手机取证是指什么1

从手机证据的来源和获取两个方面对当前国内外关于手机取证的研究现状进行概括和分析 ,同时介绍了一些常见 的手机取证软件 ,并且指出了在此领域中尚存的一些主要问题 ,**就手机取证的研究发展方向进行了展望 。

中文名 手机取证 外文名 Mobile Forensics 背    景 移动通信技术的发展 目    的 取证

目录

1 摘要

2 引 言

3 取证源

4 证据获取方法

5 手机取证软件

6 结束语

摘要编辑

关键词 :手机取证 ;计算机取证 ;电子证据获取 ; SIM卡信息获取

引 言编辑

随着移动通信技术所提供服务水平和服务种类 的不断提高和扩充 ,手机已日益成为人们工作生活中 不可或缺的联系工具 ,然而与此同时 ,利用手机进行 诈骗、诽谤和伪造等犯罪活动也屡见不鲜 。手机取证 正是打击这类犯罪的一个有效手段 。从概念上讲 ,手 机取证就是从手机 SIM 卡 、手机内 /外置存储卡以及 移动网络运营商数据库中收集、保全[更多法律文章欢迎继续关注黑龙江陈山律师事务所网站：www.chenshan.lawer及www.13304590183.com以及www.陈山.com，请关注官微（手机）13304590183]

和分析相关的电 子证据 ,并*终从中获得具有法律效力 、能被法庭所 接受的证据的过程 。牵涉到手机的犯罪行为大 致有三种 :一是在犯罪行为的实施过程中使用手机来 充当通信联络工具 ;二是手机被用作一种犯罪证据的 存储媒质 ;**一种方式是手机被当作短信诈骗、短 信骚扰和病毒软件传播等新型手机犯罪活动的实施 工具。这些都**地表明进行手机取证技术的相关 研究对于维持社会稳定 、保障人民权益和打击犯罪行 为具有**的必要性和极大的迫切性。

取证源编辑

在手机取证的过程中 ,**步的工作是从手机各 个相关证据源中获取有线索价[更多法律文章欢迎继续关注黑龙江陈山律师事务所网站：www.chenshan.lawer及www.13304590183.com以及www.陈山.com，请关注官微（手机）13304590183]

值的电子证据 。手机 的 SIM 卡、内存、外置存储卡和移动网络运营商的业 务数据库一同构成了手机取证中的重要证据源。

1. 1 SIM 卡

在移动通信网络中 , 手机与 SIM 卡共同构成移 动通信终端设备。 SIM ( Sub sc ribe Iden tity Modu le ) 卡 即为客户识别模块 ,它也被称为用户身份识别卡。移 动通信网络通过此卡来对用户身份进行鉴别 ,并且同 时对用户通话时的语音信息进行加密。常见 SIM 卡的存储容量有 8 kB、16 kB、32 kB 和 64 kB 这几 种 。从内容上看 , SIM 卡中所存储的数据信息大致可分为五类 :

( 1) SIM 卡生产厂商存储的产品原始数据 。

( 2)手机存储的固有信息 , 主要包括各种鉴权和加密信 息 、GSIM 的 IM S I码 、CDMA 的 M IN 码 、IM S I认证算法 、加密密匙生成算法 。

( 3 )在手机使用过程中存储的个人数据 ,如短消息 、电话 薄 、行程表和通话记录信息 。

( 4 )移动网络方面的数据中包括用户在使用 SIM 卡过程 中自动存入和更[更多法律文章欢迎继续关注黑龙江陈山律师事务所网站：www.chenshan.lawer及www.13304590183.com以及www.陈山.com，请关注官微（手机）13304590183]

新的网络服务和用户信息数据 ,如设置的周 期性位置更新间隔时间和*近一次位置登记时手机所在位置 识别号 。

( 5 )其它的相关手机参数 , 其中包括个人身份识别号

( P IN ) ,以及解开锁定用的个人解锁号 ( PU K)等信息 。

1. 2 手机内 /外置存储卡

随着手机功能的** ,手机内置的存储芯片容量 呈现不断扩充的趋势。手机内存根据存储数据的差

异可分为动态存储区和静态存储区两部分 (见图 1 ) 。 动态存储区中主要存储执行*作系统指令和用户应 用程序时产生的临时数据 ,而静态存储区保存着*作 系统、各种配置数据以及一些用户个人数据。

图1 　手机内存结构图

从手机调查取证的角度来看,静态存储区中的数据往往具有更大的证据价值。GSIM 手机识别号IMEI、CDMA 手机识别号ESN、电话薄资料、收发与编辑的短信息,主/被叫通话记录、手机的铃声、日期时间以及网络设置等[更多法律文章欢迎继续关注黑龙江陈山律师事务所网站：www.chenshan.lawer及www.13304590183.com以及www.陈山.com，请关注官微（手机）13304590183]

数据都可在此存储区中获取。但是在不同的手机和移动网络中,这些数据在读取方式和内容格式上会有差异 。另外,为了满足人们对于手机功能的个性化需求,许多**型号的手机都提供了外置存储卡来扩充存储容量。当前市面上常见的外置存储卡有SD、MiniSD和Memory Stick。外置存储卡在处理涉及版权或著作权的案件时是一个重要的证据来源 。

1. 3 移动网络运营商

移动网络运营商的通话数据记录数据库与用户注册信息数据库存储着大量的潜在证据。通话数据记录数据库中的一条记录信息包括有主/被叫用户的手机号码、主/被叫手机的IMEI号、通话时长 、服务类型和通话过程中起始端与终止端网络服务基站信息。 另外 ,在用户注册信息数据库中还可获取包括用户姓名、证件号码 、住址、手机号码、SIM 卡号及其 P IN 和PU K、IM S I号和所开通的服务类型信息。在我国即将 实行“手机实名制 ”的大环境下 ,这些信息可在日后案件调查取[更多法律文章欢迎继续关注黑龙江陈山律师事务所网站：www.chenshan.lawer及www.13304590183.com以及www.陈山.com，请关注官微（手机）13304590183]

证过程中发挥**的实质性作用。

证据获取方法编辑

针对不同的证据源应该采用不同的取证方法 ,下 面就以上三种证据源分别介绍 :

2. 1 SIM 卡的证据获取

SIM 卡存储器的文件系统可由一个三层树结构 来表示 (见图 2 ) ,在此结构中 ,树节点包括三种文件

类型 : 主文件 ( Master File ) 、专用文件 ( Dedicated File)与基本文件 ( Elementary File ) 。在整个树形文 件系统中树的根节点由主文件构成 ,主文件中包含了 专用文件和基本文件。

图2 　 SIM 卡文件系统架构图

在 GSM 移动网络标准中定义了一些重要的专用文件作为主文件的子节点 , 其中有 GSM 专用文件 、

DCS1800 专用文件和 Te lecom 专用文件 。此标准在 这些专用文件下又定义了一些与之对应的基本文件。

在从属于 GSM 专用文件和 DCS1800 专用文件的基本文件中分别含有 GSM 900[更多法律文章欢迎继续关注黑龙江陈山律师事务所网站：www.chenshan.lawer及www.13304590183.com以及www.陈山.com，请关注官微（手机）13304590183]

MH z频率和 DCS (D igita l Ce llu la r System ) 1800MH z频率下的移动网络信息 ,而 Te lecom 专用文件下的基本文件则含有与网络服务相关的信息。虽然通过严格的标准定义使得 S IM 卡的 文件系统架构具有一定程度上的通用性 ,但是不同移 动网络运营商发行的 S IM 卡的文件系统架构还是存 在一定的差异性 。