一種基于AT指令的手機取證方法

2019-08-08 06:23:04 電腦知識與技術2019年18期

陳丹

摘要:隨著網絡信息技術的普及,利用手機進行犯罪的案件呈上升的趨勢。智能手機取證成爲司法行政機關用于偵破此類案件的關鍵。時下爲了使用的安全性,所有的智能手機都設置了自動鎖屏功能,而許多手機取證涉及的信息,都被這個鎖屏功能保護起來。通過對手機AT指令集的研究,找到一種在不破壞手機硬件軟件的基礎上,可以暫時解除手機屏幕鎖定,獲取手機信息的方法,即使用AT%KEYLOCK = 0指令刪除手機屏幕鎖定功能。沒有了屏幕鎖定功能的手機,猶如敞開著大門的房子,取證人員可以輕松“進入”手機,從而獲取相應的數據。

關鍵詞:手機取證;鎖屏;AT指令

中圖分類號:TP399      文獻標識碼:A

文章編號:1009-3044(2019)18-0013-02

Abstract:With the popularization of network information technology, Crimes committed by mobile phones are on the rise. Smartphone forensics has become the key for judicial administrative organs to detect such cases. Nowadays, in order to use security, all smart phones have set up automatic lock screen function, and many information related to mobile forensics are protected by this lock screen function. Through the research of AT instruction set of mobile phone, we find a method that can temporarily unlock the screen of mobile phone and obtain the information of mobile phone without destroying the hardware and software of mobile phone, that is use  instruction of AT% KEYLOCK = 0 to delete the mobile screen lock function. Mobile phones without screen lock function are like houses with open doors. Witness collectors can easily "enter" mobile phones to obtain corresponding data.

Key words:mobile forensics; lock screen; AT command

1 引言

隨著網絡信息技術的飛速發展,手機已成爲人們不可或缺的生活必需品。手機的功能從最初的通信工具,變成現時人類全能的貼身朋友—能支付、能溝通交流、能休閑娛樂、能學習知識。

中國互聯網信息中心的統計報告顯示,截至2018年6月,我國網民數量爲8.02億,其中手機網民規模達7.88億。

智能手機功能的不斷拓展,爲用戶提供了越來越多、越來越智能的服務,與此同時,也爲不法分子提供了更多的“機遇”,使用手機帶來的安全問題日益凸顯。中國互聯網信息中心于2018年6月發布的中國互聯網絡狀況調查顯示,使用手機過程遭遇的網上詐騙比例爲26.3%,安全問題不容忽視。

由于手機的普遍使用,現在很多犯罪案例的取證,均需通過手機獲取犯罪信息,因此,手機信息的完整獲取,爲各類案件的破解起著舉足輕重的作用。

2 手機取證現狀及難點

手機取證之關鍵是取得手機裏的各種資料。爲了保護個人數據的安全,各品牌的手機都設有自動鎖屏保護的功能,如果能知道鎖屏密碼(無論是哪種鎖屏方式),就可以把手機接入取證設備,及時、完整地獲取手機裏的數據。但是在不知道鎖屏密碼的情況下,想要完整無損地獲取手機數據是非常困難的。現今,不論是安卓手機還是蘋果手機,鎖屏密碼是手機取證的最大障礙。

雖然已經有不少方式可以繞過或破解手機鎖屏密碼,但是這些方法或多或少地都存在一定的缺陷和安全隱患。

文獻[1]指出,基于第三方recovery的提取方式,雖然不會改變用戶的數據分區,能保證獲取到原始的取證數據,但是隨著安卓系統的升級,在安卓手機鎖定Bootloader引導分區的前提下,這種方法已經不再適用。

文獻[2]指出,通過連接手機的JTAG觸點,可以讀取手機的鏡像文件。該方法適用于手機主板可通電、CPU完好的情況。如果被檢設備開啓了“全盤加密”一類的功能,JTAG提取到的鏡像也還是加密鏡像,破解工作仍然很艱難。且JTAG的數據獲取方式還存在速度較慢、接入點難以尋找等缺點,有些設備商甚至屏蔽了JTAG的接入方式[3]。

文獻[4]介紹的Chipoff方法是指將手機存儲芯片取下,然後對其數據進行直接讀取的方法。該方法的使用範圍是芯片必須完好,不足之處是無法解析“全盤數據加密”的手機、不能提取芯片損毀的手機。

3 AT指令技術依據

智能手機中除了處理器、內存、電池等設備之外,還有一個很關鍵的模塊叫作Modem(調制解調器),它是手機與外界保持一切連接的主要橋梁。

智能手機作爲一種多功能通訊工具,其最主要的功能就是“通訊”,Modem就是讓手機保持通訊的核心部件,是接受和輸出信息的通道。如果智能手機沒有了Modem,既不能打電話,也不能發短信,更不能上網。手機信號的強和弱,在一定程度上取決于Modem的性能。

任何一台處于開機狀態但未解鎖的智能手機,其Modem都是處于實時運行狀態。這也是爲什麽平時手機在鎖屏狀態下照常能夠收到短信、微信和電話的原因。當把一台未解鎖的智能手機通過USB插入電腦時,由于屏幕被鎖定所以無法選擇USB連接模式讀取手機數據,但是可以讀取到調制解調器的信息。因此,在手機取證時,遇到手機屏幕鎖屏,可以考慮通過Modem來獲取手機中相關的證據信息。

每種型號的手機都支持制造商定義的一些基本AT指令集。利用這些指令集就可以實現對手機相關信息的獲取。

4 AT指令取證方法

由于Hayes公司發明的AT指令得到了廣泛的應用,大多數其他生産調制解調器的公司都使用Hayes公司的AT指令來控制調制解調器,因此,幾乎每個手機調制解調器都是Hayes兼容的,這就意味著Hayes在1977年開發的AT語言指令支持調用手機調制解調器。因此,即使手機受密碼保護,也可以使用AT指令獲取有關手機的一些有用信息。

AT指令在當代手機通訊中起著重要的作用,能夠通過AT指令控制手機的許多行爲,包括撥叫號碼、按鍵控制、傳真、GPRS等。表1列出了部分AT指令及其功能。

每一種手機廠商都可以設置不同的AT硬件指令,用于喚醒相應的手機軟件功能。因此想要獲取手機相關信息,需要找到取證手機對應廠商制定的指令集。

以LG手機爲例,LG手機支持大多數基本的AT 指令集,可以用于提取一些公共信息。此外,LG手機還有自己品牌的專有指令集(AT%類型的指令),這些指令(包括AT%IMEIx,AT%SIMID,AT%SIMIMSI,AT%MEID,AT%HWVER,AT%OSCER,AT%GWLANSSID)可以返回有關手機的基本信息。指令集中包含一個AT%KEYLOCK指令,用于管理手機屏幕鎖定狀態。

當調用指令AT%KEYLOCK時,根據參數不同,會從/system/lib/libatd_common.so庫中調用lge_set_keylock()或lge_get_keylock()函數。如果傳遞給函數lge_set_keylock()的值爲“0”= 0x30時,將最終調用該函數,然後返回字符串“[0] KEYLOCK OFF”。顯然,指令AT%KEYLOCK = 0允許刪除屏幕鎖定,無須進行任何其他操作。至此,手機將移除屏幕鎖,無論手機使用的是PIN碼、鎖定圖案、密碼、抑或指紋來鎖定屏幕[5]。

這個指令的工作原理是:將零值(意味著解鎖)寫入特殊RAM區域,該區域存儲著負責屏幕鎖定的值。這意味著該命令不以任何方式修改ROM。

需補充說明的是,這個指令只會刪除屏幕鎖定,而不會影響任何用戶設置,因此能保證手機數據的完整性,可用于手機取證。並且,當智能手機重啓後,將返回鎖定狀態,屏幕鎖定再次啓用。另外,該指令無法獲取屏幕鎖定密碼(無論是哪種密碼方式),它只是刪除密碼一段時間。

通過向Modem發送AT指令進行解鎖取證的方法,僅適用于Android手機。由于Android手機平台的開放性,使得其取證環境複雜多樣化,在具體的應用過程中,應仔細挑選合適的取證方法[6]。

5 結語

爲了提高使用的安全性能,各手機廠商都給手機設置了相應的安全措施,其中最普遍的是鎖屏功能,而手機取證往往受屏幕鎖定的限制,無法得到相關的證據信息。本文介紹了一種在不破壞手機硬件軟件的基礎上,可以暫時解除手機屏幕鎖定,獲取手機信息的方法,即使用AT%KEYLOCK = 0指令刪除手機屏幕鎖定功能,雖然這種刪除是暫時性的,但是沒有了屏幕鎖定功能的手機,猶如敞開著大門的房子,取證人員可以輕松“進入”手機,從而獲取相應的數據。

手機取證任重而道遠,新的犯罪手段層出不窮,爲了維護社會安定,打擊此類犯罪,仍需對手機取證方式方法進行深入研究,比如引入機器學習,大數據分析等領域的技術,這將是手機取證下一步的研究方向。

參考文獻:

[1] 計超豪,王即墨,裴洪卿. 非root條件下獲取安卓手機物理鏡像[J]. 刑事技術, 2018(43):464.

[2] 李剛. 案件偵辦中手機電子證據取證難點及解決方法[J]. 廣西警察學院學報, 2018(31):68-72.

[3] 楊雪. Android手機取證技術研究綜述[J]. 計算機時代, 2015(6):7-9.

[4] 孔攀,蔡睿奇. Android手機取證技術研究[J]. 網絡犯罪與取證, 2018(2):153-154.

[5] 秦玉海, 孫奕. 智能手機取證[M]. 北京: 清華大學出版社, 2014: 125-130.

[6] 劉浩陽,李錦,等. 電子數據取證[M]. 北京: 清華大學出版社, 2015: 212-215.

【通聯編輯:李雅琪】