論移動(dòng)電話(huà)電子數據獲取及取證分析

　　隨著(zhù)計算機技術(shù)的快速發(fā)展,網(wǎng)絡(luò )技術(shù)的廣泛應用,與計算機相關(guān)的高科技犯罪層出不窮,下面小編為大家帶來(lái)了移動(dòng)電話(huà)電子數據獲取及取證分析的論文，歡迎大家借鑒哦!

　　摘要：移動(dòng)電話(huà)裝載了大量電子數據，這些數據往往成為查找犯罪線(xiàn)索、發(fā)現犯罪、證明犯罪的重要證據來(lái)源。本文將就移動(dòng)電話(huà)電子數據取證進(jìn)行研究，探討移動(dòng)電話(huà)的電子數據獲取和取證分析的方法和程序。

　　關(guān)鍵詞：移動(dòng)電話(huà) 電子數據 取證

　　一、移動(dòng)電話(huà)電子數據的特點(diǎn)

　　(一)虛擬性

　　移動(dòng)電話(huà)電子數據實(shí)質(zhì)上是按編碼規則處理的電磁信號，它處于電子虛擬環(huán)境中，需要通過(guò)存儲介質(zhì)及軟件載體表現出來(lái)。

　　(二)多樣性

　　和普通的物證、書(shū)證的單一性相比，移動(dòng)電話(huà)電子數據表現得更為多樣，不僅可以表現為文本信息如短信，也可以表現為圖片、音頻、視頻等多媒體文件，還可以是GPS地理信息等等。

　　(三)易破壞性

　　移動(dòng)電話(huà)電子數據由于存在于個(gè)人移動(dòng)電話(huà)中，非常容易且快速地刪除，如通話(huà)記錄、短信等刪除操作簡(jiǎn)便，或采用破壞移動(dòng)電話(huà)機身的方式使電子數據無(wú)法提取。

　　(四)實(shí)時(shí)性

　　移動(dòng)電話(huà)只要處于開(kāi)機狀態(tài)，其基本處于實(shí)時(shí)在線(xiàn)狀態(tài)，隨時(shí)進(jìn)行信息的交互，如會(huì )接收到電話(huà)、短信及GPS信息等，極易破壞原有數據，因此，在對移動(dòng)電話(huà)取證時(shí)一定要屏幕信號，防止對原有檢材的破壞。

　　二、移動(dòng)電話(huà)電子數據取證的原則

　　(一)合法性原則

　　移動(dòng)電話(huà)電子數據取證的合法性原則，是指對移動(dòng)電話(huà)電子數據證據的收集和分析必須依法進(jìn)行，包括收集、分析的主體要合法，收集、分析證據的程序要合法，取證的技術(shù)方法要合乎規范。

　　(二)關(guān)聯(lián)性原則

　　移動(dòng)電話(huà)電子數據取證，要求獲取的電子數據必須與案件事實(shí)存在著(zhù)必然的客觀(guān)聯(lián)系，且對證明案件事實(shí)具有實(shí)際意義。電子數據證據對于案件有無(wú)聯(lián)系，決定著(zhù)電子數據證據對于案件事實(shí)有無(wú)證明力，因此，在電子數據取證過(guò)程中必須收集與案件事實(shí)有關(guān)聯(lián)，能夠證明案件事實(shí)的電子數據證據。

　　(三)及時(shí)性原則

　　由于移動(dòng)電話(huà)本身的脆弱性，破壞后便不易提取其中電子數據，移動(dòng)電話(huà)中的電子數據存在于電子虛擬環(huán)境中，非常容易受到改動(dòng)或破壞且不容易察覺(jué)和證實(shí)，而且移動(dòng)電話(huà)會(huì )不斷接收信息及電話(huà)等，極其容易把原來(lái)刪除的內容覆蓋，使之不容易恢復，電訊運營(yíng)商對移動(dòng)電話(huà)信息的保存也具有一定期限，過(guò)了期限則無(wú)法調取。這些限制都要求及時(shí)對移動(dòng)電話(huà)的電子數據及時(shí)進(jìn)行固定，以免受到破壞或毀損。

　　(四)安全性原則

　　由于移動(dòng)電話(huà)本身的脆弱性，以及電子數據的易損性，使移動(dòng)電話(huà)的電子數據極易受到破壞及毀損，因此，在取證過(guò)程中應當保證：一是移動(dòng)電話(huà)機不應受到非合法管理人接觸，以防止毀損移動(dòng)電話(huà)，破壞電子數據;二是保管環(huán)境應當安全，移動(dòng)電話(huà)及其存儲卡應當放在安全的環(huán)境中，使其電子數據不因環(huán)境影響而毀損;三是及時(shí)備份，對移動(dòng)電話(huà)提取的電子數據應當及時(shí)備份，防止因原始數據毀損而無(wú)法取證。

　　(五)證據流轉鎖鏈原則

　　移動(dòng)電話(huà)確定為取證對象后，應當有嚴格的證據流轉記錄，對每一個(gè)接觸人，每個(gè)接觸人對移動(dòng)電話(huà)進(jìn)行的所有操作，以及移動(dòng)電話(huà)在部門(mén)和個(gè)人之間的流轉都應當在詳細的記錄，防止數據的毀損及污染。

　　三、移動(dòng)電話(huà)的電子數據取證

　　(一)移動(dòng)電話(huà)存儲器

　　目前移動(dòng)電話(huà)存儲器可分為三種類(lèi)型：RAM、ROM和外置存儲卡。RAM(random access memory)即隨機存儲器，存儲單元的內容可按需隨意取出或存入，且存取的速度與存儲單元的位置無(wú)關(guān)的存儲器。這種存儲器在斷電時(shí)將丟失其存儲內容，故主要用于存儲短時(shí)間使用的程序。ROM是由英文Readonly Memory的首字母構成的，原意為只讀存儲器。顧名思義，就是這樣的存儲器只能讀，不能像RAM一樣可以隨時(shí)讀和寫(xiě)。它只允許在生產(chǎn)出來(lái)之后有一次寫(xiě)的機會(huì )，數據一旦寫(xiě)入則不可更改。它另外一個(gè)特點(diǎn)是存儲器掉電后里面的數據不丟失。但隨著(zhù)技術(shù)的進(jìn)步，ROM的功能也得到發(fā)展。在移動(dòng)電話(huà)上，ROM它一部分固化了移動(dòng)電話(huà)操作系統，這部分只能讀不能更改，要改只能整個(gè)系統更改(俗稱(chēng)刷機)，剩余部分則可以像電腦硬盤(pán)那樣安裝運行程序和存儲數據，如QQ等程序軟件。

　　外置存儲卡則種類(lèi)比較多，主要有以下幾種：MMC卡、RS-MMC卡、SD卡、miniSD卡、Trans Flash卡和索尼記憶棒等。MMC是Multi Media Card的縮寫(xiě)，也就是多媒體卡的意思，是比較早期的移動(dòng)電話(huà)使用的小型存儲卡。RS-MMC即Reduce Size MMC，也就是縮小尺寸的MMC卡，除了體積縮小外，它的主要性能與標準MMC卡完全一樣。SD卡(Secure Digital Memory Card，安全性數字存儲卡)，是一種基于半導體快閃記憶器的新一代記憶設備，擁有高記憶容量、快速數據傳輸率、極大的移動(dòng)靈活性以及很好的安全性。mini SD卡，同RS-MMC卡一樣，mini SD卡只是減小了體積，其他方面與傳統SD卡并無(wú)差別。TransFlash(T-flash)存儲卡又稱(chēng)micro SD，是目前大部分移動(dòng)電話(huà)均使用這類(lèi)存儲卡。索尼記憶棒(Memory Stick)又稱(chēng)MS卡，是一種可移除式的快閃記憶卡格式的存儲設備，它包括了Memory Stick PRO(容許更佳的最大儲存容量和更快的傳輸速度)、Memory Stick Duo(Memory Stick的小型格式版本，包括PRODuo)、和比Duo更小的Memory Stick Micro(M2)，主要用于索尼移動(dòng)電話(huà)。

　　隨著(zhù)通訊技術(shù)及存儲技術(shù)的發(fā)展，現在移動(dòng)電話(huà)的存儲器容量越來(lái)越大，使操作系統的功能越來(lái)越豐富，這些功能成為電子數據證據的重要來(lái)源：

　　(1)電話(huà)簿，電話(huà)簿里存儲著(zhù)大量聯(lián)系人電話(huà)，是重要的取證對象;(2)通話(huà)記錄，包含著(zhù)呼出、呼入及未接的記錄，新款智能移動(dòng)電話(huà)一般機身都帶存儲器，因此對通話(huà)記錄條數沒(méi)有限制，能夠記錄所有通話(huà)記錄，而部分老款手機一般對通話(huà)記錄有限制，如呼入及呼出一共20條;(3)已發(fā)送、已收到、已刪除、草稿的短信及彩信，這些信息往往成為發(fā)現線(xiàn)索、證明事實(shí)的重要依據;(4)錄音、錄像及圖片;(5)日期時(shí)間及日程安排信息;(6)存儲的文件及文檔;(7)GPS導航信息及地圖導航信息;(8)通訊工具如QQ、飛信等聊天記錄;(9)上網(wǎng)記錄，能夠記錄上網(wǎng)者的上網(wǎng)時(shí)間、網(wǎng)址、用戶(hù)名及密碼;(10)藍牙傳輸的文件。

　　對移動(dòng)電話(huà)存儲器的取證程序一般應遵循以下程序：

　　(1)如移動(dòng)電話(huà)處于關(guān)機狀態(tài)下，應先將移動(dòng)電話(huà)充滿(mǎn)電;(2)將移動(dòng)電話(huà)接入屏蔽袋里，防止移動(dòng)電話(huà)接入網(wǎng)絡(luò )，接收來(lái)電及信息，并打開(kāi)移動(dòng)電話(huà)電源;(3)運行取證工具軟件，提取移動(dòng)電話(huà)內置存儲器中的電子數據;(4)提取完后，關(guān)掉移動(dòng)電話(huà)電源，取出移動(dòng)電話(huà)卡及外置存儲卡;(5)運行取證工具，對外置存儲卡制作鏡像文件;(6)運行取證工具軟件，對外置存儲卡鏡像文件進(jìn)行分析，提取與案件相關(guān)的電子數據。

　　(二)移動(dòng)電話(huà)卡

　　移動(dòng)電話(huà)卡在GSM網(wǎng)絡(luò )稱(chēng)為SIM卡，是Subscriber IdentityModule客戶(hù)識別模塊的縮寫(xiě)，也稱(chēng)為智能卡、用戶(hù)身份識別卡;在3G網(wǎng)絡(luò )中移動(dòng)電話(huà)卡稱(chēng)為USIM，即Universal Subscriber Identity Module(全球用戶(hù)識別卡)的縮寫(xiě)，是升級的SIM卡。移動(dòng)電話(huà)卡可供通訊運營(yíng)商對客戶(hù)身份進(jìn)行鑒別，并對客戶(hù)通話(huà)時(shí)的語(yǔ)音信息進(jìn)行加密。對移動(dòng)電話(huà)卡取證時(shí)，應該注意以下問(wèn)題：

　　1.有些SIM卡是STK卡，如有些中國移動(dòng)通信公司SIM卡是STK卡，里面固化了有移動(dòng)通信公司的應用交互程序，提供了超級號簿功能，里面分為三個(gè)電話(huà)簿，每個(gè)250條，一共750條，但只支持一個(gè)號簿在線(xiàn)，中國電信公司的USIM卡超級號簿則提供了四個(gè)號簿，每個(gè)250條，一共1000條，因此在提取時(shí)要注意全部提取。

　　2.由于每款取證工具軟件對每個(gè)移動(dòng)電話(huà)卡的支持度并不相同，如A工具能提取80%電話(huà)簿，B工具能提取30%電話(huà)簿，因此，在條件允許的話(huà)，應當盡量多嘗試幾款工具對移動(dòng)電話(huà)卡進(jìn)行提取。

　　3.對于老款非智能機來(lái)說(shuō)，移動(dòng)電話(huà)卡可能存有通話(huà)記錄，一般為10條或20條，因為機身本身不能存儲，而對于新款移動(dòng)電話(huà)來(lái)說(shuō)，通話(huà)記錄一般都存儲在機身上。

　　(三)通訊運營(yíng)商

　　通訊運營(yíng)商的數據庫中存有移動(dòng)電話(huà)用戶(hù)的大量信息，通過(guò)數據庫可以查詢(xún)到每個(gè)用戶(hù)的個(gè)人登記信息，每個(gè)成功呼入、呼出的通話(huà)記錄，每次通話(huà)使用的信號基站，通過(guò)信號基站可以對通話(huà)時(shí)所處的位置進(jìn)行定位，還可以查詢(xún)到一定時(shí)期內的短信內容。需要注意的是，移動(dòng)運營(yíng)商一般會(huì )存儲三個(gè)月到半年的用戶(hù)的通話(huà)記錄、短信、彩信以及通話(huà)時(shí)的信號基站信息，在獲取移動(dòng)運營(yíng)商的電子數據時(shí)，一定要在移動(dòng)運營(yíng)商的保存期限內及時(shí)提取。

　　(四)移動(dòng)電話(huà)操作系統外應用程序

　　除了移動(dòng)電話(huà)操作系統固化的應用程序外，一些智能移動(dòng)電話(huà)往往允許用戶(hù)自行安裝應用程序，這些應用程序也將成為收集電子數據證據的來(lái)源，如用戶(hù)安裝的QQ、飛信、微信、微博、google地圖等地圖類(lèi)程序以及郵件程序，這些程序中存儲著(zhù)聊天記錄、發(fā)表的博客、搜索地圖記錄、地理位置信息以及收發(fā)的郵件，這些電子數據都有可能成為證明案件事實(shí)的證據。

【論移動(dòng)電話(huà)電子數據獲取及取證分析】相關(guān)文章：

數據分析報告07-15

數據分析報告03-26

數據分析報告通用12-15

數據分析個(gè)人報告12-20

個(gè)人的數據分析報告10-27

銷(xiāo)售數據分析報告07-10

數據分析報告優(yōu)秀09-10

關(guān)于店鋪數據分析報告01-03

數據分析工作總結10-10

數據分析報告（通用21篇）12-22