移动网络取证:
移动网络取证的目的是通过获取网络传输信号,包括截获数据包,来分析数据并确定一些关键信息,如嫌疑人手机的位置等。移动网络是由一系列的蜂窝基站构成的,这些蜂窝基站把整个通信区域划分成一个个蜂窝区域。这些区域小则几十米,大则几千米。移动设备在移动网络中通信,实际上就是通过某一个蜂窝基站接入移动网络,然后进行(语音、文本、多媒体等)数据传输。蜂窝网络或者其识别码(ID)可用于识别无线电信号在通信区域中的位置。基站会根据识别码来识别属于它的用户及其具体位置。
具体定位方法有如下几种:
1.COO(CellofOrigin,基站中心)定位
COO是一种单基站定位方法,即根据设备当前连接的蜂窝基站的位置来确定设备的位置。定位的精度取决于蜂窝区域的半径,在基站密集的城市中心地区,定位精度可以达到50米以内;而在基站分布相对分散的区域,定位精度只能粗略到几千米。COO定位是移动网络中最快捷、最方便的定位方法,移动设备可以以编程方式获取到当前基站的唯一代码,称为基站识别码。根据基站识别码调用一些包含基站识别码,地理坐标对应关系的外部数据来确定相应的地理坐标。
2.七号信令定位
该技术以信令监测为基础,能够对移动通信网络中特定的信令过程,如漫游、切换以及与电路相关的信令过程进行过滤和分析,并将监测结果提供给业务中心,以实现对特定用户的个性化服务。七号信令定位适用于对定位精确度要求不高的业务。
3.TOA/TDOA定位
TOA(TimeofArrival,到达时间)和TDoA(TimeDifferenceofArrival,到达时间差)都是基于电波传播时间的定位方法,也都是三基站定位方法。二者的定位都需要同时有三个位置已知的基站合作才能实现。TOA算法对系统的时间同步要求很高,单纯的TOA算法在实际中应用很少。TDOA是对TOA定位的改进,可以大大提高定位的精确度。
4.AOA定位
AOA(AngleofArrival,到达角度)定位是一种两基站定位方法,基于信号的入射角度进行定位。AOA定位通过两直线相交确定位置,不可能有多个交点,避免了定位的模糊性。但是为了测量电磁波的入射角度,接收机必须配备方向性强的天线阵列。
5.基于场强的定位
该方法是通过测量接收到的信号场强和已知的信道衰落模型及发射信号的场强值估计收发短信的距离,根据多个距离值就可以得到设备的位置。从数学模型上看,和TOA算法类似,只是获取距离的方式不同。场强算法虽然简单,但是由于多径效应的影响,定位精度较差。
6.混合定位
混合定位是同时使用两种或两种以上的定位方法来进行定位。通过结合使用各种定位方法,以达到更高的定位精度。在移动网络环境下进行数字取证时,取证人员首先需要获取网络的真实拓扑图,然后了解移动网络的覆盖区域,或者是要得到取证的区域内的基站数量、基站的拥有者等资料。获取的网络数据及对蜂窝的覆盖情况可以用来判断嫌疑人是否有可能在案发现场。
移动应用取证:
移动终端应用程序数量非常庞大,特别是针对苹果和安卓手机的应用,而且第三方应用程序包含的数据非常丰富。第三方应用由世界各地的开发人员完成,应用的数据也有各种不同的格式,如文本格式、SQLite数据库格式等。文件备份的位置也很重要,很多智能手机应用的数据存在SQLite数据库中。移动应用程序的数据恢复就是对SQLite数据的恢复。如果数据没有被覆盖过,数据很容易恢复,可使用的工具也很多,常用的取证工具都能胜任。但是,移动应用程序的取证途径需要具体问题具体分析,目前没有统一的解决方案。
一般对移动应用程序的取证过程包括:
1.文件系统提取
使用取证工具将目标设备中存储在内存和外部存储设备中的所有目录和文件提取出来,以待分析。
2.目录分析
对目标应用程序包含的目录结构进行分析,绘制目标应用程序目录结构图,包括目标应用程序所涉及的所有目录的位置和功能,文件的存储位置、名称,文件类型和功能,定位关键文件的位置和名称(如数据库文件、配置文件、日志文件等)。设备型号不同,应用程序的目录结构可能不同。
3.文件分析
对重要文件结构,如数据库文件中的字段名称、含义,定位应用核心数据信息(如即时通信应用程序数据中的聊天记录等)、关键字段信息(如身份鉴别信息、用户名、口令、)等进行分析。不同的应用程序存储的文件、字段各不相同,需要逐个鉴别。
4.数据分析
对上述“文件分析”中定位的重要数据字段的名称进行分析,根据应用程序的不同类别查找关键数据信息(如交易记录),利用数据间的关联性进一步获取数据(如获取用户名和口令后登录社交应用程序,获取存储在网络上的数据)等。