隨著社會信息化水平的不斷提高,計算機、手機這些信息時代的產(chǎn)品已經(jīng)越來越多地融入人們的生活之中,據(jù)有關機構統(tǒng)計,國內(nèi)目前有接近6億網(wǎng)民以及超過12億的手機用戶,可以說,計算機和手機已經(jīng)成為人們必備的日用品,與此同時,人們對于互聯(lián)網(wǎng)、移動通信等新技術的依賴程度也越來越大,從10年前的電話線撥號上網(wǎng),到如今無處不在的高速移動通信網(wǎng)絡;從瀏覽靜態(tài)的網(wǎng)頁,到各種新穎的多媒體互動資源;從簡單的文字聊天,到現(xiàn)在的語音視頻聊天、即時通信與社交網(wǎng)絡……信息技術每天都在改變著我們的生活。
信息時代在為我們帶來方便的同時,也展現(xiàn)出了雙刃劍的另一面——越來越多的傳統(tǒng)違法犯罪行為已經(jīng)將主要陣地轉移到了計算機和互聯(lián)網(wǎng)上,同時,一些新的違法犯罪手段和形式也日益增多,這已成為擺在廣大執(zhí)法部門調查人員面前的一個難題,及時、有效地應對和打擊新形勢下的涉及計算機、互聯(lián)網(wǎng)的違法犯罪已成為當務之急。
自電子數(shù)據(jù)取證調查在中國落地伊始,至今已約十年,經(jīng)過近十年的發(fā)展,電子數(shù)據(jù)取證,尤其是計算機取證已經(jīng)被政府執(zhí)法部門、法律界從業(yè)人員和廣大執(zhí)法人員認可,積累了大量的經(jīng)驗并且取得了相當可喜的成就——在人才培養(yǎng)方面,國內(nèi)許多公安政法類院校已開設了計算機偵查和計算機取證專業(yè);在產(chǎn)品和技術方面,由最早的全部使用國外產(chǎn)品和技術,逐漸涌現(xiàn)出一批符合國內(nèi)計算機取證調查實際的具備自主產(chǎn)權的取證產(chǎn)品。值得注意的是,在商業(yè)調查領域,也有越來越多的企業(yè)開始重視企業(yè)內(nèi)部調查和內(nèi)部IT審計;可以說,計算機取證在中國正像初升的朝陽,有著廣闊而宏偉的發(fā)展前景。
而同樣屬于電子數(shù)據(jù)取證范疇內(nèi)的手機取證,不僅在中國尚處于萌芽階段,在西方發(fā)達國家的發(fā)展也不過3~5年;但是,伴隨著信息技術,尤其是移動通信技術的迅猛發(fā)展,我們可以預見,在不久的將來,手機取證將成為電子數(shù)據(jù)取證中最為重要的部分之一,這就要求從事電子數(shù)據(jù)取證的調查人員盡早掌握和了解手機取證的相關知識,并及時掌握手機取證技術的發(fā)展,只有這樣,才能更快地適應和面對日益重要的手機取證需求。
正是在這樣的環(huán)境下,為了盡快填補國內(nèi)計算機取證類書籍,尤其是手機取證類書籍的空白,為電子數(shù)據(jù)取證調查人員提供最新、最完善的取證技術,作者在近兩年來對國內(nèi)外手機取證和計算機取證研究的基礎上,結合國內(nèi)電子數(shù)據(jù)取證的實際情況,編寫了本書。
本書立足于手機取證技術的基礎,涵蓋了電子數(shù)據(jù)取證理論基礎、移動通信基礎、手機取證基礎原理、實踐技巧以及面向實戰(zhàn)的取證方法,力圖使讀者能夠對于手機取證,尤其是智能手機取證形成全面、完整的系統(tǒng)性認識,理解手機取證的基本思想和技術原理,并結合取證實踐,熟悉取證實踐中常見的手機取證方法以及手機取證工具的使用,從而基本具備手機取證的調查分析能力。
由于互聯(lián)網(wǎng)及移動通信技術發(fā)展瞬息萬變,加之本書篇幅有限,難免未能及時囊括各類新方法、新技術及新產(chǎn)品,請讀者諒解。
編者2014年5月
第1章手機取證概論1
1.1手機取證的定義1
1.2手機取證和計算機取證的相關性1
1.3手機取證關注的內(nèi)容2
1.3.1手機可視化取證2
1.3.2邏輯數(shù)據(jù)3
1.3.3物理獲。▋(nèi)存轉儲)4
1.3.4基站和網(wǎng)絡信息7
1.4手機取證在全球和中國的發(fā)展8
第2章移動通信技術與手機操作系統(tǒng)10
2.1移動通信基礎10
2.1.1移動通信技術的歷史和在中國的發(fā)展10
2.1.2第一代移動通信技術14
2.1.3第二代移動通信技術14
2.1.4第三代移動通信技術16
2.1.5第四代移動通信技術16
2.2手機的操作系統(tǒng)18
2.2.1手機的操作系統(tǒng)概述18
2.2.2手機的識別24
第3章手機取證的流程和規(guī)范27
3.1流程與規(guī)范概述27
3.2手機取證流程與規(guī)范概述33
3.2.1手機取證的基本流程33
3.2.2手機取證的規(guī)范和原則35
3.2.3手機取證中電子證據(jù)和傳統(tǒng)證據(jù)并存的探討36
3.3手機證據(jù)的保存37
3.4手機證據(jù)的獲取38智能手機取證目錄3.4.1介質復制和鏡像39
3.4.2拍照獲取40
3.4.3邏輯獲取43
3.4.4物理獲取44
第4章SIM/USIM/UIM卡和可移動介質取證46
4.1SIM/USIM/UIM卡簡介46
4.1.1SIM卡46
4.1.2USIM卡47
4.1.3UIM卡48
4.2SIM/USIM/UIM取證50
第5章iPhone智能手機的取證55
5.1iPhone智能手機簡介55
5.1.1iPhone手機的發(fā)展55
5.1.2iOS57
5.2iPhone手機取證61
5.2.1備份文件取證61
5.2.2邏輯取證61
5.2.3物理取證62
5.3常用iPhone取證工具62
5.4iPhone備份文件取證63
5.4.1關于iPhone的備份文件63
5.4.2iPhone備份文件的結構分析66
5.4.3提取iPhone備份數(shù)據(jù)中的信息71
5.4.4iPhone加密備份數(shù)據(jù)的破解和提取72
5.4.5iCloud備份數(shù)據(jù)的提取75
5.5iPhone邏輯數(shù)據(jù)的提取和分析80
5.5.1短信/彩信的提取和分析80
5.5.2通話記錄的提取和分析84
5.5.3聯(lián)系人的提取和分析86
5.5.4Safari瀏覽器痕跡分析93
5.5.5iPhone地理位置信息取證96
5.6iPhone智能手機取證的相關技巧與注意事項99
第6章Android智能手機取證103
6.1Android智能手機操作系統(tǒng)簡介103
6.1.1Android的發(fā)展歷程103
6.1.2Android的功能特點104
6.2Android手機取證106
6.2.1Android Debug Bridge106
6.2.2邏輯取證107
6.2.3root及物理取證108
6.3Android取證常用工具109
6.4Android邏輯數(shù)據(jù)提取和分析110
6.4.1Android操作系統(tǒng)的連接和數(shù)據(jù)獲取110
6.4.2短信/彩信的提取和分析115
6.4.3通話記錄的提取和分析118
6.4.4聯(lián)系人的提取和分析119
6.4.5Android地理位置取證122
6.4.6Android智能手機屏幕鎖定的加解密原理及繞過124
6.4.7Android智能手機取證的相關技巧與注意事項131
第7章常見手機取證工具132
7.1常見手機取證工具簡介132
7.2Cellebrite UFED Classic/Cellebrite UFED Touch142
7.2.1操作和使用UFED142
7.2.2UFED Physical Analyzer143
7.3Oxygen Forensic Suite148
7.4美亞柏科DC?4500手機取證系統(tǒng)159
參考文獻172