有关手机电子证据的固定教程

曲阳阳

随着通信技术以及其服务功能的不断增加，新功能手机的使用越来越多，同时手机渐渐成为了一种新式的高技术犯罪工具。利用手机从事的诈骗、售假、造谣等违法犯罪活动越来越多，为打击犯罪，手机取证也就显得更重要。该文主要从手机证据的来源和获取方法等几个方面对手机取证技术进行了研究，指出了目前在此领域中存在的一些主要问题及手机取证的研究发展方向。在平时的取证过程中，很容易会忽视掉前期的一些准备工作，主要是以下几点需要注意：


飞行模式：
手机在被送交后，应立刻开启飞行模式。y在后面做证据固定的时候，因为目前很多手机品牌都有自己的云空间、云服务这类远程同步功能，有可能被还没抓住的犯罪分子利用，造成现有检材的数据丢失，如果手机正与其他设备连接，需立刻进行切断连接，以防数据传输和同步覆盖。


手机密码：
手机开机密码现场需要验证，其他重要密码也要注意现场验证，如：APP的登录密码、手机隐私空间的访问密码、手机云盘空间的访问密码，相册密码，通讯录密码等。


手机电量：
在送交了手机检材后，为了保证数据安全通常都是关机处理，到了需要固定的时候才打开手机，这里会很容易忽视手机电量的问题。如果电量过低，在取证过程中会出现问题，可能导致手机强制关机，更严重的话可能会导致数据丢失。建议：准备进行数据固定前，先把手机关机充电，再进行后续处理。





配套工具：

在取证工作中，最关注的就是我们的电脑，但是其他小工具也不能忽视，如：①数据线  ②SD卡  ③SIM卡读卡器  ④OTG  等等。

• 数据线：正常情况下需要准备三种数据线，苹果Lightning接口数据线、安卓MicroUSB接口、Type-C接口数据线，数据线是经常被大家所忽略的东西，但是它确实会影响到数据固定速度和稳定性。
  举个例子：安卓MicroUSB接口数据线在某宝的价格有很多便宜的，但是有的线里面只有两根线，有可能只支持充电而无法读取手机中的数据。
• SD卡：建议准备两张，一张4GB的，一张64GB以上的，因为有些老款的手机，它们虽然支持SD卡扩展，但是没办法支持到大容量的SD卡。
• OTG线：上面提到的SD卡是最常用的工具，但是市面上现流行的中高端手机，是不支持SD卡扩展的，大家可以根据自己的需要，OTG线、OTG U盘均可。
  
  
  

手机驱动：

如果使用新的电脑，或使用别人的电脑，通常没有安装手机相关的驱动，会导致手机接入电脑后无法被正常识别，所以在固定前，需要安装好手机的驱动程序。 通过手机官方网站下载对应的手机驱动程序，是最好的选择。或通过360手机助手也可识别。

usb调试：

苹果手机在正常接入电脑后，直接点击【信任】按钮。而安卓手机由于不同品牌、机型不同，他们打开USB调试方法也不尽相同。

通常方法是：设置 > 关于手机 > 连续点击 版本号 等待界面提示开发者选项已经打开 > 开发者选项 > 打开USB调试

上述准备工作做完后，就需要明确目标，主要围绕着两个业务场景：

1、数据采集工作

数据采集讲究的是速度快，效率高，能够尽可能快速的采集到必要的手机电子数据。

2、调查取证工作

案件调查取证，要尽可能固定出更多的证据数据，有可能多固定出一条记录，对后续的案情分析就会意想不到的帮助。

手机取证思路：

苹果手机一般拿到后，能够解锁的手机，使用备份提取任务进行手机备份，就能正常获取到数据。   

要注意的点有：

① 尽可能做加密备份，因为加密备份会获取到更多的数据，但是相应的时间耗时也会增加；

② 如果需要获取到应用使用记录等日志文件，在做备份前还需要按住音量上下键+电源键等待手机震动后，再接入电脑进行备份提取；

安卓手机：

1、对于安卓手机，先确定它是否是已ROOT状态，通过软件界面上的提示，可以看到手机的ROOT状态。

如果已经ROOT，可以直接通过ROOT镜像的方式，打出这个手机的镜像。如果是没有ROOT，需要在关于手机中查看手机的Android安全补丁日期；2、注意Android安全补丁日期在16年前的，可以通过高级ADB的方式进行打出镜像；

华为：

华为手机推荐使用华为自带备份的方式，因为官方的方式是最稳妥的，时间快，效率高，也不容易对手机造成影响。   

通常使用华为自带备份的APP，将手机数据备份到SD卡或者OTG上，也可以临时备份到手机存储中，但不推荐这么做。

有些华为手机的自带备份，可能在拿到手机时，已经升级到了最新版本，最新版本是没办法备份到本地存储的，只能选择云存储，这个时候需要对这个自带备份APP进行降级处理，然后再进行备份操作

VIVO：

VIVO没有类似其他品牌自带备份的APP，只有一个互传工具，通过软件的VIVO互传功能，可以获取到手机的数据（部分机型无法获取QQ数据）

OPPO：

OPPO推荐自带备份的方式，将手机应用数据备份到SD卡或者OTG中。

OPPO使用自带备份，APP可能会提示无法备份应用数据，这是因为OPPO推出了一个手机搬家的APP所导致的。解决方法就是通过设置 > 应用管理 > 应用列表 > 手机搬家，点击后卸载更新，上述操作完成后重新打开自带备份APP就可以正常备份到应用数据。

小米：

小米手机需要注意手机的MIUI版本，如果是开发者版的话，可以尝试着通过开发者版的ROOT权限进行镜像。操作步骤如下：安全中心 > 权限 > ROOT权限 > 开启ROOT

如果不是开发者版，或者是没有开启ROOT，也可以通过小米自带备份的方式进行数据固定。

其他品牌：

其他品牌像一加、酷派、锤子等，也有自带备份的方式，参考官网介绍，这些官方工具也可以获取到手机的数据。

通过软件右上角菜单的备份教程，很容易看到每个品牌对应的备份方法。

目前最稳定的方式，就是通过各个品牌的官方备份APP进行数据的获取，如果自带备份的方式没有能够获取到应用数据该怎么办？

有一种通过的解决方式是，通过数据提取，这里主要是以Android4.0左右为分界线，通常低版本的Android不需要使用风险模式，高版本的Android只能使用数据提取的风险模式，即平常说的降级备份。

因为像微信、QQ这些应用，更新迭代速度快，新版本已经无法通过ADB命令备份出来，只有先将他们替换掉老版本，才能进行备份。当然这种方式也是最后的解决方法，如果手机中有应用分身的话，最好不要使用。   

关于手机取证的未来发展方向 ,一方面可继续加强对手机取证工具、软件和方法的研发 ,改善它们的取证效 果 ,使其符合法庭取证的各项要求。另一方面 ,各手机生 产厂商与取证专家之间可通过交流协作制定出统一的手 机取证技术标准。此外 ,我国的立法部门还应不断地加强涉及手机犯罪方面的立法工作 ,从法律法规上不给犯罪份子留下空子 ,切实有效地打击手机犯罪。