巧奪天工科技的設備可廣泛應用于各類數據恢復實驗室、數據分析機構、教育平臺、大數據機房、指揮調度中心、多媒體數據中心等諸多場景下,是數據恢復領軍企業“效率源科技”指定的設備外觀供應商。以下,就是“數據分析一體機ED-MD9200”在效率源科技數據恢復業務中的具體應用。
設備名稱:多功能維修工作站ED-SP9600
功能簡介:多功能維修工作站ED-SP9600,具有獨特的雙屏顯示、科技藍式環境燈光、全金屬質感結合而成的外觀設計;多種類數據接口,可集成市面上多種數據分析與修復設備;配置日本白光焊接臺、熱風槍、BGA焊機等,一站式完成各類設備維修及數據處理工作。產品設計專業、科技感強烈、形象大氣且具有防靜電、防觸電等特點。廣泛適用于實驗室維修站,各類電子設備維修、電腦城數據恢復、指揮中心一體化電腦等。
設備圖片:
【編者按:《技術實戰》進入第2個系列專題“手機數據提取”,以效率源在協助公安機關打擊犯罪過程中的真實案例為基礎,結合SPF9139Pro 智能手機數據恢復取證平臺(以下簡稱“SPF9139系統”)等設備,講解在電子取證或司法鑒定過程中手機數據提取的實操方法與技巧。今天講解第1個手機案例,完整呈現最基本的“手機數據提取”全流程和基礎注意事項。手機數據提取初學者,可通過此文掌握基礎理論與實操方法,為下一步學習有難度的數據提取與分析奠定基礎。因本案例涉及到網絡詐騙案件偵破,文中所有敏感信息均做模糊處理。】
案例背景:201x年x月x日,受害人周某向xx市公安部門報案自己被詐騙。xx市公安局刑警大隊在偵辦該案過程中發現犯罪嫌疑人曹某通過電話、微信、QQ等方式,在獲得受害人信任后,發送虛假照片給受害人并以談戀愛為幌子,騙取受害人財務。為此,公安機關需要對犯罪嫌疑人作案手機中的電子數據進行固定和提取,為打擊犯罪提供證據。
實戰對象:安卓某品牌手機,已Root,外觀完好(沒有砸摔、泡水等),正常使用,數據未做刪除,需要提取電話、微信、QQ等通訊信息。
技術分析:由于手機已Root,此類手機信息數據提取屬于常規類型。利用效率源SPF9139系統的基本流程——“物理鏡像”、“數據提取”、“數據分析”和“生成報告”就可完成(如圖1)。
圖1:SPF9139系統業務操作流程
提取設備:
SPF9139系統,是一款集智能手機數據提取、恢復和取證分析為一體的綜合系統,可以根據實際需求應用到電腦或者多種硬件平臺上(電腦或工作站)。本案例使用的是搭載了SPF9139系統的工作站(如圖2),除了具有數據恢復、提取、取證分析等功能,還能進行手機芯片提取,多次在打擊網絡犯罪活動中發揮了重要作用。
圖2:搭載SPF9139的工作站
提取步驟:
一、前期準備
1、手機信號屏蔽。手機只要一開機,就會自動與外界進行通訊,可能會導致手機信息被篡改。因此,在電子取證或司法鑒定過程中需要使用信號屏蔽裝置(如圖3),避免手機與外界通訊帶來數據變動,保障手機數據的完整性與原始性。
圖3 :手機裝入屏蔽袋
2、手機接入SPF9139。通過數據線將手機連接至搭載了SPF9139系統的電腦或工作站。由于數據線品牌較多,但并不是所有數據線都有數據傳輸功能,所以需要盡可能使用原裝數據線(非原裝可能導致連接失敗,影響取證效率)。同時,電腦或工作站端口的數據線接口應為“只讀”,避免電腦對手機里面的數據進行更改,以保證取證數據的完整性與原始性。
3、啟動SPF9139系統。通過電腦或工作站操作界面啟動SPF9139(見圖4),系統會自動讀取并顯示手機基本信息,比如手機品牌、手機型號、手機系統、是否root等。根據界面提示,本案例手機已經Root(如圖5)。
圖4:啟動SPF9139系統
圖5:SPF9139系統檢測出手機已Root
4、創建手機提取任務。點擊“創建任務”按鈕,填寫與本案相關信息,包括任務名稱、所屬案例、手機品牌、手機型號、送檢人員、送檢時間等(案件內容屬于涉密信息,均做馬賽克處理,如圖6),方便之后快速查詢到案例。
圖6:創建新的任務(紅色框填寫基本信息)
二、物理鏡像
所謂物理鏡像,指的是將提取對象的信息數據進行拷貝。根據《司法鑒定程序通則》規定,司法鑒定一般不能直接在檢材(送檢對象)上操作,而是要求在拷貝上操作。而電子取證、數據恢復等操作,為確保數據安全性,也建議在鏡像文件上進行提取、分析。
如圖7所示,物理鏡像頁面左側為“鏡像源”,也就是提取對象(本案手機),可以根據需求選擇手機、SIM卡、SD卡,每一項內容下面,也可以選擇具體區域,包括全部存儲芯片、數據區、系統區、緩存區。為保證取證完整性,本案選擇的是“手機全部存儲芯片”。右側為“鏡像目標”,也就是鏡像文件存儲地址,可以選擇默認地址(C:\XLYSFTasks\文件名\mirror,),也可自行指定。
圖7:選擇物理源和鏡像目標
三、數據提取
1、加載物理鏡像文件。物理鏡像成功之后,新建一個任務(如圖8),“任務名稱”可以填寫需要提取的數據信息類別(后期便于區分是哪一部分數據),如本案例可填寫成“**手機通話記錄、微信、QQ提取”。完成新建任務后,進入數據提取頁面(如圖9),選擇“鏡像加載”按鈕(如圖10)。找到本案件手機物理鏡像存儲位置(C:\XLYSFTasks\文件名\mirror),加載物理鏡像。
圖8:創建新的數據提取任務
圖9:點擊進入數據提取頁面
圖10:選擇加載鏡像
2、選擇要提取的類別。SPF9139系統能提取的數據包括通訊錄、通話記錄、短信、社交聊天、主流郵箱、地圖公交等絕大部分手機應用。根據客戶需求,本案只選擇電話、微信、QQ等通信方式(如圖11、12)。
圖11:選擇提取QQ和微信數據
圖12:選擇提取通話記錄
3、提取手機數據。點擊“開始提取”按鈕,即可將需要的相關信息數據提取出來(如圖13)。
圖13:數據提取
四、分析提取數據
提取完數據之后,SPF9139系統會自動進入數據分析頁面。點擊微信、QQ、電話等提取目錄,可對每一項內容進行詳細的數據分析。比如本案點擊手機通話記錄,可以清楚的顯示聯系人、通話時間、通話時長、號碼歸屬地、通話號碼分布、通話頻率等等,從而鎖定需要提取的目標號碼信息(如圖14)。微信、QQ的數據提取同理。
圖14:分析手機通話記錄
四、導出數據分析報告
在分析完提取數據之后,可根據案件需求,將相應的提取數據信息生成分析報告,全面呈現數據提取的結果,以供案件偵破或取證。
提取結果:通過以上5個大步驟,對手機對外通信記錄和數據進行提取和固定,為案件的快速偵破和司法判決提供了證據。
注意事項:1、在進行數據提取時,一定要先將手機放入信號屏蔽袋。
2、為了提高取證效率,盡量選用原裝數據線。
3、在進行數據提取分析時,一定要使用物理鏡像。
【編后語:在公安、司法進行電子取證、司法鑒定的過程中,經常需要對Android已ROOT手機中的電子數據進行固定和提取。通過本案例我們可以看到效率源SPF9139智能手機數據恢復取證系統能夠輕松實現制作鏡像和分析提取數據。關于如何進行Android手機非ROOT提取、IOS越獄提取、IOS非越獄提取、損壞手機的芯片數據提取、繞過Android屏幕鎖、ROOT權限等內容將在以后案例中為你呈現,敬請期待!】