【技术视界】第5期:电子取证——智能手机定位痕迹如何快速提取?
随着智能手机的普及,人们的生活、工作、学习、社交、娱乐等已离不开智能手机。智能手机在使用过程中会随着时间的推移产生和存储大量数据,这些数据可能涉及机主行动的位置、时间,而这些海量的地理位置信息是手机程序在运行过程中必然产生的。公检法系统在电子取证过程中,如果能有效提取相关手机中的定位痕迹,就可能快速获取更多案件线索,提高破案效率。所以,在电子取证领域,找到一种可以找到快速提取手机定位信息的技术方案,就显得十分重要。
手机定位信息指的是手机在运行过程中,通过访问GPS、手机信号站点、WIFI网络等方式保存下来的定位痕迹,通常定位痕迹的表现形式为经纬度、基站、mac地址等。其中,经纬度对应唯一的真实地理位置,而基站和mac地址属于大数据情况下,第三方服务提供的真实地理位置解析。
轨迹提取指的是对用户所到过的时空进行一种回溯性取证,通过对手机中的定位痕迹及其产生的时间进行提取,并对提取的定位痕迹进行筛选,保留真实、有效、有意义的定位痕迹。将筛选出来定位痕迹与时间关联,构建出完整的时空轨迹,从而得出用户在实际生活中曾经到过的地方、意图到达的地方以及经常活动的位置范围等重要信息。
针对电子取证而言,轨迹提取毋庸置疑是极其重要的,办案人员可根据手机展现的时空轨迹进行定点办案,直接缩短所涉案件的办案时间,直接影响所涉案件的进程。
模板预先积累
1、模板预先积累模板预先积累,是指针对已有应用进行定位痕迹数据的提前分析。智能手机定位痕迹数据快速提取主要就是通过“模板预先积累”的形式进行,这是目前最普遍的实现方式。
模板积累方式大体分为两种:第一种是普通的积累方式,也就是“Winhex+人工”,Winhex是一种免费软件,人工要分析的部分相对较多,过程繁琐;第二种是最新研发出的一种积累方式,“效率源智能分析工具+人工”,这种方式以效率源智能分析工具(PC桌面版+Android应用版)进行数据模板积累,速度可比第一种快数十倍。同时,第二种方法以智能分析为基准,剔除了枯燥重复工作,只留最重要的步骤给人工分析,有效节约人力,提高效率。
第二种方式具体分为以下步骤,如图1所示:
2.1定位痕迹母版的预定义
2.1.1归纳定位痕迹在智能手机之中存储的特征值,基本特征值为定位痕迹文件路径、定位痕迹坐标系、经度、纬度、时间。
坐标系:基于坐标系的不同那么数据存储的结果将会发生不同的变化,所以该属性是一个重要属性,不同的坐标系保存的坐标值是不同的,一旦该特征出现问题便会引起数据误差,这种可修复误差在电子取证中是不能出现的。以下以成都天府广场在常用的坐标系下的表达为例,如图2所示。
【图2:天府广场在各坐标系下的表示 】
2.1.2 母版的定义是一种经验的积累,对积累数据的高度归纳提取,根据定位痕迹在数据中存储形式可以分为以下类型。
a:XML文件普通类型、XML文件分割类型、XML文件JSON类型、XML文件正则式类型。
b:DB文件普通类型、DB文件分割类型、DB文件JSON类型、DB文件正则式类型。
c:日志文件类型。
d:属性文件类型。
e:其他标准类型。
2.1.3 由于分类比较复杂,以下以XML文件图示举例,用户可以查看在XML各种分类中数据的具体存储形式。
a:XML文件普通类型
普通类型的XML文件,以键值对的形式保存数据,其键以属性的方式保存,值可以以属性,也可以以XML文件TXT标志保存,如图3所示。
【图3:XML文件普通类型】
b:XML文件分割类型
分割类型的数据主要是以特殊的字符串或者某些特定的标志进行分割,如图4所示。
【图4 XML文件分割类型 】
c:XML文件JSON类型
JSON类型是指存储数据以JSON的方式进行数据保存,如图5所示,经纬度在JSON中的关键字是latitude,longitude。
d:XML文件正则类型
正则是类型指的是数据保存的相对而言没有特定的意义,如图6所示。
2.2解析母版方法的预定义
解析母版方法的预定义是指解析预先定义的针对母版类型配置的解析方法,这是开发人员对已积累模板的解析思路,通过程序语言完成,这里不再进行详细解释。
2.3应用子版的预定义
应用子版的定义指的是将某应用包含定位痕迹的文件,以母版的形式扩展出该文件独立的模板,子模板必须进行大量的数据积累,这样才能够获取到足够多的数据。轨迹提取需要提取的定位痕迹必须是有意义的,所以不仅仅是满足经纬度、基站、mac地址的格式便需要提取出来,还需要对以下四个方面进行确认,其中a、b用于数据解析,c、d用于数据描述,c、d确定该数据是否是有效数据。
a:文件类型
文件类型指的是该文件属于什么类型的文件,文件的类型是由文件头确认。以下以XML文件的二进制头为例,如图7所示。
b:数据存储类型
数据存储类型就是该文件数据的存储形式属于母版定义类型中的哪一种。
c:数据代表意义
指的是该项数据的意义,例如该地理位置属于用户到过的地方、属于用户搜索后想要到达的地方。
d:坐标系
坐标系的确认需要使用应用,使其定位到当前位置,获取文件中的经纬度信息和当期实际地理位置在各大坐标系中的具体指进行比较,相差最小的便认为是该种坐标系。
定位痕迹的恢复的流程,如图8所示。
【图8:快速提取流程图】
加载模板指的是加载子模板和加载解析模块。
1.1子板加载:一般都会将子模板制作成独立的文件并放在服务端,这样便于模板的管理和维护。这种机制是因为第三方应用的升级速度比较快,这样必然造成数据的丢失和数据的缺失,放在服务端可以直接以下载模板的形式进行应用更新,对应用的影响更加的小。
1.2解析子版模块加载:解析模块是针对母版的通用解析方案,同样适用于解析子版。
解析定位痕迹即是对子板中记录的应用进行遍历解析,这种针对性的解析方案有如下优势。
2.1针对开发者:该种模板解析的方法使得程序冗余代码得到大量的精简,模板的方式更加易于更新和维护等。
2.2针对用户:解析速度更快,用户体验更好,升级流量损耗小等。
真实地址的解析是针对定位痕迹解析的结果而言,它代表着将手机中不为人熟悉的定位痕迹转化为真实的地理位置信息。
方案的不足之处
基于智能手机中定位痕迹的恢复,现阶段是应用针对性恢复,在没有进行数据确认的前提下,无法进行有效数据的快速提取。这是由于轨迹提取本身要求高的原因引起的,它要求提取出来的数据应当是用户想要到达或者曾经到达的地方。假如普遍性的提取手机中包含的定位信息,那么提取的无用数据量将会增加,同时恢复出来的数据真实性也将降低。
随着智能手机应用的越来越广泛,手机定位也越来越多地被使用,而手机定位痕迹能够真实记录用户的位置数据,已成为公安、检察等司法部门侦查破案的重要电子证据。数据恢复四川省重点实验室科研人员通过利用智能分析工具进行模板预先积累,比常规方法提速数十倍,可大大提升智能手机定位痕迹的提取速度,提升电子取证的效率。
【技术视界】系列推荐:
1、【技术视界】第1期:手机取证-手机音频文件恢复提取技术研究
2、【技术视界】第2期:精确读取 提高缺陷硬盘数据恢复成功率
3、【技术视界】第3期: 如何利用S.M.A.R.T.技术对硬盘进行健康体检?
4、【技术视界】第4期: 电子取证-WD硬盘固件损坏的文件恢复提取技术研究