以下哪些屬於手機取證方法

❶ 手機取證的取證過程中的證據獲取方法

針對不同的證據源應該採用不同的取證方法 ,下 面就以上三種證據源分別介紹 :
2. 1 SIM 卡的證據獲取
SIM 卡存儲器的文件系統可由一個三層樹結構 來表示 (見圖 2 ) ,在此結構中 ,樹節點包括三種文件
類型 : 主文件 ( Master File ) 、專用文件 ( Dedicated File)與基本文件 ( Elementary File ) 。在整個樹形文 件系統中樹的根節點由主文件構成 ,主文件中包含了 專用文件和基本文件。
圖2 SIM 卡文件系統架構圖
在 GSM 移動網路標准中定義了一些重要的專用文件作為主文件的子節點 , 其中有 GSM 專用文件 、
DCS1800 專用文件和 Te lecom 專用文件 。此標准在 這些專用文件下又定義了一些與之對應的基本文件。
在從屬於 GSM 專用文件和 DCS1800 專用文件的基本文件中分別含有 GSM 900MH z頻率和 DCS (D igita l Ce llu la r System ) 1800MH z頻率下的移動網路信息 ,而 Te lecom 專用文件下的基本文件則含有與網路服務相關的信息。雖然通過嚴格的標準定義使得 S IM 卡的 文件系統架構具有一定程度上的通用性 ,但是不同移 動網路運營商發行的 S IM 卡的文件系統架構還是存 在一定的差異性 。
如今對手機 S IM 卡進行取證的常用方法有兩 種 。一個是通過智能讀卡器的設備來提取 S IM 卡中的數據。在此方法中讀卡器只要使用符合歐洲電信 標准協會 TS31. 101 和 TS51. 011 標準的數據訪問指 令集就可獲取 S IM 卡中的數據 。另外一種方法是直 接通過指令操作來獲得 S IM 卡中的數據。在 GSM 手 機的 TS27. 007 標准中特別定義了一個指令集來訪問S IM 卡上的數據。
2. 2 手機存儲卡的證據獲取
手機存儲卡可分為內置存儲卡和外置存儲卡兩種 。對於外置存儲卡 (如快閃記憶體卡 )可使用諸如 Encase的取證軟體工具來獲取存儲卡上的數據鏡像 。相比之下 ,從手機內置存儲卡 (如內存 ) 中提取數據就要顯得復雜一些。目前有兩種通過物理途徑獲取其中 數據的方法 ,其中一個是通過拆解手機以得到其內存晶元 ,接著使用專門的晶元讀取設備來獲得其數據鏡像。另一種是使用特定的數據纜線與手機主板連接 , 然後從中讀取內存晶元的數據信息 。這些方法雖可 減少在取證過程中外界因素對取證數據的干擾 ,但對取證人員的手機硬體知識的要求很高。因此在手機 存儲卡的證據獲取中還是較多地採用指令集和軟體的方式。
1. A T指令集 。
A T指令集最初是由 H aye s微系統公司設計出來 用以控制數據機的 ,後來專門應用於手機的版本也被開發出來。通過使用 GSM 版本的 A T指令集可獲得手機信息包括 :手機生產商、產品型號、手機操作 系統版本 、IM E I號 、IM S I號、電話簿 、電話記錄和短消 息記錄等數據 。另外通過使用 CDMA 版本的 A T指
令集可從手機中得到生產商 、型號、軟體版本信息和 手機的 ESN 號等信息。
2. OB EX。
OB EX (O b jec t Exchange, 對象交換協議 ) 最早是 由微軟、蘋果和諾基亞公司專門為紅外線傳輸而制定
的一套協議規則 , 它在功能上類似於 H TTP 協議。 OB EX協議通過簡單地使用「PU T」和「GET」指令來 實現對手機中存儲數據的遠程瀏覽和訪問 ,通常在此 方式下可獲得手機中所存的圖像 、音頻和視頻數據以 及所下載的鈴聲和應用程序等數據信息。
3. JTA G。
J TA G ( Jo in t Te st A c tion Group , 聯合測試行動小 組 )是一種國際標准測試協議 。它與 IEEE1149. 1 標 准兼容 ,本來主要用於晶元內部的測試和調試。由於 大部分電子設備一般都是由本設備的存儲控制器來
處理對其存儲卡的訪問操作 ,而 J TA G能用來對存儲 控制器進行調測 ,於是在測試過程中就可方便地獲取 存儲卡中的數據。
4. 手機生產商提供的軟體包 。 當前在市場上所購的手機多數都會附帶同步手機與計算機數據的軟體包 。這些軟體可得到手機中 一些存儲數據的鏡像。常見的此類軟體有 Nok ia PC Su ite和 SonyE ric sson Sync Sta tion。Nok ia PC Su ite 軟 件可從手機內存中得到電話簿、接聽 /呼叫電話記錄、 接收 /發 送 短 消 息 記 錄 以 及 個 人 行 程 表 等 信 息。SonyE ric sson Sync Sta tion 是一款數據同步軟體 ,可通 過它來得到手機內存中的電話簿和個人行程表數據。
2. 3 網路運營商的證據獲取
調查取證人員可根據 S IM 卡所注冊的手機號碼 來對通話記錄資料庫進行數據搜索 ,以得到此號碼的所有通話記錄與短消息記錄 ,另外也可以手機 IM E I號來搜索用戶注冊信息資料庫中此手機的用戶注冊 信息和通話記錄。在實行了「手機實名制 」之後 , 調 查取證人員還可簡便地對用戶注冊信息資料庫中的相關數據和居民身份證系統資料庫中的數據進行比 對分析。然而由於網路運營商的業務資料庫具有數 據量大、更新快的特點 ,因此調查取證人員應盡快地 完成對網路運營商相關業務資料庫的證據提取工作 , 以免所需數據被更新或刪除 。