主题：【第八届原创】手机中数据的提取、固定与恢复（CNAS Z0060能力验证）

写在前面，拉拉人气：
非专业人士（特别是侦探迷）阅读本文可以了解手机中隐私信息是如何成为证据的，有兴趣的还可回帖交流下如何保护个人隐私信息。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

　　司法部司鉴所的能力验证已组织了好多年，通常模拟的鉴定对象都是计算机硬盘，今年第一次以手机作为鉴定对象，并涉及到了近年来比较热门的微信、微博、WIFI信息、地理位置信息等数据的分析鉴定，应该可以说是一次非常好的能力验证题目。
　　本文改变了原鉴定文书的顺序和删减了部分信息，尽量以比较通俗的方式来写，方便非本专业人士阅读。
一、案情摘要
　　在一起涉嫌诈骗案件中，詹三（James）报案称被彭四（Peter）诈骗十万元。警方查获彭四的一台电脑并提取了该电脑中的手机备份数据。现委托鉴定机构对其进行鉴定以查找与诈骗行为相关的证据。
　　本案中彭四使用的手机号码为13162101347，詹三使用的手机号码为18939779319。
二、委托鉴定事项
　　1）送检“Backup.zip”文件的哈希值。
　　2）送检手机的型号及序列号。
　　3）送检手机连接过的Wifi名称。
　　4）Peter与James的通话记录。
　　5）Peter与James的短信往来记录。
　　6）Peter与James的微信聊天记录。
　　7）Peter与James语音联系的内容。
　　8）Peter与James的其它联系记录。
　　9）Peter是否到过银行，其位置在何地。
　　10）其它与案件相关的信息。
三、鉴定过程
（一）鉴定方法
　　GA/T 756-2008《数字化设备证据数据发现提取固定方法》
　　GA/T 1069-2013《法庭科学电子物证手机检验技术规范》
　　GB/T 29360-2012《电子物证数据恢复检验规程》
　　GB/T 29362-2012《电子物证数据搜索检验规程》
（二）实施鉴定
　　鉴定设备： FL-800取证塔
　　鉴定软件： SafeAnazyler V4.2、SafeMobile V4.4、DC-4501手机取证系统V2.4
　　1.记录检材情况
　　记录检材的特征：光盘一张，正面印有“参加编号：xxxxxxx” 、“项目名称：电子数据搜索与恢复（CNAS Z0060）”等字样。
　　对检材拍照留证，检材照片如图1所示：

图1 检材正面照片

　　2.准备环境
　　启动检验鉴定专用设备，运行杀毒软件对系统进行全盘病毒查杀，确保鉴定环境的安全；运行截图软件记录关键发现；在设备E盘下新建文件夹“E:\2015 CNAS Z0060\”,用于存放本次鉴定中从“2015-T01-检材1”中提取的涉案数据。
　　3.制作检验用例
　　将“2015-T01-检材1”光盘插入设备光驱，计算光盘和光盘中的手机备份压缩文件“Backup.zip”的MD5值和SHA256校验码。MD5值和SHA256校验码见表1。

　　将文件“Backup.zip”复制到“E:\2015 CNAS Z0060\”下，检验复制后的“Backup.zip”文件与原始文件的一致性。并将哈希值校验结果输出到文件“E:\2015 CNAS Z0060\  2015CNASZ0060_文件哈希值.html”中。
　　4.分析鉴定
　　打开手机取证分析软件，从E:\2015 CNAS Z0060中选择手机备份文件Backup.zip进行解析。系统截图见图2。

图2 选择解析文件

　　（1）选择“要获取的手机信息”,并“开始取证”，对手机备份文件进行预检。在“手机信息”中的“基本信息”中发现被检验手机的型号和序列号等信息。截图见图3。将结果导出到文件“E:\2015 CNAS Z0060\ 2015CNASZ0060_基本信息.html”中。

图3 检材手机的基本信息

　　（2）选择“WIFI”，取得被检验手机连接过的Wifi名称。页面预览如图4所示。将结果导出到文件“E:\2015 CNAS Z0060\ 2015CNASZ0060_WIFI.html”中。

图4 检材手机的WIFI连接信息

　　（3）在“通话记录”结果中定义过滤器，使电话号码字段包含詹三（James）的手机号码（18939779319），执行结果为Peter与James的通话记录，结果截图如图5。将结果导出到文件“E:\2015 CNAS Z0060\ 2015CNASZ0060_通话记录.html”中。

图5 Peter与James的通话记录

　　（4）在“短信”结果中定义过滤器，使电话号码字段包含詹三（James）的手机号码（18939779319），执行结果为Peter与James的短信往来记录，结果截图如图6。将结果导出到文件“E:\2015 CNAS Z0060\ 2015CNASZ0060_短信.html”中。

图6 Peter与James的短信往来记录

　　（5）在“微信”结果中定义过滤器，使发送者字段包含“詹姆士”或者接收者字段包含“詹姆士”，执行结果为Peter与James的微信聊天记录，结果截图如图7。将结果导出到文件“E:\2015 CNAS Z0060\2015CNASZ0060_微信聊天记录.html”中。

图7 Peter与James的微信聊天记录

　　（6）根据微信聊天记录，在2015-05-11 09:15:16，詹姆士（James）给Peter发送过一段语音，保存在“iPhone 备件文件0\com.tencent.xin\Documents\815a50957fadb45c6f8747e852f6837f\Audio\427fcfbca50a265183ab7bd4c5dabd62\12.amr”，选择“文件系统”，找到文件所在位置，并导出该文件到“E:\2015 CNAS Z0060\12.amr”中。
　　（7）在“新浪微博”中，提取到Peter与James的联系记录。在2015-05-04 11:31:07，James对Peter发布的微博进行了评论，评论内容为“具体是什么样的产品？”，截图如图8。将结果导出到文件“E:\2015 CNAS Z0060\ 2015CNASZ0060_新浪微博.csv”中。

图8 Peter与James的新浪微博联系记录

　　（8）Peter是否到过银行，其位置在何地
浏览IPhone备份文件，在图库中提取到和工商银行有关的图片，如图9所示。位于“\iPhone 备件文件 0\CameraRollDomain\Media\DCIM\100APPLE\IMG_0010.JPG”中。导出文件到“E:\2015 CNAS Z0060\ IMG_0010.JPG”中。

图9  工商银行照片

　　提取IMG_0010.JPG图片文件属性的GPS信息，如图10所示。

图10  GPS信息

　　使用谷歌earth软件经纬度查询功能，确定该经纬度实际位置为“蒙城县商城东路与嵇康中路交叉口”（图11），经使用百度地图查询“蒙城县商城东路与嵇康中路交叉口”有中国工商银行营业网点（图12），根据以上分析Peter到达过该银行。

图11 谷歌earth-经纬度查询

图12 百度地图-地点查询

　　（9）其它与案件相关的信息
　　在历史记录中提取到“百度搜索：光复西路 工商银行”。如图13所示。导出文件到“E:\2015 CNAS Z0060\2015CNASZ0060_历史记录.csv”中。

图13 历史记录信息

　　在图库中提取到“百度搜索：光复西路 工商银行”有关的图片，如图14所示。导出文件到“E:\2015 CNAS Z0060\C6908B19-0008-476A-930A-7F67A42C6291.png”中。

图14 百度搜索图片

　　5.证据数据固定
　　对E:\2015 CNAS Z0060\中提取固定的证据文件逐一计算MD5值，见表2 所示。将E:\2015CNAS Z0060\中的证据文件及相应的鉴定过程截图刻录成光盘，计算光盘的MD5值为：XXXXXX。
四、鉴定结果
　　根据委托方要求，对“参加编号xxxxxxx”的检材采用GA/T 756-2008、GA/T 1069-2013、GB/T 29362-2012、GB/T 29362-2012方法，使用SafeAnazyler V4.2、SafeMobile V4.4、DC-4501手机取证系统V2.4等专业软件进行技术鉴定，结果为：
　　（1）送检“Backup.zip”文件的MD5值为8D46752BCC41C2C624A0C48DBD922142，详见2015CNASZ0060_文件哈希值.html。
　　（2）送检手机的型号为iPhone3,1，序列号为84129FCUDZZ，详见2015CNASZ0060_基本信息.html。
　　（3）检出手机连接过的Wifi名称有6个，详见2015CNASZ0060_WIFI.html。
　　（4）检出Peter与James的通话记录18条，详见2015CNASZ0060_通话记录.html。
　　（5）检出Peter与James的短信往来记录未删除28条，已删除1条，详见2015CNASZ0060_短信.html。
　　（6）检出Peter与James的微信聊天记录未删除11条，已删除1条，详见2015CNASZ0060_微信聊天记录.html。
　　（7）检出Peter与James语音信息1条，详见12.amr。
　　（8）检出Peter与James的其它联系记录有新浪微博评价记录1条，详见2015CNASZ0060_新浪微博.csv。
　　（9）检出Peter到过位于蒙城县商城东路与嵇康中路交叉口的中国工商银行营业网点的相关记录，详见IMG_0010.JPG。
　　（10）检出其它与案件相关的信息有关于“光复西路 工商银行”的搜索记录，详见2015CNASZ0060_历史记录.csv和C6908B19-0008-476A-930A-7F67A42C6291.png。
　　上述提取（恢复）固定的证据文件共计11个，详见附件光盘“2015 CNAS Z0060”。电子证据文件清单见表2：

五、总结
　　对于本专业人士：此次能力验证的难点在于委托鉴定的事项多达10条，很多人在鉴定过程部分写得很详细，图文并茂，但是在鉴定结果部分却没有对委托事项一一做答，这样子就相当于没有鉴定结论，估计是要扣分的哦。
　　对于非本专业人士：智能手机使用过程中存储了大量的个人隐私信息，这些个人隐私信息通过简单的删除是没有办法去除的。对于注重保护个人隐私信息的可以定期卸载相关应用（比如微信、手机QQ等），并使用清除软件清除使用痕迹；如果可能的话建议定期重刷手机系统并清除所有个人信息（有些公司对于高管就是这么做的）。