关于手机取证
目前手机的普及率是如此之高(国内用户已达5亿),以至手机取证成了一个非常重要的技术研究领域。而国内这方面尚处于起步阶段,未见有成熟的产品可用。事实上,手机取证,其技术难度相对还要低一些,因为数据量有限,空间有限,因此其数据格式是有限的,可解的。现在很多智能手机使用了扩展卡,如SD卡等,这些扩展卡一般使用和计算机完全一样的文件系统,主要是FAT格式,因此,卡上的数据,是没有任何技术难度的,难就难在如何能够按位将那么多型号而又自成体系的手机内的RAM、ROM里的信息全部读取出来,而这又是各个厂家自行设计并保密的,因此,手取取证如何获取底层数据就成了其难点所在。
手机取证的数据所在如图1示:
关于手机取证
图1 手机取证获取数据的地方
好不容易找到一篇介绍国外手机取证产品的资料,作为附件附后。
1、IMSI
IMSI是International Mobile Subscriber Identity的缩写,中文名是国际移动用户标识号,是TD系统分给用户的唯一标识号,它存储在SIM卡、HLR/VLR中,最多由15个数字组成。它的结构如下图所示:
MCC:Mobile Country Code 移动用户的国家号,中国是460
MNC:Mobile Network Code 移动用户的所属PLMN网号;中国移动为00、02,联通为01中国通信网-无限分享1U]_/|3pd9HH4y
MSIN:Mobile Subscriber Identification Number 移动用户标识。
NMSI:National Mobile Subscriber Identification在某一国家内MS唯一的识别码。
2、TMSI:
电路域用户临时标识符,是为了加强系统的保密性而在VLR内分配的临时用户识别,在某一VLR区域内与IMSI唯一对应。
3、P-TMSI:
分组域用户临时标识符,是为了加强系统的保密性而在SGSN内分配的临时用户识别,在某一SGSN区域内与IMSI唯一对应。
4、IMEI
是International Mobile Equipment Identity的缩写,中文名为国际移动设备身份码。结构如下图所示:
TAC:Type Approval Code ,型号批准码,由欧洲型号批准中心分配。
FAC:Final Assembly Code ,最后装配码,表示生产厂家或最后装配所在地,由厂家进行编码。
SNR:Serial Number ,这个数字的独立序号码唯一地识别每个TAC和FAC中国通信网-无限分享
X!YE|5n E的每个移动设备。
spare:备用比特,当手机发送时,此位要置0。例:490547403767335
5、MSISDN:
是指主叫用户为呼叫TD中的一个移动用户所需拨的号码,作用同固定网PSTN号码。存储在HLR和VLR中,在MAP接口上传送。MSISDN的一般格式为86-13X-H0 H1 H2 H3 ABCD。例:861381024××××。
6、MSRN:
Mobile Station Roaming Number 即漫游号码,在移动被叫过程中,由所在业务区的MSC/VLR临时分配,用于寻址VMSC.当移动台漫游到另一个移动交换中心(MSC)业务区时,该移动交换中心将分配给移动台一个临时漫游号码,用于路由选择。当移动台离开该区后,被访位置寄存器(VLR)和原归属位置寄存器(HLR)都将这个临时漫游号码删除,以便再分配给其他移动台使用。
7、HON:
即切换号码,在切换过程中,由目标MSC/VLR临时分配,用于寻址目标MSC.
SIM卡部分,主要就是使用AT指令,直接读取(包括写入)SIM卡中的数据,这种方式可以实现很多功能,如备份、修改、将多卡压入到一张卡中等。
关于手机取证
现有设备:
全球第一款便携、智能、集成,快速手机、PDA数据提取箱。便携完全配置,集成一体化,智能选择配线,触摸屏控制,全菜单化操作,五分钟内提取一部手机所有数据。支持协议种类: 通过支持各种协议V1.5版(2007年3月)AT-commands,OBEX,IRMC,syncml,fbus,APIs,GSM 11.11,Symbian 等等读取数据。数据写保护: 获取数据同时对原始数据写保护,同时生成MD5-HASH值,并记录数据提取时间。触摸控制屏:内置集成触摸屏控制系统,60G储存空间,提取数据方便转存到USB、SD、CF、XD等储存介质。多媒体支持:支持获取、现场播放多媒体文件。智能化自动:智能指示选用接口线。完全智能集成配置:专用手提箱,触摸控制屏,系统、接口智能连接。提取数据类型:手机身份IMEI号,SIM卡身份号IMSI,已接电话,拨出电话,未接电话,号码薄电话(手机及SIM卡),短信息(手机及SIM卡),SIM卡上已删除的短信,备忘录,行程安排,事件提示,图片,视频,音频,其他信息及文件。数据提取方式:数据线,兰牙,红外,支持超过300种手机(V1.6版)文件格式支持:支持获取XML格式数据。提供生成报告:提供HTML格式报告。现场电源支持: 自备电池,220伏外供,汽车12伏外供,12伏标准输出。生成取证报告: 生成手机、PDA取证报告。打印机支持: 支持USB接口的打印机。中文支持:支持中文显示,查看短信等。中文使用说明书:中文使用说明书,中文指导手册。软件一年免费升级:软件一年免费升级。支持手机型号:V1.6版已超过300款手机。
针对手机的取证和传统的数据取证有很大不同,手机数据一般都保存为私有格式,不同产商,型号和系统都会有所变化。盘石手机取证分析系统(SafeMobile)采用统一的界面获取各种品牌手机中用户输入的数据和部分设备的未分配存储区域,并进行取证分析。
系统特性
支持GSM/CDMA手机,包括摩托罗拉、诺基亚、西门子、三星、索爱五个品牌160多款手机,还在不断增加中;
支持第二代手机SIM卡单独取证分析,支持GSM/CDMA SIM卡取证分析;
手机/SIM卡电话本、通话记录、短信、设备信息和文件的获取;
支持对手机/SIM卡删除短信的恢复;
提供灵活多样的搜索方法,支持多编码格式同时搜索;
书签功能灵活强大,能更好的帮助分析数据;
即时提供的报表预览功能,一次性生成可打印报表,降低取证分析人员的劳动强度;
文件预览功能可查看十六进制数据,方便高级取证分析人员进一步分析所得数据
支持设备校验,防止在文件移动过程中发生意外;
工作平台为Win2000及其后续版本。
1年产品免费升级
SafeMobile 获取向导支持的手机品牌和数量
Motorola (36)
Siemens (43)
Nokia (28)
Samsung (15)
索爱(24)
CDMA(20+)
支持的SIM卡型号
全球通,M-ZONE,神州行,世界风,Up新势力,如意通,Uni,宝视通
CDMA SIM卡
配置
SafeMobile 手机取证分析系统软件;
SIM 卡读卡器;
支持品牌的手机数据线;
手机屏蔽袋。
高效的XRY系统(版本号:3.3):
来自专业警察和其它用户的反馈是非常肯定的。XRY帮助我们的顾客快捷高效的处理关于罪行的移动电话调查和其它类型的欺骗或误用。XRY系统的目的是保护那些可能在法庭上用作证据的信息,以及今后调查的信息。XRY系统可在安全模式下读取SMS消息、电话号码、地址本、图片、录影等等。而且,能从移动电话的记忆和SIM卡中得到信息。XRY系统容易连接到个人计算机。支持492种不同的电话机型,如:诺基亚、三星、索尼-爱立信、西门子、摩托罗拉等几个品牌。 XRY创建报表非常容易,这个系统创建XRY加密文件,免费分布在XRY Reader。
使用XRY Reader用户打印报表只需要几分钟:
输入关于案件的管理信息,例如:案件数字、调查名字、捕获数字等等。甚至,你能够XRY系统的应用程序创建或更改领域的名字,使报告精确到你的要求。XRY系统的应用程序能自动地把已选的标志、地址和其它细节写入报告。它能打印完整的报告, 或者合理的选择数据。阅读程序完成后不到十分钟就可以创建报表。
关于手机取证 SIM/USIM Reader(阅读程序):
这个系统与一个分开的SIM/USIM阅读程序一起使整个系统完善。SIM/USIM阅读程序同所有类型的SMART卡一起工作,不仅可读公开的信息,还能重写一些已删除的信息。没有一种系统可以像XRY一样完善。
传输线:
XRY适用能连接并尽可能提取更多数据的一些传输线。Micro Systemation开发并生产高质量传输线,其实用性可及老式电话(这不要求使用XRY最初的数据线)同时,也支持红外和蓝牙连接。
使用手册:
这个系统有可供用户打印的电子手册。手册中描述了系统支持的功能和电话机型。在这个电子手册中不仅描述了怎样连接特殊的电话机,还详细说明了每部电话机即将输出的信息(包括不想输出的信息)。XRY系统独特的使用手册确保了XRY系统对电话机所做检查的完整性。
其它功能:
·输出:XRY能直接输出Excel文件或其它格式文件
·打印:点击即可在几秒钟打印整个文件
·XRY Reader(阅读程序):经过XRY Reader分享XRY文件分发XRY Reader
·加密:XRY的文件是数字签名和加密编码
·搜索:XRY包含灵活的搜索功能 关于手机取证
全球范围: