手机侦查取证技术海南反贪培训.pptxVIP

手机取证在职务犯罪侦查中的应用张佩军 2016.1 主要内容1. 概述2. 手机取证工具方法3. 案例实测4. 手机取证的发展让我们思考一下现实中的梁两个问题。如果从犯罪现场发现一个手机设备，可以从设备发现的所有证据有哪些？？这些证据在哪里寻找？？?手机浏览器缓存?应用程序存储?扩展存储卡?SQLite数据库文件?短信?GPS数据?通话记录?电话簿?社交网络应用（Facebook，Twitter的，QQ或微信*）记录?使者（日志）记录?电子邮件客户端数据?系统存储?社交网络应用（微博，QQ或微信）记录?使者（日志）记录?电子邮件客户端数据?系统存储线索？证据？侦查（现场勘验）过程中的操作方法：1. 获取设备：如果在犯罪现场发现一部手机或者任何一部智能手机，第一步先要做的就是司法取证人员或者现场勘察人员对现场进行拍照，这点目前国内的执法人员都是这样做的，但要注意一点是需要把物证手机也拍入相片中。如果手机是开机状态的，还需要对手机进行特写拍照。2. 如果手机是开机状态的，尽量对手机进行充电使电池不会消耗殆尽。同时为了避免新的来电或者接收新的短信邮件覆盖已有数据，需要对手机进行信号屏蔽，具体方法是可以使用屏蔽袋（箱）或者屏蔽器。需要注意的是当手机在屏蔽信号状态下耗电量会增大，所以保持手机充电状态也是非常必要的。同时在证据固定的时候注意手机附件的收集，如充电器，数据线缆，驱动光盘等。3. 在我们对检材手机进行检验时，每一步操作检验和分析都需要进行记录，这个也是为了后期在法庭上示证时确保证据的可溯源性。包括如下：?证据（设备）是什么？?你如何得到它（手机）？?什么时候收集固定？?都有谁处理（查看、使用、检验）过它（手机）？?为什么这个人处理（查看、使用、检验）过它（手机）？?它（手机）都到过什么地方（检验过）？在什么地方保管过？?案件的编号ID和本次检验人员？正确识别手机：智能手机是目前实际检验工作中遇到最多种类的手机，根据2015年6月统计，截至目前案件受理量中超过98%以上均为智能手机。而非智能手机（功能机）占比在2%，有些地方甚至更低。当然具体比例和实际案件类型有关。有些类型的案件中功能机略多，但也因为国产品牌的Android手机价格越来越低，使功能机占比始终很少。开始取证：1、判定检材状况。除了确认品牌型号等常规信息以外，还有如下检材条件需要确认：A. 是否可以正常开机B. 是否有锁屏密码C. 是否打开了USB调试模式D. 是否root进行手机取证工作的第一步是检材的识别与连接设备的准备，第二步即开始连接手机并进入检验电脑识别驱动的过程。需要强调的是：Android在连接电脑的时候有两个必要选项，一个是USB 调试模式启用状态，一个是USB连接方式。USB调试模式（USB debug） 是电脑和Android手机开发调试的通道，USB调试激活后，能打开android adb interfase。即通过此ADB 端口能使用android 通用提取方案提取手机数据。如下图所示驱动：提示：Android 2.X系列：电信定制系列，将ADB端口绑定在天翼选项中，如果不选择天翼宽带，是无法打开调试模块，即不能完成取证。Android 4.0—4.2 系列正常的选择即可Android 4.3-以上手机上除了选择USB debug 之外，需要首先要USB授权，然后连接到取证电脑的时候再选择信任本机，方可取证。2、选择工具针对Android系统手机,目前可以支持数据获取的常见工具软件有:eDEC狼蛛智能手机检验系统DC4501手机取证系统VAT手机司法取证工具SafeMobile手机取证系统XRY综合手机检验工具UFED Ultimate手机取证工具MPE+手机数据综合分析挖掘工具Mobiledit!Forensic手机快速取证工具3、数据检验提取第一类：打开USB调试模式的，未root方法一：进行逻辑-代理方式获取方法二：通用Android逻辑或备份方式获取文件系统备份数据方法三：在完成逻辑获取后，使用检验工具临时root（2.3以下版本）并进行物理获取或使用其他一键root工具完成root后使用检验工具进行物理获取。具体root方法（后PPT介绍），但需要注意采用有针对性的root方法会减小root带来的风险。第二类：打开USB调试模式的，已root在完成逻辑获取后，使用检验工具进行物理获取。第三类：未开USB调试模式的，无锁屏密码，未root手动打开USB调试模式，然后按照：方法一：进行逻辑-代理方式获取方法二：通用Android逻辑或备份方式获取文件系统备份数据方法三：在完成逻辑获取后，使用检验工具临时root（2.3以下版本）并进行物理获取或使用其他一键root工具完成root后使用检验工具进行物理获