移动数字取证技术之数字取证和移动设备取证详谈
数字取证
数字取证是指科学地运用提取和证明方法,对于从电子数据源提取的电子证据进行保护、收集、验证、鉴定、分析、解释、存档和出示,以有助于进一步重构犯罪事件或者帮助识别某些与计划操作无关的非授权性活动。无线通信技术的普及和智能终端应用的便捷带来了诸多的安全问题及针对智能终端的犯罪活动。移动支付等涉及个人财产和隐私信息的应用迅速增长与普及,导致针对移动通信系统的犯罪事件层出不穷。据统计,国分别有80%、90%和70%的犯罪案件侦审涉及移动数字取证。移动取证正在发展成为数字取证的主要组成部分。同时,移动通信安全事件的事前安全防护与事后追责的诉讼理论和技术的研究,也成为目前信息安全和取证领域的研究热点。
数字取证技术研究有鲜明的国家特点,即国家的性质、法律和制度对数字取证技术的研究具有一定的影响和制约。照搬照抄国外的数字取证技术和工具的做法是不可取的,我们应大力提倡研究和发展结合中国国情的数字取证技术。目前,我国在操作系统的可取证研究、基本输入输出系统(Basic Input Output System,BIOS)芯片取证方面已经推出了自主创新的研究成果,但与国外更为成熟的数字取证技术相比,差距还比较大。
无线通信技术的复杂性和多样性使得数字取证面临诸多挑战。从移动互联网的组成看,移动取证包括:
1. 移动设备取证,指对各种不同型号/品牌的手机、平板电脑、BYOD、物联网终端等取证。
2. 移动系统取证,指对各种移动终端操作系统的取证。
3. 移动网络取证,指对各种协议的分析和网络中传输的数据包的截获与提取分析。
4. 移动应用取证,指对各种不同的应用采用不同的技术方法有针对性地进行证据获取和分析。
以上四类取证是无法完全隔离开来的,需要综合考虑。
移动设备取证
美国国家标准与技术研究院(National Institute of Standards and Technology,NIST在2014年5月推出了移动设备取证的指导原则,对移动设备取证的目的和范围、方式和方法做了系统性的分析和介绍。综合来讲,移动设备取证可以分为证据保全、证据获取、鉴定和分析、报告四个步骤。证据保全的目的有两个,一是要最大限度地获取相关的证据数据,二是要保护证据数据的完整性和原始性以确保其可采用性。获取证据是对原始数据做镜像、提取等。鉴定与分析是找出能证明特定事件发生与否的证据。报告是按照诉讼和调解部门的要求出具鉴定和取证的结论性报告。根据提取数字证据的手段和方式的不同,可以将移动设备取证分为5个层次,自底向上难度逐个增加。
1. 手工提取
手工提取是指手工使用按钮、键盘、触屏等方法浏览并用照相机拍摄显示的数据内容。如果数据量很大,手工提取的难度将会很大。现在有一些自动化工具可以帮助我们自动实现手工提取过程。例如,相机拍摄下的每一个屏幕显示会通过一根数据线自动传输到电脑中,并通过哈希算法(Hash)固定成证据。
2. 逻辑提取
逻辑提取是将计算机和移动设备建立连接,然后使用相应的逻辑提取工具取证。逻辑提取应该注意的问题是要牢记连接方式和相关协议,因为错误的连接方式和协议可能会导致数据被篡改及提取到错误的数据。
3. 十六进制转储
十六进制转储主要是用来直接提取闪存上的数据。其挑战是如何解析和解码捕获到的数据。检测到文件系统的逻辑VIEW(视图),并报告一些文件系统以外的残余数据也是一个挑战。这个层面的工具包括:连接线、无线网络、取证工作站等。
4. 芯片摘取
芯片摘取方法也是用来提取闪存中的数据。但是,这种方法更直接,要求对芯片创建一个二进制/十六进制镜像。为了获取二进制/十六进制文件,均衡抹除算法必须被逆向操作。完成后,就可以分析二进制镜像文件了。这种方法和传统的磁盘镜像密切相关。其操作者需要经过训练。
5. 微码读取
微码读取通过电子显微镜对与非(NAND)及或非(NOR)两种类型的闪存进行数据的物理提取,需要有专家、合适的设备、时间和对相关信息的深度了解。这种方法仅仅在其他方法不能用,并且案件是大案和要案的情况下使用。
6. 移动设备取证工具
目前国际上有一些移动设备的取证工具:
(1)Finalshield是一种用来屏蔽手机信号的取证辅助工具。该工具通过内部通用串行总线(USB)与安卓操作系统的手机进行连接,计算机或特定的手机取证工具利用FinalShield外部的通用串行总线与该设备进行连接。作为手机取证的辅助工具,FinalShield可以有效防止取证过程中有电话打入或短信接收,造成手机原始数据不必要的破坏或丢失。
(2)XRY是一款便携式取证箱,是手机内存转储和采集数据的工具。此设备是由SIM卡(Subscriber Identity Module,客户识别模块)读写器、通用串行总线通信单元、数据线、记忆卡读卡器、SIM复制卡等组成的。在安全模式下可以读取消息、电话号码、地址簿、图像、视频等。XRY取证效果理想,并且操作简单,可以方便快捷地完成手机数据的分析、获取和查看工作,同时,还能通过创建加密文件,保护数据不被其他未经允许的人员查看。该工具完成取证工作后,会得出相应的分析报告,方便调查人员查看详细的取证结果。
(3)OxygenForensic该工具通过运用高级底层通讯方式,获取更多数据,相比其他对智能手机、掌上电脑以及普通手机的逻辑分析软件,显示出更大的优越性,尤其适合于安卓系统手机的取证工作。
(4)BitPIM是一种电话管理软件,能够查看电话簿、日历、桌面壁纸、铃声等数据。该软件可以在Linux等操作系统上运行,前提是我们要安装正确的驱动程序。
(5)CELLDEK是一款便携式手机取证箱,可以提取安卓系统手机的原始数据。设备中嵌入一台笔记本电脑,数据的提取和分析就是通过笔记本电脑内的特定软件来实现的。