手机取证实例分享(二):远离误操作

手机取证已经成为电子数据取证在案件中应用最多的技术门类,相信大家已经非常熟悉了。即便您已是老司机,也万万不可掉以轻心,下面我们将通过某市公安局一则案件实例,让大家重视手机取证的操作规范,避免误操作造成检材手机的数据丢失。
 
案情说明:2017.5.22凌晨2点左右在某市某河段有人跳河自杀,经过相关部门一系列的工作之后,拿到检材手机已经是当日上午10点左右。该手机设置有屏幕密码(九宫格),需要破解或绕过密码提取重要数据,我司应邀对该案件进行了支持。该手机为:金立F100,其余参数均无法看到,经查询此款手机CPU芯片为联发科(MTK)MT6735。
 
根据该市公安局网安部门描述,办案单位送来检材后,因时间紧任务重,提取手机数据(基本信息、QQ、最后一次联系人等信息)时使用了国内某厂家手机取证软件对密码进行破解,但没有获取到任何有效数据,因此返回网安部门再次提取。
 
我们拿到手机后进行了以下操作:
使用盘石手机取证黄蜂SafeMobile Pro(以下简称:黄蜂)对该手机制作离线镜像,镜像文件大小为14.5GB,计算MD5哈希值为: 857B962AB391928477561BB8EF6B64C4,如图:

使用黄蜂对该镜像文件进行解析,只提取到了基本信息,根据办案单位描述除了基本信息以外,还需要提取QQ聊天内容,在应用列表中也没有发现有QQ的安装记录,初步判断怀疑被删除掉,如图:



使用盘石介质取证软件SafeAnalyzer(以下简称:SA)加载该镜像文件,为了能够看到该镜像的逻辑结构及原始数据,我们对该镜像做了目录恢复和文件特征恢复,在“金立F100\金立F100_22\data\app\com.tencent.mobileqq-1”下发现已删除的QQ记录,最后次修改时间为2017-05-21 18:28:31,如图:



在金立F100\金立F100_22\media\0\tencent\wtlogin\com.tencent.mobileqq路径下发现QQ的日志信息,最后一次log日志时间为2017-05-2118:28:22,如图:



使用SA设置关键词为“IMEI”,可以搜索到该手机相关信息包含手机序列号、IMEI、MAC,如图:


在SA恢复出的数据中查看是否存在和QQ相关联的图片、音视频文件时,在金立F100\金立F100_22\system\recent_images路径下发现有多个.png的图片文件,只有2866_task_thumbnail.png可以打开其它均匀损坏,文件最后访问时间2017-05-23 14:43:22,且文件访问时间在案发之后,如图:



在打开2866_task_thumbnail.png图片文件查看预览后,发现图片内容为忘记密码的手机截图,如图:


根据和网安部门人员沟通了解后,发现此手机在我们支持前办案单位已经做过一次操作。因为解析镜像文件时,在system目录中没有找到手势密钥文件gesture.key,怀疑已被某厂家软件清除,并导致手机触动恢复出厂设置。万幸的是该手机设置有恢复出厂必须有账号登录,因此手机数据未被抹掉,但案件发生后的时间节点中存在忘记密码截图,对于取证的规范性和严谨性来说,检材已被污染,且检材中的QQ数据是否因此被清除亦不得而知,值得我们反思。


 
Copyright © 2002-2017 - 盘石软件(上海)有限公司 版权所有 沪ICP备11022836
返回顶部