移动取证——定义、用途和原则
移动取证是数字取证的一个子类型,涉及从电子源检索数据。从智能手机和平板电脑等移动设备中恢复证据是移动取证的重点。由于个人在发送、接收和搜索大量数据时都依赖移动设备,因此可以合理地假设这些设备拥有大量可供调查人员使用的证据。
移动设备可能存储范围广泛的信息,包括电话记录和短信,以及在线搜索历史和位置数据。我们经常将移动取证与执法联系起来,但他们并不是唯一可能依赖从移动设备获得的证据的人。
移动取证的用途:
军方在计划军事行动或恐怖袭击时使用移动设备收集情报。如果公司担心其知识产权被盗或员工进行欺诈,则可以使用移动证据。众所周知,企业会跟踪员工对商业设备的个人使用情况,以发现非法活动的证据。另一方面,执法部门可能能够通过使用电子发现来收集从身份盗窃到凶杀案的证据,从而利用移动取证。
移动设备取证流程:
- 扣押和隔离:根据数字取证,证据应始终在法庭上得到充分保存、分析和接受。移动设备被扣押之后会出现一系列法律问题。与移动取证方法的这一步相关的两个主要风险是锁定激活和网络/蜂窝连接。
- 识别:识别的目的是从移动设备中检索信息。使用适当的 PIN、密码、图案或生物特征,可以打开锁定的屏幕。密码受保护,但指纹不受保护。应用程序、照片、短信和信使都可能具有类似的锁定功能。另一方面,加密提供了在软件和/或硬件级别上难以破解的安全性。
- 采集:控制移动设备上的数据很困难,因为数据本身是可移动的。一旦从智能手机传输消息或数据,控制权就消失了。尽管各种设备能够存储大量数据,但数据本身可能存储在其他地方。例如,跨设备和应用程序的数据同步可以直接或通过云完成。移动设备的用户通常使用 Apple 的 iCloud 和 Microsoft 的 One Drive 等服务,这暴露了数据收集的可能性。因此,调查人员应注意任何迹象表明数据可能能够从物理对象超越移动设备,因为这可能会对数据收集甚至保存过程产生影响。
- 检查和分析:由于移动设备上的数据是可传输的,因此很难对其进行跟踪。当移动来自智能手机的消息或数据时,就会失去控制。尽管许多设备可以保存大量数据,但数据本身可能存储在其他地方。
- 报告:显示物理和电子证据的扣押、保管、控制、转移、分析和处置的文件或书面记录称为法证报告。这是验证如何收集、跟踪和保护任何类型的证据的过程。
移动取证原理:
移动取证的目的是从移动设备中提取数字证据或相关数据,同时保持取证完整性。为此,移动取证技术必须制定精确的标准,以安全地获取、隔离、转移、保存以供调查,以及验证源自移动设备的数字证据。
移动取证的过程通常可以与数字取证的其他领域相媲美。但是,需要注意的是,移动取证过程有其独特的特点,必须加以考虑。如果对移动设备的调查要给出积极的发现,则必须使用适当的方法和指南。