电子数据取证与数据质量控制

电子数据取证与数据质量控制手机，尤其是智能手机，已经成为人们日常生活中不可或缺的一部分而在法庭科学领域,由于手机中往往包含很多重要的信息，世界各地的执法机构已经越来越意识到手机取证的重要性以及它如何影响调查结果

一、手机电子数据证据的检查电子数据取证是法庭科学的一个分支，专注于恢复和调查驻留在电子或数字设备中的原始数据随着新功能和应用程序被整合到移动电话中，存储在设备上的信息量不断增长移动电话成为便携式数据载体,它们可以跟踪用户的所有活动信息随着移动电话在人们的日常生活和犯罪活动中越来越普遍,从手机获取的数据成为与刑事，民事案件有关的宝贵证据来源,如移动设备通话记录和GPS数据用于帮助调查2010年在纽约时代广场发生的爆炸事件当前,在电子数据取证调查中，基本都会包含移动设备的取证手机取证是电子数据取证的一个分支,其主要目标是恢复和调查手机中的数据电子数据取证要符合规范和流程,因此在取证过程中要限定和证明使用特定的取证技术或方法对电子数据证据进行合理的法证检查的主要原则是不得修改原始证据这对移动设备来说非常困难一些取证工具需要与移动设备通信，因此标准写保护在取证期间不起作用其他一些方法有时需要在提取数据之前移除芯片或在手机上安装引导加载程序如果在不更改设备配置的情况下无法进行检查或数据采集,则额外采用的方法的过程和更改等动作必须进行测试,验证和记录遵循适当的方法和指南对检查移动设备至关重要，因为它可以产生最有价值的数据与任何证据收集一样，在检查过程中不遵循正确的程序可能导致证据丢失或损坏或使其不再被法庭接受手机取证过程分为三大步骤:扣押设备,数据获取,数据检查/分析取证人员在扣押移动设备作为证据来源时会面临一些挑战在犯罪现场,如果发现移动设备已关闭,检查人员应将设备放在法拉第袋faraday bag中，以防止设备自动开机时进行更改这里，法拉第袋专门设计用于将手机与网络隔离如果手机被PIN或密码锁定或加密,取证人员就要设法绕过锁定或确定访问设备的PINo移动电话是联网设备,可以通过不同的机制发送和接收数据,例如电信系统,Wi-Fi接入点和蓝牙因此,如果电话处于运行状态,则犯罪分子可以通过执行远程擦除命令安全地擦除存储在电话上的数据如果手机是打开状态,应将其放入法拉第袋中如果可能,在将移动设备放入法拉第袋之前,通过启用飞行模式并禁用所有网络连接Wi-Fi,GPS,热点等，将其与网络断开以保护证据一旦移动设备被正确扣押，取证人员可能需要若干取证工具来获取和分析存储在移动设备上的数据手机取证给取证人员带来的挑战移动设备是动态系统,在提取和分析电子数据证据时会给取证人员带来很多挑战来自不同制造商的不同型号的手机的数量的快速增加使得难以开发用于检查所有类型的设备的单个工具、软件和方法随着技术的进步和新技术的引入,移动设备不断发展此外,每个移动设备都设计有各种嵌入式操作系统因此,取证人员需要特殊的知识和技能来获取和分析设备移动设备取证面临的最大挑战之一是其上的数据可以跨多个设备访问，存储和同步由于数据是易变的并且可以远程快速转换或删除，因此需要更多的努力来保存这些数据手机取证与传统计算机取证不同，给取证人员提出了独特的挑战取证人员往往很难从移动设备上获取电子数据证据,原因如下

1.新型号手机的分类市场上充斥着来自不同制造商的不同型号的手机取证人员可能会遇到不同类型的手机，这些手机的大小,硬件,功能和操作系统都不同此外，由于产品开发周期较短,新型号手机出现非常频繁随着手机领域发展日新月异,取证人员必须适应手机技术的发展趋势，并在手机取证技术方面保持最新状态

2.操作系统多样我国当前的系统基于web-中国与Windows多年来主导市场的个人电脑不同，移动设备广泛使用更多类型的操作系统,包括Apple的i OS,谷歌的Android,RIM的黑莓操作系统,微软的Windows Mobile,惠普的web OS,诺基亚的Symbian操作系统等,不同的操作系统对取证工具、取证软件以及取证人员的专业技术水平都有相应的要求

3.）测试特征为数据和隐私现代移动设备平台包含许多内置安全功能,可以保护用户数据和隐私这些特征在手机取证过程中会成为障碍例如,某些手机设备具有从硬件层到软件层的默认加密机制取证人员可能需要突破这些加密机制以从设备中提取数据

4.组合工具的使用市面上移动设备种类繁多，单个取证工具可能不支持所有设备或执行所有必需的功能，因此需要使用组合工具而且为特定手机选择合适的工具可能很困难,有时需要专门定制特殊的工具、软件才能获取某些数据

5.）可能在手机不发生即使移动设备看起来处于关闭状态,后台进程仍可能运行例如,在大多数手机中，即使手机关机，闹钟仍然有效从一个状态突然转换到另一个状态可能导致数据丢失或修改

6.反取样技术问题反取证技术如数据隐藏,数据混淆,数据伪造和安全擦除，使得电子数据的调查更加困难

7.证据的动态性质电子数据证据可能有意或无意地被轻易改变例如，浏览手机上的应用程序可能会改变该应用程序在设备上存储的数据

8.意外中断手机提供重置所有配置的功能取证时意外重置设备可能会导致数据丢失

9.设备更改问题更改设备的可能方法可能包括移动应用程序数据，重命名文件以及修改制造商的操作系统在这种情况下,应考虑用户或者嫌疑人的专业知识

10.返回密码如果设备受密码保护，则取证人员需要想办法访问设备而不会损坏设备上的数据

11.蓝牙及红外通信移动设备通过蜂窝网络,Wi-Fi网络，蓝牙和红外线进行通信由于设备通信可能会改变设备数据，因此在扣押设备后应消除设备继续通信的可能性

12.病毒或特洛伊木马设备可能包含恶意软件或恶意程序，例如病毒或特洛伊木马这样的恶意程序可能试图通过有线接口或无线接口感染其他设备，因此取证时需格外小心

13.手机证据的属性要求，应遵循以下基本原则移动设备可能涉及犯罪,可能跨越地理边界,为了解决这些涉及多地区管辖的问题,取证人员应了解犯罪的性质和相关区域法律知识手机证据属于证据的范畴,因此手机证据也必须具备证据的客观性、合法性、关联性这三个基本属性因此,在手机取证过程中，还需严格遵循取证合法原则，取证及时原则,取证备份原则,环境安全原则,证据保管流转链原则这些原则是取证工作的标准要求,能指导取证工作各环节，使取证工作达到一定的程度,符合一定的标准严格遵循上述原则可以使手机证据从发现到取证完成，以及最后出具报告的整个过程中都能够保持其合法性和客观性，获取的证据能够经得起法庭质证的严格考验。