论文部分内容阅读
[摘 要]打击犯罪中智能手机留存信息的特点,存取问题、种类及作用,为解决智能手机存储卡中数据丢失、删除或损坏的数据恢复问题,以当前主流RS-MMC存储卡为研究对象,分析RS-MMC存储卡的物理结构和数据存储原理,对不同原因引起数据损坏,提出了对应的数据恢复措施。重点研究逻辑损坏时的数据恢复流程,详细介绍利用数据恢复软件USBOOT进行数据恢复操作步骤。测试结果表明该方法数据恢复效果佳,能用于个人信息恢复、嫌疑手机取证等场合。
[关键词]智能手机 留存信息 数据恢复 RS-MMC存储卡 逻辑损坏
中图分类号:S973.1+5 文献标识码:A 文章编号:1009-914X(2014)24-0025-01
随着我国科技、经济的高速发展,人民生活水平的不断提高,手机已成为人们的生活必需品,手机功能已不再单纯作为打电话的通讯工具,而是附加越来越多的辅助功能,如:通信录、拍照、上网、收发邮件、微信、QQ、数据存储、图形编辑等等,因而智能手机终端存储着人们生活中很多重要个人信息,手机终端的经济价值也越来越高,这也容易成为犯罪分子作案的目标,据统计,在各类刑事案件中,涉及手机被盗、抢的,占盗窃类案件总数的三成以上,是最常见的损失物品之一,同时手机也成为了犯罪分子作案过程中联系同伙、与受害人或受害人家属联系的作案工具,因此嫌疑人所使用的手机上往往存储着与案件有关的信息,能够为我们公安机关侦查破案提供一定的证据或线索,而嫌疑人又往往通过删除手机的信息来躲避公安机关的侦查。本文对手机留存信息及被嫌疑人删除智能手机RS-MMC存储卡数据恢复与提取利用谈一下自己的粗浅看法:
一、目前对手机上留存信息提取与利用存在的问题
1、对手机上留存信息提取利用重视不够
作为一种普遍的通讯工具,智能手机已经成为了人们日常生活中不可缺少的随身物品,嫌疑人在作案前后及作案过程中,都不可避免的会使用到手机,因而会在手机上留存部分信息。在大部分嫌疑人被抓获后,一般都能收缴到手机,但办案人员往往由于不了解一些型号手机的操作方法,或认为手机上的通讯信息不能作为证据使用,疏于对手机上的通讯信息的提取利用和保全,导致对手机上通讯信息的不重视,而错失获取犯罪嫌疑人作案过程中通讯信息的机会。
2、对缴获嫌疑人手机存储介质删除数据几乎不会进一步采取恢复措施
涉案人员手机上留存的信息(如通话清单、短信或作案过程中犯罪嫌疑人所拍摄的图片、录像、QQ号码、聊天记录、上网记录等)从表现形式上讲是电子资料或电子证据,只要能够证明案件真实情况的事实都可能被法庭采纳,只是办案人员对手机上留存信息的提取利用和保全不重视,或不会利用,更不用说恢复存储介质上删除的数据或破解加密信息,只是局限于通话清单,不能充分发挥手机上留存信息的证据作用。
3、目前办案单位缺乏对手机存储介质遗留信息提取及删除数据恢复的设备和技术支持
当前多数案件都是在基层办案单位完成侦办,而基层单位人员经费紧张,工作任务繁重,以致没有多余的资金、人员投入手机存储介质的进一步收集取证,而嫌疑人使用的手机品牌、款式和型号各种各样,很多手机的I/O接口与电脑不匹配,造成手机上留存的信息提取不方便,而当前基层办案单位严重缺乏手机遗留信息数据恢复取证设备、技术,是手机取证工作的停滞不前的主要因素。
二、常见手机上留存信息的种类及作用
随着科技的高速发展,手机的种类繁多,型号不断更新,但总的来讲,手机功能趋向智能化、电脑化,手机上留存信息也种类繁多。常见的手机上留存的信息主要有以下几种:
1、通话记录
嫌疑人在作案过程中,通常会用手机联系同伙,或与受害人及其家属进行联系,如果发案后及时把嫌疑人抓获,手机上的通话记录一般能清楚的反应出同伙的姓名、外号、手机号、联系时间及通话时间长短。
2、短信内容
在短信诈骗和利用短信进行敲诈勒索等案件中,短信内容是必须提取的关键证据。有些嫌疑人在作案过程中也利用短信联系其同伙。
3、录像和图片
有些犯罪分子在作案过程中,由于爱好,或为了炫耀其作案手法,有时对其作案过程进行录像或进行拍照。
4、网络遗留信息
嫌疑人如果使用的是智能手机,几乎都会在其手机登陆QQ、浏览网页、查询资料等操作,这些都会在其手机留下痕迹,是可以破解出来作为证据使用。
从以上对手机上留存信息的分析可看出,手机上留存的信息不仅可以作为侦查破案的线索,为我们查明其同伙、确定作案时间提供可靠的线索和证据,而这些重要数据都可能被嫌疑人删除,通过数据恢复,并保证其真实客观的前提下,恢复的数据是可以作为认定犯罪的证据。
三、手机上留存信息的特点
手机上留存的信息具有以下特点:
1、内在实质上的无形性,这些电子信息其实质上只是一堆按编码规则处理成的“0”和“1”,是看不见摸不着的,具有无形性
2、外在表现形式的多样性
和普通的物证、书证的单一性相比,电子信息通过显示器展现在阅读者面前的不仅可以表现为文字、图像、声音或它们的组合,还可以是交互式的、可编绎的,因此电子证据能够更加直观、清晰、生动、完整地反映待证事实及其形成的过程。
3、客观真实性
如果不考虑人为篡改、差错和故障影響等因素,电子证据是所有证据种类中最具证明力的一种,它存储方便,表现丰富,可长期无损保存及随时反复重现。它不像物证一样会因周围环境的改变而改变自身的某种属性;不会像书证一样容易损毁和出现笔误;也不像证人证言一样容易被误传、误导、误记或带有主观性。电子证据一经形成便始终保持最初、最原始的状态,能够客观真实地反映事物的本来面貌。
4、易破坏性
与电子证据的客观真实性相对应,当有人为因素的或技术的障碍介入时,电子证据极容易被篡改、伪造、破坏或毁灭,电子数据或信息是以“比特”的形式存在的,是非连续的,数据或信息被人为地篡改后,如果没有可资对照的副本、映像文件则难以查清、难以判断。非故意的行为主要有误操作、病毒、硬件故障或冲突、软件兼容性引起的数据丢失、系统崩溃、突然断电等等,这些都是危害数据安全、影响数据真实性的原因。
四、结论
文中分析了RS-MMC存储卡的物理结构和数据存储原理,重点 针对引起数据丢失的逻辑损坏,研究了数据恢复流程,提出了利用 USBOOT软件进行数据恢复的方法。在实际操作中,为进一步提高内容恢复的准确率,还可以尝试不同的数据恢复软件。
综上所述,手机上留存信息能够为公安机关侦查破案提供线索和证据,只要在工作中注意收集、恢复提取和利用有价值数据,就能够为司法机关提供证据,就能够为打击犯罪提供可靠的依据。
参考文献
[1] 王中衫,刘乃琦,秦科,等.取证系统中数据恢复关健技术研究[[J].计算机应用研究,2008,25(9):2836-2838.
[2] Logicube. CelIXtract [EB/OL].[2012-03-01].http://www.logicube.com/shop/cellxtract/.
[3] 李志强.常见硬盘数据损坏的类型及恢复方法[[J].硅谷2011(23):124.
[关键词]智能手机 留存信息 数据恢复 RS-MMC存储卡 逻辑损坏
中图分类号:S973.1+5 文献标识码:A 文章编号:1009-914X(2014)24-0025-01
随着我国科技、经济的高速发展,人民生活水平的不断提高,手机已成为人们的生活必需品,手机功能已不再单纯作为打电话的通讯工具,而是附加越来越多的辅助功能,如:通信录、拍照、上网、收发邮件、微信、QQ、数据存储、图形编辑等等,因而智能手机终端存储着人们生活中很多重要个人信息,手机终端的经济价值也越来越高,这也容易成为犯罪分子作案的目标,据统计,在各类刑事案件中,涉及手机被盗、抢的,占盗窃类案件总数的三成以上,是最常见的损失物品之一,同时手机也成为了犯罪分子作案过程中联系同伙、与受害人或受害人家属联系的作案工具,因此嫌疑人所使用的手机上往往存储着与案件有关的信息,能够为我们公安机关侦查破案提供一定的证据或线索,而嫌疑人又往往通过删除手机的信息来躲避公安机关的侦查。本文对手机留存信息及被嫌疑人删除智能手机RS-MMC存储卡数据恢复与提取利用谈一下自己的粗浅看法:
一、目前对手机上留存信息提取与利用存在的问题
1、对手机上留存信息提取利用重视不够
作为一种普遍的通讯工具,智能手机已经成为了人们日常生活中不可缺少的随身物品,嫌疑人在作案前后及作案过程中,都不可避免的会使用到手机,因而会在手机上留存部分信息。在大部分嫌疑人被抓获后,一般都能收缴到手机,但办案人员往往由于不了解一些型号手机的操作方法,或认为手机上的通讯信息不能作为证据使用,疏于对手机上的通讯信息的提取利用和保全,导致对手机上通讯信息的不重视,而错失获取犯罪嫌疑人作案过程中通讯信息的机会。
2、对缴获嫌疑人手机存储介质删除数据几乎不会进一步采取恢复措施
涉案人员手机上留存的信息(如通话清单、短信或作案过程中犯罪嫌疑人所拍摄的图片、录像、QQ号码、聊天记录、上网记录等)从表现形式上讲是电子资料或电子证据,只要能够证明案件真实情况的事实都可能被法庭采纳,只是办案人员对手机上留存信息的提取利用和保全不重视,或不会利用,更不用说恢复存储介质上删除的数据或破解加密信息,只是局限于通话清单,不能充分发挥手机上留存信息的证据作用。
3、目前办案单位缺乏对手机存储介质遗留信息提取及删除数据恢复的设备和技术支持
当前多数案件都是在基层办案单位完成侦办,而基层单位人员经费紧张,工作任务繁重,以致没有多余的资金、人员投入手机存储介质的进一步收集取证,而嫌疑人使用的手机品牌、款式和型号各种各样,很多手机的I/O接口与电脑不匹配,造成手机上留存的信息提取不方便,而当前基层办案单位严重缺乏手机遗留信息数据恢复取证设备、技术,是手机取证工作的停滞不前的主要因素。
二、常见手机上留存信息的种类及作用
随着科技的高速发展,手机的种类繁多,型号不断更新,但总的来讲,手机功能趋向智能化、电脑化,手机上留存信息也种类繁多。常见的手机上留存的信息主要有以下几种:
1、通话记录
嫌疑人在作案过程中,通常会用手机联系同伙,或与受害人及其家属进行联系,如果发案后及时把嫌疑人抓获,手机上的通话记录一般能清楚的反应出同伙的姓名、外号、手机号、联系时间及通话时间长短。
2、短信内容
在短信诈骗和利用短信进行敲诈勒索等案件中,短信内容是必须提取的关键证据。有些嫌疑人在作案过程中也利用短信联系其同伙。
3、录像和图片
有些犯罪分子在作案过程中,由于爱好,或为了炫耀其作案手法,有时对其作案过程进行录像或进行拍照。
4、网络遗留信息
嫌疑人如果使用的是智能手机,几乎都会在其手机登陆QQ、浏览网页、查询资料等操作,这些都会在其手机留下痕迹,是可以破解出来作为证据使用。
从以上对手机上留存信息的分析可看出,手机上留存的信息不仅可以作为侦查破案的线索,为我们查明其同伙、确定作案时间提供可靠的线索和证据,而这些重要数据都可能被嫌疑人删除,通过数据恢复,并保证其真实客观的前提下,恢复的数据是可以作为认定犯罪的证据。
三、手机上留存信息的特点
手机上留存的信息具有以下特点:
1、内在实质上的无形性,这些电子信息其实质上只是一堆按编码规则处理成的“0”和“1”,是看不见摸不着的,具有无形性
2、外在表现形式的多样性
和普通的物证、书证的单一性相比,电子信息通过显示器展现在阅读者面前的不仅可以表现为文字、图像、声音或它们的组合,还可以是交互式的、可编绎的,因此电子证据能够更加直观、清晰、生动、完整地反映待证事实及其形成的过程。
3、客观真实性
如果不考虑人为篡改、差错和故障影響等因素,电子证据是所有证据种类中最具证明力的一种,它存储方便,表现丰富,可长期无损保存及随时反复重现。它不像物证一样会因周围环境的改变而改变自身的某种属性;不会像书证一样容易损毁和出现笔误;也不像证人证言一样容易被误传、误导、误记或带有主观性。电子证据一经形成便始终保持最初、最原始的状态,能够客观真实地反映事物的本来面貌。
4、易破坏性
与电子证据的客观真实性相对应,当有人为因素的或技术的障碍介入时,电子证据极容易被篡改、伪造、破坏或毁灭,电子数据或信息是以“比特”的形式存在的,是非连续的,数据或信息被人为地篡改后,如果没有可资对照的副本、映像文件则难以查清、难以判断。非故意的行为主要有误操作、病毒、硬件故障或冲突、软件兼容性引起的数据丢失、系统崩溃、突然断电等等,这些都是危害数据安全、影响数据真实性的原因。
四、结论
文中分析了RS-MMC存储卡的物理结构和数据存储原理,重点 针对引起数据丢失的逻辑损坏,研究了数据恢复流程,提出了利用 USBOOT软件进行数据恢复的方法。在实际操作中,为进一步提高内容恢复的准确率,还可以尝试不同的数据恢复软件。
综上所述,手机上留存信息能够为公安机关侦查破案提供线索和证据,只要在工作中注意收集、恢复提取和利用有价值数据,就能够为司法机关提供证据,就能够为打击犯罪提供可靠的依据。
参考文献
[1] 王中衫,刘乃琦,秦科,等.取证系统中数据恢复关健技术研究[[J].计算机应用研究,2008,25(9):2836-2838.
[2] Logicube. CelIXtract [EB/OL].[2012-03-01].http://www.logicube.com/shop/cellxtract/.
[3] 李志强.常见硬盘数据损坏的类型及恢复方法[[J].硅谷2011(23):124.