论移动电话电子数据获取及取证分析

时间：2022-10-26 06:07:01 通信工程毕业论文我要投稿

相关推荐

论移动电话电子数据获取及取证分析

　　随着计算机技术的快速发展,网络技术的广泛应用,与计算机相关的高科技犯罪层出不穷,下面小编为大家带来了移动电话电子数据获取及取证分析的论文，欢迎大家借鉴哦!

论移动电话电子数据获取及取证分析

　　摘要：移动电话装载了大量电子数据，这些数据往往成为查找犯罪线索、发现犯罪、证明犯罪的重要证据来源。本文将就移动电话电子数据取证进行研究，探讨移动电话的电子数据获取和取证分析的方法和程序。

　　关键词：移动电话电子数据取证

　　一、移动电话电子数据的特点

　　(一)虚拟性

　　移动电话电子数据实质上是按编码规则处理的电磁信号，它处于电子虚拟环境中，需要通过存储介质及软件载体表现出来。

　　(二)多样性

　　和普通的物证、书证的单一性相比，移动电话电子数据表现得更为多样，不仅可以表现为文本信息如短信，也可以表现为图片、音频、视频等多媒体文件，还可以是GPS地理信息等等。

　　(三)易破坏性

　　移动电话电子数据由于存在于个人移动电话中，非常容易且快速地删除，如通话记录、短信等删除操作简便，或采用破坏移动电话机身的方式使电子数据无法提取。

　　(四)实时性

　　移动电话只要处于开机状态，其基本处于实时在线状态，随时进行信息的交互，如会接收到电话、短信及GPS信息等，极易破坏原有数据，因此，在对移动电话取证时一定要屏幕信号，防止对原有检材的破坏。

　　二、移动电话电子数据取证的原则

　　(一)合法性原则

　　移动电话电子数据取证的合法性原则，是指对移动电话电子数据证据的收集和分析必须依法进行，包括收集、分析的主体要合法，收集、分析证据的程序要合法，取证的技术方法要合乎规范。

　　(二)关联性原则

　　移动电话电子数据取证，要求获取的电子数据必须与案件事实存在着必然的客观联系，且对证明案件事实具有实际意义。电子数据证据对于案件有无联系，决定着电子数据证据对于案件事实有无证明力，因此，在电子数据取证过程中必须收集与案件事实有关联，能够证明案件事实的电子数据证据。

　　(三)及时性原则

　　由于移动电话本身的脆弱性，破坏后便不易提取其中电子数据，移动电话中的电子数据存在于电子虚拟环境中，非常容易受到改动或破坏且不容易察觉和证实，而且移动电话会不断接收信息及电话等，极其容易把原来删除的内容覆盖，使之不容易恢复，电讯运营商对移动电话信息的保存也具有一定期限，过了期限则无法调取。这些限制都要求及时对移动电话的电子数据及时进行固定，以免受到破坏或毁损。

　　(四)安全性原则

　　由于移动电话本身的脆弱性，以及电子数据的易损性，使移动电话的电子数据极易受到破坏及毁损，因此，在取证过程中应当保证：一是移动电话机不应受到非合法管理人接触，以防止毁损移动电话，破坏电子数据;二是保管环境应当安全，移动电话及其存储卡应当放在安全的环境中，使其电子数据不因环境影响而毁损;三是及时备份，对移动电话提取的电子数据应当及时备份，防止因原始数据毁损而无法取证。

　　(五)证据流转锁链原则

　　移动电话确定为取证对象后，应当有严格的证据流转记录，对每一个接触人，每个接触人对移动电话进行的所有操作，以及移动电话在部门和个人之间的流转都应当在详细的记录，防止数据的毁损及污染。

　　三、移动电话的电子数据取证

　　(一)移动电话存储器

　　目前移动电话存储器可分为三种类型：RAM、ROM和外置存储卡。RAM(random access memory)即随机存储器，存储单元的内容可按需随意取出或存入，且存取的速度与存储单元的位置无关的存储器。这种存储器在断电时将丢失其存储内容，故主要用于存储短时间使用的程序。ROM是由英文Readonly Memory的首字母构成的，原意为只读存储器。顾名思义，就是这样的存储器只能读，不能像RAM一样可以随时读和写。它只允许在生产出来之后有一次写的机会，数据一旦写入则不可更改。它另外一个特点是存储器掉电后里面的数据不丢失。但随着技术的进步，ROM的功能也得到发展。在移动电话上，ROM它一部分固化了移动电话操作系统，这部分只能读不能更改，要改只能整个系统更改(俗称刷机)，剩余部分则可以像电脑硬盘那样安装运行程序和存储数据，如QQ等程序软件。

　　外置存储卡则种类比较多，主要有以下几种：MMC卡、RS-MMC卡、SD卡、miniSD卡、Trans Flash卡和索尼记忆棒等。MMC是Multi Media Card的缩写，也就是多媒体卡的意思，是比较早期的移动电话使用的小型存储卡。RS-MMC即Reduce Size MMC，也就是缩小尺寸的MMC卡，除了体积缩小外，它的主要性能与标准MMC卡完全一样。SD卡(Secure Digital Memory Card，安全性数字存储卡)，是一种基于半导体快闪记忆器的新一代记忆设备，拥有高记忆容量、快速数据传输率、极大的移动灵活性以及很好的安全性。mini SD卡，同RS-MMC卡一样，mini SD卡只是减小了体积，其他方面与传统SD卡并无差别。TransFlash(T-flash)存储卡又称micro SD，是目前大部分移动电话均使用这类存储卡。索尼记忆棒(Memory Stick)又称MS卡，是一种可移除式的快闪记忆卡格式的存储设备，它包括了Memory Stick PRO(容许更佳的最大储存容量和更快的传输速度)、Memory Stick Duo(Memory Stick的小型格式版本，包括PRODuo)、和比Duo更小的Memory Stick Micro(M2)，主要用于索尼移动电话。

　　随着通讯技术及存储技术的发展，现在移动电话的存储器容量越来越大，使操作系统的功能越来越丰富，这些功能成为电子数据证据的重要来源：

　　(1)电话簿，电话簿里存储着大量联系人电话，是重要的取证对象;(2)通话记录，包含着呼出、呼入及未接的记录，新款智能移动电话一般机身都带存储器，因此对通话记录条数没有限制，能够记录所有通话记录，而部分老款手机一般对通话记录有限制，如呼入及呼出一共20条;(3)已发送、已收到、已删除、草稿的短信及彩信，这些信息往往成为发现线索、证明事实的重要依据;(4)录音、录像及图片;(5)日期时间及日程安排信息;(6)存储的文件及文档;(7)GPS导航信息及地图导航信息;(8)通讯工具如QQ、飞信等聊天记录;(9)上网记录，能够记录上网者的上网时间、网址、用户名及密码;(10)蓝牙传输的文件。

　　对移动电话存储器的取证程序一般应遵循以下程序：

　　(1)如移动电话处于关机状态下，应先将移动电话充满电;(2)将移动电话接入屏蔽袋里，防止移动电话接入网络，接收来电及信息，并打开移动电话电源;(3)运行取证工具软件，提取移动电话内置存储器中的电子数据;(4)提取完后，关掉移动电话电源，取出移动电话卡及外置存储卡;(5)运行取证工具，对外置存储卡制作镜像文件;(6)运行取证工具软件，对外置存储卡镜像文件进行分析，提取与案件相关的电子数据。

　　(二)移动电话卡

　　移动电话卡在GSM网络称为SIM卡，是Subscriber IdentityModule客户识别模块的缩写，也称为智能卡、用户身份识别卡;在3G网络中移动电话卡称为USIM，即Universal Subscriber Identity Module(全球用户识别卡)的缩写，是升级的SIM卡。移动电话卡可供通讯运营商对客户身份进行鉴别，并对客户通话时的语音信息进行加密。对移动电话卡取证时，应该注意以下问题：

　　1.有些SIM卡是STK卡，如有些中国移动通信公司SIM卡是STK卡，里面固化了有移动通信公司的应用交互程序，提供了超级号簿功能，里面分为三个电话簿，每个250条，一共750条，但只支持一个号簿在线，中国电信公司的USIM卡超级号簿则提供了四个号簿，每个250条，一共1000条，因此在提取时要注意全部提取。

　　2.由于每款取证工具软件对每个移动电话卡的支持度并不相同，如A工具能提取80%电话簿，B工具能提取30%电话簿，因此，在条件允许的话，应当尽量多尝试几款工具对移动电话卡进行提取。

　　3.对于老款非智能机来说，移动电话卡可能存有通话记录，一般为10条或20条，因为机身本身不能存储，而对于新款移动电话来说，通话记录一般都存储在机身上。

　　(三)通讯运营商

　　通讯运营商的数据库中存有移动电话用户的大量信息，通过数据库可以查询到每个用户的个人登记信息，每个成功呼入、呼出的通话记录，每次通话使用的信号基站，通过信号基站可以对通话时所处的位置进行定位，还可以查询到一定时期内的短信内容。需要注意的是，移动运营商一般会存储三个月到半年的用户的通话记录、短信、彩信以及通话时的信号基站信息，在获取移动运营商的电子数据时，一定要在移动运营商的保存期限内及时提取。

　　(四)移动电话操作系统外应用程序

　　除了移动电话操作系统固化的应用程序外，一些智能移动电话往往允许用户自行安装应用程序，这些应用程序也将成为收集电子数据证据的来源，如用户安装的QQ、飞信、微信、微博、google地图等地图类程序以及邮件程序，这些程序中存储着聊天记录、发表的博客、搜索地图记录、地理位置信息以及收发的邮件，这些电子数据都有可能成为证明案件事实的证据。

【论移动电话电子数据获取及取证分析】相关文章：