iPhone手机录音证据提取研究

admin管理员组

文章数量:1531666

2024年6月6日发(作者：)

露　

ｉ　Ｐｈｏｎｅ手机录音证据提取研究　

武汉大学计算机学院　隆波史经伟　

湖北警官学院麦永浩　

摘要：本文简要介绍了手机取证的概念、原则、流程和常用　

的手机取证工具软件，并结合实际案例重点研究了　

ｉＰｈｏｎｅ手机录音证据提取的四种方法，并对手机取证　

发展方向进行了展望。　

关键字：手机取证录音提取ｉＰｈｏｎｅ　

一

、

引言　

（３）所有对手机及相关设备的操作（包括对证据的　

获得、访问、提取、存储和转换）都必须由第三方建立日　

手机作为现代社会最重要的通信工具之一，正在被越　

来越广泛地使用着。与此同时，随着全球移动运营商正从　

志审计，并完全归档保存，以备质询。　

（４）负责操作和调查的人员与组织必须遵守以上原　

ＧＳＭ／ＧＰＲＳ或ＣＤＭＡ／ＣＤＭＡ１Ｘ网络升级过渡到３Ｇ标准　

网络，手机自身的功能也越来越强大。手机已经从单纯的　

语音通话工具发展成支持多频多卡、信息管理、地图应　

用、多媒体应用和具备上网功能的智能化个人电子设备。　

作为电子取证领域的扩充和完善，　“手机取证”应运而　

生。　

则并对操作行为负责。　

３．手机取证的流程：　

二、手机取证概述　

１．手机取证的定义：在ＮＩＳＴ（Ｎａｔｉｏｎａｌ　Ｉｎｓｔｉｔｕｔｅ　ｏｆ　

Ｓｔａｎｄａｒｄｓ　ａｎｄ　Ｔｅｃｈｎｏｌｏｇｙ）的“Ｇｕｉｄｅｌｉｎｅｓ　ｏｎ　Ｃｅｌ　ｌ

Ｐｈｏｎｅ　Ｆｏｒｅｎｓｉｃｓ”中对手机取证的定义是：手机取证是指　

在健全的取证环境中，使用恰当的手段从手机及相关设备　

中　恢复数字证据的科学。　

２．手机取证的原则：为了保证数字证据在整个生命周　

期中的完整性和问责制，在遵守基本的调查原则和保证提　

取数字证据的法律效力最大化的前提下，将手机取证原则　

简述如下：　

（１）作为证据的手机及其相关设备中的数据是未经　

改动的，对　

（２）由专门的人员访问手机及其相关设备中的数　

图１手机取证流程图　

４．取证工具软件介绍：在获得了数字取证的实物后，　

就需要通过工具软件来进行提取相应信息，并镜像、分　

析、完成报告，取证工具选取得当往往会使取证工作事半　

功倍。下面是常用手机取证工具软件列表。　

据，这些人员必须是有资格的，并且能解释其行为。　

３４匿囊叠困２０１０年９月　

表１手机取证工具列表　

序号　手机取证工具　简要功能介绍　

应商同步所有联系信息，始终保持最新联系信息列表；此　

外，还可以针对最频繁拨打的电话建立一个喜欢的电话列　

表，把这些电话合并在～起召开电话会议。ｉＰｈｏｎｅ这些创　

新移动设备软件功能的形式，相当于重新定义了移动电话　

的功能。　

ｉＰｈｏｎｅ手机为智能手机，制式为ＧＳＭ，支持频段为　

ＧＳＭ　８５Ｏ　０／１８００／１９００ＭＨｚ

网络连接方式为ＧＰＲＳ和　

．

，

１　ＥｒｉＣａｓｅ　

ＥｎＣａｓｅ支￣持Ｐａｌｍ　ＯＳ设备，允许对Ｄａｌｍ　Ｏｓ设备　

进行完全的字节流镜像，对单个文件进行ｈａｓｈ运　

算，捕捉数据，对特征形成报告。　

２　

可以在运行ＰａＩｍ　ＯＳ、Ｗｉｎｄｏｗｓ　ＣＥ和ＲＩＭ　ＯＳ系　

ＰＤＡ　Ｓｅｉｚｕｒｅ　统的ＰＤＡ上进行获取、搜索、检查和报告数据，　

其特征包括执行逻辑和物理获取能力，提供内部　

存储和有关个人文件以及数据库信息的视图。　

这是一个开源工具软件，发源于Ｕｎｕｘ；让区，是　

为了在Ｕｎｕｘ：主机和Ｐａｌｍ　ＯＫ没备之间传递数　

据。　

３　ＰＩＩｏｔ—Ｉｉｎｋ　

ＥＤＧＥ，操作系统为ＭＡＣ　ＯＳ　Ｘ系统，ＣＰＵ为ａｒｍ１１７６ｊｚ—ｆ　

核心，图形处理单元为ｐｏｗｅｒ—ｖｒ　ｓｇ引擎，内存为１２８ｍ　

４　Ｃ可以在运行ＣＤＭＡ、ＴＤＭＡ和ＧＳＭ网络的手机上　

ｅｌ　ＩＳｅｉｚｕｒｅ　获取

搜索、检查和报告数据。　

、

ｍｏｂｉｌｅ　ＤＤＲ，存储容量有４Ｇ／８Ｇ／１　６Ｇ。数据功能支持ｗｉ—　

Ｆｉ（８０２．１１ｂ／ｇ）无线Ｅ网和蓝牙Ｂｌｕｅｔｏｏｔｈ　２．０　ｅｄｒ功能。　

５　×ＲＹ　

可以获取包括ＧＳＭ、ＣＤＭＡ、３Ｇ电话、ＳＩＭ／　

ＵＳＭ卡在内的数据。ＸＲ￣单元可以通过红外端　

口、蓝牙、有线连接到手机电话设备。从手机设　

备中获得的数据以ｘＲＹ格式存放，不能被修改，　

但是可以导出为外部格式，用第三方软件来浏　

览。　

四、案例应用　

ｉＰｈｏｎｅ｛，￣Ｌ的取证，也是应该按照普通手机取证的四　

步流程进行，同时，我们应该充分考虑ｉＰｈｏｎｅ－手机的结构　

６　Ｏｘｙｇｅｎ　Ｐｈｏｎｅ　它的取证版本可以适用干警察、执法部门或者使　

Ｍ＇￣ａｎａｑｅｒ　用软件进行调查的政府服务部门。　

ＭＯＢＩＬｅｄｉｔ　

特点，比如说它的操作系统、接口方式等，再结合取证案　

件本身的实际需求选取合适取证方式及工具软件。下面是　

某司法机关送检的ｉＰｈｏｎｅ手机取证案例介绍。　

１．案件背景　

７　卜

０ｒｅｎＳＩＣ　

可以获取、搜索、检查和报告ＧＳＭ／ＣＤＭＡ－手　

机设备的数据，它通过红外端口、蓝牙，或者有　

线接口和设备建立连接。　

这是个电话管理软件，运行于Ｗｉｎｄｏｗｓ、　

Ｕｎｕｘ、和Ｍａｃ　Ｏｓ，查看和操作手机上数据，包　

括电话簿，日历，墙纸，铃声，嵌入式系统。　

这是由Ｎｅｔｈｅｒｌａｎｄｓ　Ｆｏｒｅｎｓｉｃ　Ｉｎｓｔｉｔｕｔｅ发布的开源　

取证软件，可以从移动手机和ＳｌＭ中获取、读出　

数据。　

８　Ｂ１ｔＰＩＭ　

某行贿案件当事人在行贿时用自己的ｊＰｈｏｎｅ手机对行　

贿过程进行了录音，在案件侦破过程中为求立功表现向司　

法机关检举了受贿人，并交待了其用手机对行贿过程进行　

录音的隋况。　

２．取证要求　

９　ＴＵＬＰ２Ｇ　

１Ｏ　ＳＩＭＩＳ　使得取证者可以从ＳＩＭ中秘密获得数据。用加密　

哈希来保护其完整陛。　

２０１　０年４月，某司法部门将犯罪嫌疑人的ｉＰｈｏｎｅ手机　

委托设在湖北警官学院的“湖北三真司法鉴定所电子取证　

重点实验室”进行取证，主要是提取手机中的录音文件并　

确定其时间等相关属性信息，以作为呈堂证据。　

３．取证环境　

１１　ＦｏｒｅｎｓｉｃＳＩＭ　由Ｒａｄｉｏ　Ｔａｃｔｉｃ开发，主要部件包括获取终端，　

控制卡，数据存储卡，卡阅读器。　

１２　Ｆｏｒｅｎｓｉｃ　Ｃ；ａｒｄ　ＦＣＲ由ＵＳＢ连！接的智能卡和ＦＣＲ软件组成，取证　

Ｆｌｅａｄｅｒ　

１３　

１４　

１５　

者可以选择特定的数据存储和显示为最终报告。　

ＳＩＭＣｏｎ可以和任何符合ＰＣ／ｓｃ标准的智能卡　

协作，检查人还可以根据调查定制报告内容。　

可以从任伺ｒＧＳＭ系统的；ＳＩＭ卡中抽取数据对象。　

如“９１手机助手”软件

ＳＩ　ＩＣｏｎ　

ＳｉｍＢｒｕｓｈ　

其它专用　

辅助软件　

硬件：取证用台式计算机（Ｄｅｌｌ—ＤＩＭＥＮＳＩＯＮ５１５　

Ｏ）：　

软件：Ｍｉｃｒｏｓｏｆｔ　Ｗｉｎｄｏｗｓ　ＸＰ　Ｐｒｏｆｅｓｓｉｏｎａｌ　Ｅｄｉｔｉｏｎ　

。　

（ｓｐ２）　

ＵＩｓｂｂｌｏｃｋ．ｅｘｅ　

三、ｉＰｈｏｎｅ手机功能参数　

ｉＰｈｏｎｅ手机是苹果公司２００７年推出的手持设备，将　

ＥＮＣＡＳＥ　５０４ｂ　

９１　ｆｏｒ　ａｓｓｉｓｔａｎｔｉｐｈｏｎｅ２４１．ｅｘｅ　

＿

移动电话、可触摸宽屏ｉｐｏｄ以及具有桌面级电子邮件、网　

页浏览、搜索和地图功能的因特网通信设备这三种产品融　

为一体。ｉＰｈｏｎｅ：是一款革命性的新型移动电话，它引入了　

基于大型多触点显示屏和领先性新软件的全新用户界面，　

取证手机信息：ｉＰｈｏｎｅ智能手机８Ｇ版，操作系统为　

ｉＰｈｏｎｅ　ＯＳ　３．０，有线接口为ＵＳＢ　２．０。手机工作正常，存　

储介质工作情况良好。　

４．取证方法介绍　

让用户用手指即可控制；能够从ｐｃ、ｍａｃ或因特网服务供　

方法一：在取证计算机上安装ｉＰｈｏｎｅ￣ｉ，专用音乐软　

Ｐｏｌｉｃｅ　Ｔｅｃｈｎｏｌｏｇｙ　２０１　０２￣－－９月　３５　

件ｉＴｕｎｅｓ　９．０版，安装好以后用ＵＳＢ数据线连接取证手机。　有一种操作方便且可靠性高的提取方法呢？通过对　

ｉＰｈｏｎｅ手机功能特点的仔细研究，结合取证任务实际情　

此时，取证计算机发现新设备并自动安装相应驱动，读取　

设备正常，运行ｉＴｕｎｅｓ软件可以看见计算机与ｉＰｈｏｎｅ手机　

通讯正常，能够读取ｉＰｈｏｎｅ手机的基本信息并进行显示。　

勾选ｉＰｈｏｎｅ手机的语音备忘录后点击“同步”按钮，就可　

以＂　ｌ＇Ｊ王Ｊ－加Ｉ／Ｌ，的录音音频文件同步复制到取证计算机上。　

方法二：因为ｉＰｈｏｎｅ手机支持发送邮件的功能，所以　

可在ｉＰｈｏｎｅ手机上编辑邮件，并将需要提取的录音文件作　

为邮件的附件添加，然后将邮件发送至某信箱，用取证计　

况，笔者提出了更适合本案的操作方法，以下是证据提取　

方法及过程。　

在取证计算机上安装９１手机助手软件“９１一ｆｏｒ—　

ａｓｓｉｓｔａｎｔ

ｉｐｈｏｎｅ２４１．ｅｘｅ”，过程中同时安装需要的环境支　

持软件“Ｍｉｃｒｏｓｏｆｔ．ＮＥＴ　Ｆｒａｍｅｗｏｒｋ　２．０”。两款软件都安　

装好以后，运行只读软件ＵＳＢｂｌｏｃｋ．ｅｘｅ进行写保护，并通　

过ｕｓＢ数据线将ｉＰｈｏｎｅ手机与取证计算机连接，在９１助手　

软件主程序启动的过程中它会自己检测与ｉｐｈｏｎｅ手机的连　

接情况并报告“连接正常”。进入软件主界面，点击界面　

算机进＾邮箱下载附件就可以得到想要的录音文件。　

方法三：因为这款ｉＰｈｏｎｅ手机具有Ｗｉ—Ｆｉ无线接口，　

只要让取证计算机和ｉＰｈｏｎｅ手机连上同个Ｗｉ—Ｆｉ网络，运行　

ｉＴａｌｋ　Ｓｙｎｃ软件就可以实现录音文件的提取。首先，在取证　

上沿“媒体娱乐”按钮，选择“录音管理”，程序会以列　

表方式列出所有的录音文件。全选所有的录音文件并将其　

全部另存到电脑指定位置即可提取ｉＰｈｏｎｅ￣中所有的录　

音文件。应用ＥｎＣａｓｅ取证软件对提取到取证计算机上的录　

音文件的“时间戳”等相关信息进行提取。最后对这些录　

音文件进行检查分析、固定后进行ｍｄ５值校验，形成鉴定　

报告。　

计算机和ｉＰｈｏｎｅ手机上安装苹果配件开发商Ｇｒｉｆｉｎ　

Ｔｅｃｈｎｏｌｏｇｙ开发的ｉＴａｌｋ　Ｓｙｎｃ同步软件，然后确保ｉＰｈｏｎｅ手　

机处于ｉＴａｌｋ软件页面下，打开取证计算机上的ｉＴａｌｋ　Ｓｙｎｃ，　

软件会自动搜索同网络下的ｉＰｈｏｎｅ，连接上以后会显示　

ｉＰｈｏｎｅ手机的网络名称，双击确认后ｉＴａｌｋ软件会显示　

ｉＰｈｏｎｅ手机录音文件的列表，最后，只需将所有的录音文　

件添加至ｉＴｕｎｅｓ就可以通过无线网络将其提取到取证计算　

机。　

５．本案取证方法　

整个提取过程步骤清晰、操作简单、提取准确、高效　

快捷，打开软只读ＵＳＢｂｌｏｃｋ．ｅｘｅ程序后对证据载体没有写　

操作，不改变设备原始状态，符合本案取证要求。　

以上３种方法既有ｉＰｈｏｎｅ手机专用音频软件提取的方　

法，也有结合ｉＰｈｏｎｅ手机功能特点的提取方法，但是在实　

际取证中可操作性不强。笔者对三种方法分别进行了试　

验，发现第一种方法可以快速的将录音文件提取的取证计　

算机上，但前提是能准确理解ｉＴｕｎｅｓ的“同步”操作。对　

于没有使用ｉＰｈｏｎｅ手机的普通取证人员来说ｉＴｕｎｅｓ软件的　

五、结束语　

由于手机设备的操作系统、接口标准、网络的多样陛　

以及功能的不断增加，手机取证的需求趋向多样化且难度　

加大。手机取证的发展应在理念上有所创新，在方法选取　

上扬长避短，对于今后手机取证的发展方向应重点考虑对　

取证工具、软件的研发，使之符合法庭取证要求，同时应　

该制定统一的取证标准和加强相关立法工作，促进手机取　

证研究蓬勃发展。　

“同步”概念显得很生疏、很模糊，让人难以准确的理　

解。到底谁跟谁同步？哪些内容同步？是否有信息丢失？　

这些问题都将制约取证人员不可能将证据载体的ｉＰｈｏｎｅ手　

机拿来做试验品，而忽视证据文件的完整ｌ生；方法二对作　

为邮件附件的录音文件大小有要求，不能过大，否则发送　

＿参考文献　

ｆ１ｊ麦永浩，孙国梓，许榕生，戴士剑．计算机取证与司法鉴定　

［Ｍｌ北京：清华大学出版社，２００９：２８１．　

就会很困难。因为ＧＳＭ－￣－－Ｊｆ）］，网络和ｉｎｔｅｒｎｅｔ网络兼容１生不够　

好的原因，导致这种在两个网络问发邮件方式成功可靠性　

不高，且耗时漫长。笔者在试验过程中共发送了６封邮　

件，附件大小不等，最大的１．２Ｍｂ，最／Ｊ＼２Ｋｂ，结果收到　

４封，且附件大小为２Ｋｂ的那封邮件是在３／Ｊ＼时后才收到；　

第三种方法操作过程比较很繁琐，而且还需要在取证－￣．ｔｒ１．　

上安装ｉＴａｌｋ　Ｓｙｎｃ软件，这是对鉴材的写操作，显然这将破　

坏手机作为证据载体的原始状态，影响证据说服力。有没　

【２］黄芹华，欧阳为民．手机及小型手持数字设备数字取证研　

究综述Ｕ］．计算机工程与应用，２００９：４５（１８）：８１—８４．　

［３】Ｌｅｅ　Ｊｏｏｙｏｕｎｇ．Ｐｒｏｐｏｓａｌ　ｆｏｒ　ｅｆｆｉｃｉｅｎｔ　ｓｅａｒｃｈｉｎｇ　ａｎｄ　

ｐｒｅｓｅｎｔａｔｉｏｎ　ｉＩｌｄｉｇ　ｆｏｒｅｎｓｉｃｓ［Ｃ］／／Ｔｈｅ　Ｔｈｉｒｄ　Ｉｎｔｅｒｎａｔｉｏｎａｌ　

Ｃｏｎｆｅ　ｒｅｎｃｅ　ｏｎ　Ａｖａｉｌ—ａｂｉｌｉｔｙ，Ｒｅｌｉａｂｉｌｉｔｙ　ａｎｄ　

Ｓｅｃｕｒｉｔｙ，２００８：１３７７—１３８１．　

Ｉ４】Ｂｅｍ　Ｄ，Ｈｕｅｂｎｅｒ　Ｅ．Ｃｏｍｐｕｔｅｒ　ｏｒｅｍｉｆｃ　ａｎａｌｙｓｉｓ　ｉｎ　ａ　ｖｉｒｔｕａｌ　

ｅｎｖｉｒｏｎｍｅｎｔ［Ｊ］．　Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｊｏｕｒｎａｌ　ｏｆ　Ｄｉｇｉｔａｌ　Ｅｖｉｄｅｎｃｅ　

Ｆａｌｌ，２００７，６（２）．　

本文标签： 手机取证提取录音