(移动终端)手机取证工作流程
第一步:获取证据(保护勘查现场,记录现场,搜集证据,包装运输和储存物证)
第二步:提取数据(确定设备型号,选择提取方式,连接并提取数据)
第三步:检查分析(数据检查,数据分析,有效证据重建)
第四步:报告展示(设备状态,证据属性,操作记录)
手机处于不同状态的操作流程是不同的,如下图
现场处理手机的关键——信号屏蔽
为什么需要屏蔽手机信号?
1.屏蔽设备用于阻断手机通信信号
2.保证取证过程不受外界信号影响
手机现场取证调查应当查封如下部件:
1.充电器,电池
2.相关数据传输线缆
3.手机相关可移动存储媒介(如内存卡)
4.购买手机或SIM卡得到文档手册,这些资料会提供手机的详细信息还往往包含开机密码,PIN码和PUK码
手机取证注意事项
1.区分不同手机所属SIM卡,取证过程中不要轻易拆卸SIM卡与存储卡
2.如果SIM卡和手机没有正确关联将可能会被破坏在手机当中的信息,比如最近拨出、拨入号码和未接来电的信息
3.如果发现SIM卡已经从手机分离了,不要马上将其插入手机,要先对SIM卡进行克隆或取证
4.老式手机在拆卸SIM卡进行克隆之前一般要移除手机电池,应该考虑其后果,有些手机的日期和时间可能会回到默认的出厂设置
远程勘查是指通过网络对远程目标系统实施勘验,以提取、国定远程目标系统的状态和存留的电子数据。
远程勘查的要点
1.记录开始、结束勘验的准确时间
http://www.time.ac.cn/stime.asp
2.跟踪站点路由信息、清楚本地Internet缓存信息