【技术实战】：高科技助力打击刑事犯罪——淤泥浸泡造成手机损坏的数据提取实操案例

2016-06-16 效率源科技

——手机数据提取（第2期）

编者按

在《技术实战》“手机数据提取”系列专题第1期文章中，效率源科研技术人员通过已Root安卓手机的数据提取，完整呈现了“手机数据提取”的基本流程和基础注意事项。本期，将通过实际案例对已造成损坏的手机数据提取进行讲解和介绍。因本案例涉及到具体刑事案件，文中所有敏感信息均做模糊处理。

案例背景

201x年x月x日，四川省某地区荒郊野外发现一具无名尸体。经公安机关侦查，在无名尸体附近一水坑里发现一部手机，手机已经被水浸泡过并充满了泥沙等杂物。为了确认受害者身份，公安机关需要提取手机里的数据信息。

实战对象

某品牌智能手机，外观被损毁，手机被水浸泡过，里面有泥沙等杂物。

技术分析

由于手机已被物理损坏，无法进行逻辑镜像提取。必须拆解手机并拆卸芯片，再通过接入手机芯片数据读取设备获取芯片内容数据的镜像。最后，通过手机取证工具SPF9139对镜像进行数据提取及恢复，得到手机关键信息。

提取设备

SCE9168手机芯片数据提取系统、SPF9139手机数据恢复取证系统

SCE9168系统由“专业手机芯片拆卸工具”、“手机芯片数据提取工具”和“手机芯片数据提取分析软件”三部分组成。配备多种EMMC、EMPC芯片读取座，主要用于解决智能手机硬件因腐蚀、外部损坏、主板损坏、水中浸泡等原因造成的数据不可通过USB接口进行直接提取、分析等操作的问题。

SPF9139系统是一款集物理镜像、数据恢复、数据提取、取证分析等技术为一体的手机电子取证综合设备，具备强大的系统恢复、数据库文件特征恢复、APP数据恢复、文件类型恢复、关键词检索、行踪轨迹分析、生成符合司法部门要求的取证报告等功能，能够支持Android、IOS、WP等主流智能手机及部分山寨手机。

【图1：搭载SCE9168和SPF9139系统的一体式工作站】

提取步骤

一、观察检测手机

拿到提取手机以后，经效率源技术人员观察和检测，手机已被物理损坏，无法进行逻辑镜像提取。

备注：如手机未被损坏，可直接连接SPF9139系统进行物理镜像和数据提取，具体的操作流程详见《手机数据提取第1期：已Root安卓手机正常数据提取实操案例》操作步骤。

【图2：已被损坏的手机】

二、拆卸手机芯片

在效率源工作室，技术人员先清理手机中的泥土、杂物等污渍，再通过SCE9168系统提供的“专业手机芯片拆卸工具”拆解手机并拆卸下芯片。

备注：在手机芯片拆卸过程中，要注意观察热风枪是否周边的元件有影响，如摩托罗拉L2000手机，在拆卸字库时，必须将SIM卡座连接器拆下，否则很容易将其吹坏。此外，摩托罗拉T2688、三星A188、爱立信T28的功放及很多软封装的字库，这些BGA-IC耐高温能力差，吹焊时温度不易过高，否则极易受到影响损坏器件。

【图3：拆卸手机芯片】

三、芯片数据镜像

拆卸下手机芯片以后，接入SCE9168系统中的手机芯片数据读取设备，通过系统中的物理镜像功能获取手机芯片内容数据的镜像，并校验取得MD5值。

备注：MD5简单地说来，就是一种安全策略。它可以为任何文件（不管其大小、格式、数量）产生一个同样独一无二的“数字指纹”，如果任何人对文件做了任何改动，其MD5值也就是对应的“数字指纹”都会发生变化。校验MD5值是为了保证手机芯片数据的真实性。

【图4：手机芯片物理镜像】

四、数据提取及恢复

手机芯片进行物理镜像以后，将物理镜像文件接入SPF9139系统进行数据提取及恢复。物理镜像文件接入SPF9139系统后，可以显示出手机基本信息、社交聊天、Web痕迹、主流邮箱、地图公交等手机数据信息。根据本案需求，选择手机联系人和短信进行提取，成功获取手机联系人130余条、短信10余条。

【图5：选择联系人和短信进行提取】

【图6：提取出的短信信息】

【图7：提取出的联系人信息】

五、关键信息检索

为了给案件提供更多有用信息和线索，效率源技术人员通过SPF9139系统

进一步对手机芯片的镜像数据进行关键字检索，成功恢复出手机IMSI、SIMID等编码信息。

备注：IMSI码指的是国际移动用户识别码，是区别移动用户的标志，储存在SIM卡中，可用于区别移动用户的有效信息。SIMID码指的是对手机SIN卡对应号码的ID和鉴别权限，手机开机后，会使用卡中的ID来登陆网络。获取手机IMSI和SIMID码对于鉴别手机用户身份具有重要意义。

【图8：关键信息搜索】

六、导出数据分析报告

在分析完提取数据之后，可根据案件需求，将相应的提取数据信息生成分析报告，全面呈现数据提取的结果，以供案件侦破或取证。

【图9：生成报告】

提取结果

通过以上6大步骤，效率源技术人员提取到了损坏手机中的联系人、短信、IMSI、SIMID等信息和数据，为受害人身份识别和案件侦破提供了关键信息和线索。

编后语：在公安、司法部门进行电子取证、司法鉴定的过程中，经常会遇到手机损坏无法直接进行数据提取的情况。通过本案例我们可以看到效率源SCE9168和SPF9139系统能够实现对手机芯片数据进行镜像，并提取和分析手机中的关键数据，为案件侦破提供关键信息。关于如何进行Android手机非ROOT提取、IOS越狱提取、IOS非越狱提取、绕过Android屏幕锁、ROOT权限等内容将在以后案例中为你呈现，敬请期待！

2、【技术实战】硬盘开盘第2期：WD硬盘盘片划伤成“环形跑道”的数据恢复之换磁头

3、【技术实战】硬盘开盘第3期:WD硬盘盘片划伤成“环形跑道”的数据恢复之热换板
4、【技术实战】硬盘开盘第4期:：大战4天东芝500G硬盘盘片碰伤“1个小点” 的数据恢复实战

5、【技术实战】硬盘开盘第5期：希捷500G硬盘被多次开盘特殊手段抢救重要数据

6、【技术实战】硬盘开盘第6期：加密移动硬盘（USB接口）开盘数据恢复实战

7、【技术实战】手机数据提取第1期：助力打击网络诈骗，已Root安卓手机正常数据提取实操案例