互联网数据移动取证研究

互联网数据移动取证研究

王永 项银芳 吴晓宇

江苏南大先腾信息产业股份有限公司

摘要：随着时代的发展，信息技术也在不断的更新换代，手机、平板等移动设备也在不断的普及，与此同时网络违法、网络侵权、网络诈骗、网络黄赌毒等问题日益凸显，在移动端上进行取证工作成为取证领域的一个重要且关键的研究方向。本文研究的移动取证形式能够有效地获取和固定合法可信的互联网数据，是互联网依法治理的前提和关键。本文首先对相关文献进行了综述，然后介绍了TULP2G框架的构建和移动取证的具体方法，最后通过实验验证了该方法的可行性和有效性。

关键词：TULP2G框架，移动设备，取证

引言

在早期研究中，移动取证主要关注于从移动设备中收集和提取数据，但这些数据的质量和完整性经常无法确保。随着移动设备和相关技术的发展，国家及各级单位对移动取证技术更多的重视。当然当前的移动取证还是面临着许多调整，主要由于信息技术的发展，移动设备的品种不断推陈出新，不同的设备品牌和信号采用不同的操作系统和应用程序，这意味着取证技术和工作需要提供更高的技术，保证移动设备本身的安全措施，加密存储设备数据，合法性和可靠性完成取证工作。如何以先进的技术手段来获取和固定合法可信的互联网数据，是互联网依法治理的前提和关键，才能实现党和国家所提出的“依法治网”的战略目标。从依法治理的角度看，互联网治理的关键在于获取合法可信的证据以及取证的难易程度。互联网数据证据问题，是一个全国性难题。为了应对以上问题，本文提出了一种基于TULP2G框架的移动取证方法，此方法是通过网络传输的信号截取相关数据包。数据包中一般包含手机位置信息，关键字段信息（如身份鉴别信息、用户名、口令），文本信息等。然后再利用技术手段固化相关证据防篡改，并对证据进行分析。

研究基本原则：

第一科学性原则，互联网数据取证系统以“三维取证”的理念，全面获取了证据的表层、底层及动态过程数据。取证系统对取证标准时间、取证过程记录数据等交互数据信息进行提取和固化，同时进行屏幕拍照和录像。整个取证过程实现了既提取到肉眼可见的文字页面，又可以提取到底层的交互数据，最后形成符合法律要求的证据包。

第二合法性原则，互联网数据取证系统为了保证获得的电子证据合法可信，采用了时间戳、数字指纹和区块链机制等。系统在取证开始和完成时都打上了时间戳（北斗授时）以证明取证的真实时间，避免取证时间的真实性受到质疑；在取证完成后系统会自动对获取的证据包进行加密计算生成数字指纹。同时引入区块链，杜绝篡改的可能，确保证据的真实可靠。

第三规范性原则，互联网数据取证系统的取证流程、技术和证据包组织等完全符合中央网信办印发的《关于互联网信息内容管理部门电子数据取证取证工作指导意见》的要求，尤其是满足“第三章 电子数据的远程取证”中所提出的远程取证需同步录像或录屏、全面提取涉案的电子数据及反映其来源的必要信息以及解决执法人员远程获取电子证据无需邀请见证人等需求。同时也严格符合《互联网信息内容管理行政执法程序规定》的取证要求，完全符合中央网信办对于执法取证而引发施行的各类行政规定的规范要求。

研究方法：

本文提出了一种以TULP2G框架为基础的移动取证方法。该方法的系统架构图如图1所示：

图1

该方法介绍如下：

首先，移动设备作为研究对象，具有其特有的取证挑战，例如设备的移动性、资源的受限和数据的多样性等。因此，该方法通过在TULP2G框架的基础上加上移动设备的特性进行网络信号传输并截取行管数据包，从而更好地适应移动设备的取证需求。

TULP2G框架是一种基于时间统一语言的移动通信系统框架。它有着灵活性、可扩展性、开发性、可重用性、可进行模块化设计、支持多种协议和可配置的特点，也正因为以上特点，此次移动确证科研选择此框架进行研究。

其次，该方法综合应用了传统取证方法和移动取证的技术手段。同时移动设备的还引入了一些移动取证的技术手段，此次研究在TULP2G框架的基础上加上使用了向量时钟算法，能够更全面地获取移动设备中的有关数据，从而提高取证的效率和准确性。

时钟向量：是在分布式系统中，描述分布式系统中时序和因果关系的一种机制。向量时钟算法是一种逻辑算法，他可以解决网络延迟、时钟误差等问题。

为了验证向量时钟的正确性和有效性，我们也设计了实验场景如图2，a发现在c之前，但是网络延迟，接收方先收到了c再接收到了a，在接收方视角里面c发生在a之前，系统模拟测试向量时钟算法，此算法确实可以解决以上的问题，实验结果也表明向量时钟算法可以有效解决分布式系统的时间同步和时间排序，所以这个此算法较可靠性能较好，可以满足移动取证的需求。

图2

再次该方法注重数据的有效性和可靠性。在移动取证中，由于移动设备的特殊性一般无法直接获取到设备中的底层数据后，使用了区块链进行固证，利用区块链技术对证据进行固化、存取、验证，以提升证据效力，避免证据被篡改或丢失。

具体步骤包括：第一步证据固化，将证据的哈希值记录在区块链上，利用区块链的不可篡改性和去中心化特点，确保证据的完整性和真实性。可以使用公有链或私有链来固化证据，其中公有链可以更好地保证证据的公正性和透明度，私有链则可以更好地保护证据的隐私性。第二步证据存取，利用区块链的分布式存储特点，将证据存储在多个节点上，确保证据的可靠性和持久性。可以使用去中心化存储协议如IPFS等来存储证据，同时使用智能合约来控制证据的访问权限。第三步证据验证，利用区块链的去中心化和公开透明的特点，可以方便地验证证据的真实性和完整性。可以使用区块链浏览器来查看证据的哈希值或交易记录，也可以使用智能合约来验证证据的真实性和完整性。

在移动取证中固证很重要，与此同时数据恢复和验证的也是很重要的环节，防止数据在任何时间段进行篡改并保证了数据是完整、准确和可靠的。通过证据内容生成文件唯一指纹，通过指纹校验证据内容是否被篡改。

校验指纹可以是数字签字，可以是时间戳。数字签名是一种用于验证数据完整性和身份验证的技术。通过使用私钥对数据进行签名，并在接收方使用公钥进行验证，可以确保数据在传输过程中没有被篡改，并且来自于可信的来源。时间戳是一种用于验证数据产生时间的技术。通过获取数据的时间戳，并与可信的时间源进行比较，可以验证数据的产生时间是否真实。总之不同的方式通过专业的技术指导和专业的取证工可以提高数据验证的准确性和可靠性，为电子证据分析提供可靠的依据。

取证系统功能如图3所示：



图3

巡查取证功能是实现工作人员在网络巡查过程中可以对发现的违法违规内容进行一键快捷取证。

录屏取证功能提供对互联网的内容进行手动录屏和自动录屏。录屏得到的文件保存到指定服务器。

截屏管理功能提供对互联网的内容进行手动截屏和自动截屏。截屏得到的文件保存到指定服务器。

证据管理功能的核心是实现取证结果的可视化、规范化，以及对已获取证据的有序管理。具体包括记录查看、有害信息、证据下载等。

最后，为了保证取证的可重复性和可验证性，该方法制定了一套完整的取证流程和标准，明确了各个环节的职责和操作规范，大大提高移动取证的有效性和准确性。

研究结果：

实验证明，利用TULP2G框架进行移动取证的方法可有效地获取和分析移动设备中的数据。此外，该方法还能精确地确定可疑对象并分析其特征，为互联网不良信息及违法信息取证提供了强有力的支持。

结论：

本文介绍了一种利用TULP2G框架的新型移动取证方法，是为了更好地在手机等移动端收集、固定证据并加以分析分析数据，从而更好分服务社会，为互联网不良信息及违法信息提供强有力的证据链和有力佐证。实验结果表明，该方法在可行性、固定证据、防篡改等方面表现出色。

参考文献

[1] 李佳婷.移动智能终端隐私数据取证系统的设计与实现[J].哈尔滨工程大学.2017.

[2] 廖晓龙.基于手机数据的司法取证方法研究与应用[J].贵州大学.2019.