|
目 录 1范 围 2术语和定义 3现场获取 4实验室检验 5检出数据 6检验记录 1范 围 本技术规范规定了电子数据鉴定中手机电子数据提取的方法和流程步骤。 本技术规范适用于各类手机内置存储数据、存储卡中数据和SIM卡中数据的检验。 2术语和定义 SF/Z JD0400001-2014和SF/Z JD0401001-2014界定的以及下列术语和定义适用于本技术规范。 2.1SIM卡Subscriber Identity Module Card 保存移动电话服务的用户身份识别数据的智能卡,也称为用户身份模块卡。SIM卡主要用于GSM系统,但是兼容的模块也用于UMTS的UE CUSIM)和IDEN电话。CDMA2000和CDMA One的RUIM卡和UIM卡,也称作SIM卡;按照物理规格可分为Full-Size, Mini-Size, Micro-Size和Nano-Size。 2.2外置存储卡 Removable Storage Card 用于扩展数字移动电话存储空间的外部闪存介质。 2.3信号屏蔽容器 Radio Isolation Container 可完全隔离手机所具备的3G, GSM, Wifi、红外和蓝牙等通信信号的容器,如信号屏蔽袋。 2.4PIN Personal Identity Number PIN码(PIN1)是用户和SIM卡系统间的身份识别密码,只有用户输入的PIN码和SIM卡系统中存储的密码相同时,用户才被授权访问。 2.5IMSI International Mobile Subscriber Identification Number 国际移动用户识别码(CIMSI)是区别移动用户的标志,储存在SIM卡中,可用于区别移动用户的有效信息。其结构为MCC+MNC+MSIN,其中MCC是移动用户所属国家代号,占3位数字;MNC是移动网号码,由两位或者三位数字组成,用于识别移动用户所归属的移动通信网;MSIN是移动用户识别码,用以识别某一移动通信网中的移动用户。 2.6ICCID Integrate circuit card identity 集成电路卡识别码(ICCID,为SIM卡的唯一识别号码,共有20位数字组成,其编码格式为: XXXXXX OMFSS YYGXX XXXXX,其中前六位运营商代码。 2.7JTAG Joint Test Action Group 一种国际标准测试协议,主要用于芯片内部测试及对系统进行仿真、调试,JTAG技术是一种嵌入式调试技术,它在芯片内部封装了专门的测试电路TAP C Test Access Port测试访问口),通过专用的JTAG测试工具对内部节点进行测试。 2.8IMEI International Mobile Equipment Identity 国际移动设备识别码(手机序列号),用于在手机网络中识别每一部独立的手机,是国际上公认的手机标志序号。 3现场获取 3.1准备 在进行手机电子数据现场获取之前,需分析案情并进行准备工作,包括: a)现场获取的目的和范围; b)现场获取的人员,需明确分工,落实责任; c)明确手机现场获取需携带的仪器设备; d)明确手机现场获取采用的方法、标准和规范; e)明确手机现场获取步骤; f)明确手机现场获取操作可能造成的影响。
3.2证据获取 3.2.1静态获取 对于已经关闭的手机,在法律允许的范围内并在获得授权的情况下,对手机进行拍照或者拍摄,获取并记录手机的相关附件设备和信息,包括但不限于: a)手机品牌和型号; b)手机唯一性标示(如:IMEI号); c)手机SIM卡和外置存储卡; d)手机的启动密码和PIN码; e)手机附件设备(如:电源线、数据线和其它配备设备)和相关手册。 3.2.2动态获取 3.2.2.1对于处于运行状态的手机,如未启用安全验证机制(如开机密码和PIN码)或能获取解决安全验证机制的方法,应按照3.2.1方法进行获取,并记录手机的操作系统。 3.2.2.2如手机已启用安全验证机制(如开机密码和PIN码),且无法获取解决安全验证机制的方法,应将手机从无线网络隔离后提取数据。将手机从无线网络隔离的方法包括: a)电子/射频屏蔽; b)设置为“飞行”模式; c)禁用Wi-Fi、蓝牙和红外通信。 3.2.2.3如需获取证据数据的手机正连接计算机进行同步,应采取以下措施: a)在获取计算机安全机制的情况下,关闭计算机电源,防止数据传输或同步覆盖; b)同时获取手机和连接的数据线、底座和与其同步的计算机,用于从计算机的硬盘中获取手机中未获取的同步数据; c)不可取出手机中的数据存储卡和SIM卡。
3.3封存 3.3.1已经关闭的手机,应采取以下措施进行封存: a)如手机的电池可拆卸,应取下电池; b)使用信号屏蔽容器进行封存,并予以标记; c)封存前后应对手机进行拍照或录像,照片或者录像应当从各个角度反映手机封存前后的状况,清晰反映封口或张贴封条处的状况。 3.3.2处于运行状态的手机,如需保持开机状态,应采取以下措施进行封存: a)使用带有适配电源的信号屏蔽容器进行封存,并予以标记; b)将手机放置在专门设计的硬质容器中,防止无意触碰按键; c)封存前后应对手机进行拍照或录像,照片或者录像应当从各个角度反映手机封存前后的状况,清晰反映封口或张贴封条处的状况。 注1:信号屏蔽容器在使用前需经过测试,确保对3G、 GSM、W工FI、红外和蓝牙等通信信号的屏蔽。 注2:手机信号与基站通信并非实时,当手机放入信号屏蔽容器中,信号完全屏蔽需要等待10-20秒时问。 注3:对于多个送检手机,应独立封存,防比送检手机之问的交叉污染。 4实验室检验 4.1记录送检手机的情况 4.1.1对送检手机进行唯一性编号。 4.1.2对送检手机进行拍照,并记录其特征。 4.1.3获取和记录送检手机的相关信息,应包括但不限于: a)品牌、型号和操作系统; b)唯一性标示; c)SIM卡; d)外置存储卡; e)开机密码和PIN码; f)附件设备(如:电源线、数据线和其它配备设备)和相关手册。
4.2数据的检验分析 4.2.1手机存储数据获取 根据送检要求,对送检手机的获取可分层次进行,根据情况选择以下的一项或多项进行: a)手工获取:不借助其他手机取证设备,对屏显数据进行获取; b)逻辑获取:对送检手机的文件系统进行获取; c)物理获取(镜像获取//JTAG}:对送检手机文件系统进行镜像备份,或使用JTAG方式进行获取; d)芯片获取:对送检手机中的物理内存芯片进行获取; e)微读获取:使用高倍电子显微镜检验对手机内存单元进行物理观察以获取数据。 注1:根据送检要求,可对送检手机进行提高操作权限的检验手段<如root等>。 4.2.2SIM卡的数据获取 通过手机取证设备或者SIM卡取证设备对SIM卡进行复制,从复制的SIM卡中提取数据。SIM卡中提取的数据包含但不限于: a)IMSI; b)ICCID: c)短消息; d)通讯录; e)通话记录。 4.2.3外置存储卡数据获取 外置存储卡中数据的恢复和获取按照GB/T 29360——2012和GA/T 756——2008的要求进行。 5检出数据 计算检出数据的哈希值,并复制到专用的存储介质中。 6检验记录 检验时需做好检验记录,记录应贯穿整个检验过程,记录的内容应包括但不限于: a)检验开始的时间和日期; b)送检手机和相关附件的物理状况; c)送检手机接受时的状态(关闭或开启); d)送检手机的品牌、型号、服务提供商等信息; e)检验过程中使用的方法、标准和规范; f)检验过程中使用的软、硬件工具; g)检验过程所在的环境; h)检验的人员信息; i)检验过程中发生的异常; j)检验过程数据。 戴卫祥 律师 戴卫祥,男,辽宁东亚律师事务所合伙人,三级律师,工学、法学学士学位。现任辽宁省律师协会政府法律顾问专业委员会委员、辽宁省省级人民监督员,大连市律师协会房地产与建设工程法律专业委员会副主任,大连市司法局法律顾问。 2001年从事法律工作,具有多年工作经验、律师执业经验及4年工程建设现场管理经验,先后担任恒大集团大连公司、辽宁公司监察室主任。执业以来,代理过建设工程鉴定、刑事鉴定、机动车交通事故鉴定、医疗损害及医疗产品质量鉴定、消防工程鉴定、环境损害鉴定等各类司法鉴定案件,积累了丰富的司法鉴定办案经验,并成功代理过多起通过司法鉴定确定无罪的刑事、司法鉴定行政确认等案件,在司法鉴定专业有深入、系统的研究和实践。 执业期间,秉承“忠实、勤勉、认真、专业”的执业理念,为多家企业及个人办理几百起成功案件,以认真细致地专业服务,赢得了当事人的一致认可和信赖。 |
|
|
