淺議Cellebrite手機(jī)取證箱的應(yīng)用

王軍　薛玲

手機(jī)取證技術(shù)是當(dāng)前司法機(jī)關(guān)需要不斷學(xué)習(xí)并掌握的新型的電子物證技術(shù)?，F(xiàn)在國(guó)內(nèi)市場(chǎng)上，Cellebrite手機(jī)取證箱作為一款獨(dú)立的，既適合在犯罪現(xiàn)場(chǎng)也適合在實(shí)驗(yàn)室使用的設(shè)備，其取證功能非常強(qiáng)大，能夠?qū)κ謾C(jī)和SIM卡的數(shù)據(jù)完全鏡像備份，數(shù)據(jù)的提取過(guò)程是只讀模式，提取手機(jī)數(shù)據(jù)的同時(shí)阻止該手機(jī)與網(wǎng)絡(luò)連接，無(wú)需使用手機(jī)信號(hào)屏蔽袋來(lái)阻止射頻信號(hào)，因此它的應(yīng)用也日漸廣泛。現(xiàn)筆者根據(jù)在實(shí)際工作中的應(yīng)用，對(duì)該設(shè)備的分析取證能力進(jìn)行詳細(xì)解析。

1.Cellebrite手機(jī)取證工具強(qiáng)大的分析取證能力

1.1 Cellebrite對(duì)手機(jī)SIM卡的取證

SIM卡，英文的含義是客戶識(shí)別模塊，它也被稱為用戶身份識(shí)別卡。目前常見(jiàn)的SIM卡的存儲(chǔ)容量有8K，16K、32K和64K等幾種，種類也根據(jù)網(wǎng)絡(luò)的不同有GSM卡、CDMA卡以及當(dāng)前流行的3G卡等。Cellebrite手機(jī)取證箱對(duì)這些手機(jī)卡都能有效地支持。SIM卡中所存儲(chǔ)的信息大致可以分為五類：⑴SIM卡生產(chǎn)廠商存儲(chǔ)的產(chǎn)品原始數(shù)據(jù)；⑵手機(jī)存儲(chǔ)的固有信息，主要包括各種鑒權(quán)和加密信息、GSM的IMSI碼、CDMA的MIN碼、IMSI認(rèn)證算法、加密密匙生成算法；⑶在手機(jī)使用過(guò)程中存儲(chǔ)的個(gè)人數(shù)據(jù)、如短消息、電話簿、行程表和通話記錄信息；⑷移動(dòng)網(wǎng)絡(luò)方面的數(shù)據(jù)，包括用戶在使用SIM卡過(guò)程中自動(dòng)存入和更新的網(wǎng)絡(luò)服務(wù)和用戶信息數(shù)據(jù)，如設(shè)置的周期性位置更新間隔時(shí)間和最近一次位置登記時(shí)手機(jī)所在位置識(shí)別號(hào)。⑸其它的相關(guān)手機(jī)參數(shù)，其中包括個(gè)人身份識(shí)別號(hào)（PIN），以及解開(kāi)鎖定用的個(gè)人解鎖號(hào)（PUK）等信息。

實(shí)際偵查破案工作中，手機(jī)檢驗(yàn)結(jié)果往往可以幫助確定手機(jī)使用者，SIM卡里面的IC-CID、IMSI、MSISDN號(hào)碼可以直接在網(wǎng)絡(luò)運(yùn)營(yíng)商數(shù)據(jù)庫(kù)中查找用戶的詳細(xì)信息；手機(jī)中的文本信息和呼叫/接收的電話號(hào)碼往往能夠?yàn)閭刹槠瓢柑峁┳罹邇r(jià)值的潛在證據(jù)。

2011年11月11日，我市密州街道工業(yè)大道中段路東、人民東路與工業(yè)大道交叉路口以北100米處有一婦女被人殺死。在現(xiàn)場(chǎng)遺留一輛銀青色比亞迪F0轎車內(nèi)，發(fā)現(xiàn)一張手機(jī)SIM卡，通過(guò)讀取該卡的相關(guān)信息，從而很快確定受害人朱某，為及時(shí)破案提供了有力的技術(shù)支持。下圖為筆者利用cellebrite設(shè)備從該涉案SIM卡獲取的信息。

1.2 Cellebrite對(duì)手機(jī)內(nèi)存的取證分析

當(dāng)前手機(jī)種類繁多，手機(jī)系統(tǒng)間的獨(dú)特性和多樣化，導(dǎo)致手機(jī)取證難度很大。從功能來(lái)講，可以粗略地分為三大類，一種是低端機(jī)，僅提供通話和收發(fā)短信功能；第二種是中端機(jī)，可除通話及收發(fā)短信外，還提供多媒體功能和服務(wù)；第三種是高端機(jī)或智能機(jī)，這類手機(jī)整合了中端機(jī)和PDA的功能，帶有操作系統(tǒng)，可使用POP/IMAP/SMTP和HTTP協(xié)議，訪問(wèn)Web和使用電子郵件。

Cellebrite手機(jī)取證工具能夠支持當(dāng)前市場(chǎng)正版手機(jī)幾乎所有的手機(jī)系統(tǒng)，對(duì)七種智能手機(jī)的操作系統(tǒng)如PalmOS、Symbian、Windows mobile、Linux和Android、iPhoneOS、黑莓等也能做到有效地支持。當(dāng)前市場(chǎng)上的手機(jī)，手機(jī)機(jī)身內(nèi)存的存儲(chǔ)容量遠(yuǎn)遠(yuǎn)要比手機(jī)SIM卡大得多，它不僅存儲(chǔ)執(zhí)行操作系統(tǒng)指令和用戶應(yīng)用程序產(chǎn)生的臨時(shí)數(shù)據(jù)，更保存著操作系統(tǒng)、各種配置數(shù)據(jù)以及一些用戶的個(gè)人數(shù)據(jù)。因此，Cellebrite對(duì)手機(jī)內(nèi)存的讀取能力就更加值得鼓勵(lì)。

下圖是筆者利用cellebrite設(shè)備對(duì)一款帶Symbian智能系統(tǒng)手機(jī)內(nèi)存的信息讀取。

圖中，我們看到，Cellebrite手機(jī)取證工具能有效地獲取手機(jī)內(nèi)存中的信息，包括詳細(xì)的手機(jī)信息以及手機(jī)內(nèi)存中通訊記錄、短信、圖像、視頻、音頻和其他信息，并以文件夾和文件的形式直觀地呈現(xiàn)。我們注意到該設(shè)備避免了對(duì)內(nèi)存中原始數(shù)據(jù)可能產(chǎn)生的破壞，具備MD5哈希校驗(yàn)功能，保證了內(nèi)存數(shù)據(jù)HASH值的同一性，對(duì)該物證日后在法庭上應(yīng)用起到了很好的保護(hù)作用。

2.cellebrite手機(jī)取證工具的恢復(fù)刪除能力值得贊許

手機(jī)內(nèi)存中，常常會(huì)有一些內(nèi)容是被人為故意刪除的，而這些內(nèi)容往往是我們偵查破案所需要的信息金礦。普通的手機(jī)取證設(shè)備一般不具備恢復(fù)功能，而cellebrite加強(qiáng)版的手機(jī)取證工具則具備了這樣的能力。

如圖所示，將一款手機(jī)與Cellebrite連接后，通過(guò)物理轉(zhuǎn)儲(chǔ)和文件系統(tǒng)轉(zhuǎn)儲(chǔ)命令，對(duì)手機(jī)內(nèi)存中的信息進(jìn)行恢復(fù)。

結(jié)果能從機(jī)身內(nèi)存中恢復(fù)一些被刪除的通訊錄、短信息、通話記錄以及音頻、視頻信息。從圖中我們可以清晰地看到，紅框內(nèi)的信息為恢復(fù)的刪除信息。

3.cellebrite手機(jī)取證工具的不足

Cellebrite手機(jī)取證工具雖然具有比較強(qiáng)大的功能，但它仍存在著一些不足。比如，它號(hào)稱支持超過(guò)3000款國(guó)際大品牌和200款國(guó)產(chǎn)手機(jī)，但它對(duì)國(guó)內(nèi)普及率近70%的山寨手機(jī)的支持能力就不能令人滿意，無(wú)法提供相對(duì)豐富和全面的數(shù)據(jù)接口。

另外，Cellebrite手機(jī)取證工具僅僅提供了一個(gè)SD卡插槽，用于提取SD卡數(shù)據(jù)。而對(duì)當(dāng)前手機(jī)外置存儲(chǔ)應(yīng)用較為廣泛的TransFlash卡（也稱為MicroSD卡）、MMC卡、MiniSD卡等卻沒(méi)有提供相應(yīng)的插槽。對(duì)手機(jī)外置存儲(chǔ)卡上的數(shù)據(jù)讀取，只能依靠一些諸如Encase和Whinex等軟件工具進(jìn)行鏡像分析。 [科]