使用 WinHex 分析黑莓手机

现在是二十一世纪，手机已经无处不在。 居住在第一世界发达国家的大多数公民都可以相对便宜地获得手机技术和价格计划。 像苹果、微软、谷歌和三星这样的科技公司统治着蓬勃发展的手机市场，并且几乎每年都在开发新的产品。 这种做法使得普通的美国中产阶级几乎不可能赶上众所周知的“邻居” ，比如，拥有最新的 iPhone 或三星 Galaxy 手机。 开发人员对纳米技术和纳米存储器进行了改进，现代智能手机功能强大得令人难以置信，几乎可以做到台式机或笔记本电脑所能做到的一切。 大型计算机占用整个仓库执行复杂计算任务的日子早已一去不复返了。 一些技术专家甚至预测，在不远的将来，人们甚至不需要台式机或笔记本电脑。 这种情况是否会发生并不重要，因为现在已经有了一个明确而现实的提醒: 几乎所有事情都可以通过移动设备来完成。 当然，随着越来越多的手机的使用，网络犯罪活动也开始了，他们操纵用户下载恶意软件到他们的智能手机上，或者诱骗他们从谷歌应用商店或苹果应用商店下载恶意的智能手机应用。 本文将深入研究移动设备技术的历史、数字取证过程、调查人员使用的工具以及围绕移动设备数字取证的法律争议。 无处不在的移动设备加上不断扩大的技术能力与日益增加的使用移动设备的网络犯罪直接相关，这突出了数字取证的重要性，以及拥有资金充足和合格的数字取证事件响应（DFIR）专业人员队伍的重要性。

背景

1983年，摩托罗拉推出了第一款手机型号，摩托罗拉 DynaTAC 8000x (Ray，2015)。 虽然 DynaTAC 太大太笨重，不适合放在裤子口袋里，但它是便携式的，这是支撑那些时尚而强大的智能手机的主要技术。 手机制造商发现了创新的方法，将更多的能力塞进他们产品的小型版本中，但普通消费者仍然买得起(Ray，2015)。 起初，手机只有一个设计目的，那就是移动通话。 后来，系统工程师找到了将其他服务整合到手机中的方法，比如语音信箱、音频 / 视频 / 电子邮件数据(互联网)、迷你高清摄像头、寻呼机、传真和通讯录(Ray，2015)。

现代智能手机已经超越了传统手机，甚至是手机的能力。 现在，这些设备被称为移动设备，因为它们的多媒体功能，许多用户实际上通过他们的移

动设备生活在虚拟的网上(Ray，2015)。 今天，手机制造商似乎在不断地寻求提高屏幕分辨率、增大屏幕尺寸、改进图形用户界面(GUI)、将更多容量塞入纳米级内存容量的 SD 内存卡和内置硬盘驱动器(HDD) ，以及创建更多功能的移动设备应用程序(Ray，2015)。 事实上，移动设备已经开始取代其他便携式技术，如相机、摄像机、数字录音机等等。 在为移动设备用户互操作性而设计的许多新应用中，安全性通常是一个缺失的特性，这使得网络犯罪分子很容易在 OSI 堆栈的7个层次中的每一层攻击移动设备: 应用程序(第7层)、表示层(第6层)、会话层(第5层)、传输层(第4层)、网络层(第3层)、数据链路层(第2层)和物理层(第1层)(Mitchell，2017)。

随着移动设备变得越来越复杂，能够监测心率、运动、睡眠时间，移动设备服务正朝着云的方向发展，这将在移动设备上释放更多的硬盘空间用于其他处理工作，同时增加对稳定、高速互联网连接的依赖。 移动设备的设计也将继续发展，变得更加时尚和简单，更少的按钮和更大的屏幕尺寸和更高的像素分辨率(Ray，2015)。 由于移动设备拥有所有这些功能和特性，以及它们所产生的各种类型的数据，不难理解移动设备数字取证的复杂性。

移动设备特性

移动设备有许多不同的特点和功能，但它们都需要与某种类型的蜂窝网络服务提供商收发器并与基站进行通信，这些收发器或基站使用连接到公共交换电话网的数字无线电频率(RF)信号，因此可以打电话给任何类型的电话号码(Cross & Shinder，2008，p. 366)。 每个移动设备都配备了一个独特但可互换的 SIM 识别卡(SIM 卡) ，安装这个卡是为了能够认证用户到移动通信提供商网络的身份，这个网络以后可以从智能手机到智能手机进行更新或更换手机(Cross & Shinder，2008，p. 366)。 移动设备通常有 usb 电池充电器、耳机和耳机的端口，还有闪存媒体存储卡，如 SD 卡、闪存、智能媒体和内存卡(Cross & Shinder，2008，第366页)。 此外，移动设备还配备了标准的功能和消息传递协议，如视频通话应用程序、通讯录、电子邮件、网页浏览器、短信息服务(SMS)、用于发送照片和视频的多媒体消息服务(MMS)、用于摄影和录像的高清摄像头以及音频应用程序，如 Mp3播放器、视频游戏等等(Cross & Shinder，2008，p. 366)。 每种类型的手机都有一个操作系统(OS) ，比如 Android (最常见的)、 Apple OS 版本或其他类型的 OS。

移动设备数字取证的需求

根据皮尤研究中心的一项调查，95% 的美国人拥有移动设备，其中77% 的人拥有智能手机。 根据移动设备用户的统计数据，18-29岁的城市居民是最有可能拥有智能手机的人群，这个年龄段的人群中100% 的人拥有某种类型的手机(数据来自2017年皮尤研究中心)。 根据联邦调查局(FBI)互联网犯罪投诉中心(IC3)最新的互联网犯罪报告，有2,673名勒索软件受害者; 10,850名技术支持欺诈受害者; 17,146名敲诈 / 性侵犯受害者; 15,895名信用卡欺诈受害者; 16,878名身份盗窃受害者; 以及19,465名网络钓鱼欺诈受害者(IC3,2016，第17页)。 有些人可能会感到震惊，因为他们知道所有这些类型的互联网罪行都可能是由移动设备或针对移动设备所犯下的罪行。 这些类型的网络犯罪的经济成本是惊人的。 想想看，仅仅在12个月的时间里，信用卡诈骗(这仅仅是一种犯罪)就让公司和美国纳税人损失了4800万美元，而这些损失又以公司销售商品的成本上升和潜在的更高的政府税收的形式转嫁到消费者身上(IC3,2016，p. 18)。

证据类型

移动设备能够存储几种不同类型的证据。 例如，可以从移动设备中检索的常见证据类型可能包括数码照片、视频、短信、电话通话记录，其中显示了拨打号码、接听电话、通话时间、电话联系人姓名和号码、网页浏览记录、下载媒体等(Easttom & Taylor，2011年，第313-314页)。 想象一下，如果警察逮捕了一名涉嫌通过移动设备贩卖毒品或传播儿童色情制品的嫌疑人。 数字取证调查员肯定会检查电话联系人和通话记录，以确定谁是他的客户和其他犯罪人员，因为他们经常在毒品或性交易团伙工作，这些联系信息可能会导致进一步的刑事拘留(Easttom & Taylor，2011，p. 314)。 涉及帮派成员或有组织犯罪团伙成员的逮捕也可以从嫌疑犯携带和使用的移动设备中获得非常宝贵的犯罪情报和联系信息。

数字取证调查程序

在调查过程中，用于保存、获取和检查数字取证证据的过程非常重要，因为如果没有适当地遵循，在法庭上可能会被视为不可接受的证据。 除了一些微小的技术硬件和软件差异，数字取证调查人员用来评估、获取、检查、记录和报告移动设备证据的方法与普通个人电脑相同。 在进行任何类型的取证调查之前，犯罪必须首先实施。 犯罪也需要有人报告，不管是由目击者、受害者、执法人员还是偶然出现在犯罪现场的人。 不同的执法机构对于进行计算机取证调查有不同的术语，但是尽管用语不同，步骤却相对相似。 司法部公布了自己的程序版本，包括四个阶段: 证据评估、证据获取(或收集)、证据审查(或分析)和记录和报告(NIJ，2004，第2页)。

证据评估

在证据评估的最初步骤中，案件调查员彻底审查了授权进行法医检查的搜查令、在举报犯罪期间向执法部门提供的案件细节、案件所涉及的硬件和软件的性质、正在寻找的证据以及执法人员如何获取证据的任何显著情况(NIJ，2004年，第7页)。 数字取证的案件调查员还必须确保完成一个适当的援助请求，并在证据移交给数字取证实验室后记录证据的保管链(NIJ，2004，第7页)。

此外，在证据评估阶段，案件调查员需要确定是否对取证过程有任何特殊要求，如指纹分析、 DNA 分析等(NIJ，2004，p. 7)。 如果案件涉及可能由互联网服务提供商(ISP)远程存储的证据，那么数字取证调查员将需要向 ISP 发出保存令，以便任何适用于嫌疑人或案件的数据不会被删除(NIJ，2004，第7页)。 在这个阶段，调查员将评估可能用于犯罪的其他技术，以确定与案件的相关性，以及正在寻找的特定类型的数字证据，如图像文件、数据库文件等(NIJ，2004，第7页)。 在证据评估过程中还将收集嫌疑人使用的 ISP 等信息，以及其他信息，如别名帐户名称、系统审计日志、网络配置、场外存储区域、可移动存储媒体、系统的其他用户、用户名称和密码，系统管理员的用户名和密码或从其他用户获得的员工或同事的怀疑线索。 数字取证调查员还必须确定嫌疑犯对系统的熟练程度。 例如，嫌疑人可能使用了先进的数据隐藏技术，如隐写应用程序，将消息或图像 / 视频 / 音频文件隐藏在其他看起来无害的文件中，用解密密钥使数据无法读取的加密，甚至是陷阱，例如，如果计算机没有按照某一顺序关闭，它会自动删除所有硬盘内容。

对案件所涉及的证据进行工作前的评估将有助于调查人员确定他们需要什么工具来进行证据采集和检查(后续步骤) ，哪些证据应该首先检查，以及调查人员是否因工作范围而需要协助(NIJ，2004，第8页)。 调查员将利用在证据评估阶段收集的信息，大致确定需要多少时间在现场获取证据以及可能出现的任何后勤和人事问题或者是在调查时间较长的情况下，对组织的任何业务影响，以及现场是否适合必要的取证设备和资源来评估如何实际执行取证(NIJ，2004年，第9页)。

获取证据

在步骤2中，取证涉及从犯罪现场的电脑或案件所涉及的其他存储媒体和技术中仔细收集数字证据。 数字取证调查员必须小心，不要以任何方式改变或修改收集到的证据数据。 详细记录考官系统的硬件和软件配置等细节非常重要(NIJ，2004,11页)。数字取证调查员应该拆卸计算机机箱(台式电脑或笔记本电脑) ，以便不受限制地对硬盘进行物理访问，同时确保它是“ … 不受静电和磁场的影响”(NIJ，2004，第11页)。 如果搜查令允许，数字取证调查员必须识别和获取任何可疑的可移动存储介质或设备，以及记录内部存储设备(如 HDD)硬件配置、序列号、制造型号、存储容量大小、跨接电缆设置、驱动器槽、连接类型(如 IDE 或 SATA)等(NIJ，2004，第11页)。 调查人员还必须详细说明嫌疑人计算机的其他方面，如是否有声卡、视频卡、网络接口卡(NIC)、媒体访问控制(MAC)以及地址是什么、打印机连接等(NIJ，2004,11页)。

通常情况下，调查人员会使用类似于 EnCase 的数字取证软件应用程序，该程序包含预先格式化的检查表或工作表，其中有空白字段，调查人员可以输入所有这些细节，并提醒案件调查人员要查找什么，因为需要获取的计算机细节过多。 这些软件工具将在文章的后面介绍，但是在这里需要注意的是，这个取证软件在协助调查人员建立证据案件方面非常重要。 如果嫌疑人的电脑是通过以太网电缆连接的，那么断开电脑与互联网的连接对数字取证调查员来说也很重要; 如果电脑远程连接到互联网或其他 WLAN/WAN，那么断开电脑与互联网的连接或者断开 Wi-Fi 接入也很重要。 调查员将从 CMOS/BIOS 中捕获引导设置，物理删除任何内部 HDD，并将其连接到调查员的计算机进行检查(NIJ，2004，第12页)。 在某些情况下，移除存储设备可能是不可行的。 然后，调查人员可能需要使用网络基础设施设备直接在网络上执行证据获取(NIJ，2004，第12页)。 必须检查 HDD 和外部存储介质设备，以确保所有的磁盘空间都得到了适当的考虑，包括分区表、任何闲置空间等(NIJ，2004，第13页)。

在对嫌疑人的计算机进行任何修改之前，应该安装一个写数据阻止程序，该程序通常由硬件设备执行，但也可以使用软件进行(NIJ，2004,13页)。 数字取证调查员将制作任何内部或可移动媒体存储驱动器的比特流(二进制序列)副本，并在完成后比较文件哈希值，以确保比特流副本与原始数据集相同。 如果可能的话，不应检查原始证据，最好对已获得的证据的比特流副本进行检查。