手機(jī)電子數(shù)據(jù)提取操作規(guī)范

手機(jī)電子數(shù)據(jù)提取操作規(guī)范本技術(shù)規(guī)范規(guī)定了電子數(shù)據(jù)鑒定中手機(jī)電子數(shù)據(jù)提取的方法和流程步驟。本技術(shù)規(guī)范適用于各類手機(jī)內(nèi)置存儲(chǔ)數(shù)據(jù)、存儲(chǔ)卡中數(shù)據(jù)和SIM卡中數(shù)據(jù)的檢驗(yàn)。2術(shù)語(yǔ)和定義SF/ZJD0400001－2014和SF/ZJD0401001－2014界定的以及下列術(shù)語(yǔ)和定義適用于本技術(shù)規(guī)范。2.1SIM卡SubscriberIdentityModuleCard保存移動(dòng)電話服務(wù)的用戶身份識(shí)別數(shù)據(jù)的智能卡，也稱為用戶身份模塊卡。SIM卡主要用于GSM系統(tǒng)，但是兼容的模塊也用于UMTS的UE（USIM）和IDEN電話。CDMA2000和cdmaOne的RUIM卡和UIM卡，也稱作SIM卡；按照物理規(guī)格可分為Full-Size、Mini-Size、Micro-Size和Nano-Size。2.2外置存儲(chǔ)卡RemovableStorageCard用于擴(kuò)展數(shù)字移動(dòng)電話存儲(chǔ)空間的外部閃存介質(zhì)。2.3信號(hào)屏蔽容器RadioIsolationContainer可完全隔離手機(jī)所具備的3G、GSM、Wifi、紅外和藍(lán)牙等通信信號(hào)的容器，如信號(hào)屏蔽袋。2.4PINPersonalIdentityNumberPIN碼(PIN1)是用戶和SIM卡系統(tǒng)間的身份識(shí)別密碼，只有用戶輸入的PIN碼和SIM卡系統(tǒng)中存儲(chǔ)的密碼相同時(shí)，用戶才被授權(quán)訪問(wèn)。2.5IMSIInternationalMobileSubscriberIdentificationNumber國(guó)際移動(dòng)用戶識(shí)別碼（IMSI）是區(qū)別移動(dòng)用戶的標(biāo)志，儲(chǔ)存在SIM卡中，可用于區(qū)別移動(dòng)用戶的有效信息。其結(jié)構(gòu)為MCC+MNC+MSIN,其中MCC是移動(dòng)用戶所屬國(guó)家代號(hào)，占3位數(shù)字；MNC是移動(dòng)網(wǎng)號(hào)碼，由兩位或者三位數(shù)字組成，用于識(shí)別移動(dòng)用戶所歸屬的移動(dòng)通信網(wǎng)；MSIN是移動(dòng)用戶識(shí)別碼，用以識(shí)別某一移動(dòng)通信網(wǎng)中的移動(dòng)用戶。2.6ICCIDIntegratecircuitcardidentity集成電路卡識(shí)別碼（ICCID），為SIM卡的唯一識(shí)別號(hào)碼，共有20位數(shù)字組成，其編碼格式為：XXXXXX0MFSSYYGXXXXXXX，其中前六位運(yùn)營(yíng)商代碼。2.7JTAGJointTestActionGroup一種國(guó)際標(biāo)準(zhǔn)測(cè)試協(xié)議，主要用于芯片內(nèi)部測(cè)試及對(duì)系統(tǒng)進(jìn)行仿真、調(diào)試，JTAG技術(shù)是一種嵌入式調(diào)試技術(shù)，它在芯片內(nèi)部封裝了專門的測(cè)試電路TAP（TestAccessPort，測(cè)試訪問(wèn)口），通過(guò)專用的JTAG測(cè)試工具對(duì)內(nèi)部節(jié)點(diǎn)進(jìn)行測(cè)試。2.8IMEIInternationalMobileEquipmentIdentity2國(guó)際移動(dòng)設(shè)備識(shí)別碼（手機(jī)序列號(hào)用于在手機(jī)網(wǎng)絡(luò)中識(shí)別每一部獨(dú)立的手機(jī)，是國(guó)際上公認(rèn)的手機(jī)標(biāo)志序號(hào)。3現(xiàn)場(chǎng)獲取3.1準(zhǔn)備在進(jìn)行手機(jī)電子數(shù)據(jù)現(xiàn)場(chǎng)獲取之前，需分析案情并進(jìn)行準(zhǔn)備工作，包括：a)現(xiàn)場(chǎng)獲取的目的和范圍；b)現(xiàn)場(chǎng)獲取的人員，需明確分工，落實(shí)責(zé)任；c)明確手機(jī)現(xiàn)場(chǎng)獲取需攜帶的儀器設(shè)備；d)明確手機(jī)現(xiàn)場(chǎng)獲取采用的方法、標(biāo)準(zhǔn)和規(guī)范；e)明確手機(jī)現(xiàn)場(chǎng)獲取步驟；f)明確手機(jī)現(xiàn)場(chǎng)獲取操作可能造成的影響。3.2證據(jù)獲取3.2.1靜態(tài)獲取對(duì)于已經(jīng)關(guān)閉的手機(jī)，在法律允許的范圍內(nèi)并在獲得授權(quán)的情況下，對(duì)手機(jī)進(jìn)行拍照或者拍攝，獲取并記錄手機(jī)的相關(guān)附件設(shè)備和信息，包括但不限于：a）手機(jī)品牌和型號(hào)；b）手機(jī)唯一性標(biāo)示（如：IMEI號(hào)）；c）手機(jī)SIM卡和外置存儲(chǔ)卡；d）手機(jī)的啟動(dòng)密碼和PIN碼；e）手機(jī)附件設(shè)備（如：電源線、數(shù)據(jù)線和其它配備設(shè)備）和相關(guān)手冊(cè)。3.2.2動(dòng)態(tài)獲取3.2.2.1對(duì)于處于運(yùn)行狀態(tài)的手機(jī)，如未啟用安全驗(yàn)證機(jī)制（如開機(jī)密碼和PIN碼）或能獲取解決安全驗(yàn)證機(jī)制的方法，應(yīng)按照3.2.1方法進(jìn)行獲取，并記錄手機(jī)的操作系統(tǒng)。3.2.2.2如手機(jī)已啟用安全驗(yàn)證機(jī)制（如開機(jī)密碼和PIN碼且無(wú)法獲取解決安全驗(yàn)證機(jī)制的方法，應(yīng)將手機(jī)從無(wú)線網(wǎng)絡(luò)隔離后提取數(shù)據(jù)。將手機(jī)從無(wú)線網(wǎng)絡(luò)隔離的方法包括：a）電子/射頻屏蔽；b）設(shè)置為“飛行”模式；c）禁用Wi-Fi、藍(lán)牙和紅外通信。3.2.2.3如需獲取證據(jù)數(shù)據(jù)的手機(jī)正連接計(jì)算機(jī)進(jìn)行同步，應(yīng)采取以下措施：a）在獲取計(jì)算機(jī)安全機(jī)制的情況下，關(guān)閉計(jì)算機(jī)電源，防止數(shù)據(jù)傳輸或同步覆蓋；b）同時(shí)獲取手機(jī)和連接的數(shù)據(jù)線、底座和與其同步的計(jì)算機(jī)，用于從計(jì)算機(jī)的硬盤中獲取手機(jī)中未獲取的同步數(shù)據(jù)；c）不可取出手機(jī)中的數(shù)據(jù)存儲(chǔ)卡和SIM卡。3.3封存3.3.1已經(jīng)關(guān)閉的手機(jī)，應(yīng)采取以下措施進(jìn)行封存：a）如手機(jī)的電池可拆卸，應(yīng)取下電池；b）使用信號(hào)屏蔽容器進(jìn)行封存，并予以標(biāo)記；3c）封存前后應(yīng)對(duì)手機(jī)進(jìn)行拍照或錄像，照片或者錄像應(yīng)當(dāng)從各個(gè)角度反映手機(jī)封存前后的狀況，清晰反映封口或張貼封條處的狀況。3.3.2處于運(yùn)行狀態(tài)的手機(jī)，如需保持開機(jī)狀態(tài)，應(yīng)采取以下措施進(jìn)行封存：a）使用帶有適配電源的信號(hào)屏蔽容器進(jìn)行封存，并予以標(biāo)記；b）將手機(jī)放置在專門設(shè)計(jì)的硬質(zhì)容器中，防止無(wú)意觸碰按鍵；c）封存前后應(yīng)對(duì)手機(jī)進(jìn)行拍照或錄像，照片或者錄像應(yīng)當(dāng)從各個(gè)角度反映手機(jī)封存前后的狀況，清晰反映封口或張貼封條處的狀況。4實(shí)驗(yàn)室檢驗(yàn)4.1記錄送檢手機(jī)的情況4.1.1對(duì)送檢手機(jī)進(jìn)行唯一性編號(hào)。4.1.2對(duì)送檢手機(jī)進(jìn)行拍照，并記錄其特征。4.1.3獲取和記錄送檢手機(jī)的相關(guān)信息，應(yīng)包括但不限于：a)品牌、型號(hào)和操作系統(tǒng)；b)唯一性標(biāo)示；d)外置存儲(chǔ)卡；e)開機(jī)密碼和PIN碼；f)附件設(shè)備（如：電源線、數(shù)據(jù)線和其它配備設(shè)備）和相關(guān)手冊(cè)。4.2數(shù)據(jù)的檢驗(yàn)分析4.2.1手機(jī)存儲(chǔ)數(shù)據(jù)獲取根據(jù)送檢要求，對(duì)送檢手機(jī)的獲取可分層次進(jìn)行，根據(jù)情況選擇以下的一項(xiàng)或多項(xiàng)進(jìn)行：a）手工獲?。翰唤柚渌謾C(jī)取證設(shè)備，對(duì)屏顯數(shù)據(jù)進(jìn)行獲取；b）邏輯獲?。簩?duì)送檢手機(jī)的文件系統(tǒng)進(jìn)行獲取；c）物理獲?。ㄧR像獲取/JTAG）：對(duì)送檢手機(jī)文件系統(tǒng)進(jìn)行鏡像備份，或使用JTAG方式進(jìn)行獲d）芯片獲?。簩?duì)送檢手機(jī)中的物理內(nèi)存芯片進(jìn)行獲??；e）微讀獲?。菏褂酶弑峨娮语@微鏡檢驗(yàn)對(duì)手機(jī)內(nèi)存單元進(jìn)行物理觀察以獲取數(shù)據(jù)。注1：根據(jù)送檢要求，可對(duì)送檢手機(jī)進(jìn)行提高操作權(quán)限的檢4.2.2SIM卡的數(shù)據(jù)獲取通過(guò)手機(jī)取證設(shè)備或者SIM卡取證設(shè)備對(duì)SIM卡進(jìn)行復(fù)制，從復(fù)制的SIM卡中提取數(shù)據(jù)。SIM卡中提取的數(shù)據(jù)包含但不限于：a）IMSI；b）ICCID；c）短消息；d）通訊錄；e）通話記錄。4.2.3外置存儲(chǔ)卡數(shù)據(jù)獲取外置存儲(chǔ)卡中數(shù)據(jù)的恢復(fù)和獲取按照GB/T29360－2012和GA/T756－2008的要求進(jìn)行。5檢出數(shù)據(jù)計(jì)算檢出數(shù)據(jù)的哈希值，并復(fù)制到專用的存儲(chǔ)介質(zhì)中。6檢驗(yàn)記錄檢驗(yàn)時(shí)需做好檢驗(yàn)記錄，記錄應(yīng)貫穿整個(gè)檢驗(yàn)過(guò)程，記錄的內(nèi)容應(yīng)包括但不限于：a)檢驗(yàn)開始的時(shí)間和日期；b)