論移動電話電子數(shù)據(jù)獲取及取證分析

　　隨著計算機技術(shù)的快速發(fā)展,網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用,與計算機相關(guān)的高科技犯罪層出不窮,下面小編為大家?guī)�來了移動電話電子�?shù)據(jù)獲取及取證分析的論文，歡迎大家借鑒哦!

　　摘要：移動電話裝載了大量電子數(shù)據(jù)，這些數(shù)據(jù)往往成為查找犯罪線索、發(fā)現(xiàn)犯罪、證明犯罪的重要證據(jù)來源。本文將就移動電話電子數(shù)據(jù)取證進行研究，探討移動電話的電子數(shù)據(jù)獲取和取證分析的方法和程序。

　　關(guān)鍵詞：移動電話 電子數(shù)據(jù) 取證

　　一、移動電話電子數(shù)據(jù)的特點

　　(一)虛擬性

　　移動電話電子數(shù)據(jù)實質(zhì)上是按編碼規(guī)則處理的電磁信號，它處于電子虛擬環(huán)境中，需要通過存儲介質(zhì)及軟件載體表現(xiàn)出來。

　　(二)多樣性

　　和普通的物證、書證的單一性相比，移動電話電子數(shù)據(jù)表現(xiàn)得更為多樣，不僅可以表現(xiàn)為文本信息如短信，也可以表現(xiàn)為圖片、音頻、視頻等多媒體文件，還可以是GPS地理信息等等。

　　(三)易破壞性

　　移動電話電子數(shù)據(jù)由于存在于個人移動電話中，非常容易且快速地刪除，如通話記錄、短信等刪除操作簡便，或采用破壞移動電話機身的方式使電子數(shù)據(jù)無法提取。

　　(四)實時性

　　移動電話只要處于開機狀態(tài)，其基本處于實時在線狀態(tài)，隨時進行信息的交互，如會接收到電話、短信及GPS信息等，極易破壞原有數(shù)據(jù)，因此，在對移動電話取證時一定要屏幕信號，防止對原有檢材的破壞。

　　二、移動電話電子數(shù)據(jù)取證的原則

　　(一)合法性原則

　　移動電話電子數(shù)據(jù)取證的合法性原則，是指對移動電話電子數(shù)據(jù)證據(jù)的收集和分析必須依法進行，包括收集、分析的主體要合法，收集、分析證據(jù)的程序要合法，取證的技術(shù)方法要合乎規(guī)范。

　　(二)關(guān)聯(lián)性原則

　　移動電話電子數(shù)據(jù)取證，要求獲取的電子數(shù)據(jù)必須與案件事實存在著必然的客觀聯(lián)系，且對證明案件事實具有實際意義。電子數(shù)據(jù)證據(jù)對于案件有無聯(lián)系，決定著電子數(shù)據(jù)證據(jù)對于案件事實有無證明力，因此，在電子數(shù)據(jù)取證過程中必須收集與案件事實有關(guān)聯(lián)，能夠證明案件事實的電子數(shù)據(jù)證據(jù)。

　　(三)及時性原則

　　由于移動電話本身的脆弱性，破壞后便不易提取其中電子數(shù)據(jù)，移動電話中的電子數(shù)據(jù)存在于電子虛擬環(huán)境中，非常容易受到改動或破壞且不容易察覺和證實，而且移動電話會不斷接收信息及電話等，極其容易把原來刪除的內(nèi)容覆蓋，使之不容易恢復，電訊運營商對移動電話信息的保存也具有一定期限，過了期限則無法調(diào)取。這些限制都要求及時對移動電話的電子數(shù)據(jù)及時進行固定，以免受到破壞或毀損。

　　(四)安全性原則

　　由于移動電話本身的脆弱性，以及電子數(shù)據(jù)的易損性，使移動電話的電子數(shù)據(jù)極易受到破壞及毀損，因此，在取證過程中應(yīng)當保證：一是移動電話機不應(yīng)受到非合法管理人接觸，以防止毀損移動電話，破壞電子數(shù)據(jù);二是保管環(huán)境應(yīng)當安全，移動電話及其存儲卡應(yīng)當放在安全的環(huán)境中，使其電子數(shù)據(jù)不因環(huán)境影響而毀損;三是及時備份，對移動電話提取的電子數(shù)據(jù)應(yīng)當及時備份，防止因原始數(shù)據(jù)毀損而無法取證。

　　(五)證據(jù)流轉(zhuǎn)鎖鏈原則

　　移動電話確定為取證對象后，應(yīng)當有嚴格的證據(jù)流轉(zhuǎn)記錄，對每一個接觸人，每個接觸人對移動電話進行的所有操作，以及移動電話在部門和個人之間的流轉(zhuǎn)都應(yīng)當在詳細的記錄，防止數(shù)據(jù)的毀損及污染。

　　三、移動電話的電子數(shù)據(jù)取證

　　(一)移動電話存儲器

　　目前移動電話存儲器可分為三種類型：RAM、ROM和外置存儲卡。RAM(random access memory)即隨機存儲器，存儲單元的內(nèi)容可按需隨意取出或存入，且存取的速度與存儲單元的位置無關(guān)的存儲器。這種存儲器在斷電時將丟失其存儲內(nèi)容，故主要用于存儲短時間使用的程序。ROM是由英文Readonly Memory的首字母構(gòu)成的，原意為只讀存儲器。顧名思義，就是這樣的存儲器只能讀，不能像RAM一樣可以隨時讀和寫。它只允許在生產(chǎn)出來之后有一次寫的機會，數(shù)據(jù)一旦寫入則不可更改。它另外一個特點是存儲器掉電后里面的數(shù)據(jù)不丟失。但隨著技術(shù)的進步，ROM的功能也得到發(fā)展。在移動電話上，ROM它一部分固化了移動電話操作系統(tǒng)，這部分只能讀不能更改，要改只能整個系統(tǒng)更改(俗稱刷機)，剩余部分則可以像電腦硬盤那樣安裝運行程序和存儲數(shù)據(jù)，如QQ等程序軟件。

　　外置存儲卡則種類比較多，主要有以下幾種：MMC卡、RS-MMC卡、SD卡、miniSD卡、Trans Flash卡和索尼記憶棒等。MMC是Multi Media Card的縮寫，也就是多媒體卡的意思，是比較早期的移動電話使用的小型存儲卡。RS-MMC即Reduce Size MMC，也就是縮小尺寸的MMC卡，除了體積縮小外，它的主要性能與標準MMC卡完全一樣。SD卡(Secure Digital Memory Card，安全性數(shù)字存儲卡)，是一種基于半導體快閃記憶器的新一代記憶設(shè)備，擁有高記憶容量、快速數(shù)據(jù)傳輸率、極大的移動靈活性以及很好的安全性。mini SD卡，同RS-MMC卡一樣，mini SD卡只是減小了體積，其他方面與傳統(tǒng)SD卡并無差別。TransFlash(T-flash)存儲卡又稱micro SD，是目前大部分移動電話均使用這類存儲卡。索尼記憶棒(Memory Stick)又稱MS卡，是一種可移除式的快閃記憶卡格式的存儲設(shè)備，它包括了Memory Stick PRO(容許更佳的最大儲存容量和更快的傳輸速度)、Memory Stick Duo(Memory Stick的小型格式版本，包括PRODuo)、和比Duo更小的Memory Stick Micro(M2)，主要用于索尼移動電話。

　　隨著通訊技術(shù)及存儲技術(shù)的發(fā)展，現(xiàn)在移動電話的存儲器容量越來越大，使操作系統(tǒng)的功能越來越豐富，這些功能成為電子數(shù)據(jù)證據(jù)的重要來源：

　　(1)電話簿，電話簿里存儲著大量聯(lián)系人電話，是重要的取證對象;(2)通話記錄，包含著呼出、呼入及未接的記錄，新款智能移動電話一般機身都帶存儲器，因此對通話記錄條數(shù)沒有限制，能夠記錄所有通話記錄，而部分老款手機一般對通話記錄有限制，如呼入及呼出一共20條;(3)已發(fā)送、已收到、已刪除、草稿的短信及彩信，這些信息往往成為發(fā)現(xiàn)線索、證明事實的重要依據(jù);(4)錄音、錄像及圖片;(5)日期時間及日程安排信息;(6)存儲的文件及文檔;(7)GPS導航信息及地圖導航信息;(8)通訊工具如QQ、飛信等聊天記錄;(9)上網(wǎng)記錄，能夠記錄上網(wǎng)者的上網(wǎng)時間、網(wǎng)址、用戶名及密碼;(10)藍牙傳輸?shù)奈募��?/p>

　　對移動電話存儲器的取證程序一般應(yīng)遵循以下程序：

　　(1)如移動電話處于關(guān)機狀態(tài)下，應(yīng)先將移動電話充滿電;(2)將移動電話接入屏蔽袋里，防止移動電話接入網(wǎng)絡(luò)，接收來電及信息，并打開移動電話電源;(3)運行取證工具軟件，提取移動電話內(nèi)置存儲器中的電子數(shù)據(jù);(4)提取完后，關(guān)掉移動電話電源，取出移動電話卡及外置存儲卡;(5)運行取證工具，對外置存儲卡制作鏡像文件;(6)運行取證工具軟件，對外置存儲卡鏡像文件進行分析，提取與案件相關(guān)的電子數(shù)據(jù)。

　　(二)移動電話卡

　　移動電話卡在GSM網(wǎng)絡(luò)稱為SIM卡，是Subscriber IdentityModule客戶識別模塊的縮寫，也稱為智能卡、用戶身份識別卡;在3G網(wǎng)絡(luò)中移動電話卡稱為USIM，即Universal Subscriber Identity Module(全球用戶識別卡)的縮寫，是升級的SIM卡。移動電話卡可供通訊運營商對客戶身份進行鑒別，并對客戶通話時的語音信息進行加密。對移動電話卡取證時，應(yīng)該注意以下問題：

　　1.有些SIM卡是STK卡，如有些中國移動通信公司SIM卡是STK卡，里面固化了有移動通信公司的應(yīng)用交互程序，提供了超級號簿功能，里面分為三個電話簿，每個250條，一共750條，但只支持一個號簿在線，中國電信公司的USIM卡超級號簿則提供了四個號簿，每個250條，一共1000條，因此在提取時要注意全部提取。

　　2.由于每款取證工具軟件對每個移動電話卡的支持度并不相同，如A工具能提取80%電話簿，B工具能提取30%電話簿，因此，在條件允許的話，應(yīng)當盡量多嘗試幾款工具對移動電話卡進行提取。

　　3.對于老款非智能機來說，移動電話卡可能存有通話記錄，一般為10條或20條，因為機身本身不能存儲，而對于新款移動電話來說，通話記錄一般都存儲在機身上。

　　(三)通訊運營商

　　通訊運營商的數(shù)據(jù)庫中存有移動電話用戶的大量信息，通過數(shù)據(jù)庫可以查詢到每個用戶的個人登記信息，每個成功呼入、呼出的通話記錄，每次通話使用的信號基站，通過信號基站可以對通話時所處的位置進行定位，還可以查詢到一定時期內(nèi)的短信內(nèi)容。需要注意的是，移動運營商一般會存儲三個月到半年的用戶的通話記錄、短信、彩信以及通話時的信號基站信息，在獲取移動運營商的電子數(shù)據(jù)時，一定要在移動運營商的保存期限內(nèi)及時提取。

　　(四)移動電話操作系統(tǒng)外應(yīng)用程序

　　除了移動電話操作系統(tǒng)固化的應(yīng)用程序外，一些智能移動電話往往允許用戶自行安裝應(yīng)用程序，這些應(yīng)用程序也將成為收集電子數(shù)據(jù)證據(jù)的來源，如用戶安裝的QQ、飛信、微信、微博、google地圖等地圖類程序以及郵件程序，這些程序中存儲著聊天記錄、發(fā)表的博客、搜索地圖記錄、地理位置信息以及收發(fā)的郵件，這些電子數(shù)據(jù)都有可能成為證明案件事實的證據(jù)。

【論移動電話電子數(shù)據(jù)獲取及取證分析】相關(guān)文章：

論院校數(shù)據(jù)庫的安全性分析論文10-09

分析電子商務(wù)中的數(shù)據(jù)安全論文04-26

淺談數(shù)據(jù)分析在電子商務(wù)中的應(yīng)用10-08

論電子紅包對旅游產(chǎn)品營銷的可行性分析10-26

數(shù)據(jù)分析報告03-26

數(shù)據(jù)分析報告的模板10-09

數(shù)據(jù)分析報告優(yōu)秀03-07

數(shù)據(jù)分析報告通用02-14

數(shù)據(jù)分析簡歷模板09-30