手机取证技术的讨论与分析

深圳市先创数码科技1.手机取证的技术手段1.手机取证的应用背景随着移动终端的迅猛发展，移动终端被用于各种微读违法或行为. 行为不断出现并呈现出快速增长的势头，这使得电子数据取证的主要4.chip-off提取目标从存储介质扩展到移动终端. 美国科学研究机构（包括手机）中电子数据取证的取证实施者. 3. JTAG / ISP的类型和技术分为5个等级: 2.逻辑提取1.手动提取1.手机取证的技术手段1.2手动提取移动终端取证专用取证设备出现之前，所有相关数据都经过了分类. 直接在移动终端上查看，并使用重印设备（例如相机）记录证据. 手动提取的优势位于阈值的底部，并且始终会有无法通过工具提取的移动终端. 对于缺乏其他固定提取方法的法医人员来说，这无疑是唯一的解决方案. 这种验证方法只能获取现有数据，不能提取和修复已删除的数据，也无法处理手机的加密和损坏. 其次，必须确保无需设置密码或已知密码即可正常打开设备. 图中，北京瑞源的EDEC1030小型数字反转仪是手动提取的辅助设备. 1.手机取证的技术手段1.3逻辑提取手机通过连接线（USB，RS232）或无线（蓝牙，红外线，WiFi）等连接到取证专用硬件或安装了软件的工作站. 提取逻辑数据.

诸如Kingroot，360手机助手之类的公共代理软件和的商业软件可以在启动时连接时获得基本的用户数据信息，在一定程度上，逻辑提取可以获取已删除的数据记录，但不能恢复未分配的数据. 同时，对于具有root权限的智能手机的当前高级逻辑提取，同时存在一定的材料检查数据丢失的风险. 1.手机取证的技术手段1.4 JTAG / ISP提取对于低端智能手机，家用机器和非智能手机取证，有时需要使用JTAG / ISP测试协议通过使用手机主板触点来提取和分析数据. 连接到机器. 对于无法正常打开手机，未获得root权限或具有开放密码的手机取证，此技术非常有用. 但是移动设备取证，如果数据被覆盖或手机已用全盘加密，则JTAG / ISP只能使用全盘加密获取镜像文件. 1.手机取证的技术手段1.5物理提取断片技术是最复杂，最底层的数据采集技术. 此方法要求通过热风或拆焊台将移动终端中的存储芯片从主板上剥离，清洗芯片表面上的焊料，然后将芯片安装在芯片读取设备上以直接分析芯片本身的电路和协议. 获取其原始图像或相关数据. 常见的手机存储芯片如图21所示. L形手E机D机显示取证屏幕和；加密数据，未加密数据，已删除数据，不是通过删除数据可以完全提取数据. 50％的图像文件与其他制造商的分析工具软件兼容，可进行数据分析和数据恢复； 1.手机取证的技术手段1.5.4脱芯片取证方法的辅助设备实例芯片提取装置+芯片座和数据线+分析软件1.手机取证的技术手段1.6微读微读技术是指观察电子显微镜下NAND或NOR芯片存储层的微观状态，以及使用固态存储理论（例如平衡磨损原理）进行数据恢复.

这项技术已经上升到电子取证的最前沿，目前还没有商用的微读技术设备. 1.手机取证的技术手段1.7取证技术的手段优先性当前的手动，逻辑，JTAG / ISP和脱芯片技术应用分析，无论是从取证的难易程度，电子数据的深度还是固定的取证司法规范通常遵循这四种取证方法的应用优先级（因为微读方法仅是对行业发展的预测，并不用作对应用状态的讨论）: 1.手动提取2.逻辑提取3. JTAG / ISP4.chip二，手机取证的技术难点2.1手机取证的融交易记录分析，Android手机根目录获取和无损材料检查与分析2.技术难点手机取证中的2.1.1手机解锁和文件加密分析既然用户的智能手机与太多的个人隐私信息有关，那么手机的图形和数字锁，SIM卡PIN和PUK锁，指纹文件加密，声纹和锁甚至手机存储芯片的虹膜识别技术是用户手机加密的实现方法，这些都给手机取证带来一定的技术障碍.

两个. 手机取证的技术难点. 当前的常见解决方案是在恢复模式下清除锁定或通过物理方式绕过解锁限制. 也许家用OPPO和其他型号可以在简单锁上执行某些软件破解. 这些可能会面临获得根权限或解锁将对检测数据取证产生一定影响. 2.手机取证的技术难题1.苹果手机自4S以来就采用全盘加密. 如果需要物理芯片数据采集，除了首先破解密码外，还必须越狱手机并安装SSH. 当前的技术手段仍未解决. 尽管前FBI使用Cellebrite破解Apple的5C密码，但这只是使用iPhone开机密码的次数上的一个漏洞. 2.从Android 5.0开始，Google引入了全盘加密设置，但不是必须打开它，但是在某种算法上仍有很长的路要走. 与此同时，最新版的Android微信语音识别和解锁功能目前正面临挑战. 2.手机取证的技术难点2.1.2历史浏览和聊天记录删除记录的恢复当前智能手​​机上的浏览器历史记录和微信聊天记录可能为司法取证人员提供有价值的线索信息，但智商较高对于网络，一些用户可能会定期清除历史记录缓存或删除历史记录聊天记录，这给取证工作带来了一些麻烦. 1. Apple移动操作系统无法以只读模式读取用户的历史浏览和聊天记录删除记录，也无法镜像分析，系统本身会定期清理应用程序缓存和垃圾以保持流畅运行；镜像文件，但微信聊天记录的高级版本本身已加密，存在破解问题.

第二. 手机取证的技术难题2.1.3分析金融交易记录，例如手机投资，交易和付款. 在满足用户的基本通话移动设备取证，聊天和娱乐需求的同时，智能手机还可以促进用户的投资，财务管理和交易付款. 真的待在家里. 但是，涉及用户财务安全的加密是移动电话的头等大事，而司法鉴定对于金融交易的效率甚至更高. 即使我们已经通过层获得了其他APP图像文件，如支付宝，京东和淘宝，该软件目前也无法解析其交易记录和密码. 据业内人士介绍，拥有智能支付和交易平台的公司协助学习了2.手机取证的技术难题2.1.4 Android手机的根获取和无损检查材料及分析对于电子产品的有效性，有严格的DM5验证要求. 司法取证中的数据，这将提取的图像文件限制为原始数据. 但是，Android系统的升级版本现在已成为root. 无论是通过第三方代理软件提取还是直接物理提取，都不可避免地存在损坏检查材料的风险，并且不能严格执行存储芯片的数据读写保护. 在Android 2.3.4之前的版本中，您可以单击一下即可生根，但从6.0开始，需要突破以下几点: 2.手机取证的技术难题1.难以生根，存在很大的砌砖风险； 2.备份，可以获得一些逻辑数据. 对于删除数据，即使是微信和支付宝也可以在手机中看到，但无法提取； 3.第三次恢复，数据分区加密.

即使无法解决，并且自Android 5.0时代以来，第三次恢复的备份能力显然不足，并且不再有大量数据可用； 4.基于Chipoff的芯片提取. 第一步，对于UFS2.0架构，不支持任何支持的硬件设备. 在第二步中，获取映像后，整个磁盘数据将被加密并且无法解析. 3.手机取证工具介绍3.1 UFED Touch以色列Cellebrite是全球最早的手机取证工具制造商之一，其设备代表了最高水平的移动终端取证设备. UFED Touch是由其生产的新一代高性能，独立的手机司法分析工具，也是当今世界上主流的手机取证工具. 它以“点对点”的形式支持大多数移动设备（例如手机，GPS，平板电脑和中国家用电话）中的数据的物理采集和深度分析. 3.手机取证工具简介3.2厦门迈耶·派克DC-4501手机取证系统是由厦门迈耶·派克信息独立开发生产的调查取证产品，用于手机数据的提取和恢复. ，深入分析和数据检索. 该产品是DC-4500手机取证系统的升级产品. 它集成了性能更高的主机设备，并具有更快的收集速度. 3.手机取证工具的介绍3.3大连瑞海RH-6900是一款综合的手机数据提取和分析系统，可应用于家用山寨手机，名牌功能手机，新型智能手机等全品牌，多种经营方式系统.

系统内置多个功能模块，如通用芯片物理数据提取模块，EMMC物理数据提取模块，JTAG物理数据提取模块，智能终端数据分析模块，手机SIM卡/存储卡数据分析模块，该产品是一个综合的手机数据提取和分析系统，它集成了软件提取方法，JTAG方法和底层芯片级数据提取方法，并且可以完全响应各种复杂的需求. 3.手机取证工具简介3.4北京瑞源2016年新推出的EDEC塔兰图拉毒蛛6100手机检测系统，涵盖了主流品牌智能手机和功能机的数据提取，数据恢复，手机APP分析功能，国际手机检测的系统配置工具和EDEC Wolf Spider系列软件和工具是手机例行检查中方法最丰富，支持的类型最多，恢复已删除数据的能力最强的产品. 3.手机取证工具简介3.5上海磐石SafeMobile Lab磐石手机取证分析系统实验室版是磐石为实验室等用户开发的移动设备电子数据取证分析工具，手机是通过获得的. 硬件工具内存镜像和存储卡镜像，数据分析以及用于镜像的数据恢复. 结束

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-262714-1.html