电子物证检验方法.ppt

手机物证检验 手机物证检验（Mobile Phone Forensics） 指用物证鉴定的原理、方法和程序，提取和分析物证手机中包含的信息，用作犯罪侦查线索或法庭证据。 内容 SIM卡等 手机内存 扩展存储卡 SIM卡及其储存的信息 SIM卡，中文名称为用户识别卡，是一种带有微处理器的智能芯片卡。它由一个微处理器和数个非易失存储器（non-volatile memory）组成。移动电话只有装上SIM卡才能使用。在GSM体系中，SIM卡主要有两种功能：存储数据功能和在安全条件下完成客户身份鉴权及客户信息加密算法全过程功能，它们由SIM卡内一部具有操作系统的微处理器完成。存储数据功能能够在SIM卡存储器上控制存取手机通信产生的各种数据信息和用户写入的信息，后一种功能可以实现SIM卡进入机制和安全特征。 SIM卡及其储存的信息 SIM卡的进入机制 通过4位数字组成的个人识别码实现的。 PIN码被激活，进入卡必须输入PIN码。 如果连续三次错误，SIM卡将会被自动锁住，这时候必须用由8位数字组成的PUK 如果PUK码10次不正确，SIM卡永久性锁死 用户可以修改SIM卡的PIN码，但PUK码是固定的，不能修改，因此网络运营商通常会保存所有用户的PUK码。 SIM卡及其储存的信息 SIM卡内的作用 卡面上通常印有网络服务商名称和唯一识别号，通过后者可以从服务商那里获得SIM卡用户资料，如姓名和地址等。 SIM卡内保存的以下四种类型数据： （1）由SIM卡生产厂商存入的系统原始数据； （2）由GSM网络运营部门或者其他经营部门在将卡发放给用户时注入的网络参数和用户数据； （3）由用户自己存入的数据，如短消息、固定拨号，缩位拨号，性能参数，话费记数等； （4）用户在用卡过程中自动存入和更新的网络接续和用户信息类数据，如最近一次位置登记时的手机所在位置区识别号（LAI）。 SIM卡及其储存的信息 当在手机上操作删除SIM卡储存的短信息时，一般手机只是删改了相应存取窗口内短信息数据中的状态字节,但短信息内容数据和其它数据并没有删除或改变，仍然储存在原来的存取窗口内。 只要没有新的短信息重写在被删除短信息所在的存取窗口内，被删除的短信息就有可能在检验时被恢复出来。 卡存储器信息检验技术 值得注意的是，虽然有一些工具软件可以在SIM卡和计算机之间同步修改和传递文本数据，但它们不能满足物证鉴定基本原理要求，因为它们在操作时可能改动SIM卡的文档信息，造成物证污染。在检验手机时不应该使用这类厂家提供给普通用户使用的工具软件。 卡存储器信息检验技术 近年来，市场上出现了许多符合物证鉴定基本原理要求的SIM卡专用检验工具软件， ForensicSIM ToolKit MOBILEedit Forensic Cell Seizure PhoneBase3 Forensic Card Reader …… 手机主板存储器信息检验技术 由于使用手机需要进入SIM卡，因此只要PIN码功能被激活，每次开启手机时都要求输入SIM卡的PIN码。有些手机对进入其主板信息也有密码设置功能，但许多手机用户不启用这种功能。因此从原理上说，检验手机时必须设法得到SIM卡的PIN码或PUK码。 手机主板存储器信息检验技术 检验手机主板存储器信息的最实际方案，是在不改变主板存储器存储信息内容的前提下直接读取其数据，如单向直接读取数据的方式。这种技术路线相对容易实现，也能够满足在检验过程中不改变检材包含信息这一物证鉴定基本原则。近年来，市场上已经出现了一些专门用于手机物证鉴定的工具软件，其中许多软件是与SIM卡检验功能集成在一个系统中 。 部分手机物证检验工具软件 名 称 检 材 Cards4Labs TULP2G SIM卡机身 SIM-Manager Profi SIM卡 ForensicSIM ToolKit/ ForensicMobile ToolKit SIM卡/机身 MOBILEedit Forensic SIM卡 机身 Disklabs SIM卡 机身 Cell Seizure SIM卡 机身 PhoneBase2 SIM卡 Forensic Card Reader SIM卡 OxygenPhone ManagerⅡ 机身 XRY 机身 手机主板存储器信息检验技术 值得注意的是，有个别手机在设计上将手机主板储存的信息与SIM卡关联在一起。例如，许多手机SIM卡被取出并插入另外一张SIM卡后，手机中的去电/来电号码记录将被删除，时钟和日期设置也会失效归零。因此，在取出被检验手机的SIM卡之前，要读取记录这些相关信息。 手机检验结果信息的侦查作用 手机检验结果中的许多信息可以帮助查找确定手机使用者，最直接的是SIM卡的ICCID、IMSI、MSISD