查看原文
其他

【新手向】手机电子证据固定教程

电子物证 2022-10-02

The following article is from 弘连网络 Author 海飞同学

随着移动互联网的发展,当今社会几乎是人手一部智能手机,基本上所有的案件中我们都需要进行手机电子证据固定。今天给大家分享下我平时工作中遇到手机检材时的思路和方法,希望能给大家带来帮助。

一、准备工作

在平时的取证过程中,我们很容易会忽视掉准备取证前的一些准备工作,主要是一下几点:

1、飞行模式

很多时候,手机在现场被扣留后,没有在现场及时开启飞行模式。在后续我们做证据固定的时候,打开手机可能手机流量是打开的。由于目前很多手机品牌都有自己的云空间、云服务这类远程功能,有可能被还没抓住的犯罪分子利用,造成现有检材的数据丢失。(有条件的话,我们需要打开信号屏蔽器后再进行开机操作)

2、手机电量

通常在扣留了手机检材后,为了保证数据安全通常都是关机处理,到了需要固定的时候才打开手机,这里我们会很容易忽视掉手机电量的问题。通过需要保持电量在50%以上,如果电量过低,在取证过程中会出现各种各样的问题,有可能导致手机强制关机、没有任何反应,更严重的话可能会导致数据丢失,电子数据固定失败。

面对这种情况,我建议最好的解决方法就是:准备进行数据固定前,先把手机关机充电,等手机电充满了再进行后续操作。

3、配套工具

平时我们取证时,最关注的是我们的电脑,因为一台性能可靠的电脑会让我们的工作事半功倍。但是其他小的工具我们也不能忽视,常用的像:①数据线  ②SD卡  ③SIM卡读卡器  ④OTG  等等。

  • 数据线:正常我们需要准备三种数据线,苹果Lightning接口数据线、安卓MicroUSB接口、Type-C接口数据线,其他还有些冷门的可以先不用考虑。数据线是经常被大家所忽略了,但是它真真实实的会影响到我们的固定速度和稳定性。

    举个例子:苹果Lightning接口数据线在某宝的价格有很多便宜的,但是它们都是没有经过苹果MFi认证的,有可能只支持充电而无法读取手机中的数据。

  • SD卡:我建议最好准备两张,一张4GB/8GB的,一张64GB以上的,因为有些老款的手机,它们虽然支持SD卡扩展,但是没办法支持到大容量的SD卡。

  • OTG:上面提到的SD卡是我们常用的工具,但是目前市面上很多中高端手机,他们是不支持SD卡扩展的,所以一个好用的OTG也是我们取证所必须的。大家可以根据自己的需要,OTG线、OTG U盘都是可以的,最好再准备一个MicroUSB转Type-C的转接头。

4、手机驱动

新的电脑,通常不会安装手机相关的驱动,会导致手机接入电脑后无法被正常识别,所以在固定前,我们需要安装好手机的驱动程序。 

雷电手机快取软件右上角的菜单中提供了驱动下载功能,点击后可以根据需要选择安装的手机品牌驱动程序。

5、USB调试

苹果手机我们正常接入电脑后,大家都知道点击【信任】按钮。安卓手机由于不同品牌、机型不同,他们打开USB调试方法也不尽相同。 

通常方法是:设置 > 关于手机 > 连续点击 版本号 等待界面提示开发者选项已经打开 > 开发者选项 > 打开USB调试

更详细的步骤也可以通过软件中的USB调试教程进行查看

二、明确目标

上面的准备工作做完后,我们需要明确下目标,主要就是围绕着两个业务场景:

1、数据采集工作

数据采集我们讲究的是速度快,能够尽可能快速的采集到必要的手机电子数据;

2、调查取证工作

案件调查取证,我们尽可能固定出更多的证据数据,因为在案件中,有可能多固定出一条记录,对后续的案情分析就会有很大的帮助。

本文主要是针对的调查取证工作为主,尽可能的获取到更多的电子数据。

三、理清思路

经常有小伙伴跟我聊,说拿到一部手机无从下手,在固定的时候,我们需要明确自己的一个固定思路。因为不同平台、不同品牌的思路是不一样的,接下来我按照每个品牌的手机单独介绍下我的一些思路:

苹果手机:

苹果手机其实处理起来比较简单,一般拿到后,能够解锁的手机,使用备份提取任务进行手机备份,就能正常获取到数据。   

要注意的点有这些:

① 尽可能做加密备份,因为加密备份会获取到更多的数据,但是相应的时间开销也会增加;

② 如果需要获取到应用使用记录等日志文件,在做备份前还需要按住音量上下键+电源键等待手机震动后,再接入电脑进行备份提取;

安卓手机:

1、对于安卓手机,我们拿到后,先确定它是否是已ROOT状态,通过软件界面上的提示,我们可以看到手机的ROOT状态。 

如果是已ROOT,我们可以直接通过ROOT镜像的方式,打出这个手机的镜像。如果是未ROOT,我们在关于手机中查看手机的Android安全补丁日期

2、如果Android安全补丁日期在16年前,可以通过高级ADB的方式进行打出镜像;


如果上面两步都没办法,我们根据不同品牌有对应的方法:

华为:

华为手机优先推荐的是使用华为自带备份的方式,因为官方的方式是最稳妥的,也不容易对手机造成影响。   

通常我们需要使用华为自带备份的APP,将手机数据备份到SD卡或者OTG上,如果实在没有准备上面的工具,也可以临时备份到手机存储中,但是不推荐这么做。 

有些华为手机的自带备份,可能在我们拿到手机时,已经升级到了最新版本,最新版本是没办法备份到本地存储的,只能选择云存储,这个时候我们需要对这个自带备份APP进行降级处理,然后再进行备份操作。

VIVO:

VIVO手机跟别的品牌不太一样,它没有类似其他品牌自带备份的APP,只有一个互传工具,通过软件的VIVO互传功能,我们可以很方便的获取到手机的数据(部分机型无法获取到QQ应用数据)

OPPO:

OPPO跟华为类似,我们通常也是使用自带备份的方式,将手机应用数据备份到SD卡或者OTG中。 

最近很多OPPO手机使用自带备份是,发现APP上提示无法备份应用数据,这是由于最近OPPO推出了一个手机搬家的APP所导致的。解决方法就是通过设置 > 应用管理 > 应用列表 > 手机搬家,点击后卸载更新,上述操作完成后重新打开自带备份APP就可以正常备份到应用数据了。

小米:

小米手机在市面上有很多手机发烧友热爱使用,拿到小米手机的话,我们可以多观察下,注意手机的MIUI版本,如果是开发者版的话,我们可以尝试着通过开发者版的ROOT权限进行镜像。操作步骤如下:安全中心 > 权限 > ROOT权限 > 开启ROOT

如果不是开发者版,或者是无法开启ROOT,我们可以通过小米自带备份的方式进行数据固定。

其他品牌:

其他品牌像一加、酷派、金立等,他们有些也有自带备份的方式,通过这些官方工具我们也可以获取到手机的数据。

通过软件右上角菜单的备份教程,我们可以很容易看到每个品牌对应的备份方法。


上文介绍了目前最稳定的方式,就是通过各个品牌的官方备份APP进行数据的获取,如果自带备份的方式没有能够获取到应用数据怎么办?

有一种通过的解决方式是,通过数据提取,这里主要是以Android4.0左右为分界线,通常低版本的Android我们不需要使用风险模式,高版本的Android我们只能使用数据提取的风险模式,即我们平常说的降级备份。

因为像微信、QQ这些应用,他们现在的版本已经没办法通过ADB命令备份出来,只有先将他们替换会老版本,才能进行备份。(雷电手机快取在风险模式加入了安全机制的检测,可以进一步降低风险)当然这种方式也是最后的解决方法,如果手机中有应用分身的话,最好不要使用。   

四、写在最后

我们平时拿到的检材在这个世界上都可以说是独一份的,所以在平时的证据固定中,需要整个证据固定阶段一定要细心慎重,准备工作一定要充分。除了细心外,我们也要注意观察,说不定对象就刚好ROOT了手机或是解了Bootloader锁呢。   


转自:弘连网络,原创:海飞同学



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存