Credit：R. Press/NIST

图为NIST计算机科学家Jenise Reyes-Rodriguez拿着一部遭枪击损坏的手机。

犯罪分子有时会破坏他们的手机，试图销毁证据。他们可能会砸烂、枪击、浸水甚至烹煮自己的手机，但无论怎样，取证专家通常都能找回证据。现在，美国国家标准与技术研究院（NIST）的研究人员对这些取证方法的效果也进行了测试。

被损坏的手机可能无法开机，数据端口也可能无法工作，因此专家们一般使用硬件和软件工具直接访问手机的内存芯片。这些工具包括黑客工具，不过其中有一些工具可能可以作为刑事调查的一部分手段而被合法使用。因为这些方法产生的数据可能会作为证据出现在法庭上，所以了解它们是否可信非常重要。

“我们的目标是测试这些方法的有效性，”领导这项研究的NIST数字取证专家Rick Ayers说。“它们能可靠地产生准确的结果吗？”

NIST的计算机科学家Jenise Reyes-Rodriguez使用JTAG方法从损坏的手机中获取数据。Credit：R. Press/NIST

NIST的研究结果也将帮助实验室为这项工作选择合适的工具。根据手机的类型、数据的类型和损坏的程度，有些方法比其他方法更有效。

这项研究针对的是使用安卓系统的手机的方法。此外，这项研究只涉及访问数据的方法，而没有涉及解密。不过，这些方法在加密手机上仍然有用，因为调查人员在调查过程中常常能设法获得密码。

为了进行这项研究，NIST的研究人员将数据加载到10款流行的手机上。然后他们提取数据，或者让外部专家为他们提取数据。问题是：提取的数据是否与原始数据完全吻合，且没有任何变化？

为了使这项研究更加准确，研究人员不能将大量数据输入手机。他们必须像一般人那样添加数据。他们拍照、发信息、使用Facebook、LinkedIn和其他社交媒体应用。他们输入具有多个中间名和格式奇怪的地址的联系人，以查看在检索数据时是否有任何部分会被砍掉或丢失。他们把所有的手机都放在汽车仪表盘上，开车在城里转来转去从而增加GPS数据。

研究人员将数据加载到手机上后，他们使用了两种方法来提取数据。第一种方法利用的是许多电路板上为访问芯片数据而留有的小的金属接口。制造商使用这些接口来测试他们的电路板，但通过在这些接口上焊接电路，取证调查人员也可以从芯片中提取数据。这就是JTAG方法，即联合测试工作组（Joint Task Action Group），这是一家汇编了这种测试性能的制造业协会。

第二种方法叫做“切削法”，芯片都是通过微小的金属针连接到电路板上，而这第二种方法需要直接连接到这些金属针上。专家们过去的做法是轻轻地把芯片从电路板上拔下来，放到芯片读取器上，但是金属针很脆弱，一旦损坏就很难获取数据，甚至根本不可能。几年前专家们发现，他们可以在车床上磨掉电路板的另一边直到金属针露出来，而不是把芯片从电路板上拔下来。这就像剥离电线的绝缘层一样，也可以接近金属针。

“这个方法看似简单却一直没有想到，”Ayers说道。“直到有人提出，大家才恍然大悟。”

这种切削提取法是由美国沃斯堡警察局数字取证实验室和科罗拉多州一家名为VTO 实验室的私人取证公司实施的，他们将提取的数据发回NIST。NIST的计算机科学家Jenise Reyes-Rodriguez负责用JTAG方法提取。

数字取证专家通常会使用JTAG方法从损坏的手机中提取数据。Credit：R. Press/NIST

数据提取完成后，Ayers和Reyes-Rodriguez会使用八种不同的取证软件工具来解读原始数据，生成联系人、地点、文本、照片、社交媒体数据等等。然后，他们将这些数据与最初加载到每部手机上的数据进行比较。

对比显示，JTAG和切削提取方法在提取数据的过程中都没有改变数据，但其中一些软件工具在解读数据方面比其他工具更好，特别是对于来自社交媒体应用的数据。这些应用程序在不断变化，使得工具制造商很难跟上发展脚步。

研究结果发表在一系列免费的在线报告中。这项研究和结果报告是NIST的计算机取证工具测试项目的一部分。该项目被称为计算机取证工具测试（CFTT），已经对广泛的数字取证工具进行了严格、系统的评估。美国各地的取证实验室都使用CFTT的报告来保证他们的工作质量。

“许多实验室的工作量都非常大，而一些工具也非常昂贵，”Ayers说。“如果有一份报告说，在特定情况下某种工具比另一种更有效，那可以带来很大的好处。”

这项研究由NIST和美国国土安全部网络取证项目共同资助。背景资料可以在CFTT的网站上查阅，JTAG法和切削提取方法的报告可以在美国国土安全部（DHS）的网站上查阅。