美亞柏科取證大師

美亞取證大師專業(yè)版是一款專為安卓手機打造的取證軟件，能夠由任何人實時的驗證電子數(shù)據(jù)的起源、時間和完整性，是您取證時方便的工具，有效防止司法證據(jù)被悄然篡改。歡迎下載。

軟件簡介：

美亞取證大師作為國內(nèi)最專業(yè)的安卓手機取證軟件，它取證的實際效果與效率自然不必多說。小編這里給大家?guī)碜钚氯∽C大師專業(yè)版，內(nèi)附詳細的操作使用流程，專業(yè)取證，就是取證大師！

手機取證源：

在手機取證的過程中，第一步的工作是從手機各個相關(guān)證據(jù)源中獲取有線索價值的電子證據(jù)。手機的SIM卡、內(nèi)存、外置存儲卡和移動網(wǎng)絡(luò)運營商的業(yè)務(wù)數(shù)據(jù)庫一同構(gòu)成了手機取證中的重要證據(jù)源。

1.移動網(wǎng)絡(luò)運營商

移動網(wǎng)絡(luò)運營商的通話數(shù)據(jù)記錄數(shù)據(jù)庫與用戶注冊信息數(shù)據(jù)庫存儲著大量的潛在證據(jù)。通話數(shù)據(jù)記錄數(shù)據(jù)庫中的一條記錄信息包括有主/被叫用戶的手機號碼、主/被叫手機的IMEI號、通話時長、服務(wù)類型和通話過程中起始端與終止端網(wǎng)絡(luò)服務(wù)基站信息。另外，在用戶注冊信息數(shù)據(jù)庫中還可獲取包括用戶姓名、證件號碼、住址、手機號碼、SIM卡號及其PIN和PUK、IMSI號和所開通的服務(wù)類型信息。在我國即將實行“手機實名制”的大環(huán)境下，這些信息可在日后案件調(diào)查取證過程中發(fā)揮巨大的實質(zhì)性作用。

2.SIM卡

在移動通信網(wǎng)絡(luò)中，手機與SIM卡共同構(gòu)成移動通信終端設(shè)備。SIM（SubscribeIdentityModule）卡即為客戶識別模塊，它也被稱為用戶身份識別卡。移動通信網(wǎng)絡(luò)通過此卡來對用戶身份進行鑒別，并且同時對用戶通話時的語音信息進行加密。目前，常見SIM卡的存儲容量有8kB、16kB、32kB和64kB這幾種。從內(nèi)容上看，SIM卡中所存儲的數(shù)據(jù)信息大致可分為五類：

（1）SIM卡生產(chǎn)廠商存儲的產(chǎn)品原始數(shù)據(jù)。

（2）手機存儲的固有信息，主要包括各種鑒權(quán)和加密信息、GSIM的IMSI碼、CDMA的MIN碼、IMSI認證算法、加密密匙生成算法。

（3）在手機使用過程中存儲的個人數(shù)據(jù)，如短消息、電話薄、行程表和通話記錄信息。

（4）移動網(wǎng)絡(luò)方面的數(shù)據(jù)中包括用戶在使用SIM卡過程中自動存入和更新的網(wǎng)絡(luò)服務(wù)和用戶信息數(shù)據(jù)，如設(shè)置的周期性位置更新間隔時間和最近一次位置登記時手機所在位置識別號。

（5）其它的相關(guān)手機參數(shù)，其中包括個人身份識別號

（PIN），以及解開鎖定用的個人解鎖號（PUK）等信息。

3.手機內(nèi)/外置存儲卡

隨著手機功能的增強，手機內(nèi)置的存儲芯片容量呈現(xiàn)不斷擴充的趨勢。手機內(nèi)存根據(jù)存儲數(shù)據(jù)的差

異可分為動態(tài)存儲區(qū)和靜態(tài)存儲區(qū)兩部分（見圖1）。動態(tài)存儲區(qū)中主要存儲執(zhí)行操作系統(tǒng)指令和用戶應(yīng)用程序時產(chǎn)生的臨時數(shù)據(jù)，而靜態(tài)存儲區(qū)保存著操作系統(tǒng)、各種配置數(shù)據(jù)以及一些用戶個人數(shù)據(jù)。

從手機調(diào)查取證的角度來看，靜態(tài)存儲區(qū)中的數(shù)據(jù)往往具有更大的證據(jù)價值。GSIM手機識別號IMEI、CDMA手機識別號ESN、電話薄資料、收發(fā)與編輯的短信息，主/被叫通話記錄、手機的鈴聲、日期時間以及網(wǎng)絡(luò)設(shè)置等數(shù)據(jù)都可在此存儲區(qū)中獲取。但是在不同的手機和移動網(wǎng)絡(luò)中，這些數(shù)據(jù)在讀取方式和內(nèi)容格式上會有差異。另外，為了滿足人們對于手機功能的個性化需求，許多品牌型號的手機都提供了外置存儲卡來擴充存儲容量。當(dāng)前市面上常見的外置存儲卡有SD、MiniSD和MemoryStick。外置存儲卡在處理涉及版權(quán)或著作權(quán)的案件時是一個重要的證據(jù)來源。

取證流程：

第1步：前期準(zhǔn)備

首先，從百度下載一張“。jpg”格式的圖片復(fù)制到手機內(nèi)置存儲空間根目錄下，文件名為“meiya.jpg”，如圖1所示。

在手機中向“1234567890”這個號碼（當(dāng)然了，這個號碼并不存在）發(fā)送一條短信，內(nèi)容是“Mobile Forensics”，如圖2所示。

第2步：刪除相關(guān)信息

在手機文件管理器中刪除圖1中所示的圖片“meiya.jpg”；在手機中刪除剛才發(fā)送的短信，如圖3所示。

第3步：使用手機助手獲取短信

將手機連接電腦，分別使用小米手機助手和91手機助手查看、導(dǎo)出短信，沒有發(fā)現(xiàn)剛才刪除的那條短信。

第4步：使用ADB Shell查看文件

在電腦上安裝adb.exe（“adb”是“Android Debug bridge”的縮寫，大部分手機助手都自帶且安裝了adb.exe），在命令提示符中將工作目錄切換到adb.exe所在目錄，輸入“adb shell”進入ADB Shell 模式，接著輸入“su”獲取Root權(quán)限，輸入“cd /mnt/sdcard”切換當(dāng)前工作路徑到手機內(nèi)置存儲空間根目錄下，輸入“l(fā)s -l”查看詳細文件/文件夾列表，沒有發(fā)現(xiàn)剛才刪除的圖片“meiya.jpg”。如圖4所示。

第5步：獲取手機鏡像

使用DC-4500手機取證系統(tǒng)“工具箱”中的“Android鏡像下載”工具獲取手機“/data”分區(qū)的dd鏡像，如圖5所示。

第6步：分析鏡像

使用winhex打開剛才創(chuàng)建的dd鏡像，在其偏移02BE522FB附近找到了如圖6所示內(nèi)容，我們可以看到剛才發(fā)送的短信內(nèi)容“Mobile Forensics”，并在附近發(fā)現(xiàn)了發(fā)送的號碼1234567890，同時還在附近發(fā)現(xiàn)了一串?dāng)?shù)字“11*****39”，這是這部手機登錄的小米帳號。

接下來，還在鏡像文件偏移005CCFFF0附件中找到了如圖7所示的內(nèi)容，根據(jù)經(jīng)驗判斷，這里有“。jpg”格式圖片的文件頭，繼續(xù)往下看，還找到了一個“。jpg”格式文件的結(jié)束標(biāo)識。將這之間的內(nèi)容另存為一個文件“未命名”，使用“Windows照片查看器”順利打開，如圖8所示。

結(jié)果分析

第3步代表邏輯提取，各種手機助手都可以進行基本的邏輯提取，這種邏輯提取使用的是Android系統(tǒng)讀取短信的API，但系統(tǒng)并沒有獲取已刪除短信的API，所以邏輯提取無法獲取到已刪除的短信。其實邏輯提取還可以通過備份的方式將相關(guān)數(shù)據(jù)備份出來然后解析，例如美亞柏科的手機取證產(chǎn)品DC4501、FL-900等就能從Android手機的備份文件中提取一些刪除的短信等內(nèi)容。

第4步代表邏輯瀏覽。在ADB Shell中無法看到“meiya.jpg”也很好理解，因為圖片已經(jīng)刪除了，ADB Shell中只能顯示文件系統(tǒng)認為存在的文件，文件刪除后，文件系統(tǒng)就認為此文件已經(jīng)不存在了。

第5步和第6步代表物理獲取。上述例子在運行的系統(tǒng)中獲取的鏡像其實還不是真正的“物理鏡像”，更徹底的物理鏡像是通過Chip Off（拆取芯片）等離線方式獲取鏡像。通過物理鏡像這種方式最全面，在取證中效果最好。之所以在手機上刪除了還能恢復(fù)，是因為原內(nèi)容并沒有被覆寫，只要原始數(shù)據(jù)還在，就可以恢復(fù)。這就好比一本書的目錄中涂掉了一些章節(jié)，如果只看目錄，就會以為這些章節(jié)不存在了，但是只要這些章節(jié)的具體內(nèi)容還沒有涂抹掉，一頁一頁地去尋找，就一定能夠找到。

目前Android系統(tǒng)并沒有對存儲設(shè)備進行全盤加密，只要獲取到了物理鏡像，然后使用十六進制編輯器查看，可以發(fā)現(xiàn)很多線索。當(dāng)然了，這樣查看需要了解常見文件簽名、編碼等眾多知識和豐富的經(jīng)驗，而且效率往往不高。當(dāng)遇到一些文件已經(jīng)部分損壞的情況，可能還需要文件雕刻知識?？梢允褂靡恍┳詣踊墓ぞ?，比如開源的scalpel。

Android系統(tǒng)中的分區(qū)一般是Ext4文件系統(tǒng)，使用對應(yīng)的數(shù)據(jù)恢復(fù)軟件也可以很方便地進行數(shù)據(jù)恢復(fù)。例如在此例中，使用取證大師電子數(shù)據(jù)分析系統(tǒng)加載此dd鏡像，使用簽名恢復(fù)恢復(fù)出了25177個圖片，其中就包括例子中刪除的那張。如圖9、圖10所示。

目前，大部分手機連接電腦查看、管理手機中的文件都是通過MTP模式而不是優(yōu)盤模式，這樣做的好處是不需要考慮手機中文件系統(tǒng)格式，也不會因為電腦獨占手機存儲空間而導(dǎo)致手機中一些依賴sdcard分區(qū)的程序運行異常。而MTP模式是在文件系統(tǒng)層之上的，MTP連接模式下無法進行數(shù)據(jù)恢復(fù)。制作物理鏡像則沒有這一擔(dān)憂。

另外，手機在運行過程中，系統(tǒng)運行、程序運行、用戶操作都會都對手機中的數(shù)據(jù)造成持續(xù)的改變。從盡量保持檢材數(shù)據(jù)原始性的角度，制作手機鏡像是最好的選擇。