手机作为科技发展的产物已经成为了人们生活、社交的必需品。由于存在着巨大的利益，以至于市场上存在着数百种山寨手机。山寨手机的出现对整个手机行业以及社会产生了重要的影响。低廉的价格和便捷的销售渠道使得犯罪分子更倾向于使用这种手机来从事非法活动，比如，窃取他人隐私，诈骗等。随着法律的日渐完善，现实生活中的许多法律被引入到了数字世界中，同时也推动了数字取证的发展。山寨手机的出现对数字取证构成了新的挑战。因为相对于品牌手机而言，山寨手机缺乏行业标准，比较封闭，而且很少有公开的资料来描述其系统信息及存储结构。由于绝大部分山寨手机采用的是MediaTek(MTK)公司提供的基带多媒体一体化芯片和全面解决方案(市面最流行的山寨手机平台)，所以本论文以该类山寨手机为例进行取证介绍。论文首先分析了手机常用的两种存储Flash(NOR Flash和NAND Flash）的基本特性，通过对Flash特性的分析深入了解山寨机的基本存储结构、运行原理，并为实验现象提供理论支撑。接着分析对比了现有几种手机镜像数据获取方法的优缺点，最终选用了Flasher tools方法获取完整的底层手机镜像数据，并针对MTK山寨机的系统存储结构以及Flash存储特性对镜像数据进行预处理。镜像数据包括用户区数据和系统区数据，其中系统区数据难以直接提取，且维护并保存了大量与数字取证直接相关的用户信息。由于这两个逻辑区域的数据在物理存储上是混合在一起的，因此从镜像数据中分割出系统区数据是本章的一个难点。通过预处理将用户区数据分离会减小后续数据处理的复杂度，提高取证分析的效率。在此基础上，本论文分别对采用NOR Flash和NAND Flash的两款主流的高低端的MTK山寨手机进行了实验研究和分析。数字取证内容包括较为简单的基础手机信息，如电话本、通话记录、短信、彩信等；同时也包括了较为复杂的智能手机信息，如互联网访问内容、互联网搜索，基于web的电子邮件等。本论文首先采用逆向工程通过大量实验研究掌握了多种信息内容的获取技术和解析方法，并利用Flash存储器的读写和擦除特性进一步对已删除内容的残留历史快照碎片进行恢复提取，进而采用了图论中的哈密尔顿路径(Hamilton path)算法对获取和恢复所得的多种信息内容（如通话记录、电话本、web信息等）在不同时间的多个历史信息碎片进行综合分析，完成数字证据的时间线(TimeLine)分析和尝试进行罪案场景重构。实验结果表明，本论文设计的获取、分析和恢复方法，能够有效地帮助取证人员针对MTK平台的山寨手机进行数字证据提取、证据链分析以及案情分析，解决了司法部门在数字取证上的一个实际问题。不仅如此，论文提出的研究方法、技术路线以及分析方法也可适用于对基于其他解决方案的山寨手机进行数字取证分析。总结而言，本论文针对基于MTK平台的山寨手机进行了数字取证技术和分析方法的研究。通过研究Flash存储器的存储特性以及山寨手机的内部存储管理机制，采用逆向工程实验研究了多种手机信息的提取和重组方法，同时对已删除内容残留的历史信息碎片进行恢复提取，并针对这些信息提出了一种综合的时间线分析方法。此外，本论文所研究的数字取证技术和提出的分析方法在采用NORFlash和NAND Flash的两款主流MTK山寨手机上分别进行了实验验证，实验结果显示：本论文的研究成果能有效解决山寨手机的数字取证技术问题。