移动数字取证技术-2019年文档资料.docVIP

移动数字取证技术 　　数字取证是指科学地运用提取和证明方法，对于从电子数据源提取的电子证据进行保护、收集、验证、鉴定、分析、解释、存档和出示，以有助于进一步的犯罪事件重构或者帮助识别某些与计划操作无关的非授权性活动。无线通信技术的普及和智能终端应用的便捷带来了诸多的安全问题及针对智能终端的犯罪活动。移动支付等涉及个人财产和隐私信息的应用层出不穷，导致针对移动通信系统的犯罪激增。据统计，欧洲80%的犯罪涉及移动数字取证，英国90%的犯罪涉及移动数字取证，美国70%的犯罪涉及移动数字取证。移动取证正在发展成为数字取证的主要工作。同时，移动通信安全事件的事前安全防护与事后追责的讼诉相关理论和技术的研究也是信息安全和取证领域的研究热点问题。 　　数字取证技术的研究有鲜明的国家特点，即国家的性质、法律和制度对于数字取证技术的研究均具有一定的影响和制约。照搬照抄国际上的数字取证技术和工具的做法是不可取的，结合中国国情的数字取证探索值得大力提倡。目前，中国在操作系统的可取证研究、BIOS芯片取证方面已经推出了自主创新的研究成果，但与国际上更为成熟的数字取证技术相比，差距还比较大。 　　无线通信技术的复杂性和多样性使得数字取证面临诸多难点问题。从移动互联网的组成看，移动取证包括： 　　（1）移动设备取证，包括各种不同型号品牌的手机、平板电脑（PAD）、自带设备办公（BYOD）、各种不同的物联网终端等。 　　（2）移动系统取证，包括各种移动终端操作系统的取证。 　　（3）移动网络取证，包括对于各种协议的分析和网络中传输的数据包的截获与提取分析。 　　（4）移动应用取证，包括对各种不同的应用采用不同的技术方法有针对性地进行证据获取和分析。 　　移动设备取证、移动系统取证、移动网络取证、移动应用取证是无法完全隔离开来的，需要综合考虑。 　　1 移动设备取证 　　美国国家标准技术研究所（NIST）在2014年5月份推出了移动设备取证的指导原则[1]，对移动设备取证的目的和范围、方式和方法做了系统性的分析和介绍，其中包括移动设备的特点、存储结构、标识模型特点、移动网络的特点、取证工具的能力、现场的保护和评估、打包传输和存储证据、现场应急处理、移动设备标识、工具选择和期望、移动设备存储获取、外围设备、对移动设备的云服务等内容。 　　综合来讲，移动设备取证可以分为4个步骤：保护证据、获取、检查和分析、报告。移动取证的步骤如图1所示。 　　保护证据的目的有两个，一是要最大限度地获取相关的证据数据，二是要保护证据数据的完整性和原始性以确保其可采用性。获取证据是针对原始数据的镜像、提取等。鉴定与分析是要找出能证明特定事件的发生与否的证据。报告是要按照诉讼和调解部门的要求出具鉴定和取证的结论性报告。 　　根据提取数字证据的不同手段和方式，可以将移动设备取证分为5个层次，自底向上逐个难度增加，其分别是：手工提取、逻辑提取、十六进制转储、芯片拆除和微码读取。移动设备取证的5个层次如图2所示。 　　1.1 手工提取 　　所谓人工提取是指手工使用按钮、键盘、触屏等方法浏览并用照相机拍摄显示的数据内容。如果数据量很大，人工提取的难度将会很大。现在有一些自动化的工具可以帮助自动实现人工提取过程。目前，已经有一种设备，把手机固定在一个装有照相机的架子下，相机拍摄下每一个屏幕显示会通过一根线自动传输到电脑中并打上Hash固定成证据。 　　1.2 逻辑提取 　　逻辑提取就是要用计算机和移动设备建立连接，然后，使用相应的逻辑提取工具进行提取。进行逻辑提取应该注意的问题是要牢记连接方式和相关的协议，因为错误的连接方式和协议可能会导致数据被篡改和提取到错误的数据。 　　1.3 十六进制转储 　　十六进制转储主要是用来直接提取闪存上的数据。这类方法的挑战是如何解析和解码捕获到的数据。检测到文件系统的逻辑视图并报告一些文件系统以外的残余数据也是一个挑战。这个层面的工具包括：连接线或者Wi-Fi以及取证工作站等等。 　　1.4 芯片拆除 　　芯片拆除方法也是用来提取闪存中的数据。但是，这种方法是更直接的，要求对芯片创建一个二进制/十六进制镜像。为了获取二进制/十六进制文件，均衡抹除算法必须被逆向工程。完成后，二进制镜像文件就可以被分析了。这种方法和传统的磁盘镜像密切相关。这种方法的操作者需要进行训练。 　　1.5 微码读取 　　微码读取是通过电子显微镜对NAND和NOR两种类型的闪存进行物理提取的方法。需要专家、合适的设备、时间和对相关信息的深度了解。这种方法仅仅用于其他方法不能用并且案件是大案和要案的情况。 　　1.6 移动设备取证工具 　　目前国际上有一些移动设备的取证工具，例如： 　　（1）FinalShield 　　FinalShi