電子取證——智能手機定位痕迹如何快速提取?

編者按: 本期,數據恢復四川省重點實驗室科研人員介紹一種「快速查找智能手機中地理位置信息」的新方法,與現有技術相比,該技術優勢在於:可根據手機中地理位置信息的存儲規律建立模板,並使用該模板快速找手機中的地理信息數據,增加查找地理位置的準確度,減少查找時間,快速獲取手機行蹤軌跡信息,比常規方法提速數十倍,可協助公安、檢察等司法部門快速取證,提高破案成功率。

一、背景介紹

隨著智能手機的普及,人們的生活、工作、學習、社交、娛樂等已離不開智能手機。智能手機在使用過程中會隨著時間的推移產生和存儲大量數據,這些數據可能涉及機主行動的位置、時間,而這些海量的地理位置信息是手機程序在運行過程中必然產生的。公檢法系統在電子取證過程中,如果能有效提取相關手機中的定位痕迹,就可能快速獲取更多案件線索,提高破案效率。所以,在電子取證領域,找到一種可以找到快速提取手機定位信息的技術方案,就顯得十分重要。

1、手機定位的含義

手機定位信息指的是手機在運行過程中,通過訪問GPS、手機信號站點、WIFI網路等方式保存下來的定位痕迹,通常定位痕迹的表現形式為經緯度、基站、mac地址等。其中,經緯度對應唯一的真實地理位置,而基站和mac地址屬於大數據情況下,第三方服務提供的真實地理位置解析。

2、軌跡提取的含義

軌跡提取指的是對用戶所到過的時空進行一種回溯性取證,通過對手機中的定位痕迹及其產生的時間進行提取,並對提取的定位痕迹進行篩選,保留真實、有效、有意義的定位痕迹。將篩選出來定位痕迹與時間關聯,構建出完整的時空軌跡,從而得出用戶在實際生活中曾經到過的地方、意圖到達的地方以及經常活動的位置範圍等重要信息。

3、軌跡重現的意義

針對電子取證而言,軌跡提取毋庸置疑是極其重要的,辦案人員可根據手機展現的時空軌跡進行定點辦案,直接縮短所涉案件的辦案時間,直接影響所涉案件的進程。

二、軌跡提取前期準備工作---模板預先積累

1、模板預先積累

模板預先積累,是指針對已有應用進行定位痕迹數據的提前分析。智能手機定位痕迹數據快速提取主要就是通過「模板預先積累」的形式進行,這是目前最普遍的實現方式。

2、兩種模板積累方式

模板積累方式大體分為兩種:第一種是普通的積累方式,也就是「Winhex+人工」,Winhex是一種免費軟體,人工要分析的部分相對較多,過程繁瑣;第二種是最新研發出的一種積累方式,「效率源智能分析工具+人工」,這種方式以效率源智能分析工具(PC桌面版+Android應用版)進行數據模板積累,速度可比第一種快數十倍。同時,第二種方法以智能分析為基準,剔除了枯燥重複工作,只留最重要的步驟給人工分析,有效節約人力,提高效率。

第二種方式具體分為以下步驟,如圖1所示:

【圖1:快速提取方式 】

2.1定位痕迹母版的預定義

2.1.1歸納定位痕迹在智能手機之中存儲的特徵值,基本特徵值為定位痕迹文件路徑、定位痕迹坐標系、經度、緯度、時間。

坐標系:基於坐標系的不同那麼數據存儲的結果將會發生不同的變化,所以該屬性是一個重要屬性,不同的坐標系保存的坐標值是不同的,一旦該特徵出現問題便會引起數據誤差,這種可修復誤差在電子取證中是不能出現的。以下以成都天府廣場在常用的坐標系下的表達為例,如圖2所示。

【圖2:天府廣場在各坐標系下的表示 】

2.1.2 母版的定義是一種經驗的積累,對積累數據的高度歸納提取,根據定位痕迹在數據中存儲形式可以分為以下類型。

a:XML文件普通類型、XML文件分割類型、XML文件JSON類型、XML文件正則式類型。

b:DB文件普通類型、DB文件分割類型、DB文件JSON類型、DB文件正則式類型。

c:日誌文件類型。

d:屬性文件類型。

e:其他標準類型。

2.1.3 由於分類比較複雜,以下以XML文件圖示舉例,用戶可以查看在XML各種分類中數據的具體存儲形式。

a:XML文件普通類型

普通類型的XML文件,以鍵值對的形式保存數據,其鍵以屬性的方式保存,值可以以屬性,也可以以XML文件TXT標誌保存,如圖3所示。

【圖3:XML文件普通類型】

b:XML文件分割類型

分割類型的數據主要是以特殊的字元串或者某些特定的標誌進行分割,如圖4所示。

【圖4 XML文件分割類型 】

c:XML文件JSON類型

JSON類型是指存儲數據以JSON的方式進行數據保存,如圖5所示,經緯度在JSON中的關鍵字是latitude,longitude。

【圖5: XML文件JSON類型 】

d:XML文件正則類型

正則是類型指的是數據保存的相對而言沒有特定的意義,如圖6所示。

【圖6:XML文件正則類型】

2.2解析母版方法的預定義

解析母版方法的預定義是指解析預先定義的針對母版類型配置的解析方法,這是開發人員對已積累模板的解析思路,通過程序語言完成,這裡不再進行詳細解釋。

2.3應用子版的預定義

應用子版的定義指的是將某應用包含定位痕迹的文件,以母版的形式擴展出該文件獨立的模板,子模板必須進行大量的數據積累,這樣才能夠獲取到足夠多的數據。軌跡提取需要提取的定位痕迹必須是有意義的,所以不僅僅是滿足經緯度、基站、mac地址的格式便需要提取出來,還需要對以下四個方面進行確認,其中a、b用於數據解析,c、d用於數據描述,c、d確定該數據是否是有效數據。

a:文件類型

文件類型指的是該文件屬於什麼類型的文件,文件的類型是由文件頭確認。以下以XML文件的二進位頭為例,如圖7所示。

【圖7: XML文件頭】

b:數據存儲類型

數據存儲類型就是該文件數據的存儲形式屬於母版定義類型中的哪一種。

c:數據代表意義

指的是該項數據的意義,例如該地理位置屬於用戶到過的地方、屬於用戶搜索後想要到達的地方。

d:坐標系

坐標系的確認需要使用應用,使其定位到當前位置,獲取文件中的經緯度信息和當期實際地理位置在各大坐標系中的具體指進行比較,相差最小的便認為是該種坐標系。

三、定位痕迹恢復的操作流程

定位痕迹的恢復的流程,如圖8所示。

【圖8:快速提取流程圖】

1、載入子板

載入模板指的是載入子模板和載入解析模塊。

1.1子板載入:一般都會將子模板製作成獨立的文件並放在服務端,這樣便於模板的管理和維護。這種機制是因為第三方應用的升級速度比較快,這樣必然造成數據的丟失和數據的缺失,放在服務端可以直接以下載模板的形式進行應用更新,對應用的影響更加的小。

1.2解析子版模塊載入:解析模塊是針對母版的通用解析方案,同樣適用於解析子版。

2、遍歷應用解析子版

解析定位痕迹即是對子板中記錄的應用進行遍歷解析,這種針對性的解析方案有如下優勢。

2.1針對開發者:該種模板解析的方法使得程序冗餘代碼得到大量的精簡,模板的方式更加易於更新和維護等。

2.2針對用戶:解析速度更快,用戶體驗更好,升級流量損耗小等。

3、真實地址解析

真實地址的解析是針對定位痕迹解析的結果而言,它代表著將手機中不為人熟悉的定位痕迹轉化為真實的地理位置信息。

注意事項:方案的不足之處

基於智能手機中定位痕迹的恢復,現階段是應用針對性恢復,在沒有進行數據確認的前提下,無法進行有效數據的快速提取。這是由於軌跡提取本身要求高的原因引起的,它要求提取出來的數據應當是用戶想要到達或者曾經到達的地方。假如普遍性的提取手機中包含的定位信息,那麼提取的無用數據量將會增加,同時恢復出來的數據真實性也將降低。

小結:隨著智能手機應用的越來越廣泛,手機定位也越來越多地被使用,而手機定位痕迹能夠真實記錄用戶的位置數據,已成為公安、檢察等司法部門偵查破案的重要電子證據。數據恢復四川省重點實驗室科研人員通過利用智能分析工具進行模板預先積累,比常規方法提速數十倍,可大大提升智能手機定位痕迹的提取速度,提升電子取證的效率。

推薦閱讀:

TAG:隱私泄露 | 取證 | 資料庫 |