手機取證工具調研及質量評價

仲利靜， 田雪梅， 龍 源， 廖才軼， 劉 靜， 劉浩田， 盧 亮， 馬紀強， 朱士元

（公安部鑒定中心， 北京 100038）

0 引 言

隨著社會經濟和信息技術的快速發展，手機中存儲的數據呈爆炸性增長，涉及到使用者的衣食住行等各個方面，可記錄使用者的日常行為、通聯對象、運動軌跡等信息［1］。 因此，對于手機數據的提取和分析，在實戰中發揮著越來越重要的作用，已經成為案件偵辦的重要手段。 手機取證工具可針對手機、sim 卡、SD 卡、手機備份文件、手機鏡像等檢材進行取證、分析、導出報告，并可繞過、破解手機屏幕鎖、應用鎖，恢復刪除數據。 本文對國內不同類型手機取證工具進行了調研分析，提出手機取證工具存在的問題及面對的挑戰，并對國內外產品質量評價進行了探討。

1 手機取證工具現狀及需解決的問題

目前國內外研發了多種產品化的手機取證工具， 如 國 外 Cellebrite 的 UFED、 Susteen 的SecureView、Oxgen 的Oxgen Forensic Suite、 Micro Systemation 的XRY 等等。 其中，Cellebrite 公司的UFED Touch［2］，支持獲取手機物理鏡像、邏輯和文件系統；支持對iOS 系統的用戶密碼獲??；支持對BlackBerry?操作系統的解密和解析以及山寨機數據提取。 美國Susteen 公司的SecureView4 手機取證包［3］，可支持上千種手機，支持物理提取和邏輯提取，支持時間軸、關聯圖、活動統計圖和網絡行為等數據分析。 國內手機取證工具按照功能和提取檢材對象的不同，大致分為以下類型：反詐手機快速取證工具、手機解鎖取證工具、云取證工具、手機數據恢復工具、手機數據分析工具、手機綜合取證工具等。

由于廠家技術優勢不同，手機數據恢復工具、解鎖工具及數據分析工具、云取證等不僅可作為內嵌功能模塊組合成產品，也可作為單獨產品。 而隨著各手機廠商對手機數據安全保護機制的優化、應用程序的升級及新設備以及新環境的快速發展，手機取證面臨新的挑戰。 如：密碼鎖／屏幕鎖機制越發復雜、刪除數據恢復率低、小眾APP 取證難、云取證能力不足等問題急需解決。 受各種因素所限，本文僅對國內主流手機取證工具進行調研分析，見表1。

表1 國內產品調研分類Tab.1 Categories of domestic product

1.1 反詐手機快速取證工具

該類產品主要用于對智能手機中指定數據進行快速采集，可解決基層采集受害人手機速度慢、操作繁瑣、隱私保護不足的問題。 針對目前電信網絡詐騙高發，證據線索獲取難度大的現狀［4］，可從受害人手機入手，實現詐騙人相關信息的快速提取，并可將數據一鍵上傳后臺進行匯聚和分析挖掘。 為后臺的綜合分析研判提供大量標準化數據。

產品特點如下：

（1）操作簡便：向導式操作，適合現場基層民警使用；

（2）提取全面：可獲取物證中的短信、聯系人、通訊錄、聊天記錄、照片、語音、圖片、視頻等數據，支持錄屏、截屏方式提取數據；

（3）多種提取方式：APP 解析支持二維碼、直連等多種方式提取涉詐APK、IPA 信息，并進行快速靜動態解析；

（4）隱私保護：可實現“非接觸式采集”，由被采集人選擇被采集數據，保護隱私；

（5）可通過選配高拍儀實現拍照固定證據，并可通過OCR 識別功能錄入手機檢材、證件及支付憑證等信息，支持電子簽名；

（6）可生成標準數據包和證據固定清單。

此類產品雖然提取速度快、操作簡單，但相應提取數據的全面性不如實驗室設備，且提取速度依賴網絡環境。 產品在OCR 識別錄入信息正確率方面，差別較大。

電詐案件發展至今，詐騙通聯已由QQ、微信等傳統通聯工具引流轉移到短視頻社交平臺、小眾通聯APP 上，此類應用程序種類繁多，大多僅支持截屏、錄屏方式提取固定數據，面臨提取結構化數據難的困境。 目前，APP 存活時間短、變異快、防護高等問題，整體表現出新型引流APP 勘查效率低、無法提取結構化數據，涉詐APP 難以分析出真實服務器等問題。 因此，應加強除支付寶、微信、QQ 以外的應用程序數據提取能力。

1.2 手機鎖屏密碼解鎖／提權

手機中的聊天、行程、支付等應用可為案件突破帶來關鍵性線索，進行手機解鎖及提權獲取手機取證權限，對取證有重要意義。 此類產品內置多種解鎖及物理／邏輯鏡像提取技術，具備手機解鎖、提權及機身數據無損鏡像提取固定功能［5］，同時配合專業化的取證工作站，可以實現多部手機同時提取固定的多任務工作。

目前，廠家破解密碼類型主要針對數字密碼，小米、三星、vivo 等部分型號可以支持任意密碼移除，而華為鴻蒙2.0 以上、OPPO 較新型號、三星高通芯片組系列、安卓11 及以上系統版本的手機破解難度較大。 安卓手機利用取證工具進行的提權操作，提權后的安卓手機可獲取較完整的邏輯鏡像，有利于最大程度獲取和恢復手機數據。 由于安卓高版本系統全盤加密原因，且目前主流高通芯片組在常規情況下破解密碼難度較大，利用取證軟件工具可實現部分破解，新型號和系統版本可能需要拆機拆芯片等操作，因此需要送檢取證實驗室進行破解［6］。 安卓8 以后，手機芯片全盤加密以及安卓系統的安全性不斷提升，鏡像數據提取越來越困難，不同品牌型號和系統版本的手機提權技術不同，產品普適性較差。 iPhone 手機可以利用臨時越獄等技術實現對解除屏幕鎖的手機進行提權，以達到提取常規備份無法獲取的數據。

此類產品解鎖／提權難度越來越大，迭代后的手機解鎖／提權成功率低，避開密碼鎖和設備鎖的手機取證方式及更新加密技術，研究各種芯片取證技術將是取證工具的發展趨勢。

1.3 云取證工具

該類產品能夠將手機APP 云端的數據下載，固定到本地設備。 通過云端備份數據固定解析，獲取通訊錄、備忘錄、圖庫、云盤等數據；其中包含支付類、銀行類、交通旅行、社交類、購物類、郵件類等，覆蓋“衣食住行游購娛”等各個方面。 可實現云端數據提取，支持獲取手機廠商云備份數據，其中包括華為、vivo、OPPO、小米等主流手機廠商的產品。

由于電子數據規模大，異構數據的混合存儲，大量結構化、半結構化、非結構化的數據同時存儲在云服務端，增大了取證和分析難度［7］。 另外，在云計算平臺下篡改和刪除的數據難以恢復。 云服務提供商為保護用戶和數據隱私，會將用戶刪除數據及相關的元數據完全刪除，為云取證帶來挑戰。 目前產品差異較大，部分產品在未登錄APP 的情況下無法提取云端數據，因此應加強研究云環境中的電子證據固定保全、海量取證數據分析技術。

1.4 手機應用程序逆向分析工具

該類產品可在檢測手機或模擬器上完成動靜態行為檢測，是一種對APP 后臺網絡行為進行實時分析的工具。 可通過多種逆向分析方法對涉詐APP進行取證分析［8］，主要包括Android、iOS 應用安裝包靜態逆向分析、基于模擬器的動態逆向分析及基于真實手機的動態逆向分析技術、URL／IP 數據分析等。 目前，Android、iOS 應用安裝包靜態逆向分析（APK、IPA 文件）技術較為成熟，可獲取應用名稱、版本、包名、清單文件、權限、簽名證書、應用加固類型等信息；動態逆向分析內容主要涵蓋涉案APP 與遠程服務器的網絡交互數據，以及應用程序的行為功能代碼審計，其中包括權限讀取、文件讀寫、進程通信等數據。 URL／IP 數據分析是手機應用程序逆向分析的衍生取證技術，應用程序關聯遠程服務器，對關聯的URL／IP 進行取證分析，可獲取APP 的關鍵行為數據，如嫌疑手機號、郵箱、嫌疑后臺主服務器、第三方可調證信息等。

由于涉詐APP 往往具有下載不正規、存活時間短、經常更換APP 名稱或更換APP 外殼、使用各種防護措施隱藏真實服務器地址，以及更新迭代快、種類繁多等特點，因此需掌握案件中常見的數十種有加密加固等技術防護的APP 應用原理，實現解密還原，抽取源代碼中涉及的手機號、郵箱、URL、IP 等可疑線索。 隨著涉案APP 防護能力不斷提升，模擬器檢測、root 檢測、防抓包等反取證技術也不斷涌現，需要繼續探索真機動態逆向分析技術，提高取證工具的普適性。

1.5 手機綜合取證工具

該類產品支持可支持批量手機并行取證，可提供手機取證、手機云數據取證、手機解鎖、數據分析等一站式服務。 集手機屏幕解鎖、鏡像下載、手機數據和手機云數據提取、刪除恢復、數據瀏覽、智能分析、生成報告等功能于一體，可多案件多路手機并行取證，提取數據全面、效率高。

由于產品集數據提取、解析、恢復、分析、導出報告于一體，因此存在部分產品功能全而不精，嵌入功能模塊取證能力參差不齊，以及數據恢復功能受手機數據提取方法、是否結構化數據恢復、是否恢復出廠設置、機主使用習慣、數據是否為云數據類型等影響，存在數據恢復難的問題。 目前案件涉及的小眾社交軟件，如存在有端對端加密、閱后即焚等功能的軟件，數據提取和解析難度較大［9］。

1.6 數據分析平臺

該類產品支持電子數據深入挖掘和可視化智能分析、智能研判等功能［10］，集人像刻畫、時序分析、經濟分析、行為特征、活動軌跡、社會關系分析、涉案預警、可視化數據統計為一體，可對數據內容進行系統性的整理，通過關聯分析、對比碰撞，以圖形及表格、關系網形式分類展示，形成直觀的可視化圖譜，可為一線用戶取證和研判分析時，擴展線索和提供研判情報。

產品支持與大數據平臺聯動，可對分析對象進行人物刻畫。 可多部檢材進行數據分析、關聯，聯動大數據平臺查實身份、社會關系，達到擴展線索和深入研判的目的。 該類產品需要及時對各個廠商提取數據包兼容，但在數據挖掘、分析模型建立、界面設計、操作便捷性上差別較大，部分產品存在分析模型過于簡單、數據挖掘不深、操作復雜等問題，需要進一步改進。

2 手機取證工具質量評價

在國內外相關文獻中，已有文獻研究手機取證工具質量評價。 如范紅等［11-12］提出了建立數據取證設備一致性評價標準體系，對產品的工作環境、存儲環境、信號屏蔽、一機兩用等硬件參數評價；對終端設備的文件信息、各類軟件中的應用信息、用戶信息、數據恢復能力等數據提取功能評價，以及對各種軟硬件平臺的支持率、數據提取速度等性能方面的評價。 美國國家標準和技術研究所（NIST）［13-17］建立了數據取證設備的技術標準、檢測流程、檢測規范及檢測用例等標準，如智能手機工具規范、移動電話法醫取證指南、數據采集工具測試規范（2004）等。（NIST）“移動設備取證工具測試”項目是計算機取證工具測試（CFTT）［18-20］項目的延伸。 可為用戶更好的選擇、獲取和使用取證工具及更全面的理解所感興趣的工具各方面能力提供了必要的信息，也為制造商改進取證工具提供參考。 NIST 開發了取證參考數據集（CFReDS）［21-22］，給研究者提供了模擬數字證據集。 CFReDS 站點是一個鏡像庫，可將數據內容文檔化。 調查人員可以通過多種方式使用CFReDS，包括驗證軟件工具、設備檢查、培訓調查人員、實驗室認證人員能力測試。 CFReDS 從手機品牌型號上此鏡像庫包含Ellipsis 8、HTC 10、Samsung、LG、Apple、Motorola 6 種品牌部分手機型號數據集。但隨著手機芯片的加密及操作系統的升級，利用鏡像文件對手機取證工具進行評價適用性受限，近年NIST 也開始用實體手機制備數據，對手機取證工具取證能力進行驗證。 印度Veermata Jijabai 技術學院［23］基于預定的參數，采用跨設備和測試驅動的方法對各種商業和開源移動設備取證工具進行比較分析；艾哈邁德·達赫蘭大學［24］介紹了移動取證工具能力的研究和技術，對基于LINE 分析的數字證據進行了評價，并驗證了3 種取證工具WA Key／DB Extractor、Oxygen Forensics 和Magnet AXIOM 對三星Galaxy S4 和三星A3 上的WhatsApp （WA）應用的數據取證能力［25］。 以上文獻所涉及的檢測用例較少，且手機品牌、數據類型較少，尤其是缺少QQ、微信、支付寶、淘寶、抖音等國內常用APP 數據，未涉及云取證等新取證方式，未涉及應用程序逆向分析功能、手機分析功能等。

目前國內常見產品功能、性能也存在差異性，在界面友好性、操作便捷性、取證能力方面存在差異，部分產品存在可提取應用程序種類較少、數據漏提取率高、解析失敗率高、數據恢復率低、數據分析模型簡單等問題。 用于質量評價的測試手機所包含應用程序種類不足、所存數據量小，則不能有效評價產品質量。 因此，可通過不同廠家型號和同廠家不同型號產品對比研究，確定影響手機取證工具質量的關鍵性功能，并確定影響各個功能模塊質量的關鍵性技術指標，得出更系統科學的數據結果來指導檢驗檢測方法建立。 產品檢測用手機樣機、標準數據的制備、更新及日常管理，對于手機取證能力及產品質量科學評價尤為重要，需建立完善的樣本制備及管理程序。 目前手機實體樣機、標準數據制備存在的難點主要有以下幾方面：

（1）手機涉及品牌種類、芯片類型、操作系統類型及版本較多，文件系統結構、數據存儲方式不同，樣本需合理設計、選擇；

（2）手機更新換代較快，手機樣本需要不斷更新，經濟成本高；

（3）手機為電子產品，易損壞，需注意日常維護及管理；

（4）應用程序種類繁多（涉及上百種）且版本更新比較快，需及時更新數據并記錄。

3 結束語

本文對國內手機取證技術及工具應用情況、特點優勢進行了分類調研，并對反詐手機快速取證工具、手機鎖屏密碼解鎖／提權工具、云取證工具、手機應用程序逆向分析工具、手機數據提取解析及恢復綜合類取證工具、數據分析平臺等主流產品面對的挑戰及需要解決的問題做了詳細的分析，指出避開密碼鎖和設備鎖、更新加密技術、研究各種芯片取證技術將是取證工具的研究重點；需加強手機動態仿真模擬技術進行APP 網絡流分析，實施抓取應用程序的通訊數據，分析應用程序的行為特征，并繼續探索真機動態逆向分析技術，提高取證工具的普適性；需加強研究云環境中的電子證據固定保全，取證工具與后端平臺相結合，利用大數據分析進行數據深度挖掘，實現案件綜合研判分析；需加強取證工具取證的自動化、智能化水平；取證技術與物聯網等技術相結合，獲取智能穿戴設備、智能終端等數據，對使用者行為特征分析也是未來的研究方向。 本文還對手機取證工具質量評價難點進行了分析，僅為本領域研究工作提供參考。