系统更新而来。五、参数信息，此类信息包括很多种，比如身份识别号、解锁号等。 　　2.2存储卡 　　这里所说的存储卡实际上包含两种：内置卡、外置卡[2]。手机的更新换代速度非常快，不仅功能在不断扩充，存储空间也在持续增大。以数据差异为依据，可将手机存储区细化为动态、静态两个部分。其中，前者存储的主要是临时数据（临时数据源于手机执行系统命令的过程和手机程序应用的过程），后者存储的则主要是用户数据以及相关的配置数据等。所以，对于手机取证来讲，后者显然更具证据价值。手机识别号、短信和通话记录等均可作为电子证据，而这些信息都存在静态区。尽管手机不一样或者网络不一样，读取上述信息的形式会存在一些差异，内容格式也可能因此不同，但并不妨碍这些数据的证据功能。 　　在现实中，手机与人们生活的联系越来越密切，甚至正在不知不觉改变现代人的生活方式。在这样的情况下，人们对手机的依赖性越来越强[3]，不少商家为了进一步扩充手机功能，满足消费者心理需求，都开始在存储容量上下功夫。外置卡可以根据消费者的需求，将手机容量扩充至消费者满意为止，所以，此种卡比较受欢迎。比如SD卡，已经成为了很多手机的“标配”。在版权处理案件中，外置卡可作为有效取证源，对保证判定结果的公正性具有重要意义。 　　2.3运营商 　　运营商有两个对手机取证而言非常重要的数据库，一个存储的是用户注册的相关信息，另一个存储的则是用户使用手机过程中的个人信息（比如通话记录等）。这些数据和信息在犯罪调查中均属于非常重要的潜在证据，尤其是后者，有效性更为突出。而前者尽管目前在犯罪调查中应用的比较少，但是，考虑到其中涉及用户身份信息和位置信息，在实名制落实后，这些信息就能够帮助有关部门尽早破案，可显著提高破案效率。 　　3、获取电子证据的方法 　　3.1从SIM卡中获取有用证据的方法 　　SIM卡存储器实际上是三层树结构，节点由主文件、专用文件、基本文件构成。其中，主文件属于根节点，基本文件以及专用文件均包含在内。在GSM移动网络标准中定义GSM专用文件、DCS1800专用文件和Telecom专用文件等为主文件的子节点，这个标准还定义了与这些专用文件相对应的基本文件。标准定义的严格性，是导致SIM卡具有通用系统架构的主要原因之一。但此种通用性只是在某种程度上而言，发行商不同，SIM卡的系统架构依旧存在细微的差异。目前，从SIM卡中获得电子证据的方式主要包括两种：一、借助读卡器将卡中的有用信息、数据提取出来。二、借助操作指令获取有用信息。 　　3.2从存储卡中获取有用证据的方法 　　存储卡有内置卡与外置卡两种，取证方式也各不相同。对于后者，取证时可借助相应的软件（比如Encase）获取信息和数据，比较简单。前者的取证则相对复杂一些，具体实施中，有效途径包括两种：一、拆解法。此种方法实施步骤包括两步，第一步是将手机拆解开来以获得芯片，第二步是借助相应的读取工具，将芯片中存储的数据提取出来。二、直接法。此种方式无需拆解手机，可直接通过数据缆线连接主板的方式，获得所需要的存储信息。以上方法均属于物理途径，在现实中已经多次实践，较为有效。但这些方法依旧存在一些局限性，比如，上述方法尽管能够将数据受到的外力干扰有效降低，但是执行取证的人员必须具有专业水准。所以，