手机犯罪取证，IOS和Android系统实例

随着移动互联网技术发展，手机已成为人们工作生活中不可或缺的联系工具，与此同时 ,利用手机进行诈骗、伪造和传播色情等犯罪活动也屡见不鲜 。手机取证正是打击这类犯罪的一个有效手段 。手 机取证就是从手机安装手机应用程序 、手机内 /外置存储卡及SIM 卡中收集和分析相关的数据证据 。

目前牵涉到手机的犯罪行为大致有以下几种 :

• 在犯罪行为的实施过程中使用手机来通信联络 ;

• 被用作犯罪证据的存储介质，如照片、短信、QQ、微信聊天记录 ;

• 手机被作为短信骚扰、诈骗和病毒软件传播等犯罪活动的工具。

• 用于民事取证，如婚外情调查。

手机取证所面临的一些问题：

• 厂商与用户的安全意识不断提高，不断产生的新的 保护措施和加密技术手段.

• 手机存储容量日益增大，取证平均耗时大大增加

• 手机存储容量日益增大，取证平均耗时大大增加

• 从“怎么取”逐渐转换为“怎么看”和“怎么用”

下面我们说一下手机取证遇到的一些常见问题，按照IOS（苹果系统）和Android（安卓系统）进行了区分：

• iOS: 高版本有密码\iTunes备份加密\应用程序数据加密\删除文件恢复\删除应用程序恢复

• Android：有密码未开调试\高版本root问题\BL锁\应用程序备份限制\应用程序删除填充

• 以及对损坏、被破坏手机的取证

---

手机取证的一些常用方法

1，App备份限制

Android 6.0版本下，目前微信无法通过备份方式获取 导致微信提取结果为 0。解决思路： 1. 利用厂商自带备份工具，将手机数据备份，随后将厂商备份数据转换 为可解析格式后，进行数据提取和分析。 2. 少数非原生Android 6.0手机，通过提取root权限方式取得应用程序 数据。

Android 4.x以及5.x版本下，部分应用程序限制了自身的备份， 如腾讯QQ、微信、WhatsApp等。解决思路： 1. 首先将手机中的应用程序替换为旧版本。 2. 通过支持备份的旧版本进行备份。 3. 取证完成后，替换为原始版本。 潜在问题：证据有效性问题、系统安全机制问题、数据完整性问题。

2，iOS高版本密码

Android 4.x以及5.x版本下，部分应用程序限制了自身的备份， 如腾讯QQ、微信、WhatsApp等。解决思路： 1. 找到iOS设备使用者对应的计算机，将Lockdown文件拷贝并移动至 取证计算机，以实现无密码建立信任关系。 2. 使用芯片替换的方法突破iOS的密码尝试次数限制，目前POC阶段。

1吹下iPhone Flash芯片，并使用复制设备制作副本；

2将副本使用测试架桥接至iPhone主板，开机；

3穷举密码，5-10次为一轮；

4如触发长时间锁定或触发数据抹除，则更换副本；

5重复上述步骤，直至解锁。

3，Android高版本设置密码/无调试解决方案

在Android 4.4以上，尤其是Android 5.x版本中，用户设置密码 无法进入用户交互开始调试和允许调试.

在设备没有Bootloader锁定的情况下，通过刷入第三方Recovery程 序实现备份（如TWRP）。针对有Bootloader锁定的，根据情况采用芯片级取证方案。

4，芯片级取证解决方案

目前，手机芯片级解决方案主要适用于以下几种情况：

1. 手机损坏，无法通过在线提取方式进行取证；

2. Android手机设置密码，无法破解或者绕过的；

3. 部分非智能手机无可用数据接口或通讯协议。

---

路将越走越窄，日子会越来越难，以后的手机取证我们还会遇到更多的困难：

• Android 6.0原生设备，全盘加密

• 更多的BL锁定

• App加密

• App数据抹除、阅后即焚

• 云端存储

• 新兴系统（YunOS）

• 移动支付相关信息和安全保护