android智能手机中删除短信的提取


刑事技术 ·技术与应用·2015 年 第 40 卷 第 4 期 作者简介: 龙 源 (1989—), 男,江西永新人,硕士,助理研究员,研究方向为电子物证检验。 E-mail: ga_ly@foxmail.com DOI: 10.16467/j.1008-3650.2015.04.021 Android智能手机中删除短信的提取 龙 源,邢桂东,郭丽莉,楚川红,仲利静 (公安部物证鉴定中心,北京 100038) Extracting the Deleted SMS Data from an Android Smart Phone LONG Yuan, XING Guidong, GUO Lili, CHU Chuanhong, ZHONG Lijing (Institute of Forensic Science, Ministry of Public Security, Beijing 100038, China) ABSTRACT: This paper introduces a digital forensic examination on storage dump from an Android smart phone to access the deleted SMS data. The SMS data had been deleted by the suspect from the Android smart phone. Part of the deleted SMS data could be recovered using DC-4500 mobile phone forensic system and Oxygen Forensic Suite 2014, but proved to be irrelevant to the case. Commonly, the above software can only analyze the SMS database file, thus the deleted data would no longer exist in the SMS database if the sqlite database had already recycled the storage space. Therefore, a new inspection method was deployed to access the deleted SMS data. At first, the Android phone was rooted and its hex-dump got with DC- 4500 mobile phone forensic system, and then some keywords were selected and searched through the hex-dump by X-Way Forensics. Subjected to further analysis, the evidentially deleted SMS data fragment that the suspects tried to destroy after committing their crime, was finally found in the free space of hex-dump. Currently, Android smart-phones involved in cases are even more commonly emerging, resulting in the ever-increased necessity to get relevant hex-dumps from the phones and obtain data through keyword-searching into them. The method of this paper could be taken as a reference for future work. KEY WORDS: smartphone forensics; Android smart phone; deleted SMS data; free space 摘要 :本文介绍了对 Android 手机物理内存镜像进行关键字搜索获取删除短信数据的案件检验实例。本案中嫌 疑人已对涉案手机进行了数据删除操作,现有手机取证工具只能获取部分删除短信数据。但通过获取该手机物 理存储镜像,并结合案情选定关键词对镜像进行关键字搜索,最终提取到了与案件相关的删除短信数据,为 Android 手机检验中删除短信检验提供了一种新的方法。 关键词 :手机取证 ;Android 智能手机 ;删除短信;空余空间 中图分类号 : DF793.2 文献标识号 :B 文章编号 :1008-3650(2015)04-0338-02 1 案例资料 某日,某市公安局将一起涉嫌杀人案件中的嫌 疑人手机送我单位进行技术检验,办案单位要求对手 机中的涉案短信等数据进行恢复固定。该案中两名犯 罪嫌疑人具有一定的相关专业基础知识及反侦查意 识,对使用的手机进行了数据删除操作,这给涉案手 机中短信等数据的恢复固定工作带来了很大难度。 采用 DC-4500 手机取证系统(厦门美亚柏科公司, 厦门)与 Oxygen Forensic Suite2014(Oxygen Software, 俄罗斯)对涉案手机中一部 Android 智能手机数据提 取恢复,能够恢复并获取到部分已删除短信数据,但 其中并未发现与办案单位提供嫌疑人口供对应的短 信内容,考虑到采用的手机检验软件在对 Android 智 能手机进行检验时可能仅分析了手机内现有短信数 据库文件的内容,而进行数据删除操作后 sqlite 数据 库可能会将数据库存储空间回收 [1],这种情况下数据 删除痕迹将不会留存在数据库文件中,因此调整检 验方法,结合嫌疑人口供内容对该手机进行进一步 检验。 10.16467/j.1008-3650.2015.04.021 网络出版时间:2015-07-29 15:16:43 网络出版地址:http://www.cnki.net/kcms/detail/11.1347.D.20150729.1516.022.html ·339·2015 年 第 40 卷 第 4 期 龙 源, 等:Android智能手机中删除短信的提取 检验步骤 :(1)将该 Android 智能手机打开 USB 调试模式,接入检验工作站,使用 DC-4500 手机取 证系统工具箱中 Android 一键 root 工具获取该手机的 root 权 限 。( 2)获取该手机 root 权限成功后,使用 DC-4500 手机取证系统工具箱中 Android 镜像下载该 手机的物理内存镜像至检验工作站。(3)将获取的 该手机物理内存镜像加载到 X-Way Forensics(X-Way Software Technology,德国)软件工具中,再根据 办案单位提供的嫌疑人口供选取数个关键词,使用 X-Way Forensics 的同步搜索功能对物理内存镜像进 行底层关键字搜索 [2],可获取数百个搜索命中结果(见 图 1 左 )。( 4)通过对搜索命中结果的进一步人工筛 选,在该手机物理内存镜像中系统分区的空余空间内 发现了嫌疑人在作案后串供及合谋销毁证据的相关 短信内容片断(见图 1 右),这些短信内容与嫌疑人 口供相互印证,为案件的办理提供了有力的证据。 引用本文格式:龙源, 邢桂东, 郭丽莉, 等. Android智能手机中删除短信的提取 [J]. 刑事技术, 2015,40(4):338-339. 图 1 部分搜索结果(左)和短信内容片断(右) Fig.1 Part of the search result (left) and deleted SMS data fragment (right) 2 讨 论 通过对本案件的检验鉴定,有以下三点认识 和思考 :一是目前常用的手机检验软件工具在进行 Android 手机删除短信恢复时通常只分析搜索现有短 信数据库中的删除痕迹,并不会对空余空间进行进一 步检验,因此在对 Android 手机进行短信数据检验的 过程中,不能过于依赖手机检验软件工具直接处理获 得的结果短信数据,应考虑到本案中出现的这种情 况 [3];二是近年来涉及电子物证检材的案件不断增多, 很多犯罪嫌疑人也具备了一定的反侦查意识,会对电 子物证检材中的数据进行删除破坏处理,在案件检验 中针对此类数据被删除破坏的检材,应深入研究各类 检材中数据的存储机制及原理,充分利用现有技术, 结合检材实际情况进行进一步的分析检验 [4,5] ;三 是 在电子物证案件检验过程中,应当加强与办案单位的 沟通交流,充分了解案件详细信息,在全面考虑检材 类型、目标数据属性、案情细节等信息后有针对性的 设计检验方案,这样能够大大提高检验工作的效率, 最大限度的获取案件相关数据。 当前对 Android 智能手机短信的检验比较常见, 在此类案件的检验鉴定过程中,可以考虑获取机身内 存镜像并选取适当关键词进行搜索分析,这一思路供 今后工作参考。 参考文献 [1] SQLite Documents [EB/OL]. [2014]. http://www.sqlite.org/docs. html. [2] X-Ways Forensics [EB/OL]. [2014]. http://www.x-ways.net/win- hex/manual.pdf. [3] 姚伟,沙晶 . Android 智能手机的取证 [J]. 中国司法鉴定 , 2012 (1):45-49. [4] 王桂强 . 手机物证检验及其在刑事侦查中的应用 [J]. 刑事技 术,2006(1):25-31. [5] 丁红军,范玮 . 手机物证检验原则 [J]. 刑事技术,2012(3):46-47. 收稿日期: 2015-02-17
还剩1页未读

继续阅读

下载pdf到电脑,查找使用更方便

pdf的实际排版效果,会与网站的显示效果略有不同!!

需要 10 金币 [ 分享pdf获得金币 ] 0 人已下载

下载pdf

pdf贡献者

carefree25

贡献于2016-12-14

下载需要 10 金币 [金币充值 ]
亲,您也可以通过 分享原创pdf 来获得金币奖励!
下载pdf