【第十一期】移动终端取证工具篇

victor1208 2016-02-15

展开全文

移动终端主要指手机、平板电脑、车载电脑等具备操作系统和数据处理能力的便携类设备。2014年，全球共出售了近22亿台智能手机及平板电脑。据2014年全球互联网流量发起终端数据统计，手机占比31%，平版电脑占比6.6%，而PC已下降到62.4%。虽然舆论时常将2015年的手机市场喻做寒冬，但是根据TrendForce的预计，2015年全年全球智能手机出货量同比增长10.3%，而根据IDC的预计，这一数字也能达到9.8%。

随着移动终端的迅速发展，利用移动终端进行各类非法或犯罪行为的犯罪行为不断出现，而且呈现出高速增长的势头，这使得电子数据取证的主要目标从存储介质向移动终端延伸。据市场不完全统计，2015年的手机取证工具发展尤为迅速，仅国产工具就有厦门美亚柏科的DC-4501系列、上海盘石软件的SafeMobile、广州高奈特的全采通108系列、公安部第三研究所的取证先锋、大连睿海的RH-6900、效率源的SCE9168等。从近几年的发展趋势来看，未来几年将会是移动终端取证快速发展的黄金期。

2014年5月，美国国家标准与技术研究院NIIST发布了移动终端取证的操作指南NIST SP 800-101 Revision1 《Guidelines on Mobile Device Forensic》，将移动终端的取证分为5个层次：微读、芯片分析、十六进制镜像／JTAG、逻辑分析以及人工分析。

第一级：人工提取

移动终端取证在专业化的取证设备出现之前，都是直接在移动终端上查看相关数据，并使用相机等翻拍设备记录证据。这种方法任何一个取证人员都能胜任，但也存在相当的局限性。首先，这种检验手段仅能获取已有数据，对于删除的数据无法进行提取和固定，同时对于手机加密和破损的情况也无法应对。其次，必须保证该设备能正常开机，同时并未设置密码或者已知密码。即便能正常进行仍提取，机身存储的数据数量庞大对于取证人员手工查看和翻拍来说是一个相当大的工作量。最后，对于智能手机而言，这种检验手段无法快速定位到有效信息，同时也无法进行高效的关联。

手工提取的优点在于门槛底，且总会存在工具无法提取的移动终端。对于那些缺少其他提取固定手段的取证人员来说，这无疑是唯一的解决办法。目前，国内也有不少专用于翻拍的设备，可以在一定程度上减小翻拍的工作量，例如瑞源公司生产的EDEC 1030小型数码设备翻拍仪等。

第二级：逻辑提取

移动终端通过连接线（USB、RS232）或无线（蓝牙、红外、WiFi）等方式与取证专用硬件或安装软件的工作站连接，提取移动终端中的逻辑数据。大多数的逻辑提取都是由取证工具发出指令并由移动终端的处理器接收并返回相应的数据。虽然逻辑获取可以在一定程度上提取到已删除的数据，但是不能恢复在未分配空间的数据。同时，逻辑获取的数据量往往取决于移动终端是否越狱。最重要的是，使用逻辑获取的方法，会带来改变检材数据的风险。

目前，大多数移动终端取证工具都是基于逻辑提取的，主要分为硬件和软件两种。硬件设备的形态分为定制开模和平板电脑（笔记本）。而软件形态的产品，也需要配载连接线、适配器等设备才能使用。

第三级：十六进制镜像和JTAG提取

JTAG是一种国际标准测试协议，原先涉及的目的主要用于芯片内部测试。目前，JTAG提取方式常常用于处理已被密码锁定，或无法正常提取的设备。它使用标准JTAG（Joint TestAction Group）端口来访问已连接设备的原始数据。通过特殊的JTAG数据线和相关设备，以及对特定内存/芯片组型号或设备型号相匹配的引导文件，对兼容设备进行完整内存内容的提取。如果被检设备开启了“全盘加密”一类的功能，那么JTAG提取到的镜像也还是加密镜像。

对移动终端进行十六进制镜像可以完整的获取移动终端存储芯片中的数据，只要在未覆盖的情况下，被删除数据通常都可以被提取。对于智能手机而言，未越狱的iPhone4S及以后型号的手机在物理镜像的提取和解析上仍然无解。对于Android系统手机而言，针对不同品牌型号的手机，最广泛的几种技术即JTAG以及META模式的获取。当然也有检验工具利用手机本身的硬件漏洞和特殊协议直接进行芯片镜像。目前，移动终端取证工具支持十六进制镜像的越来越多，支持JTAG功能的取证设备也已经正式进入移动终端取证领域。

第四级：Chip-off芯片提取

Chip-Off技术是当前移动设备检验中，最复杂且最底层的数据获取技术。这种方法需要将移动终端中的存储芯片通过热风枪或拆焊台与主板剥离，清理芯片表面的焊锡，然后将芯片安装到芯片读取设备上，直接对芯片本身的电路和协议进行分析，获取其原始镜像或相关数据。Chip-off提取具有破坏性，对于设备和检验人员来说都有相当的技术挑战。此外，芯片提取对于iOS设备无效，因为其进行了硬件级加密。

由于价格、检验设备成熟程度、检验人员技术水平等多种因素的限制，目前这个层次的提取技术并不普及，但是随着越来越多的取证厂商开始涉及该领域的研究，相关芯片读取设备也开始推向取证市场，例如俄罗斯ACE的PC-3000 Flash、大连睿海的RH-6900、效率源的SCE9168等。

第五级：微读

微读技术是指在电子显微镜下对NAND或NOR芯片存储层进行微观状态的观察，并借助均衡磨损原理等固态介质存储理论进行数据还原。这种技术已经上升到电子取证领域的最尖端领域，完成这样的检验需要有具备整个领域深厚知识的专家级的团队、昂贵并且专用的设备以及大量的时间。目前在国际上都鲜有达到这个技术层次的执法机构。而且目前也没有商业微读技术设备。

《移动终端取证的操作指南》还列出了一些移动终端取证设备对应支持的提取层级。下表列出了本篇所提及的几款主流取证移动终端取证设备对应支持的提取层级。

1、UFED Touch

以色列Cellebrite公司是国际上最早生产的手机取证工具的厂商之一，其设备代表着移动终端取证设备的最高水平。UFED Touch是其生产的新一代、高性能的独立便携式手机司法分析工具设备，也是目前国际主流的手机取证工具。它支持以“位对位”的形式对手机、GPS、平板电脑以及中国山寨手机等大部分移动设备中的数据进行物理获取和深度分析。

2、XRY

瑞典MicroSystemation公司是全球最早从事手机信息取证及手机物证检验分析技术研发的企业之一。XRY是其推出的手机取证产品，目前已发展到了全新的第6代技术。XRY创造手机取证领域的多个第一，包括最早提出逻辑获取、物理获取，最早破解iPhone4锁屏密码，最早实现了Android系统微信解析，最早支持三星高端系列手机物理获取和解析，最早实现GPS和平板电脑数据获取解析。

XRY用户包括警察、执法机构、军队、政府情报机构以及法医实验室。客户遍及90多个国家与地区,产品被广泛用于搜集情报、调查欺诈和犯罪以及惩治腐败案件等。仅在英国，超过97%的警察队伍使用XRY进行手机移动设备的取证和数据恢复。目前，XRY分为办公室版、现场版和平板电脑版，比较普及的是其办公室版。

3、DC-4501

DC-4501手机取证系统是厦门美亚柏科信息股份有限公司自主研制生产的、用于手机数据提取和恢复并进行深度分析及数据检索的调查取证产品。该产品作为DC-4500手机取证系统的升级换代产品，集成了更高性能的主机设备，采集速度更快。

4、RH-6900

RH-6900是大连睿海推出的一款集逻辑提取、JTAG和芯片数据提取等多种方式的综合型手机数据提取分析系统。由于传统的移动终端取证工具都采用了逻辑提取和十六进制镜像的方式，很少有产品支持JTAG和芯片数据提取，因此该系统一经推出备受好评。

5、Oxygen Forensic Suite

Oxygen Forensic Suite2015是俄罗斯Oxygen Forensics公司最新推出的手机取证软件。Oxygen Forensic Suite产品系列一直是世界领先的移动设备数据提取和检验软件之一，从诺基亚等非智能机、Symbian、BlackBerry到现在的iOS、Android、Windows Phone、Oxygen Forensics公司不断完善其产品并适应市场对移动设备取证的需求。Oxygen产品系列被广泛使用在执法部门、警局、军队、海关、税务部门、企业和鉴定中心，并在超过50个国家中取得了良好的反馈。

6、MPE+

Mobile Phone Examiner Plus（简称MPE+）是美国AccessData公司推出的专用于手机数据检验的工具。MPE+能与综合分析软件FTK无缝集成，在同一界面内完成对手机数据和计算机数据的关联分析。

7、Secure View

Secure View是美国Susteen公司推出的手机取证软件，目前已发展到了第4代。美国Susteen公司是国际领先的手机取证和分析技术的解决方案供应商，专攻数据通信和移动通讯设备取证分析领域。Secure View广泛适用于执法机关、军事或民用、咨询机构、企业或教育领域的调查人员，在技术支持、数据管理及报告方面均表现卓越。