煤矸石空心砖

新闻分类

联系我们Contact

企业名称:桐城市南口新型建材有限公司

联系人:崔经理

电话:0556-6568069

手机:18156911555

邮箱:303927413@qq.com

地址:桐城市龙腾街道高桥村

网址:   www.nkxxjc.com 



您的当前位置: 首 页 > 手机里的女友bopeep歌词 > 公安局电子取证,是如何获得手机里面的资料?

公安局电子取证,是如何获得手机里面的资料?

发布日期:2023-01-27 23:48 作者: 点击:

说说情况、部分过时的取证方法和部分简单的防御非法调取本地数据方法。

现在的许多手机操作系统都有加密功能,(新版 Android 如果没有被 OEM 改动设置的话是默认打开的,没有关闭选项,要关闭必须借助工具。参阅 加密 | Android 开源项目 | Android Open Source Project。)再加上 Bootloader 锁、安全芯片等,不知道手机密码基本不可能获得任何数据。(包括输入法和触摸键盘的设置也是受密码加密的,你会发现当设置为混合密码后,开机时(不包括软重启)键盘并没有遵循设置,直到解锁后才恢复。其它像锁屏背景、亮度、暗色模式等没有用用户密码加密,可能是单独用安全芯片加密甚至没有加密。而且开机第一次解锁后需要等一会才能进入桌面,在这之前除了系统服务是不会有任何程序运行的,因为用户数据加密了。)即使知道密码并成功打开了 USB 调试,因为部分手机解锁 Bootloader 会清除所有数据,无法获得 root 权限,所以一些底层数据可能无法获取。这导致有时取证难度加大甚至根本不能取证。不过这样也很好,不需要担心有人滥用取证方法来读取的电子设备中的数据。(比如回收旧手机、旧电脑、旧硬盘(尤其是流行的旧手机换脸盆),以前如果你没有重置、格式化,并作数据填充等数据擦除手段,那么有不法分子可以数据恢复来提取包括但不限于通讯录、联系人、照片、文件等内容,现在支持加密的设备,只要打开了加密,你只需要关机(对于有电池的设备)后再给对方,对方不知道密码就只能提取到密文,但可以强制格式化。)不过取证方法不只有这一条,还有监听、从网络服务商调取数据之类的,由于这两种方式不容易被不留痕迹的滥用,这里不再细说。反正只要知道本地数据有很多种方法调取(对于警察和提取数据的不法分子)和销毁(对于犯人和对隐私权非常看重的人)就行了。但实际上还有像是冷启动攻击的手段。

关于密码,一般情况下审讯有可能问出来,(尤其是犯罪嫌疑人不在意隐私时。)但有时犯罪嫌疑人会以“忘记密码”作为合理理由而不提供密码,不过问不出来还有其它方式解决,比如欺骗犯罪嫌疑人使其主动输入密码,(国外有的执法部门在讯问前对犯罪嫌疑人说“你现在可以联系你的律师”,并将通过取证破解工具成功植入密码记录器的手机交还给犯罪嫌疑人,只要犯罪嫌疑人上当主动解锁,那么就不需要再穷举了。)或者调取罪犯在有监控的地方输入密码解锁手机的监控画面,或者强制用生物识别……这种密码有可能被问出来或被看到的情况已经被提前考虑过了,所以一些加密程序支持使用密钥(可以是智能卡、保存到 U 盘等存储设备上的文件)来解锁,来防止密码被看到/被键盘记录器记录导致数据不安全,或者被抢劫等危险情况的强迫问出密码。这种情况如果被胁迫交出数据的人在紧急情况将要发生前销毁了密钥或发生时乘机销毁密钥,就不可能从口中问出密钥了,因为被胁迫者根本不知道(没法记下很长的)密钥内容。甚至可以 TPM 加密码加密钥文件结合解锁。(解锁时三者都要有,缺一不可,防止单偷解密 U 盘来解锁。)但虽然许多国外网络服务支持使用安全密钥或智能卡登录,但没几个手机支持用这个技术保护设备的整个磁盘。不过除了加密外用过这个技术的是网银 U 盾,不仅要密码,还要插入 U 盾才能登录系统。甚至有传言胁迫代码(倒着输入银行卡密码)在紧急情况能够后台报警,

强制犯罪嫌疑人提供密码是对犯罪嫌疑人权利侵犯比较大的方式,因为知道密码的人可以获得整台手机的控制权,而且这种方式可能可以做到不留痕迹,不能知道对方到底看了什么内容,(相关部门向支付宝之类的网络支付服务提交数据调取请求,更可能留底的,但调查私人手机,估计没人给机会打开录屏或者在犯罪嫌疑人现场的情况翻查,而且相关部门可能会用取证系统全盘备份(存储容量越大读写速度越慢耗时越长)后再分析。)即使事后发现证据不足或清白的可能也不会有对于个人隐私搜查的赔偿和对相关部门的处罚。(这句内容的后果对街上部分无条件查手机的可能比较严重。)更无法知道相关部门会不会拿你的数据做坏事。(比如偷偷用你的身份发短信或消息钓鱼执法并消除痕迹。)最关键的是,密码本身可能会被用于撞库攻击你的其它同密码设备或帐户。

关于嫌疑人的处理方式,如果嫌疑人确实犯罪了,相关部门大概率有其它证据能证明犯罪事实,这个时候建议趁早认罪。(至于与犯罪无关的需要保护的设备,可以视“是否需要减刑”考虑是否交出密码,与案件无关的大概率不会被要求解锁,这种情况下也可以使用这个理由拒绝解锁。)如果嫌疑人没有犯罪,相关部门大概率没有其它证据足以证明犯罪事实,(通常这种事故的发生概率很小,但思考问题一定要往两个极端角度思考,一个是最好情况,另一个是最坏情况。)如果确实认为数据重要,不想被第三者访问,可以视有没有处罚、或会不会增大冤罪的概率来考虑要不要继续保护,极少情况下可能被刑讯逼供。(如果提前做好数据分级,可以在不泄露敏感内容的情况下提交有利于自己的证据。)

总之,包括电子取证在内的所有取证办法单独使用有时并不好用。可能要多种方法结合。

对于很早以前的手机用户,普遍没有设置密码的习惯或不支持设置密码,手机甚至没有数据导出功能。取证方法普遍为用其它设备拍摄屏幕显示的内容,或从运营商调取通话记录等详单。

关于防御方法,使用相对安全的软硬件并设置该设置的密码,该加密加密,并不要打开手机密码云重置功能,(这个功能可以通过云服务绕过手机密码解锁手机并重置密码。)时常升级软硬件,Android 手机的可以使用三星的安全文件夹、压缩文件密码或其它类似工具保护敏感内容,开发者选项设置桌面备份密码,(如果将来不需要备份功能可以生成一段随机密码设置,后面就可以从密码管理器删除这个密码了。)不要解锁 Bootloader,对于电脑,选择带 TPM 的电脑,设置 UEFI 密码,保持打开安全启动,使用磁盘加密工具(BitLocker、VeraCrypt 等)并可根据需要选择多因素认证,如果不需要管理员权限可以把管理员帐户全部删除/把自己的帐户从 Administrators 用户组移除而只以标准用户使用电脑。(从解锁角度看,Windows 配合 TPM 远超 iOS 设备的加密体系,但另一角度 iOS 又更强。)iOS 设备在 iTunes 设置备份密码,(如果将来不需要备份功能可以生成一段随机密码设置,后面就可以从密码管理器删除这个密码了。)全盘备份和敏感数据非端到端加密则不要使用云服务,除了这之外较新的 iOS 已经内置并强制打开了很多安全措施。这一段只防本地数据。

对于网络,多网站不要使用同一密码、可以使用随机密码配合密码管理器,其它许多文章已经有这类信息了,这里不再重复。对于密码,告诉过别人的密码,将来就不要再使用了。

关于后门,部分厂商有为设备内置后门,或者从云服务调取数据,有的是自己保管后门使用方法,对相关部门的数据调取请求严格的法律审查通过之后才会提供数据,不通过会直接拒绝。(Apple 对 iCloud 和低于 iOS 8.0 的设备是这么做的,后者有第三方方法能调取数据,毕竟 iOS 8.0 之前的不支持全盘加密,只支持敏感内容加密。(比如 Wi-Fi 密码、部分应用的登录凭据。))但有传言一些厂商却直接留下后门并由公安局自行使用,这就可能导致暗箱操作了。毕竟前者需要厂商审核,还容易留下记录。而且后门也有可能导致不法分子非法获取数据。

关于端对端加密技术,一旦普及,将导致云端取证方法直接失效。但用户使用了这个技术,即使服务器遭受了网络攻击,也不会泄露个人数据。

另外,有一种攻击方式叫做冷启动攻击,即强制重启并引导到特定程序,读取重启前内存的残留部分,或者在极低温度下拔内存条,并插入到特定设备读取内存的残留部分。内存的残留部分中往往可能有加密密钥。解决方法很简单,就是打开过机密数据的设备不使用时关机,部分做了安全措施的可以休眠甚至睡眠不关机,不过较新的设备和操作系统在每次关机前和开机自检后都会擦除内存,部分商用设备较新的 Mac 有内存加密功能可以缓解攻击。同时要注意的,操作系统有虚拟内存和休眠文件,如果操作系统驱动器没有加密,或者虚拟内存和休眠文件存储在了未加密的驱动器中,将可以直接从硬盘提取部分敏感数据的明文,即使硬件支持内存加密也不会加密这些数据。

这篇回答可能适用于提前阻止不法分子强迫你解锁设备导致数据泄露的情况发生。这篇回答只保护本地数据,不保护以任何形式上传到网络中的未加密数据,(包括但不限于存储或记录在云端的聊天记录、银行和支付程序的记录、间谍软件、数据搜集工具、未自行做加密措施就上传到云存储上的文件、用户在没有做匿名措施在网络上的活动,未做加密措施就备份到网络服务的解锁密钥、全盘备份,甚至可能包括你给一些应用授权给权限后获取到你的数据。)这些数据,相关部门在某些情况下可以要求提供商提供这些数据。最关键的是,只防未经授权查看/提取,不防强制格式化。

关于隐私权,随着科技的进步,将来有可能出现伪装成蚊子/苍蝇/蝴蝶/鸟的带摄像头的监视设备,人脑记忆读写术,同时计算机计算速度将越来越快,这些技术一旦出现,任何加密、密码等措施都将不再可靠或完全失效。确保数据无法被访问的唯一方法是销毁数据使自己都没法被访问,还要尝试从大脑中删除记忆。也许放弃隐私权并谨慎行动才是最不心累的选择。(反正自己的记忆都可能遭篡改。)

另外,问题中提到浏览历史记录和键盘记录是否会被调取,答案是前者会,(即使开隐私浏览有时也无效,HTTPS 较为复杂,这里不多聊了。)但后者绝大多数内置输入法(在不联网的情况下)不会。(至于通过输入密码后留在屏幕上的指纹记录推断密码,这里也不再细聊了。)至于手机里安装了第三方监控程序的情况,不在讨论范围。

另外,有传言部分软硬件厂商与相关部门合作搜集用户数据,这个传言没有也很难有证据能证明或证伪。如果是真的,这些搜集到的数据大概率只能用作将来破案的方向,不一定是合法有效的证据,但厂商完全有可能用这些数据作恶。(参考一则新闻 用隐私数据调查记者,在伦敦办公室内卷,谁加剧了TikTok的信任危机?)

关于这篇答案的知识来源,包括但不限于本人使用电子设备及操作系统的经验、电子设备和操作系统的使用说明和相关文档(尤其是其中的“加密”部分)、取证设备的广告、公开在网络上的其它内容等。

关于本人的立场,无论任何情况,任何人都应该有自己的虚拟空间,不受任何其他人(包括警察、配偶、家长等)侵犯,无论合法非法。(可以用来写下自己的想法而不泄露出去。毕竟现在没有“思想罪”了。)但对于实体空间被合法侵犯,暂保持中立态度。(毕竟前者防不住暗箱操作,(鬼知道搜查者连 USB 调试执行了什么命令,拷走了什么数据。)后者好歹被搜查者能在场能知情,甚至可以装监控记录下来。)同时由于加密体系的存在,电子取证可能不再可靠,本人认为不该以电子取证为主(虽然仍然要能取则取),而是应该优先寻找其它证据。同时对潜在的犯人,用其他方法引导,使其自然的避免做出不道德的事情(包括犯罪在内),同时对普通人普及影响较小的不道德事件实时防御方法。对于不道德事件(比如旧手机提取隐私信息),虽然厌恶但没有他们的行为就可能不会有人想到针对这些行为的防御方法(数据擦除)。

对于任何技术,本人认为技术无罪,但只要有可能被滥用,就一定要做好防护措施而不是禁止技术本身,比如文件恢复,那就不能禁用文件恢复工具,而应该利用加密技术让文件删除后不可被恢复,又比如网络攻击,就不能禁用网络攻击的工具,而应该及时修补漏洞,来不及的就先做好断网、防火墙、蜜罐之类的缓解措施。

关于本人自己的行动,从不犯罪将来也不打算犯罪,使用过微软 Surface 电脑,保持打开 TPM、安全启动和 BitLocker 加密,手机使用过强制全盘加密的三星手机,购买的移动硬盘打开了 BitLocker 加密并留下一个小分区不加密给某些不支持 BitLocker 加密的操作系统使用,Windows To Go 也会加密,iOS 设置备份密码,Android 设置桌面备份密码,关闭 USB 调试。总之,任何能设置密码的设置密码,能打开加密的都会打开加密,所有硬件和系统软件都打开自动更新并及时更新来修补漏洞。另外,以前我认为数据和文件不放在上锁的柜子中就不安全,有电子设备并设过密码后,认为不能设置密码的软硬件都是不安全的,(比如 Windows CE。)自从使用过磁盘加密后,本人认为“不支持全盘加密/未打开全盘加密的设备是不安全的”,且“实体文件不应该存在机密内容的明文”,因此最近对支持加密但未打开的设备打开加密并设置密码继续使用,并对可用空间进行了数据擦除,对于不支持加密的设备,(比如 Android 2.3.6 的三星手机,低于 iOS 8 的苹果设备。)能升级系统的就升级,否则重置并数据擦除,且不再使用其进行任何要输入密码的操作和存储敏感文件。(至于支持 USB 挂载的 Android 手机,可以对其驱动器打开 BitLocker 加密,但 Android 上将无法读取。)一切不支持加密的旧操作系统在加密的电脑上使用虚拟机工具运行。平时使用任何软件,能不授权就不授权。对于文件访问、照片读取等不合理要求权限,会使用隔离环境,比如安全文件夹、工作环境炼妖壶或虚拟机。国产软件不强制管理员的就在另外的非管理员用户安装(参考 新建一个账户就能隔离毒瘤应用:Windows 自带权限工具妙用 - 少数派),强制要求管理员权限的使用虚拟机。将来考虑对电脑放弃仅 TPM 的预启动身份验证,并使用 TPM+PIN+USB 结合验证,用指纹解锁的 U 盘,发现情况不对就一脚下去。同时本人反感任何要求解锁的行为,无论是朋友甚至是女朋友/结婚对象、还是上司,也绝对不提供密码和密钥,除非设备中没有需要保护的内容。

本文网址:

关键词:手机里的女友bopeep歌词

相关新闻: