美（měi）亞柏科取證大師（shī）

美亞取證（zhèng）大師專業版（bǎn）是一款專為安（ān）卓手機打造的取（qǔ）證軟件，能夠由任何人實時的驗證電子數據的起源、時間和完整性，是（shì）您取證時方便（biàn）的工具，有效防（fáng）止司法證據被悄然篡改。歡迎下載。

軟件簡介：

美亞取證大師作為（wéi）國內（nèi）最專業的安卓手機取證軟件，它取證的（de）實際效（xiào）果與效率自然不必多（duō）說（shuō）。小編這裏給大家帶來最新取證大師專（zhuān）業版，內附詳細的操作使用流程，專業取證，就是（shì）取證大師（shī）！

手機（jī）取證源：

在手機取證的過程中，第（dì）一步（bù）的工（gōng）作是從手機各個相（xiàng）關證據源中獲取有線索價值的電子證（zhèng）據。手機的（de）SIM卡、內存、外置存儲卡和移動網絡運營商的業務數據庫一同構成了手機取證中的重要證據源。

1.移動網絡運營商

移動網絡運營商的通話數據記錄（lù）數據（jù）庫與用戶注冊信息（xī）數據庫存（cún）儲著大量的潛在證據。通話數據記錄數據（jù）庫中的一條（tiáo）記錄信息包括有主/被叫用戶的手機號碼、主/被叫手機的IMEI號（hào）、通話時長、服務類型和通話過程中起始端與終止端網絡服務基站（zhàn）信息。另外，在（zài）用戶注冊信息數據（jù）庫中還可獲取包括（kuò）用戶姓名、證件號碼、住址、手機號碼、SIM卡號及其PIN和PUK、IMSI號和所開通的（de）服務類型（xíng）信息。在我國即將實（shí）行“手機實名製”的大環境下，這些信息可在日後案件調查取證過程中發揮巨大（dà）的實（shí）質（zhì）性作用。

2.SIM卡

在移動通信網絡中，手機與（yǔ）SIM卡共同構成移動通信終端設備。SIM（SubscribeIdentityModule）卡即（jí）為（wéi）客戶（hù）識別模塊，它也被稱為用戶身份識別卡。移動通信網絡通過此卡來對用戶身份進行鑒別，並且同（tóng）時對用戶通話時的語音信息進行加密（mì）。目前，常見SIM卡的（de）存儲容量有8kB、16kB、32kB和64kB這幾種。從內容上看，SIM卡中所存儲的數據信息（xī）大致可分為五類（lèi）：

（1）SIM卡生產廠商存儲的產品原始（shǐ）數據。

（2）手機存儲的固有信息，主要包括各種鑒權和（hé）加密信息、GSIM的IMSI碼、CDMA的MIN碼、IMSI認證算（suàn）法、加密密（mì）匙生成算法。

（3）在手機使用過程中存儲的個（gè）人數據，如（rú）短消息、電（diàn）話薄、行程表和通話（huà）記錄信息。

（4）移動網絡方麵的數（shù）據中包括用戶在使（shǐ）用SIM卡過程中（zhōng）自動存入和更新的網絡服務和用戶（hù）信息數據，如設置的周期性位置更新間隔（gé）時間和最近一次位置登記時手機（jī）所在位置識別號。

（5）其它的（de）相關手機參數，其中包括個人身份識別號

（PIN），以及解（jiě）開鎖（suǒ）定用的（de）個人解鎖號（PUK）等信息。

3.手機內/外置存儲卡

隨著（zhe）手機功能的增強，手機內置的存（cún）儲芯片容量呈現不斷擴充（chōng）的趨勢。手機內存根據存儲數據的差

異可分為動態存儲區和靜（jìng）態（tài）存儲（chǔ）區兩部分（見圖1）。動（dòng）態存儲區中（zhōng）主（zhǔ）要存儲執行操作係（xì）統指令和用戶應用程序時產生的臨時數（shù）據，而靜態存儲區保存著操作係統、各種配置數據以及一些用戶個人數據。

從手機調查取證的角度來看，靜態存儲區中的數（shù）據往往具有更大的證據價（jià）值。GSIM手機（jī）識別（bié）號IMEI、CDMA手機識別號（hào）ESN、電（diàn）話薄資料、收發與編輯的短信息，主（zhǔ）/被（bèi）叫通話記錄、手機的鈴聲、日期（qī）時間以及網絡設置等數據都可在此存儲區中獲取。但（dàn）是在不同的手機和移動網絡中，這些數據在讀（dú）取方式和內容格式上會有差異。另外（wài），為了（le）滿足人們對於（yú）手機（jī）功能（néng）的個性（xìng）化需求，許多品（pǐn）牌型號的手（shǒu）機都提供了外置存儲卡（kǎ）來擴充存儲容（róng）量。當前（qián）市麵上常見的外置存儲卡有SD、MiniSD和MemoryStick。外置存儲卡在處理涉及版權或著作權的案件時是（shì）一個重要的證據來（lái）源。

取證流程（chéng）：

第1步：前期準備

首（shǒu）先，從百度下載一張“。jpg”格式的圖片（piàn）複製到手機（jī）內置存儲空間根目錄下，文件名為“meiya.jpg”，如圖1所示。

在手機中向“1234567890”這個號碼（當然了，這個號碼並不存在）發送一（yī）條短信，內容是“mobiles Forensics”，如圖2所示。

第2步：刪除相關信息

在手機文件管理器中刪除圖1中所示的圖片“meiya.jpg”；在手機中刪除剛才發送的短信，如圖3所示。

第3步：使用手機助手獲取短信

將手（shǒu）機連接電腦，分別使用小米手機助手和91手機助手查看、導出短（duǎn）信，沒有發現剛才刪除的那條短（duǎn）信。

第（dì）4步：使用ADB Shell查看文（wén）件

在電（diàn）腦上安裝adb.exe（“adb”是（shì）“androids Debug bridge”的縮寫，大部（bù）分手機助（zhù）手都自帶且安裝了adb.exe），在命（mìng）令提示符中（zhōng）將（jiāng）工（gōng）作目錄切換到adb.exe所在目錄（lù），輸入“adb shell”進入ADB Shell 模式，接著輸入（rù）“su”獲（huò）取Root權限，輸入“cd /mnt/sdcard”切換當前工作路（lù）徑（jìng）到手機（jī）內置（zhì）存（cún）儲（chǔ）空間根目錄下，輸入“ls -l”查看詳細文件（jiàn）/文件夾列表，沒（méi）有（yǒu）發現（xiàn）剛才刪除的圖片“meiya.jpg”。如圖4所示（shì）。

第5步：獲取手機鏡像

使用DC-4500手機取證係統（tǒng）“工具箱（xiāng）”中的“androids鏡像（xiàng）下載”工具獲取手機“/data”分區的dd鏡像，如圖5所示。

第6步：分析鏡像

使用winhex打開（kāi）剛才創建的（de）dd鏡像，在其偏移02BE522FB附近（jìn）找（zhǎo）到了如圖6所示內容，我們可以看到（dào）剛才發（fā）送的短（duǎn）信內容“mobiles Forensics”，並在附近發現了發送的號（hào）碼1234567890，同時（shí）還在附近發現了一串數字（zì）“11*****39”，這是這部手機登（dēng）錄的小米帳號。

接下來，還在鏡像（xiàng）文件（jiàn）偏移005CCFFF0附件中找到了如圖7所示的內容，根據經驗判斷，這（zhè）裏有（yǒu）“。jpg”格式圖片的文（wén）件頭，繼續往下看，還找到了一個“。jpg”格式文件的結束標識。將這之間的內（nèi）容另存為一個文件“未（wèi）命名”，使用“Windows照片查看器”順利打開，如圖8所示。

結（jié）果分析

第3步代（dài）表邏輯提取，各種手機助手都可以進行基本的邏輯（jí）提取，這種邏輯提取使用的是androids係統讀取短信的API，但（dàn）係統並沒有獲取已刪除短信的API，所以邏輯提取無法獲取到已刪除的短信。其實邏輯提取還可以通過（guò）備份的方（fāng）式將相關數據備（bèi）份出來然後解析，例如美亞柏科的手機取證產品DC4501、FL-900等就能從androids手機的備份文件中提取一些刪除的（de）短（duǎn）信等內容。

第（dì）4步代表邏輯瀏覽。在ADB Shell中無法看到“meiya.jpg”也很好理（lǐ）解，因為圖片已經刪（shān）除（chú）了，ADB Shell中隻能顯示文件係統認為存在的文件（jiàn），文件刪除後，文件係統就認為此文件已經不存在了。

第5步和第6步代表物理獲取。上述例子在運行的係統中獲取的鏡像其實（shí）還不是真正的“物理鏡像”，更徹底的物理鏡像是通（tōng）過Chip Off（拆取芯片）等離線方式獲取鏡像。通過物理鏡像這種方式最全麵，在取證中（zhōng）效果最好。之所以在手機上刪除了還能恢複，是因（yīn）為原內容並沒有被（bèi）覆寫，隻要原始數據（jù）還在，就可以恢複。這就好比一本書的目（mù）錄（lù）中塗掉了一些章節，如果隻看目錄，就會以為這些章節不存在了，但是（shì）隻要這些章節的具（jù）體內容還沒有塗抹掉，一頁一頁地去尋找（zhǎo），就一定能夠找到。

目前androids係統（tǒng）並（bìng）沒有對存儲設備進行全盤加密，隻要獲取到了物（wù）理鏡像，然後使用十六進（jìn）製編輯（jí）器查看，可以發現很多線索。當然了，這樣查看需要了解常見文（wén）件簽名、編碼等眾多知識和豐富的經驗，而且效率往往不高。當遇到一些文件已經部分損壞的情況，可能還需要文件雕刻知（zhī）識。可以使用一些（xiē）自動化的工具，比如開源的scalpel。

androids係統（tǒng）中的分區一般是Ext4文（wén）件係統（tǒng），使用對應的數據恢複軟件（jiàn）也可以很方便地進行數據恢複。例如在（zài）此例中，使用取證大師電子數據分析係（xì）統加（jiā）載（zǎi）此dd鏡像，使用簽名恢複恢複出了25177個圖（tú）片，其中（zhōng）就包括例子中刪除的那（nà）張。如圖9、圖10所示。

目前，大（dà）部分手機連接電（diàn）腦查看、管理手機中的文件都是通過MTP模式而不是優盤模式，這樣（yàng）做的好處是不需要考（kǎo）慮手機中文件係統格式，也不會因（yīn）為電腦獨占手機存儲空間而導致手（shǒu）機中一些依賴sdcard分（fèn）區的程序運行異（yì）常。而MTP模式是在文件係統層之上的（de），MTP連接模式下無法進行數據恢複。製作物理鏡像則沒有這一擔憂。

另外，手機（jī）在運行過程中，係（xì）統運行、程序運行、用（yòng）戶操作（zuò）都會都對手機中的數據造成持續的改變。從盡量保持檢材數據原始性的角度，製作（zuò）手機鏡像是最好的選擇。