Digital Forensics Lab · 电子数据取证实验室

你的手机
藏着什么秘密

探索电子数据取证的世界 · Explore the World of Digital Evidence

01 —
取证概述
02 —
数据存储原理
03 —
常见取证方法
04 —
模拟取证实操
05 —
真实案例解析
06 —
合规与法律
Chapter 01 · 取证概述

什么是电子数据取证?

Digital Forensics — 从数字设备中发现、提取、分析证据的科学

涵盖手机、电脑、智能穿戴、车载系统等一切可存储数据的电子设备

📰 先看一个真实场景
某初中班级内,一名同学遭受长达 3 个月的网络霸凌。施害者在事情败露后,迅速删除了全部聊天记录、撤回了所有消息,以为"证据消失了,没人能证明"。

72 小时后,取证工程师从手机的数据库文件中还原了全部内容。
——那些"消失"的消息,从未真正消失过。

这一切是怎么做到的?接下来你将亲自探索答案。

📱 定义

电子数据取证(Digital Forensics)是指按照法律规范,从计算机、手机、存储设备等电子设备中获取、保全、分析电子证据的过程。


简单来说,就是让数字设备"开口说话"——即使是已删除的内容,也可能被还原。

📲 你今天的手机,已经记录了这些

不需要做任何特别的事——只要正常用手机,以下数据就在悄悄积累:

08:14 解锁手机 — 时间戳、解锁方式已记录
拍了张早饭照 — 照片里藏着你家的 GPS 坐标
发了条微信 — 内容、时间、已读状态,全部入库
搜索了一次天气 — 浏览器历史精确到秒
路过便利店 — 手机自动连 Wi-Fi,位置已记录
删了一条消息 — 你以为删了,数据库里还留着
关键认知
你的手机不是在被动存储,而是在主动记录。每一个操作都是一条带时间戳的日志,这正是取证工程师的信息来源。
🔍 为什么重要?
如今超过 90% 的犯罪案件都涉及电子证据。手机、电脑、智能手表……每一个数字设备都可能是案件的关键突破口。从简单的通话记录到加密的聊天软件,电子取证已成为现代司法体系不可或缺的技术支柱。

取证基本流程 · Workflow — 点击步骤查看现场操作片段

🔒
现场保全
Preservation
拍照记录、断网隔离
防止数据被修改或远程擦除
CLICK TO EXPAND
📥
证据获取
Acquisition
制作逐位镜像副本
计算哈希值固定原始状态
CLICK TO EXPAND
🔬
深度分析
Analysis
从镜像中提取、还原
并关联解读数字证据
CLICK TO EXPAND
📋
报告输出
Reporting
形成规范取证报告
可提交司法审查
CLICK TO EXPAND
← 点击上方任意步骤,查看现场操作片段

⚠️ 核心原则

  • 不破坏原始数据 — 始终在镜像副本上操作
  • 全程记录操作日志 — 每步可追溯
  • 保持证据链完整性 — 从扣押到出庭
  • 结果客观、可重现 — 经得起对方质疑

📂 证据类型

  • 通话记录 · 短信 · 聊天记录
  • 照片 · 视频 · 录音
  • 位置轨迹 · GPS 记录
  • App 使用记录 · 浏览历史
  • 已删除文件
💡 思考一下
你知道吗?即使你"删除"了一条微信消息,它可能仍然存在于手机的某个角落……接下来我们就来揭秘这背后的原理。
🎯 知识检验 · Chapter 01第 1 题 / 共 3 题
Chapter 02 · 数据存储

安卓手机里的数据在哪里?

了解 Android 手机的存储结构,是理解取证的第一步

💾 内部存储

手机自带存储空间,存放系统、App数据和用户文件。

文件系统:ext4(传统 Linux 格式,广泛兼容)或 F2FS(针对闪存优化,三星、小米常见)

普通用户无法访问系统分区,但专业取证工具可以通过 Root 权限或漏洞突破沙盒限制。

💳 外部存储

SD 卡或模拟外部存储,通常使用 FAT32 / exFAT 格式。

存放照片、视频、下载文件等,相对更容易访问和取证。

🔑 什么是 Root 权限?
手机系统默认把你当普通用户,只能做系统允许的事——就像住客只能进自己的房间。Root 权限相当于拿到了物业的万能钥匙,可以进入任意房间、修改任何设置,甚至看到其他住客的私人物品。

普通 App 没有 Root 权限,专业取证工具通过厂商专用接口、已知漏洞等手段绕过这个限制——这也是为什么普通备份软件只能导出部分数据,而专业取证工具能拿到几乎所有东西。
💡 先打个比方
把手机存储想象成一栋公寓楼:每个 App 租住一间独立的房间(沙盒),自己的聊天记录、账号密码都锁在房间里。普通人进不了别人的房间——但专业取证工具相当于物业管理员,持有主钥匙,可以进入任意一间。下面这张图就是这栋"公寓楼"的楼层结构:

📂 安卓存储分区结构

— 点击分区查看典型取证目标
⚙️
/boot  /system
系统内核和 Android OS — 取证人员通常只读不改
系统层
常见分析目标:
/system/app/          — 预装 App 列表及签名版本
/system/etc/hosts     — 检查是否存在 DNS 劫持痕迹
/system/build.prop    — 设备型号、Android 版本、序列号
通常只读不写,用于建立设备基线档案,验证设备身份
📱
/data
App 数据、用户账号、SQLite 数据库 — 取证核心目标
数据层 ★
⭐ 取证核心区域 — 包含所有 App 的私有数据库
/data/data/com.tencent.mm/       — 微信全量数据
/data/data/com.eg.android.AlipayGphone/ — 支付宝
/data/system/users/0/accounts.db  — 所有已登录账号
全盘加密(FBE)开启时,需先获取解锁凭证才可读取
💬
/data/data/[包名]
每个 App 的私有沙盒,存储聊天记录、缓存等
App 沙盒
以微信(com.tencent.mm)为例:
MicroMsg/[hash]/EnMicroMsg.db   — 全量聊天记录数据库
MicroMsg/[hash]/WCDB_Contact.db — 联系人数据库
cache/                          — 图片 / 语音缓存
撤回消息在数据库中通常有残留字段,取证工具可以还原
📁
/sdcard  /storage
用户可见的文件:照片、视频、下载文件等
媒体层
常见取证目标:
DCIM/Camera/    — 原始照片(含 GPS 坐标 + 拍摄时间戳)
Downloads/      — 接收的文件(截图、转账记录等)
Android/data/   — App 媒体缓存(即使删除也可能残留)
照片 EXIF 元数据可精确还原拍摄地点,常作为位置证据使用
📷 你不知道的事:照片里藏着你的位置
手机拍的每张照片,默认会在文件里写入一段看不见的元数据(EXIF),包括:精确 GPS 坐标(误差可小于 10 米)、拍摄时间(精确到秒)、设备型号、甚至相机参数。

你把照片发到朋友圈、微信、微博……对方只需要用任何一款免费的 EXIF 查看工具,就能知道这张照片在哪里、什么时候拍的。在案件调查中,一张随手拍的照片可以直接确认当事人的行踪。

💡 关掉方法:手机「设置 → 隐私 → 位置信息」中,关闭相机的位置权限即可。
📖 先搞清楚:数据库是什么?
简单说,数据库就是一种超级有组织的表格。以微信聊天记录为例,每一行是一条消息,各列分别存储:发送者、消息内容、发送时间、是否已读、是否撤回……

你在微信界面「删除」一条消息,只是 App 界面上不再显示它——底层表格里那一行数据原封不动。取证工具直接打开数据库文件读表格,完全绕过微信的界面逻辑,所以能看到你以为消失了的内容。

🗄️ SQLite 数据库 — 取证的宝藏

Android 中几乎所有 App 都用 SQLite 数据库存储结构化数据。

$ find /data/data/com.tencent.mm/databases/ -name "*.db"
EnMicroMsg.db     ← 微信聊天记录
WCDB_Contact.db   ← 联系人数据库
message.db       ← 消息索引
$ sqlite3 mmssms.db "SELECT address,body,date FROM sms"
+8613900000000 | 你好,请把钱打到... | 1712000000
↑ 关键证据!1712000000 是 Unix 时间戳 = 2024年4月2日
↑ 即使消息已"撤回",数据库记录通常仍可恢复

🔄 删除 ≠ 消失 — 为什么?

想象图书馆用卡片目录管书:你「删除」一本书,管理员只是把书目卡片从目录抽屉里拿走了——那本书还在书架上原来的位置,只是目录里查不到了。取证工具相当于逐格扫描书架,不依赖目录,自然能找回那本「已删除」的书。

真正覆盖数据需要等到系统写入新内容时——这可能需要很长时间,而且往往只是部分覆盖。


删除前
数据|数据|数据|空
删除后
标记可用(数据仍在)
取证工具扫描
✓ 原始数据仍存在
✓ 可被专业工具恢复
🎯 知识检验 · Chapter 02第 1 题 / 共 3 题
Chapter 03 · 取证方法

如何从手机中提取证据?

不同情况下,取证人员会选择不同的技术手段

Key Concept · 本章前置知识

🔐 加密与解密

加密把数据用数学算法打乱成只有持有「密钥」的人才能还原的乱码。现代安卓手机默认开启全盘加密(FBE)——即使取证工具拿到完整镜像,没有解锁密码看到的也全是乱码。

Key Concept · 本章前置知识

#️⃣ 哈希 = 数字指纹

哈希算法把任意内容压缩成固定长度的字符串。内容完全一致 → 哈希值完全一致;哪怕改动 1 个字节,哈希值就面目全非——这是证明证据「未被篡改」的核心手段。

$ echo "你好" | sha256sum
3f9a82... ← 哈希值 A
$ echo "你好!" | sha256sum
9c4e71... ← 哈希值完全不同!
🔌
逻辑提取
Logical Extraction
难度
入门级

通过手机的 USB 接口和官方协议(ADB / iTunes Backup)导出数据。这是最常见的初步取证手段,也是大多数商业备份软件采用的方式。

✓ 操作简单,速度快,不会损坏设备
✓ 无需特殊权限,设备保持原始状态
✗ 只能获取系统允许访问的数据
✗ 无法恢复已删除文件,无法访问加密沙盒
典型场景 快速现场评估;获取通话记录、短信、通讯录、照片、部分 App 数据
💽
文件系统提取
File System Extraction
难度
进阶级

获取手机完整的文件目录结构,包括 App 私有数据和系统配置。通常需要 Root 权限或利用特定 ADB 漏洞绕过沙盒限制。

✓ 可访问 App 的 SQLite 数据库(聊天记录核心来源)
✓ 能看到应用缓存、配置文件、已删除文件碎片
✓ 比逻辑提取获取的数据量多出数倍
✗ 需要一定技术门槛,部分机型无法直接 Root
✗ 全盘加密(FBE)会阻止访问加密区域
典型工具 Cellebrite UFED 文件系统模式 · Magnet AXIOM · 厂商服务接口 / Root / 专业漏洞利用链
🔧
物理提取
Physical Extraction
难度
专家级

对手机存储芯片进行逐位复制(Bit-by-bit imaging),获取包含已删除数据的完整存储镜像。高阶手段包括直接拆解芯片读取(Chip-off)或通过调试接口(JTAG)绕过系统直接访问内存。

✓ 可恢复已删除文件和数据碎片
✓ 法庭最高可信度的取证方式
✗ 技术复杂,费时费力,需专业硬件
✗ Chip-off 有损坏设备的风险
✗ 全盘加密下镜像内容仍为密文,需额外破解
Hash 校验 制作镜像后立即计算 MD5 / SHA-256 并记录在案。日后若有人质疑篡改,只需重新比对哈希值——哪怕改动了 1 个字节,哈希值也会完全不同。
☁️
云数据取证
Cloud Forensics
难度
新兴领域

通过法律程序向云服务商(微信、微博、百度云等)调取服务器端数据。随着云存储普及,这一领域正迅速成为取证的重要战场。

✓ 手机被毁/格式化,云端数据仍可获取
✓ 可获取多设备同步数据,覆盖更长时间段
✓ 国内主要平台通常配合司法机关调取
✗ 必须持有司法授权文书,流程较长
✗ 境外服务商(WhatsApp、Telegram)配合度差
✗ 端对端加密内容即使获取也难以解密
法律依据 《网络安全法》第 30 条:网络运营者须为公安机关依法侦查犯罪提供技术支持和协助

🛠️ 常见取证工具(以国内与开源为主)

T01 🏆 美亚柏科 国内常见的电子数据取证与分析平台,覆盖手机提取、介质固定、数据恢复、线索研判与报告生成等环节 商业套件
T02 🔍 弘连科技 国内电子数据取证厂商的常见产品线,侧重手机解锁、终端取证、证据分析和执法办案场景联动 综合平台
T03 🐧 Autopsy / TSK / ADB 开源和基础工具更适合教学与研究:Autopsy、The Sleuth Kit 可用于镜像分析;ADB 是安卓调试与辅助采集接口,不等同于完整手机取证平台 开源免费
🎯 知识检验 · Chapter 03第 1 题 / 共 3 题
Chapter 04 · 模拟实验

现在,你是取证工程师

跟随步骤,完成一次完整的手机取证操作流程

🗂️ 案情简介  ·  案件编号 2024-ZS-0315
接案时间:2024-03-15 14:05

某科技公司财务经理王某报案:当日 14:58,公司银行账户遭不明人员登录,5 万元被转至陌生账户。根据内部门禁记录和监控录像,嫌疑锁定在员工张某身上——转账发生期间,张某是唯一独自待在财务室的人。

警方随即对张某实施控制,扣押其随身手机(Samsung Galaxy A52,锁屏状态,电量 73%)。

你的任务:对该手机进行规范取证,提取与转账操作相关的数字证据,还原事件经过,形成可提交法庭的完整证据链。

FORENSIC PROCEDURE

1

现场拍照记录

对设备外观、状态(开机/锁屏/关机)进行拍照存档

2

隔离网络信号

开启飞行模式或放入屏蔽袋,防止远程擦除

3

连接取证设备

识别手机型号,选择合适的取证方法

4

制作存储镜像

逐位复制存储内容,计算哈希校验值

5

分析关键证据

从镜像中提取聊天、转账、位置等证据

▶ 取证控制台
系统就绪...
等待取证操作 >
🎯 知识检验 · Chapter 04第 1 题 / 共 3 题
Chapter 05 · 真实案例

电子证据如何破案?

以下案例均经过脱敏处理 · 点击时间轴展开详情

📱 案例一 · 电信诈骗案

2023年3月 · 立案
受害人报案,手机接到"公安局"来电
受害人张某接到自称"市公安局"的电话,被告知其银行账户涉及洗钱案件,被骗走 15 万元。
抓获嫌疑人
警方锁定嫌疑人并扣押手机
通过通话记录追踪,警方在外省抓获嫌疑人李某,扣押其使用的两部手机。
电子取证
提取手机数据,还原作案全过程
取证工具从手机中提取:
✓ 已删除的通话录音文件(物理提取恢复)
✓ 话术脚本文档(.docx 文件)
✓ 多名受害人的银行卡信息截图
✓ 境外 App 的加密聊天记录(已解密)
结案
电子证据成为定罪关键
法庭采纳了电子证据,李某被以诈骗罪判处有期徒刑 8 年,并处罚金 20 万元。电子证据是本案定罪的核心证据。

🏫 案例二 · 校园网络霸凌案

事件经过
某初中生遭受长期网络霸凌
学生小明长期在班级群和短视频平台遭受同学的嘲讽和侮辱性评论,身心受到严重伤害,家长向学校和警方投诉。
取证过程
对多部涉事手机进行逻辑提取
取证内容:
✓ 班级微信群的完整聊天记录(含撤回消息)
✓ 短视频发布记录和评论数据
✓ 私信骚扰内容
✓ 发布时间与地点(证明是本人操作)
关键突破
已撤回的消息被成功恢复
霸凌者发现事态严重后删除并撤回了大量消息。但取证工具从手机的 SQLite 数据库中成功恢复了这些"消失"的内容,成为关键证据。
结果
多名学生受到处分,家长承担法律责任
涉事学生受到学校处分,其监护人承担民事赔偿责任。此案提醒所有人:网络上的每一条消息都可能留下痕迹。

💼 案例三 · 企业数据泄露案

发现异常
竞争对手掌握了公司机密数据
某科技公司发现竞争对手的产品中包含与自家完全相同的核心算法,怀疑内部员工泄露商业秘密。
取证调查
对离职员工手机和电脑进行取证
发现关键证据:
✓ 百度网盘上传记录(核心代码文件)
✓ 发送给竞争对手邮箱的附件记录
✓ AirDrop 传输日志
✓ 截图时间与离职前夕吻合
关键技术
文件哈希比对,证明同源性
取证人员对泄露文件和原始文件进行 MD5 哈希对比,两者完全一致,可有力证明文件内容一致、来源高度同源,并用于完整性校验。
结果
前员工被判侵犯商业秘密罪
前员工以"侵犯商业秘密罪"被定罪,公司获赔 300 万元。这是电子取证在民事诉讼中发挥关键作用的典型案例。
💡 共同规律
三个案例揭示同一道理:数字世界的"删除"从来不彻底。电子数据取证让每一条数字痕迹都可能成为证据。
🎯 知识检验 · Chapter 05第 1 题 / 共 3 题
Chapter 06 · 合规法律

取证必须依法进行

强大的技术必须在法律框架内使用

⚠️ 重要警告
未经授权擅自获取他人手机数据,即使技术上可行,也是违法行为。可能同时触犯《刑法》第 285 条(非法获取计算机信息系统数据)、《个人信息保护法》及《网络安全法》,轻则行政处罚,重则追究刑事责任。技术能力不等于使用权力。

⚖️ 合法取证的常见要求

R01📜 法律授权Legal Authorization
刑事案件中,侦查人员须依法出示搜查证或依据法定程序取证(参见《刑事诉讼法》第 138 条);非刑事场景须取得当事人书面同意或其他合法授权
R02🔗 证据链完整Chain of Custody
从扣押设备到出具报告,每一步操作都须记录在案,确保证据可追溯、未被篡改;参见 2016 年「两高一部」《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》
R03👥 两人以上执行Two-Person Rule
取证操作必须有两名以上人员在场,互相监督,防止单方面违规;这也是对取证人员自身的保护
R04📝 操作日志Audit Log
所有取证步骤须完整记录,包括时间戳、操作人员、工具版本等;日志本身也需封存以防篡改
R05🔒 隐私最小化Privacy Minimization
只提取与案件相关的数据,不得超范围获取无关隐私;符合《个人信息保护法》第 6 条「最小必要原则」

⚡ 如果越线了,会发生什么?

Case Files · 典型违规场景

😤 出于好奇,偷偷用工具读取同学手机

  • 可能涉及非法获取计算机信息系统数据
  • 情节较轻:治安处罚、民事赔偿
  • 情节严重:刑事责任
  • 未成年人:父母承担连带法律责任

📤 恢复他人删除的数据并截图传播

  • 同时触犯隐私权《个人信息保护法》
  • 涉及他人照片或私信:加重处罚
  • 被害人可提起民事诉讼索赔
  • 传播行为本身留有记录,无法销毁

🎒 假设你是一名初中生,用工具偷看了同学手机……

很多人以为「反正我是未成年人,不会有事的」。实际上:

对你的影响: 未满 14 周岁,刑事责任由父母承担;14 周岁以上可能直接承担行政处罚或刑事责任。学校可处分,严重者开除学籍。
对你父母的影响: 承担民事赔偿责任,金额由法院判定,少则数千,多则数万元。
「我只是看了一下,没传出去」: 「获取」本身就违法,不需要传播——只要打开了别人的数据就已构成侵权。
「我用的是网上下的免费工具」: 工具来源与行为合法性无关;对无授权设备使用取证工具,行为本身违法。
📌 记住这条原则
“技术能做到”和”你有权这么做”是两回事。掌握取证技术是为了保护别人,而不是侵犯别人。

🤔 道德边界讨论

技术能力 ≠ 使用权力。以下场景,哪些合法?哪些越界了?

✅ 合法侦查人员依法出示搜查证,对犯罪嫌疑人手机进行取证
✅ 合法企业在员工知情同意下,对公司设备进行安全检查
⚠️ 灰色地带父母未告知孩子,私自检查其手机
❌ 违法出于好奇,用工具获取朋友或同学的手机数据
❌ 违法用技术手段恢复他人删除的数据并传播
🎯 知识检验 · Chapter 06第 1 题 / 共 3 题
结语 · Summary

你今天学到了什么?

🔍
取证是科学
有严格的流程和技术标准,每一步都可重现、可验证
⚖️
取证有边界
强大的技术必须在法律和伦理框架内使用,授权是前提
💾
痕迹永存在
数字世界的"删除"从未真正消失,这是双向的警示

📖 术语速查表

本课程中出现的专业词汇,一句话解释:

SQLite一种轻量级数据库格式,几乎所有手机 App 都用它存聊天记录、账号等结构化数据
Root 权限手机的最高管理员权限,拥有它可以访问系统任意区域,突破沙盒限制
加密 / FBE把数据变成只有密钥持有者能读懂的乱码;FBE 是安卓的全盘加密方案
哈希 / MD5 / SHA-256给文件生成独一无二「数字指纹」的算法,用于证明证据未被篡改
EXIF / 元数据照片文件里肉眼看不到的附加信息,包含 GPS 坐标、拍摄时间、设备型号等
ADBAndroid Debug Bridge,安卓官方调试工具,取证人员用它与手机通信、导出数据
镜像 / Imaging对存储设备逐位复制生成的完整副本,取证分析都在镜像上进行,不动原始设备
JTAG / Chip-off两种高级物理取证技术:JTAG 通过调试接口读取内存,Chip-off 是直接拆下存储芯片
证据链 CoCChain of Custody,记录证据从扣押到出庭全过程的完整日志,保证证据合法性

🎓 知识要点回顾

电子取证流程:保全→获取→分析→报告
安卓数据核心:/data 分区是重点目标
提取方式层级:逻辑→文件系统→物理
SQLite:App 数据存储的核心格式
删除≠消失:只是标记为可覆盖
合法取证:必须有授权,有完整记录

🏆 本次学习得分

完成答题后查看总分
下一步 · What's Next

如果你对这个领域感兴趣……

网络安全是未来十年最紧缺的专业方向之一,现在开始探索并不早

🏆 参加 CTF 竞赛

CTF(Capture The Flag)是全球通行的网络安全技术竞赛,其中有专门的「数字取证 Forensics」赛题——分析损坏的磁盘镜像、从图片中提取隐写数据、还原加密流量……从高中生到大学生都可以参与,完全免费。

推荐平台(新手友好)
NSSCTF · 攻防世界(xctf.org.cn)· BugKu · Hack The Box

🎓 相关专业方向

高考志愿可以关注:

  • 网络空间安全(一级学科)
  • 信息安全(本科专业)
  • 计算机取证(细分方向)
  • 密码学(理论基础)

💼 未来的职业

  • 电子取证工程师 — 司法鉴定机构核心岗
  • 网络安全分析师 — 企业 SOC 团队
  • 司法鉴定技术人员 — 需取得国家鉴定资质
  • 企业安全响应(IR)专家 — 处置数据泄露事件
  • 公安网警 / 网络犯罪侦查 — 国家核心岗位
🚀 从今天起可以做的三件事
① 动手体验:在电脑或 Termux 中安装 sqlite3,先用公开练习数据、自己导出的备份,或 CTF 题目里的示例数据库练习查询;普通非 Root 手机无法直接读取其他 App 的私有数据库。

② 参加比赛:注册 NSSCTF 或攻防世界账号,在「Misc / 取证」分类找一道入门题,尝试独立完成——哪怕解不出来,看完 Writeup 也会有很多收获。

③ 系统学习:搜索「计算机取证学」或「数字取证基础」,B 站有大量公开课。