蘇 洋

（北京瑞源文德科技有限公司，北京100176）

引言

當今，有的作案人的犯罪活動日趨隱蔽化、智能化、群體化、新型化、反偵查化等特點,尤其對手機中存儲的關(guān)鍵線索數(shù)據(jù)都有較強的防范意識,主動銷毀、故意損壞、提前刪除等手段層出不窮[1]。2012年新修改的《刑事訴訟法》將電子數(shù)據(jù)首次規(guī)定為法定證據(jù)類型。手機芯片作為手機機身數(shù)據(jù)的載體，如何直接提取案中的破損手機及破損的密碼保護手機、特殊系統(tǒng)手機芯片中的電子數(shù)據(jù)，已經(jīng)在刑偵過程中凸現(xiàn)出來。

一、典型案例分析

（一）浸水手機案例

典型案例1。在某刑事案現(xiàn)場，找到幾部浸水時間超過1月的手機，由于水泡時間過長，所有標簽、手機電路板都遭到破壞，其中1部手機如下圖所示（圖1）。委托單位希望通過技術(shù)手段，得到手機機身IMEI,同時盡量獲取機身存儲數(shù)據(jù)，進行身份識別、線索分析。

圖1某案現(xiàn)場浸水1月余的手機

該手機電路生銹嚴重，常規(guī)的手機開機檢驗已經(jīng)不可能，只能將手機電路板上的主存儲芯片與手機電路板分離后，通過專門手機芯片提取設(shè)備進行讀取，然后再對得到的機身數(shù)據(jù)進行分析。

首先，將機身外圍無效器件、銹蝕部分清理掉，露出主存儲芯片。該手機采用存儲為256Mb Nand存儲芯片。在芯片讀取設(shè)備的支持中確認可進行數(shù)據(jù)讀取后，開始拆除芯片，即將熱風槍調(diào)節(jié)到270℃加熱60秒后，將芯片與主板電路剝離。

其次，對拆除的存儲芯片進行預(yù)處理植球除膠后，放置在專用讀取設(shè)備上讀取，用時約1分鐘。

最后，對讀取手機芯片數(shù)據(jù)進行分析，通過分析系統(tǒng)，自動與手動結(jié)合進行分析，得到相關(guān)手機IMEI 2條，通話記錄若干。最終通過運營商協(xié)助確認本案手機的真實IMEI，為本案提供了重要線索。

（二）破損手機案例

典型案例2。嫌疑人在抓捕過程中，故意將HTC G14手機損壞，機身屏幕粉碎，機身被折彎為90°角，導(dǎo)致手機無法開機。辦案干警希望通過技術(shù)手段獲取相關(guān)機身數(shù)據(jù)。

本案手機電路如下圖所示（圖2），由于主板電路集成度已經(jīng)非常高，僅占據(jù)屏幕上方1/3的空間，因此，將手機電路拆下后發(fā)現(xiàn)，雖然機身變形嚴重，但主板電路完整度較高，而且存儲芯片為新型三星EMMC 4G容量存儲芯片。

圖2 HTCG14手機存儲芯片和電路

本案對應(yīng)數(shù)據(jù)提取過程如下：

芯片拆除、準備過程同案例1。

芯片讀取過程。由于EMMC芯片具有高速、控制算法集成等特點，4G容量僅需要10分鐘左右即可全部讀取完畢。

數(shù)據(jù)分析。利用現(xiàn)有成熟分析系統(tǒng)，以及開源硬盤鏡像分析工具，即可快速整理本手機安卓系統(tǒng)中的EXT4文件系統(tǒng)分區(qū)，快速到用戶數(shù)據(jù)目錄，繼而分析得到用戶相關(guān)數(shù)據(jù)、電話簿、通話記錄、短信若干條。由于安卓系統(tǒng)使用的Sqlite數(shù)據(jù)庫，通過進一步分析，還可得到對應(yīng)的部分刪除數(shù)據(jù)。本案同時獲取包含機身圖片、視頻、錄音文件等多種格式，為偵查破案提供了大量基礎(chǔ)數(shù)據(jù)和相關(guān)線索。

（三）加密手機案例

典型案例3。嫌疑人手機為moto XT910智能安卓手機，設(shè)置了開機屏幕保護鎖，安全鎖類型為9宮格，且相關(guān)系統(tǒng)開發(fā)者選項中，ADB調(diào)試模式關(guān)閉。

由于安卓手機本身硬件方案的不同，存在著很多軟件硬件漏洞，可以方便破解及繞過開機屏幕保護鎖。但是，Moto XT910手機使用了TI的一款CPU,硬件上沒有相關(guān)破解方法，軟件上由于安卓系統(tǒng)為2.3.6，也是當時最新的操作系統(tǒng)，也沒有可以使用的任何軟件漏洞。綜上所述，最終同意通過拆卸存儲芯片的檢驗手段進行數(shù)據(jù)提取。

本案對應(yīng)數(shù)據(jù)提取過程如下：

芯片拆除、準備過程同案例1。

芯片讀取。本案手機芯片為東芝 16G存儲芯片，由于容量巨大，因此，整個讀取過程耗時2小時。

數(shù)據(jù)分析。由于本手機系統(tǒng)為yaffs文件系統(tǒng)，因此，分析難度巨大，目前還沒有好的方法可以分析，但由于手機本身電路完好，因此，通過技術(shù)手段，分析找到了安卓系統(tǒng)中存儲 9宮格的密碼文件 gesture.key。通過分析，首先破解得到了真正的開機密碼；其次，通過手機芯片返修設(shè)備，將存儲芯片重新安裝到手機上；最后，輸入破解得到的密碼后，驗證通過，手機正常進入，通過常規(guī)手段獲取了大量數(shù)據(jù)，其中包含數(shù)量眾多的微信聊天數(shù)據(jù)，為本案偵破提供了大量線索。

二、手機芯片提取

手機芯片提取技術(shù),是基于手機及其他通用小型化數(shù)碼設(shè)備的存儲芯片,直接針對存儲芯片進行提取,從而獲取最終數(shù)據(jù)的方法。隨著手機技術(shù)的快速發(fā)展和智能手機的高度普及，手機檢驗技術(shù)也不斷細分，根據(jù)檢驗工具采集信息的渠道不同，共分為：人機交互界面直接檢驗；應(yīng)用層接口檢驗；系統(tǒng)層接口檢驗；芯片級檢驗；微讀技術(shù)等5個等級。第一級由于純手工開機檢驗無需產(chǎn)品；第二、第三級目前都有相對成熟的產(chǎn)品(MPE+/UFED/Oxygen……)；第五級由于僅僅存在理論支持，因此，商用產(chǎn)品還未出現(xiàn)；第四級的芯片檢驗，是目前正在逐漸成熟中的解決方案，該檢驗擺脫了手機硬件設(shè)計的束縛，直接通過對存儲介質(zhì)的讀取獲得檢驗數(shù)據(jù)，是存儲芯片中的原始二進制數(shù)據(jù)。

（一）芯片提取的優(yōu)勢

手機芯片提取技術(shù)實施上，主要包括數(shù)據(jù)提取和數(shù)據(jù)分析兩個階段[2]。提取階段主旨在保證芯片安全可追溯的前提下進行證據(jù)的固定。數(shù)據(jù)分析則是根據(jù)提取二進制數(shù)據(jù)進行編碼轉(zhuǎn)換、數(shù)據(jù)分析、數(shù)據(jù)挖掘的過程。

芯片提取優(yōu)點：不受制于待檢設(shè)備、軟件系統(tǒng)、外圍硬件、系統(tǒng)接口等眾多限制，直接通過芯片接口,提取，從而簡化因設(shè)備型號等外圍條件設(shè)定下的障礙；提取復(fù)雜度低，可靠性高，速度快，絕對直讀，可提取全部數(shù)據(jù)鏡像；同時，針對本身損壞的檢材，幾乎是唯一的解決方案，又可稱之為終極解決方案[3]。

（二）芯片提取的劣勢

芯片提取的劣勢和缺點：首先，它屬于破壞性檢驗，芯片的拆除屬于有損檢驗,拆除后,再重新安裝到設(shè)備上恢復(fù)原始狀態(tài)有很大的風險與難度。其次，提取的數(shù)據(jù)分析難度較高，因提取的文件系統(tǒng)，軟件系統(tǒng)種類眾多,數(shù)據(jù)的分析難度要求較高；對于一些芯片級別數(shù)據(jù)加密，由于硬件加密算法目前還沒有解決方案。最后，芯片提取時，對芯片的拆除技術(shù)和動手能力要求也較高，不過，隨著BGA返修設(shè)備的引入，高要求正在逐步降低過程中。

通過以上芯片提取技術(shù)實施的詳細闡述，可見目前芯片數(shù)據(jù)提取技術(shù)已經(jīng)相當成熟，可以保證提取過程對芯片數(shù)據(jù)的最大保護。而數(shù)據(jù)分析因商業(yè)工具對手機數(shù)據(jù)的支持還存在盲點，還難以完全實現(xiàn)自動分析，還需要很多手動分析挖掘過程。但總體上，手機芯片提取技術(shù)已經(jīng)具備實際應(yīng)用條件，已在偵查破案中發(fā)揮作用。

三、芯片提取技術(shù)的應(yīng)用場景

（一）損壞手機數(shù)據(jù)恢復(fù)

人為物理損壞手機。包括人為暴力破壞手機和刀砍斧剁手機等。在案例1和2中，人為損壞手機情況很明顯，破壞目標多為損壞手機機身。還有如車禍現(xiàn)場手機受到外力擠壓，以及高處掉落手機等。由于手機物理損壞程度不同，對于當前主流手機，外殼的堅硬程度在快速提升，與此同時，手機電路板體積在不斷下降，尤其是智能手機集成度越來越高,手機電路僅占手機機身容量1/3甚至更少，更多空間都被屏幕、電池等附件占據(jù)，手機電路上的存儲芯片尺寸更是被控制在非常小的體積之內(nèi)。因此，對于物理損壞手機,只要保證手機電路上的存儲芯片本身完整,芯片提取的可行性就存在，并且成功率非常高。

水浸損壞手機。在長時間的水浸后,手機電路上的存儲芯片早已轉(zhuǎn)為BGA芯片，BGA芯片封裝的焊錫接觸位置在芯片下方，與電路板直接接觸。而且目前主流手機廠商為了提高產(chǎn)品可靠度，都會在存儲芯片周圍進行涂抹膠水，在這層膠水的保護下，就能保證存儲芯片焊接處與水隔絕。因此，即使長時間浸泡在水中，電路等外設(shè)備生銹，手機芯片仍可長時間維持原樣，其中數(shù)據(jù)也會一并保留下來，案例1便是典型，成功提取并解析的幾率非常高。

過火手機。由于 BGA芯片正常焊接溫度為270℃～320℃，用時約需60~70秒?；馂?zāi)現(xiàn)場過火的手機，因有外殼的保護與隔離，存儲芯片溫度很可能不會超過閾值，即使外殼熔毀，存儲芯片本身還有可能保留并具備成功提取的可能。

（二）智能手機密碼破解及密碼繞過

對于密碼保護的手機，在案件中出現(xiàn)的幾率隨著智能手機的普及，大眾隱私的關(guān)注逐年提高，手機功能的增加等因素也在逐年上升過程中。因此，對于密碼保護的手機數(shù)據(jù)進行提取、破解或繞過密碼的手段，也在不斷發(fā)展與完善過程之中。但無論密碼破解技術(shù)與硬件后門技術(shù)多么強大，都會有盲區(qū)，因此，在某些特殊情況下如案例3，通過有損的芯片檢驗方式來進行密碼破解與密碼繞過提取數(shù)據(jù)，都非常有效且符合實際的實施方案。

安卓鎖屏手機。目前常見安卓手機都有一些硬件后門，以及軟件漏洞可以通過這些方式快速破解密碼或移除密碼。但是，有些特殊安卓手機，沒有任何軟硬件后門方式可破解，但由于機身BGA存儲芯片對內(nèi)部數(shù)據(jù)并不加密，因此，通過BGA芯片級別提取數(shù)據(jù)后，就可完全不受屏幕鎖干擾，直接提取機身全部數(shù)據(jù)。提取數(shù)據(jù)為全部機身鏡像，文件系統(tǒng)還原后即可得到文件數(shù)據(jù)，從而分析得到機身全部相關(guān)數(shù)據(jù)。

黑莓密碼保護手機。黑莓手機的安全性始終非常高，尤其在數(shù)據(jù)傳輸過程中對數(shù)據(jù)的保密性很好。但是，由于黑莓手機存儲芯片本身并不加密，依舊可以利用芯片提取技術(shù)，繞過開機密碼進行數(shù)據(jù)獲取。

（三）定制系統(tǒng)手機和無數(shù)據(jù)接口手機

定制系統(tǒng)手機，主要指早期淘汰的或市場占有率非常低的特殊系統(tǒng)手機。市場上目前還存在著大量簡易手機，即無任何數(shù)據(jù)接口手機。這些手機，系統(tǒng)隨意性高，功能簡單，是傳統(tǒng)電子取證商業(yè)產(chǎn)品不能覆蓋支持的盲區(qū)。由于這些手機是使用較為通用的存儲芯片進行存儲，而且對存儲數(shù)據(jù)并不加密，因此，利用芯片級提取技術(shù)，依舊可以繞過一切開機密碼，直接得到機身全部鏡像數(shù)據(jù)，通過數(shù)據(jù)解析即可得到機身的相關(guān)數(shù)據(jù)：電話簿、通話紀錄和短信息等，甚至包含機身刪除部分的數(shù)據(jù)。

四、結(jié)語

芯片提取技術(shù),基于手機芯片的數(shù)據(jù)提取，特別是損壞手機的數(shù)據(jù)提取,從手機硬件底層的存儲芯片，直接直讀方式提取全部電子數(shù)據(jù)。具有數(shù)據(jù)完整度高，手機品牌型號差異性限制低等特點，是涉案手機尤其是損壞手機電子數(shù)據(jù)采集的終極解決方案。相關(guān)操作步驟,數(shù)據(jù)解析上的每個環(huán)節(jié),都在跟隨手機設(shè)備本身的發(fā)展而不斷更新?？梢灶A(yù)見未來，芯片級提取技術(shù)在密碼破解，損壞手機數(shù)據(jù)恢復(fù)等領(lǐng)域，一定會得到更大的關(guān)注,必然會在未來的刑偵工作中起到更大的作用。

[1]王桂強.手機物證檢驗及其在刑事偵查中的應(yīng)用[J].刑事技術(shù),2006(1).

[2]Rick Ayers.Sam Brothers.Guidelineson Mobile Device Forensics,2013.

[3]丁紅軍.手機規(guī)范取證研究[J].信息網(wǎng)絡(luò)安全,2012(5):88-91.