陳丹

摘要：隨著網(wǎng)絡信息技術(shù)的普及，利用手機進行犯罪的案件呈上升的趨勢。智能手機取證成為司法行政機關用于偵破此類案件的關鍵。時下為了使用的安全性，所有的智能手機都設置了自動鎖屏功能，而許多手機取證涉及的信息，都被這個鎖屏功能保護起來。通過對手機AT指令集的研究，找到一種在不破壞手機硬件軟件的基礎上，可以暫時解除手機屏幕鎖定，獲取手機信息的方法，即使用AT%KEYLOCK = 0指令刪除手機屏幕鎖定功能。沒有了屏幕鎖定功能的手機，猶如敞開著大門的房子，取證人員可以輕松“進入”手機，從而獲取相應的數(shù)據(jù)。

關鍵詞：手機取證;鎖屏;AT指令

中圖分類號：TP399? ? ? 文獻標識碼：A

文章編號：1009-3044（2019）18-0013-02

Abstract：With the popularization of network information technology， Crimes committed by mobile phones are on the rise. Smartphone forensics has become the key for judicial administrative organs to detect such cases. Nowadays， in order to use security， all smart phones have set up automatic lock screen function， and many information related to mobile forensics are protected by this lock screen function. Through the research of AT instruction set of mobile phone， we find a method that can temporarily unlock the screen of mobile phone and obtain the information of mobile phone without destroying the hardware and software of mobile phone， that is use? instruction of AT% KEYLOCK = 0 to delete the mobile screen lock function. Mobile phones without screen lock function are like houses with open doors. Witness collectors can easily "enter" mobile phones to obtain corresponding data.

Key words：mobile forensics; lock screen; AT command

1 引言

隨著網(wǎng)絡信息技術(shù)的飛速發(fā)展，手機已成為人們不可或缺的生活必需品。手機的功能從最初的通信工具，變成現(xiàn)時人類全能的貼身朋友—能支付、能溝通交流、能休閑娛樂、能學習知識。

中國互聯(lián)網(wǎng)信息中心的統(tǒng)計報告顯示，截至2018年6月，我國網(wǎng)民數(shù)量為8.02億，其中手機網(wǎng)民規(guī)模達7.88億。

智能手機功能的不斷拓展，為用戶提供了越來越多、越來越智能的服務，與此同時，也為不法分子提供了更多的“機遇”，使用手機帶來的安全問題日益凸顯。中國互聯(lián)網(wǎng)信息中心于2018年6月發(fā)布的中國互聯(lián)網(wǎng)絡狀況調(diào)查顯示，使用手機過程遭遇的網(wǎng)上詐騙比例為26.3%，安全問題不容忽視。

由于手機的普遍使用，現(xiàn)在很多犯罪案例的取證，均需通過手機獲取犯罪信息，因此，手機信息的完整獲取，為各類案件的破解起著舉足輕重的作用。

2 手機取證現(xiàn)狀及難點

手機取證之關鍵是取得手機里的各種資料。為了保護個人數(shù)據(jù)的安全，各品牌的手機都設有自動鎖屏保護的功能，如果能知道鎖屏密碼（無論是哪種鎖屏方式），就可以把手機接入取證設備，及時、完整地獲取手機里的數(shù)據(jù)。但是在不知道鎖屏密碼的情況下，想要完整無損地獲取手機數(shù)據(jù)是非常困難的。現(xiàn)今，不論是安卓手機還是蘋果手機，鎖屏密碼是手機取證的最大障礙。

雖然已經(jīng)有不少方式可以繞過或破解手機鎖屏密碼，但是這些方法或多或少地都存在一定的缺陷和安全隱患。

文獻[1]指出，基于第三方recovery的提取方式，雖然不會改變用戶的數(shù)據(jù)分區(qū)，能保證獲取到原始的取證數(shù)據(jù)，但是隨著安卓系統(tǒng)的升級，在安卓手機鎖定Bootloader引導分區(qū)的前提下，這種方法已經(jīng)不再適用。

文獻[2]指出，通過連接手機的JTAG觸點，可以讀取手機的鏡像文件。該方法適用于手機主板可通電、CPU完好的情況。如果被檢設備開啟了“全盤加密”一類的功能，JTAG提取到的鏡像也還是加密鏡像，破解工作仍然很艱難。且JTAG的數(shù)據(jù)獲取方式還存在速度較慢、接入點難以尋找等缺點，有些設備商甚至屏蔽了JTAG的接入方式[3]。

文獻[4]介紹的Chipoff方法是指將手機存儲芯片取下，然后對其數(shù)據(jù)進行直接讀取的方法。該方法的使用范圍是芯片必須完好，不足之處是無法解析“全盤數(shù)據(jù)加密”的手機、不能提取芯片損毀的手機。

3 AT指令技術(shù)依據(jù)

智能手機中除了處理器、內(nèi)存、電池等設備之外，還有一個很關鍵的模塊叫作Modem（調(diào)制解調(diào)器），它是手機與外界保持一切連接的主要橋梁。

智能手機作為一種多功能通訊工具，其最主要的功能就是“通訊”，Modem就是讓手機保持通訊的核心部件，是接受和輸出信息的通道。如果智能手機沒有了Modem，既不能打電話，也不能發(fā)短信，更不能上網(wǎng)。手機信號的強和弱，在一定程度上取決于Modem的性能。

任何一臺處于開機狀態(tài)但未解鎖的智能手機，其Modem都是處于實時運行狀態(tài)。這也是為什么平時手機在鎖屏狀態(tài)下照常能夠收到短信、微信和電話的原因。當把一臺未解鎖的智能手機通過USB插入電腦時，由于屏幕被鎖定所以無法選擇USB連接模式讀取手機數(shù)據(jù)，但是可以讀取到調(diào)制解調(diào)器的信息。因此，在手機取證時，遇到手機屏幕鎖屏，可以考慮通過Modem來獲取手機中相關的證據(jù)信息。

每種型號的手機都支持制造商定義的一些基本AT指令集。利用這些指令集就可以實現(xiàn)對手機相關信息的獲取。

4 AT指令取證方法

由于Hayes公司發(fā)明的AT指令得到了廣泛的應用，大多數(shù)其他生產(chǎn)調(diào)制解調(diào)器的公司都使用Hayes公司的AT指令來控制調(diào)制解調(diào)器，因此，幾乎每個手機調(diào)制解調(diào)器都是Hayes兼容的，這就意味著Hayes在1977年開發(fā)的AT語言指令支持調(diào)用手機調(diào)制解調(diào)器。因此，即使手機受密碼保護，也可以使用AT指令獲取有關手機的一些有用信息。

AT指令在當代手機通訊中起著重要的作用，能夠通過AT指令控制手機的許多行為，包括撥叫號碼、按鍵控制、傳真、GPRS等。表1列出了部分AT指令及其功能。

每一種手機廠商都可以設置不同的AT硬件指令，用于喚醒相應的手機軟件功能。因此想要獲取手機相關信息，需要找到取證手機對應廠商制定的指令集。

以LG手機為例，LG手機支持大多數(shù)基本的AT 指令集，可以用于提取一些公共信息。此外，LG手機還有自己品牌的專有指令集（AT%類型的指令），這些指令（包括AT%IMEIx，AT%SIMID，AT%SIMIMSI，AT%MEID，AT%HWVER，AT%OSCER，AT%GWLANSSID）可以返回有關手機的基本信息。指令集中包含一個AT%KEYLOCK指令，用于管理手機屏幕鎖定狀態(tài)。

當調(diào)用指令AT%KEYLOCK時，根據(jù)參數(shù)不同，會從/system/lib/libatd_common.so庫中調(diào)用lge_set_keylock（）或lge_get_keylock（）函數(shù)。如果傳遞給函數(shù)lge_set_keylock（）的值為“0”= 0x30時，將最終調(diào)用該函數(shù)，然后返回字符串“[0] KEYLOCK OFF”。顯然，指令AT%KEYLOCK = 0允許刪除屏幕鎖定，無須進行任何其他操作。至此，手機將移除屏幕鎖，無論手機使用的是PIN碼、鎖定圖案、密碼、抑或指紋來鎖定屏幕[5]。

這個指令的工作原理是：將零值（意味著解鎖）寫入特殊RAM區(qū)域，該區(qū)域存儲著負責屏幕鎖定的值。這意味著該命令不以任何方式修改ROM。

需補充說明的是，這個指令只會刪除屏幕鎖定，而不會影響任何用戶設置，因此能保證手機數(shù)據(jù)的完整性，可用于手機取證。并且，當智能手機重啟后，將返回鎖定狀態(tài)，屏幕鎖定再次啟用。另外，該指令無法獲取屏幕鎖定密碼（無論是哪種密碼方式），它只是刪除密碼一段時間。

通過向Modem發(fā)送AT指令進行解鎖取證的方法，僅適用于Android手機。由于Android手機平臺的開放性，使得其取證環(huán)境復雜多樣化，在具體的應用過程中，應仔細挑選合適的取證方法[6]。

5 結(jié)語

為了提高使用的安全性能，各手機廠商都給手機設置了相應的安全措施，其中最普遍的是鎖屏功能，而手機取證往往受屏幕鎖定的限制，無法得到相關的證據(jù)信息。本文介紹了一種在不破壞手機硬件軟件的基礎上，可以暫時解除手機屏幕鎖定，獲取手機信息的方法，即使用AT%KEYLOCK = 0指令刪除手機屏幕鎖定功能，雖然這種刪除是暫時性的，但是沒有了屏幕鎖定功能的手機，猶如敞開著大門的房子，取證人員可以輕松“進入”手機，從而獲取相應的數(shù)據(jù)。

手機取證任重而道遠，新的犯罪手段層出不窮，為了維護社會安定，打擊此類犯罪，仍需對手機取證方式方法進行深入研究，比如引入機器學習，大數(shù)據(jù)分析等領域的技術(shù)，這將是手機取證下一步的研究方向。

參考文獻：

[1] 計超豪，王即墨，裴洪卿. 非root條件下獲取安卓手機物理鏡像[J]. 刑事技術(shù)， 2018（43）：464.

[2] 李剛. 案件偵辦中手機電子證據(jù)取證難點及解決方法[J]. 廣西警察學院學報， 2018（31）：68-72.

[3] 楊雪. Android手機取證技術(shù)研究綜述[J]. 計算機時代， 2015（6）：7-9.

[4] 孔攀，蔡睿奇. Android手機取證技術(shù)研究[J]. 網(wǎng)絡犯罪與取證， 2018（2）：153-154.

[5] 秦玉海， 孫奕. 智能手機取證[M]. 北京： 清華大學出版社， 2014： 125-130.

[6] 劉浩陽，李錦，等. 電子數(shù)據(jù)取證[M]. 北京： 清華大學出版社， 2015： 212-215.

【通聯(lián)編輯：李雅琪】