浅谈智能手机取证——流程篇（下）

摘      要

下篇将着重介绍智能手机取证的后两个部分：鉴定与分析、报告以及智能手机取证目前所面临的各种挑战。鉴定和分析可以详细地发现证据，而出具报告则可以使证据具有法律效力。最后，智能手机取证仍然面临着一系列挑战，下篇将对各种挑战进行分析和总结。

1.3. 鉴定和分析

鉴定与分析是找出能证明特定事件发生与否的证据。鉴定和分析过程会发现很多新的数字证据，包括可能被隐藏或掩盖的证据。很多潜在的证据可能会隐藏在各种各样的位置中，例如用户和设备标识符、日期/时间、语言和其他设置、电话簿/联系人信息、日历信息、文本信息、发出、接收和未接来电记录、电子邮件、照片、音频和视频记录、多媒体信息、即时通讯、网络浏览活动、电子文件、社交媒体相关数据、应用程序相关数据、位置信息、地理定位数据等。调查人员应当确保不遗漏任何一点细节，在分析结果中也应该全面描述数据的内容和状态，包括数据的来源和潜在意义。

鉴定与分析过程应该使用从智能手机中拷贝的副本，通常是通过将移动设备的内存转储导入智能手机取证箱来完成的。调查人员需要将与案件相关的信息尽可能整合分析，以便发现潜在的证据。根据案件类型的不同，分析策略也有所不同。例如，关于儿童色情制品的案件可能从浏览器中的历史图像开始检查，而关于互联网相关犯罪的案件可能要从所浏览的所有互联网历史文件开始检查。

通常，鉴定和分析过程通常需要从以下关联中分析出重要信息：

（1）所有权分析。分析在非默认位置找到的与案件相关的文件，恢复设备密码来确定其所有权，确定特定用户的文件内容，确定创建、修改或访问文件的个人，以及确定持有涉嫌犯罪数据的嫌疑人。

（2）应用程序和文件分析。通过检查文件内容、将文件与已安装的应用程序相关联、确定文件之间的关系（例如，电子邮件文件与电子邮件附件），以及检查文件元数据（例如，包含作者身份的文件）来确定与调查相关的信息。

（3）时间线分析。通过审查日志和文件系统中的日期/时间戳，如通过文件最后修改时间来确定事件发生的具体时间，以便与案件联系起来。同时，信息和电子邮件的日期/时间对于理清案件发展逻辑也是非常有用的。

（4）数据隐藏分析。检测和恢复可能表明犯罪证据，获得对受密码保护、加密和压缩文件的访问权，获得对图像中检测到的隐写信息的访问权，以及获得对正常文件系统之外的数据存储保留区的访问权。

1.4. 报告

报告是对案件调查中采取的所有步骤和得出的结论进行详细总结的过程，要按照诉讼和调解部门的要求出具鉴定和取证的结论性报告。报告的权威性取决于对所有证据的仔细记录，包括详细描述证据检查的结果，并解释从中得出的推论。智能手机取证的报告记录应贯穿整个检验过程，记录的内容应包括但不限于：案件标识符或提交号码、案件调查员、提交人的身份、收到证据的日期、报告的日期、提交供检查的物品的描述性清单（包括序列号、品牌和型号）、检查员的身份和签名、检查中使用的设备和设置、简要描述检查中采取的步骤（如字符串搜索、图形图像搜索和恢复被删除的文件）、支持性材料（如特定证据项目的打印件、证据的数字副本和监管文件等）、发现的细节、与请求有关的具体文件、支持调查结果的其他文件（包括已删除的文件、字符串搜索、关键词搜索和文本字符串搜索）、与互联网有关的证据（如网站流量分析、聊天记录、缓存文件、电子邮件和新闻）、图形图像分析、所有权指标（可能包括程序注册数据、数据分析、被检查项目上的相关程序）、用于隐藏或掩盖数据的技术（如加密、隐写术、隐藏属性、隐藏分区和文件名异常）等，这些内容应该在报告中详细展示出来。

2. 智能手机取证面临的问题与挑战

智能手机取证是一门不断发展的科学，而且由于技术的快速和不可阻挡的变化，对调查人员提出了很多挑战。相关取证技术必须适应智能设备功能的快速变化，以确保从智能手机上能够获得有效和高质量的证据。目前，对于智能手机取证主要面临的问题与挑战体现在智能手机数据加密、智能手机反取证、智能手机恶意程序分析等方面。

2.1. 智能手机数据加密挑战

随着智能手机制造商采取越来越复杂的安全功能来保护手机用户的数据安全，尤其是2015年加利福尼亚州圣贝纳迪诺恐怖袭击事件后，在苹果与FBI之间的争端中更凸显了手机数据加密导致智能手机证据提取困难的挑战。智能手机内置的安全功能存在于许多级别，以保护用户数据和隐私。现有的工作可以通过分析Android手机内存获取加密密钥，但是随着Android系统中使用新的密钥派生函数，这种方法会失效。当今智能手机中的用户锁定可以从简单的四位数PIN到更复杂和更长的密码，最新的智能手机还可以进行指纹、虹膜等生物信息锁定并使用生物识别技术来识别用户。很多智能手机可以提供单独的文件，文件类型或目录密码保护，在这种情况下可以单独保护SMS，电子邮件和照片等敏感数据，安全系数较高的操作系统甚至提供全磁盘加密。智能手机操作系统还提供应用程序沙盒，这意味着每个单独的应用程序都不能直接访问分配给另一个应用程序或系统资源的空间。面对智能手机中不断升级的加密算法、加密模式的问题，智能手机电子数据取证技术也需要不断创新，不断迭代，以适应新的加密技术。

2.2. 智能手机反取证挑战

智能手机反取证挑战主要体现在攻击者可能会将重要数据进行数据隐藏，数据混淆，数据伪造和安全擦除。例如通过修改图片拍摄的时间、拍摄的设备、拍摄的地理位置等源数据，对调查人员进行误导。攻击者还可以通过恶意应用程序中的删除工具，通过填充随机数据的方式删除所选文件，使所选文件难以被恢复。再比如LUKS Manager恶意应用程序可以动态加载虚拟文件夹并加密其中数据，在不知道密钥以及使用的加密方法和加密模式的情况下，调查人员需要逆向APP来获取相关加密信息，使调查进度被减慢。StegDroid和MobiStego可以把文本信息分别嵌入录音文件和图像文件中，攻击者可以通过这种方式防止信息被调查人员发现。数据擦除不是数据删除，擦除的数据无法恢复或难以恢复。加密数据可以使用多种方法擦除。数据可以通过桌面管理器擦除，也可以在预定义的时间输入错误的密码后擦除。因此能够发现和规避反取证技术是一个亟待解决的挑战。

2.3. 智能手机恶意程序分析挑战

现有的智能手机恶意程序静态分析工具，比如FlowDroid、Evihunter、DroidSafe、LibDroid可以取得良好的检测效果，但是随着智能手机的存储容量的不断增长，在发现恶意程序后快速识别相关的可疑文件也是一个重大的挑战。现有的自动识别方法利用哈希块、规则匹配和机器学习方法进行分类。尽管机器学习只有0.2%的误报率，但是在128G的存储容量下还是会有大约200M的误报数据需要调查人员分析，这仍需要耗费调查人员大量的时间精力。综上所述，智能手机取证技术在保证准确识别恶意应用程序的同时，还需要能够快速、准确的识别恶意程序关联的可疑文件。

3. 总    结

参考文献

[1].Majed H, Noura H N, Chehab A. Overview of Digital Forensics and Anti-Forensics Techniques[C]//2020 8th International Symposium on Digital Forensics and Security (ISDFS). IEEE, 2020: 1-5.

[2].Groß T, Busch M, Müller T. One key to rule them all: Recovering the master key from RAM to break Android's file-based encryption[J]. Forensic Science International: Digital Investigation, 2021, 36: 301113.

[3]. Sporea I, Aziz B, McIntyre Z. On the availability of anti-forensic tools for smartphones[J]. International Journal of Security, 2012, 6(4): 58-64.

[4]. Hasanabadi S S, Lashkari A H, Ghorbani A A. A survey and research challenges of anti-forensics: Evaluation of game-theoretic models in simulation of forensic agents’ behaviour[J]. Forensic Science International: Digital Investigation, 2020, 35: 301024.

[5].Shi C, Cheng C C C, Guan Y. LibDroid: Summarizing information flow of Android Native Libraries via Static Analysis[J]. Digital Investigation, 2022.

[6].Serhal C, Le-Khac N A. Machine learning based approach to analyze file meta data for smart phone file triage[J]. Forensic Science International: Digital Investigation, 2021, 37: 301194.

中国保密协会

科学技术分会

长按扫码关注我们

作者：毛月恒  贾成罡

责编：高   琪

2021年精彩文章TOP5回顾

碎纸恢复还原技术对载体销毁的重要启示

近期精彩文章回顾