手机取证及其电子证据获取研究

方剑锋

[摘要]为了有效打击犯罪，手机取证逐渐得到了应用。通过手机取证的手段收集的信息就是电子证据，此类证据同样具有法律效力，可以作为定罪的参考依据。因此，从这方面来讲，手机取证的应用是新时期打击犯罪的有效手段，对于维护社会稳定秩序有着重要意义。本文对手机取证及电子证据获取中涉及的一些重要问题进行了探讨。

[关键词]手机取证;电子证据;取证源

1、前言

当前，利用手机从事犯罪活动的形式多种多样，但从大的方面来讲，手机在此类案件中充当的角色主要有三种，即通信工具、存储媒质、实施犯罪的工具[1]。在这样的情况下，传统的取证方式，已经无法有效获得有力证据，而手机取证作为一种新兴的取证方式，逐渐推广开来。

2、取证源

2.1SIM卡

对于通信网络来讲，终端设备由SIM卡和手机构成。前者是SubscriberIdentityModule的缩写，主要功能在于识别用户。利用这个识别卡，移动网络能够鉴别用户身份、加密通话。以存储内容为依据，该卡中的信息可细分为下述几种：一、原始数据，此类数据由厂家存储进去，属于其中最基本的信息。二、固有信息，此类信息由手机存储，通常包括MIN码、加密信息、IMSI码等。三、个人数据，此类信息是手机使用过程中由用户存储进去的，主要包括通话记录、短信等。四、网络数据，此类信息主要是服务更新信息以及用户数据、自动保存的信息等，主要是由用户自身设置以及系统更新而来。五、参数信息，此类信息包括很多种，比如身份识别号、解锁号等。

2.2存储卡

这里所说的存储卡实际上包含两种：内置卡、外置卡[2]。手机的更新换代速度非常快，不仅功能在不断扩充，存储空间也在持续增大。以数据差异为依据，可将手机存储区细化为动态、静态两个部分。其中，前者存储的主要是临时数据（临时数据源于手机执行系统命令的过程和手机程序应用的过程），后者存储的则主要是用户数据以及相关的配置数据等。所以，对于手机取证来讲，后者显然更具证据价值。手机识别号、短信和通话记录等均可作为电子证据，而这些信息都存在静态区。尽管手机不一样或者网络不一样，读取上述信息的形式会存在一些差异，内容格式也可能因此不同，但并不妨碍这些数据的证据功能。

在现实中，手机与人们生活的联系越来越密切，甚至正在不知不觉改变现代人的生活方式。在这样的情况下，人们对手机的依赖性越来越强[3]，不少商家为了进一步扩充手机功能，满足消费者心理需求，都开始在存储容量上下功夫。外置卡可以根据消费者的需求，将手机容量扩充至消费者满意为止，所以，此种卡比较受欢迎。比如SD卡，已经成为了很多手机的“标配”。在版权处理案件中，外置卡可作为有效取证源，对保证判定结果的公正性具有重要意义。

2.3运营商

运营商有两个对手机取证而言非常重要的数据库，一个存储的是用户注册的相关信息，另一个存储的则是用户使用手机过程中的个人信息（比如通话记录等）。这些数据和信息在犯罪调查中均属于非常重要的潜在证据，尤其是后者，有效性更为突出。而前者尽管目前在犯罪调查中应用的比较少，但是，考虑到其中涉及用户身份信息和位置信息，在实名制落實后，这些信息就能够帮助有关部门尽早破案，可显著提高破案效率。

3、获取电子证据的方法

3.1从SIM卡中获取有用证据的方法

SIM卡存储器实际上是三层树结构，节点由主文件、专用文件、基本文件构成。其中，主文件属于根节点，基本文件以及专用文件均包含在内。在GSM移动网络标准中定义GSM专用文件、DCS1800专用文件和Telecom专用文件等为主文件的子节点，这个标准还定义了与这些专用文件相对应的基本文件。标准定义的严格性，是导致SIM卡具有通用系统架构的主要原因之一。但此种通用性只是在某种程度上而言，发行商不同，SIM卡的系统架构依旧存在细微的差异。目前，从SIM卡中获得电子证据的方式主要包括两种：一、借助读卡器将卡中的有用信息、数据提取出来。二、借助操作指令获取有用信息。

3.2从存储卡中获取有用证据的方法

存储卡有内置卡与外置卡两种，取证方式也各不相同。对于后者，取证时可借助相应的软件（比如Encase）获取信息和数据，比较简单。前者的取证则相对复杂一些，具体实施中，有效途径包括两种：一、拆解法。此种方法实施步骤包括两步，第一步是将手机拆解开来以获得芯片，第二步是借助相应的读取工具，将芯片中存储的数据提取出来。二、直接法。此种方式无需拆解手机，可直接通过数据缆线连接主板的方式，获得所需要的存储信息。以上方法均属于物理途径，在现实中已经多次实践，较为有效。但这些方法依旧存在一些局限性，比如，上述方法尽管能够将数据受到的外力干扰有效降低，但是执行取证的人员必须具有专业水准。所以，此种方法应用效果尚可，但应用范围比较有限。在实际的犯罪调查取证中，通常采取的取证方式还是以指令集法以及软件法为主。

常用的取证软件除了专门软件之外，还有SIMcon、ForensicSIM、CellSeizure、XRY等。每一种软件都有其自身的特点，以CellSeizure为例，其能够检验手机数据的完整性，并以分析报告的形式展现出来。现实中，该软件通常用于获取存储卡内的信息，其可从用户删除过的文档以及保存的通话记录等信息中获取电子证据。当前，可用于手机取证的指令集包括AT、OBEX、JTAG等。另外，利用厂商软件包也能够达到取证目的。

3.3从运营商处获得有效证据的方法

从运营商处获得所需证据，是一种比较有效的取证方式。具体实施中，方法有两种：一、取证人员只需明确SIM卡注册的手机号，就可以通过搜索运营商的通话记录数据库获得所需信息。此种方式能够获得的信息包括短信与通话记录。二、将IMEI号作为依据对运营商的注册信息数据库进行搜索，获得手机持有者的相关信息。手机实名制如果得到落实，运营商取证的方式将会显现出巨大优势：只要将搜索来的信息对比居民身份证系统数据库中的信息，就可以获得真实、详细的有用信息。但是，此种取证方式应用时，应注意保证取证的时效性，以免因为数据更新影响到电子证据的可靠性。

4、结语

当前，犯罪调查手机取证中，取证软件的使用频率已经比较高了。尽管很多软件本身依旧存在某些不足，但是在使用过程中若能够根据软件缺陷进行综合利用，还是能够获得有效信息的。从应用效果来看，手机取证的实行对相关部门开展打击违法犯罪活动有很大的帮助作用，对于保证社会秩序有着重要意义。

参考文献

[1]杨阳，张耀，尤志龙.基于电子证据的智能手机取证APP的合法性研究[J].黑龙江科技信息.2015，（19）：147.

[2]杨雪.Android手机取证技术研究综述[J].计算机时代.2015，（06）：07-09.

[3]危蓉.锁屏Android智能手机取证方法的研究[J].中国司法鉴定，2015，（01）：67-70.