以下哪些属于手机取证方法

❶ 手机取证的取证过程中的证据获取方法

针对不同的证据源应该采用不同的取证方法 ,下 面就以上三种证据源分别介绍 :
2. 1 SIM 卡的证据获取
SIM 卡存储器的文件系统可由一个三层树结构 来表示 (见图 2 ) ,在此结构中 ,树节点包括三种文件
类型 : 主文件 ( Master File ) 、专用文件 ( Dedicated File)与基本文件 ( Elementary File ) 。在整个树形文 件系统中树的根节点由主文件构成 ,主文件中包含了 专用文件和基本文件。
图2 SIM 卡文件系统架构图
在 GSM 移动网络标准中定义了一些重要的专用文件作为主文件的子节点 , 其中有 GSM 专用文件 、
DCS1800 专用文件和 Te lecom 专用文件 。此标准在 这些专用文件下又定义了一些与之对应的基本文件。
在从属于 GSM 专用文件和 DCS1800 专用文件的基本文件中分别含有 GSM 900MH z频率和 DCS (D igita l Ce llu la r System ) 1800MH z频率下的移动网络信息 ,而 Te lecom 专用文件下的基本文件则含有与网络服务相关的信息。虽然通过严格的标准定义使得 S IM 卡的 文件系统架构具有一定程度上的通用性 ,但是不同移 动网络运营商发行的 S IM 卡的文件系统架构还是存 在一定的差异性 。
如今对手机 S IM 卡进行取证的常用方法有两 种 。一个是通过智能读卡器的设备来提取 S IM 卡中的数据。在此方法中读卡器只要使用符合欧洲电信 标准协会 TS31. 101 和 TS51. 011 标准的数据访问指 令集就可获取 S IM 卡中的数据 。另外一种方法是直 接通过指令操作来获得 S IM 卡中的数据。在 GSM 手 机的 TS27. 007 标准中特别定义了一个指令集来访问S IM 卡上的数据。
2. 2 手机存储卡的证据获取
手机存储卡可分为内置存储卡和外置存储卡两种 。对于外置存储卡 (如闪存卡 )可使用诸如 Encase的取证软件工具来获取存储卡上的数据镜像 。相比之下 ,从手机内置存储卡 (如内存 ) 中提取数据就要显得复杂一些。目前有两种通过物理途径获取其中 数据的方法 ,其中一个是通过拆解手机以得到其内存芯片 ,接着使用专门的芯片读取设备来获得其数据镜像。另一种是使用特定的数据缆线与手机主板连接 , 然后从中读取内存芯片的数据信息 。这些方法虽可 减少在取证过程中外界因素对取证数据的干扰 ,但对取证人员的手机硬件知识的要求很高。因此在手机 存储卡的证据获取中还是较多地采用指令集和软件的方式。
1. A T指令集 。
A T指令集最初是由 H aye s微系统公司设计出来 用以控制调制解调器的 ,后来专门应用于手机的版本也被开发出来。通过使用 GSM 版本的 A T指令集可获得手机信息包括 :手机生产商、产品型号、手机操作 系统版本 、IM E I号 、IM S I号、电话簿 、电话记录和短消 息记录等数据 。另外通过使用 CDMA 版本的 A T指
令集可从手机中得到生产商 、型号、软件版本信息和 手机的 ESN 号等信息。
2. OB EX。
OB EX (O b jec t Exchange, 对象交换协议 ) 最早是 由微软、苹果和诺基亚公司专门为红外线传输而制定
的一套协议规则 , 它在功能上类似于 H TTP 协议。 OB EX协议通过简单地使用“PU T”和“GET”指令来 实现对手机中存储数据的远程浏览和访问 ,通常在此 方式下可获得手机中所存的图像 、音频和视频数据以 及所下载的铃声和应用程序等数据信息。
3. JTA G。
J TA G ( Jo in t Te st A c tion Group , 联合测试行动小 组 )是一种国际标准测试协议 。它与 IEEE1149. 1 标 准兼容 ,本来主要用于芯片内部的测试和调试。由于 大部分电子设备一般都是由本设备的存储控制器来
处理对其存储卡的访问操作 ,而 J TA G能用来对存储 控制器进行调测 ,于是在测试过程中就可方便地获取 存储卡中的数据。
4. 手机生产商提供的软件包 。 当前在市场上所购的手机多数都会附带同步手机与计算机数据的软件包 。这些软件可得到手机中 一些存储数据的镜像。常见的此类软件有 Nok ia PC Su ite和 SonyE ric sson Sync Sta tion。Nok ia PC Su ite 软 件可从手机内存中得到电话簿、接听 /呼叫电话记录、 接收 /发 送 短 消 息 记 录 以 及 个 人 行 程 表 等 信 息。SonyE ric sson Sync Sta tion 是一款数据同步软件 ,可通 过它来得到手机内存中的电话簿和个人行程表数据。
2. 3 网络运营商的证据获取
调查取证人员可根据 S IM 卡所注册的手机号码 来对通话记录数据库进行数据搜索 ,以得到此号码的所有通话记录与短消息记录 ,另外也可以手机 IM E I号来搜索用户注册信息数据库中此手机的用户注册 信息和通话记录。在实行了“手机实名制 ”之后 , 调 查取证人员还可简便地对用户注册信息数据库中的相关数据和居民身份证系统数据库中的数据进行比 对分析。然而由于网络运营商的业务数据库具有数 据量大、更新快的特点 ,因此调查取证人员应尽快地 完成对网络运营商相关业务数据库的证据提取工作 , 以免所需数据被更新或删除 。