编者按:
本期,将通过实际案例对已造成损坏的手机数据提取进行讲解和介绍。因本案例涉及到具体刑事案件,文中所有敏感信息均做模糊处理。
案例背景:201x年x月x日, 四川省某地区荒郊野外发现一具无名尸体。经公安机关侦查,在无名尸体附近一水坑里发现一部手机,手机已经被水浸泡过并充满了泥沙等杂物。为了确认受害者身份,公安机关需要提取手机里的数据信息。
实战对象:某品牌智能手机,外观被损毁,手机被水浸泡过,里面有泥沙等杂物。
技术分析:由于手机已被物理损坏,无法进行逻辑镜像提取。必须拆解手机并拆卸芯片,再通过接入手机芯片数据读取设备获取芯片内容数据的镜像。最后,通过手机取证工具SPF9139对镜像进行数据提取及恢复,得到手机关键信息。
提取设备:SCE9168手机芯片数据提取系统、SPF9139手机数据恢复取证系统
SCE9168系统由“专业手机芯片拆卸工具”、“手机芯片数据提取工具”和“手机芯片数据提取分析软件”三部分组成。配备多种EMMC、EMPC芯片读取座,主要用于解决智能手机硬件因腐蚀、外部损坏、主板损坏、水中浸泡等原因造成的数据不可通过USB接口进行直接提取、分析等操作的问题。
SPF9139系统是一款集物理镜像、数据恢复、数据提取、取证分析等技术为一体的手机电子取证综合设备,具备强大的系统恢复、数据库文件特征恢复、APP数据恢复、文件类型恢复、关键词检索、行踪轨迹分析、生成符合司法部门要求的取证报告等功能,能够支持Android、IOS、WP等主流智能手机及部分山寨手机。
图1: 搭载SCE9168和SPF9139系统的一体式工作站
提取步骤:
一、观察检测手机
拿到提取手机以后,经效率源技术人员观察和检测,手机已被物理损坏,无法进行逻辑镜像提取。
备注:如手机未被损坏,可直接连接SPF9139系统进行物理镜像和数据提取,具体的操作流程详见《手机数据提取第1期:已Root安卓手机正常数据提取实操案例》操作步骤。
图2:已被损坏的手机
二、拆卸手机芯片
在效率源工作室,技术人员先清理手机中的泥土、杂物等污渍,再通过SCE9168系统提供的“专业手机芯片拆卸工具”拆解手机并拆卸下芯片。
备注:在手机芯片拆卸过程中,要注意观察热风枪是否周边的元件有影响,如摩托罗拉L2000手机,在拆卸字库时,必须将SIM卡座连接器拆下,否则很容易将其吹坏。此外,摩托罗拉T2688、三星A188、爱立信T28的功放及很多软封装的字库,这些BGA-IC耐高温能力差,吹焊时温度不易过高,否则极易受到影响损坏器件。
图3:拆卸手机芯片
三、芯片数据镜像
拆卸下手机芯片以后,接入SCE9168系统中的手机芯片数据读取设备,通过系统中的物理镜像功能获取手机芯片内容数据的镜像,并校验取得MD5值。
备注:MD5简单地说来,就是一种安全策略。它可以为任何文件(不管其大小、格式、数量)产生一个同样少有的“数字指纹”,如果任何人对文件做了任何改动,其MD5值也就是对应的“数字指纹”都会发生变化。校验MD5值是为了保证手机芯片数据的真实性。
图4:手机芯片物理镜像
四、数据提取及恢复
手机芯片进行物理镜像以后,将物理镜像文件接入SPF9139系统进行数据提取及恢复。物理镜像文件接入SPF9139系统后,可以显示出手机基本信息、社交聊天、Web痕迹、主流邮箱、地图公交等手机数据信息。根据本案需求,选择手机联系人和短信进行提取,成功获取手机联系人130余条、短信10余条。
图5:选择联系人和短信进行提取
图6:提取出的短信信息
图7:提取出的联系人信息
五、关键信息检索
为了给案件提供更多有用信息和线索,效率源技术人员通过SPF9139系统
进一步对手机芯片的镜像数据进行关键字检索,成功恢复出手机IMSI、SIMID等编码信息。
备注:IMSI码指的是国际移动用户识别码,是区别移动用户的标志,储存在SIM卡中,可用于区别移动用户的有效信息。SIMID码指的是对手机SIN卡对应号码的ID和鉴别权限,手机开机后,会使用卡中的ID来登陆网络。获取手机IMSI和SIMID码对于鉴别手机用户身份具有重要意义。
图8:关键信息搜索
六、导出数据分析报告
在分析完提取数据之后,可根据案件需求,将相应的提取数据信息生成分析报告,全面呈现数据提取的结果,以供案件侦破或取证。
图9:生成报告
提取结果:通过以上6大步骤,效率源技术人员提取到了损坏手机中的联系人、短信、IMSI、SIMID等信息和数据,为受害人身份识别和案件侦破提供了关键信息和线索。
编后语:在公安、司法部门进行电子取证、司法鉴定的过程中,经常会遇到手机损坏无法直接进行数据提取的情况。通过本案例我们可以看到效率源SCE9168和SPF9139系统能够实现对手机芯片数据进行镜像,并提取和分析手机中的关键数据,为案件侦破提供关键信息。关于如何进行Android手机非ROOT提取、IOS越狱提取、IOS非越狱提取、绕过Android屏幕锁、ROOT权限等内容将在以后案例中为你呈现,敬请期待!
关注微信公众号“xiaolvyuantech”或微信搜索“效率源科技”加关注,了解更多技术知识!
