QR Code
Digital Forensics Lab · 电子数据取证实验室

你的手机
藏着什么秘密

探索电子数据取证的世界 · Explore the World of Digital Evidence

01 —
取证概述
02 —
数据存储原理
03 —
常见取证方法
04 —
模拟取证实操
05 —
案例解析
06 —
合规与法律
Chapter 01 · 取证概述

什么是电子数据取证?

Digital Forensics — 从数字设备中发现、提取、分析证据的科学

涵盖手机、电脑、智能穿戴、车载系统等各类可存储数据的电子设备

📰 先看一个真实场景
某初中班级内,一名同学遭受长达 3 个月的网络霸凌。施害者在事情败露后,迅速删除了大量聊天记录、撤回了消息,以为"证据消失了,没人能证明"。

72 小时后,取证工程师从手机数据库和缓存残留中恢复了关键内容。
——看似"消失"的消息,仍可能在设备中留下痕迹。

这一切是怎么做到的?接下来你将亲自探索答案。

📱 定义

电子数据取证(Digital Forensics)是指按照法律规范,从计算机、手机、存储设备等电子设备中获取、保全、分析电子证据的过程。


简单来说,就是让数字设备"开口说话"——即使是已删除的内容,也可能被还原。

📲 你今天的手机,已经记录了这些

不需要做任何特别的事——只要正常用手机,以下数据就在悄悄积累:

08:14 解锁手机 — 时间戳、解锁方式已记录
拍了张早饭照 — 照片可能带有拍摄时间和地点信息
发了条微信 — 内容、时间、会话状态等可能留下记录
搜索了一次天气 — 浏览器历史精确到秒
路过便利店 — 手机自动连 Wi-Fi,位置已记录
删了一条消息 — 你以为删了,相关记录仍可能残留
关键认知
你的手机不只是被动存储,也会持续生成各类系统记录、数据库条目和缓存文件。很多操作都会留下带时间信息的痕迹,这正是取证分析的重要来源。
🔍 为什么重要?
如今在大量案件中,电子证据都非常重要。手机、电脑、智能手表……各种数字设备都可能成为案件的关键突破口。从简单的通话记录到加密聊天软件中的线索,电子取证已成为现代司法实践中的重要技术支撑。

取证基本流程 · Workflow — 点击步骤查看现场操作片段

🔒
现场保全
Preservation
拍照记录、断网隔离
防止数据被修改或远程擦除
CLICK TO EXPAND
📥
证据获取
Acquisition
制作逐位镜像副本
计算哈希值记录原始状态
CLICK TO EXPAND
🔬
深度分析
Analysis
从镜像中提取、还原
并关联解读数字证据
CLICK TO EXPAND
📋
报告输出
Reporting
形成规范取证报告
可提交司法审查
CLICK TO EXPAND
← 点击上方任意步骤,查看现场操作片段

⚠️ 核心原则

  • 不破坏原始数据 — 始终在镜像副本上操作
  • 全程记录操作日志 — 每步可追溯
  • 保持证据链完整性 — 从扣押到出庭
  • 结果客观、可重现 — 经得起对方质疑

📂 证据类型

  • 通话记录 · 短信 · 聊天记录
  • 照片 · 视频 · 录音
  • 位置轨迹 · GPS 记录
  • App 使用记录 · 浏览历史
  • 已删除文件
💡 思考一下
你知道吗?即使你"删除"了一条微信消息,它可能仍然存在于手机的某个角落……接下来我们就来揭秘这背后的原理。
🎯 知识检验 · Chapter 01第 1 题 / 共 3 题
Chapter 02 · 数据存储

安卓手机里的数据在哪里?

了解 Android 手机的存储结构,是理解取证的第一步

💾 内部存储

手机自带存储空间,存放系统、App数据和用户文件。

文件系统:ext4(传统 Linux 格式,广泛兼容)或 F2FS(针对闪存优化,三星、小米常见)

普通用户无法访问系统分区,但专业取证工具可以通过 Root 权限或漏洞突破沙盒限制。

💳 外部存储

SD 卡或模拟外部存储,通常使用 FAT32 / exFAT 格式。

存放照片、视频、下载文件等,相对更容易访问和取证。

🔑 什么是 Root 权限?
手机系统默认把你当普通用户,只能做系统允许的事——就像住客只能进自己的房间。Root 权限相当于拿到了物业的万能钥匙,可以进入任意房间、修改任何设置,甚至看到其他住客的私人物品。

普通 App 没有 Root 权限,专业取证工具可能通过厂商专用接口、已知漏洞或特定服务模式绕过部分限制——这也是为什么普通备份软件通常只能导出部分数据,而专业取证工具在特定条件下能拿到更多内容。
💡 先打个比方
把手机存储想象成一栋公寓楼:每个 App 租住一间独立的房间(沙盒),自己的聊天记录、账号密码都锁在房间里。普通人进不了别人的房间——但专业取证工具相当于物业管理员,持有主钥匙,可以进入任意一间。下面这张图就是这栋"公寓楼"的楼层结构:

📂 安卓存储分区结构

— 点击分区查看典型取证目标
⚙️
/boot  /system
系统内核和 Android OS — 取证人员通常只读不改
系统层
常见分析目标:
/system/app/          — 预装 App 列表及签名版本
/system/etc/hosts     — 检查是否存在 DNS 劫持痕迹
/system/build.prop    — 设备型号、Android 版本、序列号
通常只读不写,用于建立设备基线档案,验证设备身份
📱
/data
App 数据、用户账号、SQLite 数据库 — 取证核心目标
数据层 ★
⭐ 取证核心区域 — 包含大量 App 的私有数据库和系统数据
/data/data/com.tencent.mm/       — 微信全量数据
/data/data/com.eg.android.AlipayGphone/ — 支付宝
/data/system/users/0/accounts.db  — 所有已登录账号
文件级加密(FBE)开启时,通常需先获取解锁凭证才可读取受保护数据
💬
/data/data/[包名]
每个 App 的私有沙盒,存储聊天记录、缓存等
App 沙盒
以微信(com.tencent.mm)为例:
MicroMsg/[hash]/EnMicroMsg.db   — 全量聊天记录数据库
MicroMsg/[hash]/WCDB_Contact.db — 联系人数据库
cache/                          — 图片 / 语音缓存
撤回消息可能在数据库、缓存或日志中留下残留信息,能否恢复取决于版本、加密和后续覆盖情况
📁
/sdcard  /storage
用户可见的文件:照片、视频、下载文件等
媒体层
常见取证目标:
DCIM/Camera/    — 原始照片(含 GPS 坐标 + 拍摄时间戳)
Downloads/      — 接收的文件(截图、转账记录等)
Android/data/   — App 媒体缓存(即使删除也可能残留)
照片 EXIF 元数据有时可辅助还原拍摄地点,因此常被纳入位置分析
📷 你不知道的事:照片可能暴露你的位置信息
手机拍摄的照片通常会写入一段看不见的元数据(EXIF),常见内容包括:拍摄时间、设备型号、相机参数;如果你给相机开启了位置权限,照片还可能带有 GPS 坐标。

但要注意:照片是否保留位置信息,取决于相机设置、系统权限和分享方式。有些平台会压缩图片或移除部分元数据。在案件调查中,带有位置元数据的原始照片常能辅助还原当事人的行踪。

💡 关掉方法:关闭相机的位置权限,或在分享前移除照片位置信息。
📖 先搞清楚:数据库是什么?
简单说,数据库就是一种超级有组织的表格。以微信聊天记录为例,每一行是一条消息,各列分别存储:发送者、消息内容、发送时间、是否已读、是否撤回……

你在微信界面「删除」一条消息后,App 可能只是修改显示状态、删除索引,或把数据标记为可清理;底层记录有时仍会短暂保留在数据库页、缓存或日志里。取证工具会直接分析这些底层文件,因此有机会看到你以为消失的内容,但并非每次都能完整恢复。

🗄️ SQLite 数据库 — 取证的宝藏

Android 中有大量 App 会使用 SQLite 数据库存储结构化数据。

$ find /data/data/com.tencent.mm/databases/ -name "*.db"
EnMicroMsg.db     ← 微信聊天记录
WCDB_Contact.db   ← 联系人数据库
message.db       ← 消息索引
$ sqlite3 mmssms.db "SELECT address,body,date FROM sms"
+8613900000000 | 你好,请把钱打到... | 1712000000
↑ 关键证据!1712000000 是 Unix 时间戳,对应 2024-04-02 03:33:20(CST)
↑ 即使消息已"撤回",相关记录也可能在数据库或缓存中残留

🔄 删除 ≠ 消失 — 为什么?

想象图书馆用卡片目录管书:你「删除」一本书,管理员只是把书目卡片从目录抽屉里拿走了——那本书还在书架上原来的位置,只是目录里查不到了。取证工具相当于逐格扫描书架,不依赖目录,自然能找回那本「已删除」的书。

真正覆盖数据需要等到系统写入新内容时——这可能需要很长时间,而且往往只是部分覆盖。


删除前
数据|数据|数据|空
删除后
标记可用(数据仍在)
取证工具扫描
✓ 原始数据仍存在
✓ 可被专业工具恢复
🎯 知识检验 · Chapter 02第 1 题 / 共 3 题
Chapter 03 · 取证方法

如何从手机中提取证据?

不同情况下,取证人员会选择不同的技术手段

Key Concept · 本章前置知识

🔐 加密与解密

加密把数据用数学算法打乱成只有持有「密钥」的人才能还原的内容。现代安卓手机通常使用文件级加密(FBE)——即使取证工具拿到镜像或文件,没有相应密钥也难以读取受保护数据。

Key Concept · 本章前置知识

#️⃣ 哈希 = 数字指纹

哈希算法把任意内容压缩成固定长度的字符串。内容完全一致 → 哈希值完全一致;哪怕改动 1 个字节,哈希值通常也会明显变化——这是校验证据完整性的核心手段之一。

$ echo "你好" | sha256sum
3f9a82... ← 哈希值 A
$ echo "你好!" | sha256sum
9c4e71... ← 哈希值完全不同!
🔌
逻辑提取
Logical Extraction
难度
入门级

通过手机的 USB 接口和官方协议(ADB / iTunes Backup)导出数据。这是最常见的初步取证手段,也是大多数商业备份软件采用的方式。

✓ 操作简单,速度快,不会损坏设备
✓ 无需特殊权限,设备保持原始状态
✗ 只能获取系统允许访问的数据
✗ 无法恢复已删除文件,无法访问加密沙盒
典型场景 快速现场评估;获取通话记录、短信、通讯录、照片、部分 App 数据
💽
文件系统提取
File System Extraction
难度
进阶级

获取手机较完整的文件目录结构,包括 App 私有数据和系统配置。通常需要 Root 权限,或利用特定服务模式、接口和漏洞绕过部分限制。

✓ 可访问 App 的 SQLite 数据库(聊天记录核心来源)
✓ 能看到应用缓存、配置文件、已删除文件碎片
✓ 比逻辑提取获取的数据量多出数倍
✗ 需要一定技术门槛,部分机型无法直接 Root
✗ 文件级加密(FBE)会限制对受保护区域的访问
典型工具 Cellebrite UFED 文件系统模式 · Magnet AXIOM · 厂商服务接口 / Root / 专业漏洞利用链
🔧
物理提取
Physical Extraction
难度
专家级

对手机存储芯片进行逐位复制(Bit-by-bit imaging),获取包含已删除数据的完整存储镜像。高阶手段包括直接拆解芯片读取(Chip-off)或通过调试接口(JTAG)绕过系统直接访问内存。

✓ 可恢复已删除文件和数据碎片
✓ 在条件合适时,可提供更底层、更完整的取证材料
✗ 技术复杂,费时费力,需专业硬件
✗ Chip-off 有损坏设备的风险
✗ 加密开启时,镜像中的部分内容仍可能是密文,需额外获取密钥或解锁凭证
Hash 校验 制作镜像后立即计算 MD5 / SHA-256 并记录在案。日后若有人质疑篡改,可以重新比对哈希值;实践中更推荐把 SHA-256 等更强哈希与封存、日志记录结合使用,以证明完整性。
☁️
云数据取证
Cloud Forensics
难度
新兴领域

通过法律程序向云服务商(微信、微博、百度云等)调取服务器端数据。随着云存储普及,这一领域正迅速成为取证的重要战场。

✓ 手机被毁/格式化,云端数据仍可获取
✓ 可获取多设备同步数据,覆盖更长时间段
✓ 在合法程序下,部分国内平台会配合司法机关调取
✗ 必须持有司法授权文书,流程较长
✗ 境外服务商(WhatsApp、Telegram)配合度差
✗ 端对端加密内容即使获取也难以解密
法律依据 《网络安全法》第 28 条:网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助

🛠️ 常见取证工具(以国内与开源为主)

T01 🏆 美亚柏科 国内常见的电子数据取证与分析平台,覆盖手机提取、介质固定、数据恢复、线索研判与报告生成等环节 商业套件
T02 🔍 弘连科技 国内电子数据取证厂商的常见产品线,侧重手机解锁、终端取证、证据分析和执法办案场景联动 综合平台
T03 🐧 Autopsy / TSK / ADB 开源和基础工具更适合教学与研究:Autopsy、The Sleuth Kit 可用于镜像分析;ADB 是安卓调试与辅助采集接口,不等同于完整手机取证平台 开源免费
🎯 知识检验 · Chapter 03第 1 题 / 共 3 题
Chapter 04 · 模拟实验

现在,你是取证工程师

跟随步骤,完成一次完整的手机取证操作流程

🗂️ 案情简介  ·  案件编号 2024-ZS-0315
某科技公司财务经理王某报案:当日 14:58,公司银行账户遭不明人员登录,五万元被转至陌生账户。根据内部门禁记录和监控录像,嫌疑锁定在员工张某身上——转账发生期间,张某是唯一独自待在财务室的人。

警方随即对张某实施控制,扣押其随身手机(Samsung Galaxy A52,锁屏状态,电量 73%)。

你的任务:对该手机进行规范取证,提取与转账操作相关的数字证据,还原事件经过,形成可提交法庭的完整证据链。

FORENSIC PROCEDURE

1

现场拍照记录

对设备外观、状态(开机/锁屏/关机)进行拍照存档

2

隔离网络信号

开启飞行模式或放入屏蔽袋,防止远程擦除

3

连接取证设备

识别手机型号,选择合适的取证方法

4

制作存储镜像

逐位复制存储内容,计算哈希校验值

5

分析关键证据

从镜像中提取聊天、转账、位置等证据

▶ 取证控制台
系统就绪...
等待取证操作 >
🎯 知识检验 · Chapter 04第 1 题 / 共 3 题
Chapter 05 · 案例解析

电子证据如何破案?

以下为基于常见办案思路整理的教学化案例 · 点击时间轴展开详情

📱 案例一 · 电信诈骗案

2023年3月 · 立案
受害人报案,手机接到"公安局"来电
受害人张某接到自称"市公安局"的电话,被告知其银行账户涉及洗钱案件,被骗走 15 万元。
抓获嫌疑人
警方锁定嫌疑人并扣押手机
通过通话记录追踪,警方在外省抓获嫌疑人李某,扣押其使用的两部手机。
电子取证
提取手机数据,还原作案全过程
取证工具从手机中提取:
✓ 已删除的通话录音文件(物理提取恢复)
✓ 话术脚本文档(.docx 文件)
✓ 多名受害人的银行卡信息截图
✓ 境外 App 的部分聊天记录及关联线索
结案
电子证据成为定罪关键
法庭采纳了电子证据,李某被以诈骗罪判处有期徒刑 8 年,并处罚金 20 万元。电子证据是本案定罪的核心证据。

🏫 案例二 · 校园网络霸凌案

事件经过
某初中生遭受长期网络霸凌
学生小明长期在班级群和短视频平台遭受同学的嘲讽和侮辱性评论,身心受到严重伤害,家长向学校和警方投诉。
取证过程
对多部涉事手机进行逻辑提取
取证内容:
✓ 班级微信群聊天记录及相关残留信息
✓ 短视频发布记录和评论数据
✓ 私信骚扰内容
✓ 发布时间与地点等关联线索(用于辅助判断操作来源)
关键突破
部分已撤回消息被成功恢复
霸凌者发现事态严重后删除并撤回了大量消息。取证人员随后从手机的 SQLite 数据库、缓存和关联记录中恢复出部分关键内容,成为重要证据。
结果
多名学生受到处分,家长承担法律责任
涉事学生受到学校处分,其监护人承担民事赔偿责任。此案提醒所有人:网络上的每一条消息都可能留下痕迹。

💼 案例三 · 企业数据泄露案

发现异常
竞争对手掌握了公司机密数据
某科技公司发现竞争对手的产品中包含与自家完全相同的核心算法,怀疑内部员工泄露商业秘密。
取证调查
对离职员工手机和电脑进行取证
发现关键证据:
✓ 百度网盘上传记录(核心代码文件)
✓ 发送给竞争对手邮箱的附件记录
✓ AirDrop 传输日志
✓ 截图时间与离职前夕吻合
关键技术
文件哈希比对,证明同源性
取证人员对泄露文件和原始文件进行哈希比对,结果一致,可有力证明两份文件当前内容一致,并结合传输记录、时间线等证据辅助判断来源关系。
结果
前员工被判侵犯商业秘密罪
前员工以"侵犯商业秘密罪"被定罪,公司获赔 300 万元。这是电子取证在民事诉讼中发挥关键作用的典型案例。
💡 共同规律
三个案例揭示同一道理:数字世界中的"删除"未必彻底。只要处理得当,许多数字痕迹仍可能成为证据。
🎯 知识检验 · Chapter 05第 1 题 / 共 3 题
Chapter 06 · 合规法律

取证必须依法进行

强大的技术必须在法律框架内使用

⚠️ 重要警告
未经授权擅自获取他人手机数据,即使技术上可行,也是违法行为。可能同时触犯《刑法》第 285 条(非法获取计算机信息系统数据)、《个人信息保护法》及《网络安全法》,轻则行政处罚,重则追究刑事责任。技术能力不等于使用权力。

⚖️ 合法取证的常见要求

R01📜 法律授权Legal Authorization
刑事案件中,侦查人员须依法出示搜查证或依据法定程序取证(参见《刑事诉讼法》第 136 条);非刑事场景须取得当事人书面同意或其他合法授权
R02🔗 证据链完整Chain of Custody
从扣押设备到出具报告,每一步操作都须记录在案,确保证据可追溯、未被篡改;参见 2016 年「两高一部」《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》
R03👥 两人以上执行Two-Person Rule
取证操作必须有两名以上人员在场,互相监督,防止单方面违规;这也是对取证人员自身的保护
R04📝 操作日志Audit Log
所有取证步骤须完整记录,包括时间戳、操作人员、工具版本等;日志本身也需封存以防篡改
R05🔒 隐私最小化Privacy Minimization
只提取与案件相关的数据,不得超范围获取无关隐私;符合《个人信息保护法》第 6 条「最小必要原则」

⚡ 如果越线了,会发生什么?

Case Files · 典型违规场景

😤 出于好奇,偷偷用工具读取同学手机

  • 可能涉及非法获取计算机信息系统数据
  • 情节较轻:治安处罚、民事赔偿
  • 情节严重:刑事责任
  • 未成年人情形下,监护人可能承担相应民事责任和监护责任

📤 恢复他人删除的数据并截图传播

  • 同时触犯隐私权《个人信息保护法》
  • 涉及他人照片或私信:加重处罚
  • 被害人可提起民事诉讼索赔
  • 传播行为本身也会留下记录,后续很可能被追溯

🎒 假设你是一名初中生,用工具偷看了同学手机……

很多人以为「反正我是未成年人,不会有事的」。实际上:

对你的影响: 未满相应刑事责任年龄,不代表"没事",通常会由监护人被责令加强管教,必要时接受专门矫治教育;达到法定年龄后,可能承担行政责任或刑事责任。学校可以依法处分,但义务教育阶段通常不得开除学生。
对你父母的影响: 承担民事赔偿责任,金额由法院判定,少则数千,多则数万元。
「我只是看了一下,没传出去」: 不传播不等于没问题。擅自查看、复制他人数据,本身就可能构成侵权或违法。
「我用的是网上下的免费工具」: 工具来源与行为是否合法无关;对无授权设备使用取证工具,本身就可能违法。
📌 记住这条原则
“技术能做到”和“你有权这么做”是两回事。掌握取证技术是为了保护别人,而不是侵犯别人。

🤔 道德边界讨论

技术能力 ≠ 使用权力。以下场景,哪些合法?哪些越界了?

✅ 合法侦查人员依法出示搜查证,对犯罪嫌疑人手机进行取证
✅ 合法企业在员工知情同意下,对公司设备进行安全检查
⚠️ 灰色地带父母未告知孩子,私自检查其手机
❌ 违法出于好奇,用工具获取朋友或同学的手机数据
❌ 违法用技术手段恢复他人删除的数据并传播
🎯 知识检验 · Chapter 06第 1 题 / 共 3 题
结语 · Summary

你今天学到了什么?

🔍
取证是科学
有严格的流程和技术标准,每一步都可重现、可验证
⚖️
取证有边界
强大的技术必须在法律和伦理框架内使用,授权是前提
💾
痕迹永存在
数字世界里的"删除"常常只是降低可见性,残留痕迹是否存在和能否恢复取决于具体条件

📖 术语速查表

本课程中出现的专业词汇,一句话解释:

SQLite一种轻量级数据库格式,很多手机 App 会用它存聊天记录、账号等结构化数据
Root 权限手机的最高管理员权限,拥有它可以访问系统任意区域,突破沙盒限制
加密 / FBE把数据变成只有密钥持有者才能正常读取的内容;FBE 是安卓常见的文件级加密方案
哈希 / MD5 / SHA-256给文件生成摘要值的算法,常用于校验文件完整性;取证场景更常推荐使用 SHA-256 等更强算法
EXIF / 元数据照片文件里肉眼看不到的附加信息,包含 GPS 坐标、拍摄时间、设备型号等
ADBAndroid Debug Bridge,安卓官方调试工具,取证人员用它与手机通信、导出数据
镜像 / Imaging对存储设备逐位复制生成的完整副本,取证分析都在镜像上进行,不动原始设备
JTAG / Chip-off两种高级物理取证技术:JTAG 通过调试接口读取底层数据,Chip-off 是直接拆下存储芯片
证据链 CoCChain of Custody,记录证据从扣押到提交审查全过程的流转记录,用于证明流转规范

🎓 知识要点回顾

电子取证流程:保全→获取→分析→报告
安卓数据核心:/data 分区是重点目标
提取方式层级:逻辑→文件系统→物理
SQLite:App 数据存储的核心格式
删除≠消失:很多情况下只是标记为可覆盖
合法取证:必须有授权,有完整记录

🏆 本次学习得分

完成答题后查看总分
下一步 · What's Next

如果你对这个领域感兴趣……

网络安全是未来十年最紧缺的专业方向之一,现在开始探索并不早

🏆 参加 CTF 竞赛

CTF(Capture The Flag)是全球通行的网络安全技术竞赛,其中有专门的「数字取证 Forensics」赛题——分析损坏的磁盘镜像、从图片中提取隐写数据、还原加密流量……从高中生到大学生都可以参与,完全免费。

推荐平台(新手友好)
NSSCTF · 攻防世界(xctf.org.cn)· BugKu · Hack The Box

🎓 相关专业方向

高考志愿可以关注:

  • 网络空间安全(一级学科)
  • 信息安全(本科专业)
  • 计算机取证(细分方向)
  • 密码学(理论基础)

💼 未来的职业

  • 电子取证工程师 — 司法鉴定机构核心岗
  • 网络安全分析师 — 企业 SOC 团队
  • 司法鉴定技术人员 — 需取得国家鉴定资质
  • 企业安全响应(IR)专家 — 处置数据泄露事件
  • 公安网警 / 网络犯罪侦查 — 国家核心岗位
🚀 从今天起可以做的三件事
① 动手体验:在电脑或 Termux 中安装 sqlite3,先用公开练习数据、自己导出的备份,或 CTF 题目里的示例数据库练习查询;普通非 Root 手机无法直接读取其他 App 的私有数据库。

② 参加比赛:注册 NSSCTF 或攻防世界账号,在「Misc / 取证」分类找一道入门题,尝试独立完成——哪怕解不出来,看完 Writeup 也会有很多收获。

③ 系统学习:搜索「计算机取证学」或「数字取证基础」,B 站有大量公开课。