电子数据具有虚拟性,需要依附于一定的存储介质而存在。在诸多存储介质中,手机无疑是最具价值的载体。它承载着机主的通讯信息、资金信息、行踪轨迹,甚至生活偏好,堪称大数据时代下的“个人移动数据库”。手机取证也因此成为侦查人员寻找犯罪线索、查获涉案证据的重要手段。
第17期《知识源宇宙》,源妹将为大家分享以下两个涉及手机取证的基础知识点。
01
手机取证范围
根据手机内电子数据存储的位置,手机取证的范围主要包括以下几个方面。相应的电子数据可以帮助侦查人员锁定嫌疑人身份、判断案发时间、还原案件过程等。
SIM卡
SIM(UIM)卡是让手机接入移动通讯网络的智能芯片,是个体用户从通讯运营商处获取的身份识别卡。SIM卡本身存储空间相对有限,主要存储入网参数、用户信息、部分电话号码和通讯记录、接入通讯网络所在的位置信息等电子数据。
手机机身内存
手机存储卡
手机应用程序
手机应用程序是安装在智能手机上的软件。除了应用程序上的聊天记录等内容信息之外,在下载、安装、注册使用各种应用程序时,用户还会有意无意遗留下诸多痕迹信息。这些信息包含但不限于用户的手机号码、手机识别码、通讯录、位置信息、关联网络账户、运动轨迹等电子数据。
移动通讯运营商
02
手机取证流程
手机取证的基本流程
手机取证基本流程更多是一种程序性操作步骤,类似于侦查机关的办案流程,其目的是扣押手机载体后提取手机内的电子数据并出具相应的检查笔录。
扣押手机注意事项
①在一些案件中,手机是爆炸的引爆器,因此首先应确认目标手机安全;
②为了保证手机的初始状态不发生改变,原始数据不被污染,应当将手机放在电磁信号屏蔽环境中或关机;
③对扣押的手机,应当会同在场见证人和手机持有人(提供人)查点清楚,当场开列扣押清单,写明手机的特征,尤其是外观、品牌型号、SIM卡信息、国际移动设备识别码(串号)等信息。
手机送检后的具体取证流程
(侦查实践中称为电子数据检查)
手机送检后的具体取证流程是实操性很强的电子数据提取,需要运用相关技术按照一定步骤将手机内电子数据进行提取、恢复、分析并生成相应的格式文件,其目的就是获取手机内的电子数据。
使用杀毒软件对取证工具杀毒;
对手机检材进行编号,保证编号与检材对应;
连接取证工具与手机检材,开启手机飞行模式中断信号(中断信号一般在扣押后就会完成);
使用镜像提取工具、手机自带备份应用工具进行数据提取;
使用效率源SPF9139智能手机数据恢复取证系统等取证分析软件,对所获取的数据进行数据提取、恢复、分析;
将数据生成特定格式的文件(该文件可通过常见浏览器打开);
对取证报告文件进行压缩打包,生成压缩格式文件(可通过解压缩软件打开);
对压缩报告文件以哈希校验值方式进行哈希值计算。
目前,在案件侦办实践中还存在着手机电子数据提取难、手机解锁难、数据恢复难以及手机系统权限获取难等取证难点。针对这些问题,需要更多技术人员参与相关信息收集和整理并在此基础上寻求解决方法,进而为案件侦破提供更多的技术支持。
原文始发于微信公众号(效率源):手机取证基础知识扫盲
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论