效率源SPF9139打擊網絡詐騙實操案例

巧奪天工科技的設備可廣泛應用于各類數據恢復實驗室、數據分析機構、教育平臺、大數據機房、指揮調度中心、多媒體數據中心等諸多場景下，是數據恢復領軍企業“效率源科技”指定的設備外觀供應商。以下，就是“數據分析一體機ED-MD9200”在效率源科技數據恢復業務中的具體應用。

設備名稱：多功能維修工作站ED-SP9600

功能簡介：多功能維修工作站ED-SP9600，具有獨特的雙屏顯示、科技藍式環境燈光、全金屬質感結合而成的外觀設計；多種類數據接口，可集成市面上多種數據分析與修復設備；配置日本白光焊接臺、熱風槍、BGA焊機等，一站式完成各類設備維修及數據處理工作。產品設計專業、科技感強烈、形象大氣且具有防靜電、防觸電等特點。廣泛適用于實驗室維修站，各類電子設備維修、電腦城數據恢復、指揮中心一體化電腦等。

設備圖片：

【編者按：《技術實戰》進入第2個系列專題“手機數據提取”，以效率源在協助公安機關打擊犯罪過程中的真實案例為基礎，結合SPF9139Pro 智能手機數據恢復取證平臺（以下簡稱“SPF9139系統”）等設備，講解在電子取證或司法鑒定過程中手機數據提取的實操方法與技巧。今天講解第1個手機案例，完整呈現最基本的“手機數據提取”全流程和基礎注意事項。手機數據提取初學者，可通過此文掌握基礎理論與實操方法，為下一步學習有難度的數據提取與分析奠定基礎。因本案例涉及到網絡詐騙案件偵破，文中所有敏感信息均做模糊處理。】

案例背景：201x年x月x日，受害人周某向xx市公安部門報案自己被詐騙。xx市公安局刑警大隊在偵辦該案過程中發現犯罪嫌疑人曹某通過電話、微信、QQ等方式，在獲得受害人信任后，發送虛假照片給受害人并以談戀愛為幌子，騙取受害人財務。為此，公安機關需要對犯罪嫌疑人作案手機中的電子數據進行固定和提取，為打擊犯罪提供證據。

實戰對象：安卓某品牌手機，已Root，外觀完好（沒有砸摔、泡水等），正常使用，數據未做刪除，需要提取電話、微信、QQ等通訊信息。

技術分析：由于手機已Root，此類手機信息數據提取屬于常規類型。利用效率源SPF9139系統的基本流程——“物理鏡像”、“數據提取”、“數據分析”和“生成報告”就可完成（如圖1）。

圖1：SPF9139系統業務操作流程

提取設備：

SPF9139系統，是一款集智能手機數據提取、恢復和取證分析為一體的綜合系統，可以根據實際需求應用到電腦或者多種硬件平臺上（電腦或工作站）。本案例使用的是搭載了SPF9139系統的工作站（如圖2），除了具有數據恢復、提取、取證分析等功能，還能進行手機芯片提取，多次在打擊網絡犯罪活動中發揮了重要作用。

圖2:搭載SPF9139的工作站

提取步驟：

一、前期準備

1、手機信號屏蔽。手機只要一開機，就會自動與外界進行通訊，可能會導致手機信息被篡改。因此，在電子取證或司法鑒定過程中需要使用信號屏蔽裝置（如圖3），避免手機與外界通訊帶來數據變動，保障手機數據的完整性與原始性。

圖3 ：手機裝入屏蔽袋

2、手機接入SPF9139。通過數據線將手機連接至搭載了SPF9139系統的電腦或工作站。由于數據線品牌較多，但并不是所有數據線都有數據傳輸功能，所以需要盡可能使用原裝數據線（非原裝可能導致連接失敗，影響取證效率）。同時，電腦或工作站端口的數據線接口應為“只讀”，避免電腦對手機里面的數據進行更改，以保證取證數據的完整性與原始性。

3、啟動SPF9139系統。通過電腦或工作站操作界面啟動SPF9139（見圖4），系統會自動讀取并顯示手機基本信息，比如手機品牌、手機型號、手機系統、是否root等。根據界面提示，本案例手機已經Root（如圖5）。

圖4：啟動SPF9139系統

圖5：SPF9139系統檢測出手機已Root

4、創建手機提取任務。點擊“創建任務”按鈕，填寫與本案相關信息，包括任務名稱、所屬案例、手機品牌、手機型號、送檢人員、送檢時間等（案件內容屬于涉密信息，均做馬賽克處理，如圖6），方便之后快速查詢到案例。

圖6：創建新的任務（紅色框填寫基本信息）

二、物理鏡像

所謂物理鏡像，指的是將提取對象的信息數據進行拷貝。根據《司法鑒定程序通則》規定，司法鑒定一般不能直接在檢材（送檢對象）上操作，而是要求在拷貝上操作。而電子取證、數據恢復等操作，為確保數據安全性，也建議在鏡像文件上進行提取、分析。

如圖7所示，物理鏡像頁面左側為“鏡像源”，也就是提取對象（本案手機），可以根據需求選擇手機、SIM卡、SD卡，每一項內容下面，也可以選擇具體區域，包括全部存儲芯片、數據區、系統區、緩存區。為保證取證完整性，本案選擇的是“手機全部存儲芯片”。右側為“鏡像目標”，也就是鏡像文件存儲地址，可以選擇默認地址（C:\XLYSFTasks\文件名\mirror，），也可自行指定。

圖7：選擇物理源和鏡像目標

三、數據提取

1、加載物理鏡像文件。物理鏡像成功之后，新建一個任務（如圖8），“任務名稱”可以填寫需要提取的數據信息類別（后期便于區分是哪一部分數據），如本案例可填寫成“**手機通話記錄、微信、QQ提取”。完成新建任務后，進入數據提取頁面（如圖9），選擇“鏡像加載”按鈕（如圖10）。找到本案件手機物理鏡像存儲位置（C:\XLYSFTasks\文件名\mirror），加載物理鏡像。

圖8：創建新的數據提取任務

圖9：點擊進入數據提取頁面

圖10：選擇加載鏡像

2、選擇要提取的類別。SPF9139系統能提取的數據包括通訊錄、通話記錄、短信、社交聊天、主流郵箱、地圖公交等絕大部分手機應用。根據客戶需求，本案只選擇電話、微信、QQ等通信方式（如圖11、12）。

圖11：選擇提取QQ和微信數據

圖12：選擇提取通話記錄

3、提取手機數據。點擊“開始提取”按鈕，即可將需要的相關信息數據提取出來（如圖13）。

圖13：數據提取

四、分析提取數據

提取完數據之后，SPF9139系統會自動進入數據分析頁面。點擊微信、QQ、電話等提取目錄，可對每一項內容進行詳細的數據分析。比如本案點擊手機通話記錄，可以清楚的顯示聯系人、通話時間、通話時長、號碼歸屬地、通話號碼分布、通話頻率等等，從而鎖定需要提取的目標號碼信息（如圖14）。微信、QQ的數據提取同理。

圖14：分析手機通話記錄

四、導出數據分析報告

在分析完提取數據之后，可根據案件需求，將相應的提取數據信息生成分析報告，全面呈現數據提取的結果，以供案件偵破或取證。

提取結果：通過以上5個大步驟，對手機對外通信記錄和數據進行提取和固定，為案件的快速偵破和司法判決提供了證據。

注意事項：1、在進行數據提取時，一定要先將手機放入信號屏蔽袋。

2、為了提高取證效率，盡量選用原裝數據線。

3、在進行數據提取分析時，一定要使用物理鏡像。

【編后語：在公安、司法進行電子取證、司法鑒定的過程中，經常需要對Android已ROOT手機中的電子數據進行固定和提取。通過本案例我們可以看到效率源SPF9139智能手機數據恢復取證系統能夠輕松實現制作鏡像和分析提取數據。關于如何進行Android手機非ROOT提取、IOS越獄提取、IOS非越獄提取、損壞手機的芯片數據提取、繞過Android屏幕鎖、ROOT權限等內容將在以后案例中為你呈現，敬請期待！】