?智能手機取證流程共分四個階段：證據保全、證據獲取、鑒定和分析、報告。在上篇中，將著重介紹智能手機取證的概述、歷史與智能手機取證流程的前兩個階段：證據保全和證據獲取，這兩步在智能手機取證中發揮很重要的作用。

美國司法學會（National Institute of Justice, NIJ）定義電子數據是以二進制形式存儲或傳輸的信息，可以在法庭上被依賴，可以在電腦硬盤、移動電話、個人數字助手、數碼相機中的閃存卡等中找到。電子數據證據可用于起訴所有類型的犯罪，而不僅僅是電子犯罪。智能手機取證作為電子數據取證的一個分支扮演著越來越重要的作用，通過手機電子數據可以獲取到嫌疑人的聊天記錄、出行記錄、地理位置、支付記錄、通話記錄和短信等信息，根據這些信息，調查人員可以推測出嫌疑人的交友、活動、財富等個人情況。然而，電子數據需要符合一定的規范和流程才能保證合法性，這對智能手機取證來說是非常困難的，比如，一些取證工具需要與手機通信，這使得手機電子數據取證期間不能使用寫保護；移除芯片或者手機系統越獄，都會導致智能手機電子數據改變。因此遵循適當且合法的方法和指南對手機電子數據取證至關重要。

1.智能手機取證流程

1984年，聯邦調查局和其他執法機構開始基于早期版本的計算機對數字證據的檢查進行建模。第一個數字取證過程模型計算機取證調查過程（CFIP），主要關注數據采集以及這些數據的可靠性和法律接受程度。計算機取證調查過程模型分4個階段進行：獲取、識別、評估、作為證據。

相較于傳統的計算機取證調查，智能手機取證在當今的調查中越來越普遍。但因為智能手機操作系統的巨大可變性、標準的多樣性、數據存儲技術和數據保護程序等原因，從智能手機收集數字證據成為一項更艱難的任務。美國國家標準與技術研究所（National Institute of Standards and Technology, NIST）在2014年5月推出了移動設備取證的指導原則，對移動設備取證的目的、范圍、方式和方法做了系統性的分析和介紹。綜合來講，移動設備取證可以分為證據保全、證據獲取、鑒定和分析、報告四個步驟，如圖1所示。

圖1  移動取證流程

1.1. 證據保全

證據保全是在不改變智能手機數據內容的前提下確保證據安全的過程，是智能手機取證的第一步。證據保全的目的有兩個，一是要最大限度地獲取相關的證據數據，二是要保護證據數據的完整性和原始性以確保其可采用性。如果不能以原始狀態保存證據，可能會丟失與案件相關的信息。證據保全的基本步驟有保護和記錄現場、隔離和證據保存。

1.1.1. 保護和記錄現場

現場獲取之前，首先要確定現場獲取的目的和范圍，現場獲取的人員需明確分工，落實責任并明確需攜帶的儀器設備。其次要明確手機現場獲取采用的方法、標準、規范和步驟，并明確各操作可能造成的影響。工作人員應徹底搜查現場的所有區域，確保相關證據不被忽視。

現場獲取主要分為靜態獲取和動態獲取。在智能手機扣押期間，對手機的不當處理可能會導致數字數據的丟失，因此需要謹慎行事。靜態獲取是指對于已經關閉的手機，在法律允許的范圍內對已授權的手機進行拍照或者拍攝，獲取并記錄手機的相關附件設備信息，這些信息包括但不限于手機品牌和型號、手機唯一性標識（如：IMEI號）、手機SIM卡和外置存儲卡信息、手機安全驗證機制信息（如：啟動密碼和PIN碼）、手機附件設備（如：電源線、數據線和其它配備設備）和相關手冊。動態獲取是指針對處于運行狀態的手機獲取數據。如果手機未啟用安全驗證機制或能解決其安全驗證機制，應按照靜態獲取的方法進行數據獲取，并記錄手機的操作系統信息。如果手機已啟用安全驗證機制，且無法獲得解決安全驗證機制的方法，應將手機在無線網絡隔離的狀態下提取數據。

1.1.2. 隔離

將手機無線網絡隔離的方法主要包括使用電子/射頻屏蔽，設置飛行模式以及禁用Wi-Fi、藍牙和紅外通信等。之后要將手機連接至計算機進行數據同步，要注意防止數據傳輸或同步覆蓋，同步時不可取出手機中的數據存儲卡和SIM卡。同時，許多移動設備都有重置代碼，可以將設備的內容清除到原廠狀態。主復位可以遠程進行，因此動態獲取時需要采取網絡隔離和物理隔離等措施，以確保證據不被修改或破壞。如圖2所示，可以使用法拉第包對手機進行隔離運輸。

圖2  法拉第包

1.1.3. 證據保存

對于已經關閉的手機，應盡量取下手機可拆卸電池，然后使用信號屏蔽容器進行設備封存并予以標記，封存前后應對手機進行拍照或錄像，照片或者錄像應當從各個角度反映手機封存前后的狀況，清晰反映封口或張貼封條處的狀況。對于處于運行狀態的手機，如需保持開機狀態，應將手機放置在專門設計的硬質容器中，防止無意觸碰按鍵，在封存時同樣需要使用信號屏蔽容器并對手機狀態進行拍照或錄像。除此之外，還應該建立一個所有可見證據的記錄，即現場所有的數字設備，包括其他移動設備、數據線、電源、媒體設備等，應將其一起拍照記錄下來，同時記錄下每個數字設備的報告。最后，現場獲取數據結束后，應對現場整體進行拍照記錄。

1.2. 證據獲取

證據獲取是對智能手機及其相關設備進行鏡像和獲取信息的過程。在現場進行證據獲取的好處是可以避免在運輸和儲存過程中由于電池耗盡、損壞等造成的信息損失。而如果要進行非現場證據獲取，則需要將手機封存好后由相關人員送回實驗室進行檢驗。送檢過程中要對送檢手機進行唯一性編號，同時要對送檢手機進行拍照并記錄其相關信息，包括品牌、型號和操作系統版本等。隨后在實驗室中要對手機數據進行檢驗分析，手機數據一般存儲在手機閃存、SIM卡以及外置存儲卡中。獲取手機閃存數據一般有一下幾種方法：

（1）手工獲取：不借助其他手機取證設備，對屏顯數據進行獲取；

（2）邏輯獲取：對送檢手機的文件系統進行獲取；

（3）物理獲取（鏡像獲取/JTAG）：對送檢手機文件系統進行鏡像備份，或使用JTAG方式進行獲取；

（4）芯片獲取：對送檢手機中的物理內存芯片進行獲取；

（5）微讀獲取：使用高倍電子顯微鏡對手機內存單元進行物理觀察以獲取數據。

在選用物理獲取時應該首先確定好手機主板各部分功能以及存儲芯片的位置，如圖3所示。

圖3 智能手機結構

通過智能手機取證設備或者SIM卡取證設備對SIM卡進行復制，從復制的SIM卡中提取數據。SIM卡中能提取到的數據包含IMSI、ICCID、短消息、通訊錄和通話記錄等。對于外置存儲卡數據的恢復和獲取，首先要對存儲卡進行唯一性編號以及拍照，然后對具備保全條件的檢材進行保全備份。在檢驗過程中，要提前用殺毒軟件對電子物證檢驗工作站系統進行殺毒，再把檢材通過只讀方式連接到電子物證檢驗工作站，計算檢材的哈希值，然后使用軟件工具進行數據恢復，將恢復的數據進行篩選后復制到檢驗專用存儲介質中，計算存儲介質的哈希值并進行唯一性編號，貼上標簽。

參考文獻

[1]. Lin X, Lin X, Lagerstrom-Fife. Introductory Computer Forensics[M]. Springer International Publishing, 2018.

[2]. 金波, 吳松洋, 熊雄, 等. 新型智能終端取證技術研究[J]. 信息安全學報, 2016 (3): 37-51.

[3]. 廖曉龍. 基于手機數據的司法取證方法研究與應用[D]. 貴州大學, 2019.

[4]. 陳光宣,劉雪花.手機取證的挑戰[J].中國信息安全,2019(05):69-70.

[5]. Fukami A, Stoykova R, Geradts Z. A new model for forensic data extraction from encrypted mobile devices[J]. Forensic Science International: Digital Investigation, 2021, 38: 301169.