手機犯罪取證，IOS和Android系統(tǒng)實例

隨著移動互聯(lián)網技術發(fā)展，手機已成為人們工作生活中不可或缺的聯(lián)系工具，與此同時 ,利用手機進行詐騙、偽造和傳播色情等犯罪活動也屢見不鮮。手機取證正是打擊這類犯罪的一個有效手段。手機取證就是從手機安裝手機應用程序、手機內 /外置存儲卡及SIM 卡中收集和分析相關的數(shù)據證據。

目前牽涉到手機的犯罪行為大致有以下幾種 :

在犯罪行為的實施過程中使用手機來通信聯(lián)絡 ;
被用作犯罪證據的存儲介質，如照片、短信、QQ、微信聊天記錄 ;
手機被作為短信騷擾、詐騙和病毒軟件傳播等犯罪活動的工具。
用于民事取證，如婚外情調查。

手機取證所面臨的一些問題：

廠商與用戶的安全意識不斷提高，不斷產生的新的保護措施和加密技術手段.
手機存儲容量日益增大，取證平均耗時大大增加
手機存儲容量日益增大，取證平均耗時大大增加
從“怎么取”逐漸轉換為“怎么看”和“怎么用”

下面我們說一下手機取證遇到的一些常見問題，按照IOS（蘋果系統(tǒng)）和Android（安卓系統(tǒng)）進行了區(qū)分：

iOS: 高版本有密碼\iTunes備份加密\應用程序數(shù)據加密\刪除文件恢復\刪除應用程序恢復
Android：有密碼未開調試\高版本root問題\BL鎖\應用程序備份限制\應用程序刪除填充
以及對損壞、被破壞手機的取證

手機取證的一些常用方法

1，App備份限制

Android 6.0版本下，目前微信無法通過備份方式獲取導致微信提取結果為 0。解決思路： 1. 利用廠商自帶備份工具，將手機數(shù)據備份，隨后將廠商備份數(shù)據轉換為可解析格式后，進行數(shù)據提取和分析。 2. 少數(shù)非原生Android 6.0手機，通過提取root權限方式取得應用程序數(shù)據。

Android 4.x以及5.x版本下，部分應用程序限制了自身的備份，如騰訊QQ、微信、WhatsApp等。解決思路： 1. 首先將手機中的應用程序替換為舊版本。 2. 通過支持備份的舊版本進行備份。 3. 取證完成后，替換為原始版本。潛在問題：證據有效性問題、系統(tǒng)安全機制問題、數(shù)據完整性問題。

2，iOS高版本密碼

Android 4.x以及5.x版本下，部分應用程序限制了自身的備份，如騰訊QQ、微信、WhatsApp等。解決思路： 1. 找到iOS設備使用者對應的計算機，將Lockdown文件拷貝并移動至取證計算機，以實現(xiàn)無密碼建立信任關系。 2. 使用芯片替換的方法突破iOS的密碼嘗試次數(shù)限制，目前POC階段。