目前牵涉到手机的犯罪行为大致有以下几种 :
手机取证所面临的一些问题:
下面我们说一下手机取证遇到的一些常见问题,按照IOS(苹果系统)和Android(安卓系统)进行了区分:
手机取证的一些常用方法
Android 6.0版本下,目前微信无法通过备份方式获取 导致微信提取结果为 0。解决思路: 1. 利用厂商自带备份工具,将手机数据备份,随后将厂商备份数据转换 为可解析格式后,进行数据提取和分析。 2. 少数非原生Android 6.0手机,通过提取root权限方式取得应用程序 数据。 Android 4.x以及5.x版本下,部分应用程序限制了自身的备份, 如腾讯QQ、微信、WhatsApp等。解决思路: 1. 首先将手机中的应用程序替换为旧版本。 2. 通过支持备份的旧版本进行备份。 3. 取证完成后,替换为原始版本。 潜在问题:证据有效性问题、系统安全机制问题、数据完整性问题。
Android 4.x以及5.x版本下,部分应用程序限制了自身的备份, 如腾讯QQ、微信、WhatsApp等。解决思路: 1. 找到iOS设备使用者对应的计算机,将Lockdown文件拷贝并移动至 取证计算机,以实现无密码建立信任关系。 2. 使用芯片替换的方法突破iOS的密码尝试次数限制,目前POC阶段。 1吹下iPhone Flash芯片,并使用复制设备制作副本; 2将副本使用测试架桥接至iPhone主板,开机; 3穷举密码,5-10次为一轮; 4如触发长时间锁定或触发数据抹除,则更换副本; 5重复上述步骤,直至解锁。
在Android 4.4以上,尤其是Android 5.x版本中,用户设置密码 无法进入用户交互开始调试和允许调试. 在设备没有Bootloader锁定的情况下,通过刷入第三方Recovery程 序实现备份(如TWRP)。针对有Bootloader锁定的,根据情况采用芯片级取证方案。
目前,手机芯片级解决方案主要适用于以下几种情况: 1. 手机损坏,无法通过在线提取方式进行取证; 2. Android手机设置密码,无法破解或者绕过的; 3. 部分非智能手机无可用数据接口或通讯协议。
|
|