上海交通大学信息安全工程学院
摘要:随着信息技术的发展,各类通信电子设备不断涌现。同时,利用手机进行各类高科技犯罪活动越发频繁,与手机相关的法庭案例也越来越多。手机设备中的各类电子证据逐渐成为新的诉讼证据之一,在很多案例中,手机提供了许多非常重要的信息,所以,手机的取证对于侦破案件具有非常巨大的帮助。“手机取证”这一概念随之提出,成为现代取证科学的分支之一。
关键词:手机取证;JAVA语言;技术应用
引言:
通讯技术保持更新,计算机,互联网以及各种移动电子设备不断地充斥人们的生活,每年人们都会消耗大量的电子设备,通过这些电子设备人们可以完成信息的交流,而围绕电子设备的法庭案件也越来越多,这就造成了必然会将电子证据作为案件的一种形式的证据,电子设备的取证技术也变得更加重要。电子取证技术是一个非常广的概念,他是对所有的电子设备中的信息进行取证,可以说手机取证是他其中的一个分支,也是当前发展最迅速的一部分。
1 手机取证概念
手机取证是电子取证中的一个部分,手机是当前人们最常用的一个电子设备,而且很多的不法人员的消息传递就是通过手机来进行,同时手机也是个人隐私中的一个部分,由于手机的隐私性比较强,所以很多人会通过手机进行传递重要的信息。事实证明,在公安办案人员进行案件调查中,很多信息都是通过手机中的留存信息获取,而在,案件中部分手机已经坏了,其中的数据已经被删除,所以在总的来看,手机中的数据恢复非常重要。
2手机取证工具
当前手机以及智能手机发展已经已有多年,相关的手机取证技术的发展有多年,在手机取证时需要将手机等设备进行连接,一种是通过手机数据线与取证设备进行连接,另一种是通过蓝牙或者无线网络进行连接。通过手机数据线进行连接这种方式,在获取数据的时比较稳定,不会受外界因素的影响,数据线直接连接到取证设备,而数据也会通过数据线直接传输到连接设备中。另一种方式,通过蓝牙或者无线网络,手机蓝牙是一种无线传输协议,蓝牙在手机端与手机端之间的文件互传上应用的非常广泛,计算机技术的不断更新,蓝牙也应用在了计算机上,手机可以通过蓝牙与计算机进行数据的相互传输,蓝牙传输中没有其他的中间件。而无线网络数据传输是通过互联网来对数据进行传输,这种传输方式对于通信信道以及数据的保密性有很高的要求,因为数据是通过互联网络来进行的,可能会受到网络的影响,或者是网络中环境的影响。目前比较常用取证软件作一些简单介绍。
2.1 EnCase Encase是当前在公安部门使用非常广泛的软件,它采用的是windows的操作系统界面,但操作起来非常的方便,而且它还能安装在平板电脑上
2.2 CellXtract:新一代CdlXtract产品是当前支持手机设备,最多的中去找文件,也是一款非常迅速的司法数据提取软件,它是一个独立的设备,能够便携的领导各种环境中,通过这个设备就可以对手机中提取的数据,进行简单的分析和查看,是一个比较便利的手机取证设备。
2.3 Oxygen Forensic Suite 2011:它是一种全方面的手机取证软件,它能够对普通手机智能手机和Pad数据进行分析,尤其是对手机数据恢复有很大的帮助,而且效果很好。
2.4 Cell Secure软件是用来恢复获取手机存储卡中的一些数据,包括通讯录,通话记录,短消息,彩信,手机图片照片,录音音频,视频等进行分析。
以上介绍的比较常用的取证工具都是从国外引进的设备或者是软件,国内手机取证软件非常少,而且在算法运用上落后于国外的取证工具,这些软件支持的手机品牌广泛,具有比较不错的数据挖掘与分析的能力,但是对于严密的手机取证数据分析,他们对于数据的挖掘程度上仍有欠缺。在使用过程中会出现漏掉关键词、数据分类错误等问题。有经验的手机数据取证人员能够通过个人经验能够发现问题,但是由于电子取证采集时为了能够保证数据的真实性,软件采集完成之后直接形成不能够修改的数据,并能够对数据的生成的加密算法进行校验就能够知道该数据是否被修改。综上可见,取证设备的文本数据分类以及数据挖掘分析的准确性在手机取证中尤为重要。
3 手机取证原则
手机取证与计算机取证同属电子数字取证,故其原则可参照计算机取证原则。《针对数字证据的建议标准》提出了一组适用于计算机数字取证的原则:
在获取电子证据时,所有的操作都不能改变原有数据;当一个人需要获取原始电子证据时,这个人必须在取证方面经过合适的培训;所有与扣押、获取、存储和转移电子证据有关的活动都必须完全记录,并予以保存以备复查;一个人必须对他在占有电子证据时对电子证据采取的所有行动负责;任何代理人在负责获取、访问、存储、转移电子证据时也必须依从这些原则[30]。我国学者许榕生针对计算机取证提出了如下原则:尽早收集证据,并保证其没有受到任何破坏;必须保证"证据连续性",即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到法庭上出现状态之间的任何变化,当然最好是没有任何变化;整个检查、取证过程必须是受到监督的,也就是说,由原告委派的专家所做的所有调查取证工作都应该受到其他方委派专家的监督。
3.1数据整性原则
在手机或者存储媒介上、随后可能用在法庭上作为证据的数据,在取证过程中必须保证未经改动,手机取证要保证不得在手机物证原件上进行操作。首先要得到其副本,并且对副本的操作也要保证数据的完整性;提取后对提取的数据信息也应确保未经篡改。电子证据是数字化的,采用哈希校验可以验证数据是否改动,从而保障原件特性。
3.2合法性原则
在开展手机取证这项技术证实嫌疑人犯罪的同时,也必须追求法律上的有效性和公正性,这是另一个很重要的问题,也是必须要解决的问题。耍明确法律地位,做到依法取证,电子取证活动包括四个方面:取证证物、调查人员、取证技术手段和程序,四方面同时合法,才可被法律所认可。
期刊文章分类查询,尽在期刊图书馆
3.3跟踪审计和操作过程记录原则
所有对手机及相关外围设备的操作,包括对数字证据的提取、恢复、存储和分析,都必须进行跟踪审计,对所有的操作过程要记录并备份,以便独立的第三方可以检验这些过程并获得同样的结果,以备质询。
3.4监督原则
调查取证员必须履行取证过程原则,并且必须确保依法执行取证。负责取证调查的工作人员,对有效和正当取证过程应负全责。
4 手机取证的相关技术应用分析
4.1 JAVA语言
Java语言是Sun公司推出的一种面向对象的程序设计语言,尤其适合于互联网应用程序的开发。Java技术具有卓越的通用性、高效性、平台移植性和安全性,广泛应用于个人PC、数据中心、游戏控制台、科学超级计算机、移动电话和互联网,同时拥有全球最大的开发者专业社群
Java语言是以高效解释执行的语言。高级的语言程序需要转换成为机器语言程序之后才会被其执行,不同的计算机操作系统所使用的执行语言不同。Java很好的实现了一次编译,任何平台都可用的跨平台性。Java源程序在编译时不会直接被编译成适合某一种操作系统的机器语言程序,它会被编译成节字节码,之后再由Java虚拟机(即JVM)来执行,JVM可以根据计算机的操作系统进行编译之后执行。
(1)抽象:抽象的意义与具体相反,它是一个无法触摸并不存在的一个事物。抽象包括两个方面,一是过程抽象,二是数据抽象。
(2)继承:继承是一种联结类的层次模型,在创建类的过程中,JAVA语言允许并鼓励类的重用,子类继承父类中的所有属性,并可以在父类的基础上进行重写[19]。
(3)封装:封装是将数据过程和数据归拢的一种方式,数据和对象需要通过系统的封装,再通过相应的接口访问其他的对象。
接口继承和实现的继承的规则是完全不一样的,因为Java的接口不可能涉及到表面的现象,Java只能描述Public的行为,所以,Java的接口比Java的抽象类更加的抽象。Java接口的方法只能是抽象化的和公开化的,一个类只有一个直接的父类,但是它却能够实现多个接口,Java的接口本身没有任何的实现,Java的关键术语主要有简单性、面向对象、分布式、健壮性、安全性、解释型、体系结构中立、可移植性、高性能、多线程和动态性。
4.2 Android介绍
Android系统目前是当前最流行的手机操作系统,整个系统采用的是linux内核,现在市面上大部分的手机都是采用的安卓操作系统,安卓操作系统使用java语言进行编写,同时安卓操作系统是开源的一种手机系统,这就是一个安卓手机成为了一个能够适应多种硬件平台的操作系统。
第一层:Applications。应用层包含使用JAVA语言开发的一些应用程序,如联系人管理、SMS短消息程序等。
第二层:Application Framework。这一部分是应用框架下的一些操作支持类库,也就是API,简单的说它就是一种数据接口,它为开发人员提供这些借口,能够实现安卓系统其他操作系统数据对接。
第三层:Libraries。是操作系统运行的主要运行层,当进行安卓系统的开发是,系统会为相关的功能组件提供支持,通过安卓内部的Dalvik虚拟机为其提供环境支持。
4.3 SQList数据库介绍
SQLite 是由 D.Richard Hipp 开发的轻量级嵌入式数据库,支持SQL语句,是世界上应用最广泛的嵌入式数据库之一。其具有的占用资源低、易移植、易操作等特点,使之成为手机这种内存受限设备的数据库选择之一,iPhone和Android手机即采用此数据库作为数据的存储方式。Android系统在运行时,集成加载了SQLite,因此手机中每个应用程序都可以使用SQLite数据库。SQLite还会被用作其CoreData应用程序架构的一部分。它还应用于Safari的Web浏览器、Mail.app的电子邮件程序、RSS的管理、Apple的Aperture照片软件[24]。
数据库文件物理层由固定大小的“页(page)”组成,所有的数据都存储在页中,每个page页有其相应的文件结构。页的类型可以是Btree页、空 闲(free)页 或 溢 出(overflow)页。一个SQLite3数据库文件由多个多重Btree构成,其中,索引采用B-tree,而表数据采用B+tree。每个Btree占用至少一个完整的页,每个页是Btree的一个结点。每个表的第1个页称为根页。因此,对Btree页的文件结构分析是找到删除数据位置的重要的前提。
SQList数据快速性是其他数据库不能替代的,也有由于其独特的结构而决定的,B-tree模块要求信息来源于磁盘上固定规模的程序块。默认程序块的大小是1024个字节,但是可以在512和65536个字节间变化。页面高速缓存负责读,写和高速缓存这些程序块。页面高速缓存还提供重新运算和提交抽象命令,它还管理关闭数据库文件夹。B-tree驱动器要求页面高速缓存器中的特别的页,当它想修改页或重新运行改变的时候,它会通报页面高速缓存。为了保证所有的需求被快速,安全和有效的处理,页面高速缓存处理所有的微小的细节。
5 结束语
本章主要对安卓手机取证系统中所设计到的关键技术进行分析和介绍,由于安卓手机是基于Java平台开发研究的智能手机操作系统为了,所以安卓手机取证系统在开发过程中使用了Java语言,并对Android手机系统进行了详细的研究,针对手机的SQList数据库的存储方式和结构进行分析,研究数据库的数据恢复的可能性和恢复方法。安卓手机取证管理系统中收集取证需要遵循法律的相关规定进行,根据手机取证的原则进行操作。
参考文献:
[1]刘肖.Windows平台下iOS设备取证方法研究[D].南京:南京邮电大学,2014.
[2]高建华.智能手机取证的应用研究[J].计算机安全,2013,09(09):40-42.
[3]张昕,刘蓉.浅析手机取证及电子证据获取[J].计算机光盘软件与应用,2014,06(237):45-46.
[4]江李雅,翁陈宇.浅谈手机取证在检察工作中的应用[J].法制与经济,2014,17(398):82-84.
[5]秦海权,史丽娟.智能手机取证内容及流程分析[J].警察技术,2014,05(146):36-39.
论文作者:魏晨阳,邱卫东
论文发表刊物:《基层建设》2016年3期
论文发表时间:2016/5/31
标签:手机论文; 数据论文; 证据论文; 蓝牙论文; 语言论文; 电子论文; 操作系统论文; 《基层建设》2016年3期论文;