手機取證——物理損壞手機數據提取案例

　　巧奪天工科技的設備可廣泛應用于各類數據恢復實驗室、數據分析機構、教育平臺、大數據機房、指揮調度中心、多媒體數據中心等諸多場景下，是數據恢復領軍企業“效率源科技”指定的設備外觀供應商。以下，就是“多功能維修工作站ED-SP9600”在效率源科技數據恢復業務中的具體應用。

　　設備名稱：多功能維修工作站ED-SP9600

　　功能簡介：多功能維修工作站ED-SP9600，具有獨特的雙屏顯示、科技藍式環境燈光、全金屬質感結合而成的外觀設計;多種類數據接口，可集成市面上多種數據分析與修復設備;配置日本白光焊接臺、熱風槍、BGA焊機等，一站式完成各類設備維修及數據處理工作。產品設計專業、科技感強烈、形象大氣且具有防靜電、防觸電等特點。廣泛適用于實驗室維修站，各類電子設備維修、電腦城數據恢復、指揮中心一體化電腦等。

　　設備圖片：

　　編者按：在《技術實戰》“手機數據提取”系列專題第1期文章中，效率源科研技術人員通過已Root安卓手機的數據提取，完整呈現了“手機數據提取”的基本流程和基礎注意事項。本期，將通過實際案例對已造成損壞的手機數據提取進行講解和介紹。因本案例涉及到具體刑事案件，文中所有敏感信息均做模糊處理。

　　案例背景：201x年x月x日， 四川省某地區荒郊野外發現一具無名尸體。經公安機關偵查，在無名尸體附近一水坑里發現一部手機，手機已經被水浸泡過并充滿了泥沙等雜物。為了確認受害者身份，公安機關需要提取手機里的數據信息。

　　實戰對象：某品牌智能手機，外觀被損毀，手機被水浸泡過，里面有泥沙等雜物。

　　技術分析：由于手機已被物理損壞，無法進行邏輯鏡像提取。必須拆解手機并拆卸芯片，再通過接入手機芯片數據讀取設備獲取芯片內容數據的鏡像。最后，通過手機取證工具SPF9139對鏡像進行數據提取及恢復，得到手機關鍵信息。

　　提取設備：SCE9168手機芯片數據提取系統、SPF9139手機數據恢復取證系統

　　SCE9168系統由“專業手機芯片拆卸工具”、“手機芯片數據提取工具”和“手機芯片數據提取分析軟件”三部分組成。配備多種EMMC、EMPC芯片讀取座，主要用于解決智能手機硬件因腐蝕、外部損壞、主板損壞、水中浸泡等原因造成的數據不可通過USB接口進行直接提取、分析等操作的問題。

　　SPF9139系統是一款集物理鏡像、數據恢復、數據提取、取證分析等技術為一體的手機電子取證綜合設備，具備強大的系統恢復、數據庫文件特征恢復、APP數據恢復、文件類型恢復、關鍵詞檢索、行蹤軌跡分析、生成符合司法部門要求的取證報告等功能，能夠支持Android、IOS、WP等主流智能手機及部分山寨手機。

　　圖1： 搭載SCE9168和SPF9139系統的一體式工作站

　　提取步驟：

　　一、觀察檢測手機

　　拿到提取手機以后，經效率源技術人員觀察和檢測，手機已被物理損壞，無法進行邏輯鏡像提取。

　　備注：如手機未被損壞，可直接連接SPF9139系統進行物理鏡像和數據提取，具體的操作流程詳見《手機數據提取第1期：已Root安卓手機正常數據提取實操案例》操作步驟。

　　圖2：已被損壞的手機

　　二、拆卸手機芯片

　　在效率源工作室，技術人員先清理手機中的泥土、雜物等污漬，再通過SCE9168系統提供的“專業手機芯片拆卸工具”拆解手機并拆卸下芯片。

　　備注：在手機芯片拆卸過程中，要注意觀察熱風槍是否周邊的元件有影響，如摩托羅拉L2000手機，在拆卸字庫時，必須將SIM卡座連接器拆下，否則很容易將其吹壞。此外，摩托羅拉T2688、三星A188、愛立信T28的功放及很多軟封裝的字庫，這些BGA-IC耐高溫能力差，吹焊時溫度不易過高，否則極易受到影響損壞器件。

　　圖3：拆卸手機芯片

　　三、芯片數據鏡像

　　拆卸下手機芯片以后，接入SCE9168系統中的手機芯片數據讀取設備，通過系統中的物理鏡像功能獲取手機芯片內容數據的鏡像，并校驗取得MD5值。

　　備注：MD5簡單地說來，就是一種安全策略。它可以為任何文件(不管其大小、格式、數量)產生一個同樣獨一無二的“數字指紋”，如果任何人對文件做了任何改動，其MD5值也就是對應的“數字指紋”都會發生變化。校驗MD5值是為了保證手機芯片數據的真實性。

　　圖4：手機芯片物理鏡像

　　四、數據提取及恢復

　　手機芯片進行物理鏡像以后，將物理鏡像文件接入SPF9139系統進行數據提取及恢復。物理鏡像文件接入SPF9139系統后，可以顯示出手機基本信息、社交聊天、Web痕跡、主流郵箱、地圖公交等手機數據信息。根據本案需求，選擇手機聯系人和短信進行提取，成功獲取手機聯系人130余條、短信10余條。

　　圖5：選擇聯系人和短信進行提取

　　圖6：提取出的短信信息

　　圖7：提取出的聯系人信息

　　五、關鍵信息檢索

　　為了給案件提供更多有用信息和線索，效率源技術人員通過SPF9139系統

　　進一步對手機芯片的鏡像數據進行關鍵字檢索，成功恢復出手機IMSI、SIMID等編碼信息。

　　備注：IMSI碼指的是國際移動用戶識別碼，是區別移動用戶的標志，儲存在SIM卡中，可用于區別移動用戶的有效信息。SIMID碼指的是對手機SIN卡對應號碼的ID和鑒別權限，手機開機后，會使用卡中的ID來登陸網絡。獲取手機IMSI和SIMID碼對于鑒別手機用戶身份具有重要意義。

　　圖8：關鍵信息搜索

　　六、導出數據分析報告

　　在分析完提取數據之后，可根據案件需求，將相應的提取數據信息生成分析報告，全面呈現數據提取的結果，以供案件偵破或取證。

　　圖9：生成報告

　　提取結果：通過以上6大步驟，效率源技術人員提取到了損壞手機中的聯系人、短信、IMSI、SIMID等信息和數據，為受害人身份識別和案件偵破提供了關鍵信息和線索。

　　【編后語：在公安、司法部門進行電子取證、司法鑒定的過程中，經常會遇到手機損壞無法直接進行數據提取的情況。通過本案例我們可以看到效率源SCE9168和SPF9139系統能夠實現對手機芯片數據進行鏡像，并提取和分析手機中的關鍵數據，為案件偵破提供關鍵信息。關于如何進行Android手機非ROOT提取、IOS越獄提取、IOS非越獄提取、繞過Android屏幕鎖、ROOT權限等內容將在以后案例中為你呈現，敬請期待!】