崔鶴群，趙 強

(天津市公安局物證鑒定中心，300193)

1 案件檢驗

2014 年某日，柏某被扎傷后，搶救無效死亡。案件偵查提取柏某“三星”牌Android 智能手機，型號為GT-I9200，擬對其短信息、即時通訊記錄等進行檢驗。

技術(shù)人員發(fā)現(xiàn)手機使用 “騰訊手機管家”手機防盜功能[3-4]將手機屏幕鎖定，需要輸入“90”開頭的QQ 號碼解鎖，同時該手機的USB 調(diào)試模式未開啟。辦案人員提供的手機持有人柏某QQ賬號，也并非“90”開頭。故此，現(xiàn)有的手機取證工具無法提取手機的短信息、即時通訊記錄等與案件相關(guān)的數(shù)據(jù)。技術(shù)人員根據(jù)查詢手機的出廠日期，判斷此手機版本應(yīng)為4.0 以上版本，支持MTP 協(xié)議，可以嘗試利用MTP 協(xié)議查看和拷貝該手機中文件。

將檢材接入取證工作站（windows 7 操作系統(tǒng)），發(fā)現(xiàn)彈出“自動播放”窗口（見圖1），點擊“打開設(shè)備以查看文件”選項, 進入手機內(nèi)存儲的文件夾界面，發(fā)現(xiàn)騰訊公司的即時聊天工具“tencent”文件夾（見圖2）。進入“tencent”文件夾，在其文件夾內(nèi)發(fā)現(xiàn)為“MobileQQ”的文件夾（見圖3）。內(nèi)有一個“90”開頭的文件夾（見圖4）。以此QQ 號碼作為解鎖密碼，順利的解除了屏幕鎖。手機屏幕鎖解除后，打開手機的USB 調(diào)試，使用手機取證工具成功提取出短信息、即時通訊記錄等與案件相關(guān)的數(shù)據(jù)。

圖1 自動播放窗口Fig.1 Automatic playback window

圖2 文件夾界面及”tencent”文件夾Fig.2 Folder interface and “tencent”Folder

圖3 “tencent”文件夾界面及“MobileQQ”文件夾Fig.3 “tencent”Folder interface and “MobileQQ”Folder

圖4 “MobileQQ”文件夾界面及“90”開頭文件夾Fig.4 “MobileQQ”Folder interface and “90” beginning Folder

2 討 論

針對第三方手機安全軟件，其設(shè)置要求輸入QQ 賬號的屏幕鎖方式與Android 系統(tǒng)原生的防盜鎖加密方法是不同的。當被檢手機USB 調(diào)試模式未開啟的情況下，Android 系統(tǒng)可用MTP 協(xié)議使手機與PC 進行數(shù)據(jù)的查看和交換，達到解除屏幕鎖的目的。值得注意的是，只有在操作系統(tǒng)安裝Windows Media Player 10 或者更高版本才具備支持MTP 協(xié)議能力。隨著Android 版本的更新，當前的4.3 和4.4 版本在沒有解除屏幕鎖（包括第三方軟件）的情況下，拒絕PC 訪問手機內(nèi)的文件，也就是說我們只能看到一個以手機“設(shè)備名稱”命名的盤符存在，并不能看到盤符里面的文件。所以，針對4.3 和4.4 版本使用上述辦法是不能查看到手機內(nèi)的任何文件的。MTP 的用途是傳輸媒體文件，并從（向）設(shè)備關(guān)聯(lián)元數(shù)據(jù)，對設(shè)備的遠程控制有可選的額外支持，讀取和設(shè)置設(shè)備參數(shù)，如特別的DRM 相關(guān)的受限內(nèi)容設(shè)備參數(shù)。利用此用途可直接導(dǎo)出所需的媒體文件和即時通訊等文件信息，大大縮短了取證時間，提高了工作效率。

[1] Innost. MTP in Android [EB/OL]. [2013-5-2]. http: //blog.csdn.net/innost/article/details/8876392.

[2] 鄧凡平.深入理解SEAndroid（卷1）[M]. 北京：機械工業(yè)出版社, 2011.

[3] 明日科技.Android 從入門到精通[M]. 北京：清華大學(xué)出版社, 2012.

[4] 郭宏志.Android 應(yīng)用開發(fā)詳解[M]. 北京：電子工業(yè)出版社, 2010.