随着移动通信技术的发展,手机成为人们工作生活中必备的通讯工具,与此同时,手机犯罪也与日俱增,手机取证是打击这类犯罪的有效手段。目前国内尚无成熟产品面世,因此手机取证任务紧迫,社会意义也非常重大。智能手机不同于一般的手机,它有操作系统,用户可以安装软件、游戏、程序、扩充它的功能,还可以用无线网络接入上网,获得更多的资源,无异于一个微型电脑。由于智能手机的强大功能,深受大众的喜爱,目前我国智能手机占比达10%,而且智能手机的渗透率还在成倍增长,预计2013年占有率将有可能接近50%。iphone是智能手机的领跑者,论文以iphone为例进行取证分析。本文首先介绍了取证工作的原则,确保取证工作的合法性和权威性,接着深入分析了iphone的硬件结构及系统结构,详细介绍了iphone存诸数据信息的文件夹。Preferences记录了系统配置的详细信息以及网络信息的备份,是取证工作的重点对象。iphone使用Sqlite数据库,其中三个最大的数据库是电话本、通话记录和短消息,详细介绍了三个数据库的各个表的组成及取证过程。在取证前,首先对iphone进行越狱处理。由于iphone为保持系统的稳定性、省电、删除文件不产生垃圾等优势,用户只有读没有写的权限。对iphone的数据库信息进行提取时,要使用第三方软件,因此必须进行越狱处理。在我们安装取证工具时,接触操作系统不能毁坏用户的分区。iLiberty+程序是一个取证工具,能够安装到操作系统的核心部件中,安全的安装到iphone中而不经过iphone本身的允许。恢复工具包括openSSH安全系统、Netcat通过网络发送数据、md5建立硬盘的镜像、dd复制硬盘的镜像访问。将恢复出来的数据进行分析,例如发现Consolidated.db里有巨大的地理定位数据,数据包含了系统使用的每个基站的信息,这些数据可以确定打电话的时间和位置。Clients.plist是wi-fi热点信息,包含地理位置、MAC地址、WI-FI热点以及时间。Clients.plistproperty list包含了使用应用程序的数据,收集到的应用程序的名字、程序开始的日期和时间、结束的日期和时间数据信息。最后提出一种新的取证思路,将常用的取证工具打包放到一起,加速取证的过程,并搭建一个连接取证手机、主控手机、远程服务器的取证平台系统。客户端系统植入目标手机后,隐藏地运行在后台,提取手机中的信息,包括用户的通话记录、电话本、短消息、上网记录、google地图使用信息、取证人员可以充分掌握嫌疑人过去的情况,还可以实时监控新收发信息、新通话记录、上网记录、进一步掌握最新活动动态。目前设计工作初步实现目标,有待进一步提高、完善。