华为和小米安卓智能手机录音的溯源鉴定研究.pdf
《华为和小米安卓智能手机录音的溯源鉴定研究.pdf》由会员分享,可在线阅读,更多相关《华为和小米安卓智能手机录音的溯源鉴定研究.pdf(8页珍藏版)》请在咨信网上搜索。
1、刑事技术论 著2023 年 第 48 卷 第 4 期 基金项目:重庆市公安局2022年度重点委托项目(2022-XZWTZD01)第一作者简介:王俊,男,陕西商洛人,博士,讲师,研究方向为文件检验、声像资料检验、电子数据取证。E-mail:网络首发时间:2022-11-25;网络首发地址:https:/doi.org/10.16467/j.1008-3650.2022.0072 DOI:10.16467/j.1008-3650.2022.0072华为和小米安卓智能手机录音的溯源鉴定研究王 俊1,2,靳雅丹1(1.西南政法大学刑事侦查学院,重庆 401120;2.重庆市高校刑事科学技术重点实验室
2、,重庆 401120)摘 要:为探究特定安卓智能手机录音的溯源鉴定方法,选用不同型号的华为和小米智能手机,模拟录音的录制、分享、删除等操作。依据录音文件元数据、手机操作系统记录数据、应用日志数据等的解析和比对分析结果,梳理特定手机录音录制设备的鉴别依据,总结录音文件生成后属性、状态是否发生变化的判定方法。研究结果表明,华为和小米智能手机所录制的录音文件,二者在数据记录方式和内容层面存在差异,但在录音的录制过程中,这两类手机均会在操作系统的特定文件中写入与录音文件相关的记录数据。由此,在鉴定过程中,可以通过系统文件、应用日志等的取证分析,来判定这两大品牌安卓智能手机录音文件的原始录制设备,以及录
3、音文件的变动情况。关键词:电子物证;华为;小米;安卓智能手机;录音文件;溯源鉴定中图分类号:DF793.2 文献标识码:A 文章编号:1008-3650(2023)04-0386-08 Traceability Identifi cation of Recording Files Made by Huawei and Xiaomi Android SmartphonesWANG Jun 1,2,JIN Yadan 1(1.Criminal Investigation School of Southwest University of Political Science&Law,Chongqin
4、g 401120;2.Chongqing Institutes of Higher Education Key Forensic Science Laboratory,Chongqing 401120)ABSTRACT:Recordings made by mobile phone are a common form of evidence in current litigation,but it is easy to separate recording fi les from their initial equipment,so the evidence review of origina
5、lity and integrity of recordings is prone to cause disputes,which often need to be resolved through judicial expertise.However,the current achievements mostly focus on the integrity identifi cation of mobile phone recordings and the equipment appraisal of IOS recording fi les.For the research on the
6、 traceability analysis of Android recording fi les,there is still a lack of research results.Because of this,we selected several Huawei and Xiaomi smartphones,simulated the typical operation behaviors such as recording,deleting,collecting,and transferring ordinary recordings and call recordings,and
7、proposed a method for recording equipment identifi cation&state analysis based on the operating system fi les,application logs and specifi c backup data through experiments.The experimental results show data recording methods and contents differences between Huawei and Xiaomi smartphones.However,und
8、er the recording process,the two types of mobile phones will write data records related to the recording fi les in specifi c operating system fi les.Therefore,we can identify the original recording equipment of specifi c mobile phone recording fi les and their changes by analysing system fi les,appl
9、ication logs,and even the particular backup data.This method is effective for recording devices identification of ordinary and call recordings made by Huawei and Xiaomi Android smartphones and their state analysis;Furthermore,it can also be used for equipment identification&state analysis for Harmon
10、y OS recordings and other multimedia fi les in Android smartphones.Of course,since many mobile phone manufacturers have made secondary development of the Android operating system,we must continue research equipment identification&state analysis of recordings made by other Android smartphone brands.K
11、EY WORDS:electronic evidence;Huawei;Xiaomi;Android smartphones;recording fi les;traceability3872023 年 第 48 卷 第 4 期王 俊,等:华为和小米安卓智能手机录音的溯源鉴定研究司法实践中,录音证据广为应用。而以智能手机为代表的移动终端以其携带的便利性、录制分享的简易性等有利条件,当下已经成为录音证据的重要数据源。在录音证据的可采性评价层面,最高法出台的相关司法解释中要求:对于视听资料通常需提供原件;存储在电子介质中的录音资料,在真实性评价时,首先就要求审查生成该录音资料的原始存储介质(原始载
12、体)。对此,往往需要借助技术鉴定来解决。然而,学界当前针对安卓智能手机录音文件溯源鉴定的技术研究,尚缺乏系统性和针对性1。有鉴于此,本文选择目前市面上常见的华为手机(EMUI 系统)、小米手机(MIUI 系统)中的录音文件为主要研究对象,开展溯源鉴定实验研究,以期为安卓智能手机录音的溯源鉴定提供理论依据和方法支持。1 安卓智能手机录音溯源鉴定基本原理安卓系统拥有 Activity、Service、Broadcast Receiver、Content Provider 四大组件,这些组件在交互、后台操作、响应通知、数据索引和数据库管理方面起着核心作用2。其中,Content Provider 的
13、功能是充当媒介,为进程交互提供渠道,从而实现跨进程通信。Content Provider 为数据提供了统一的存储方式,将安卓系统中的诸多数据以数据表的形式进行封装,从而便于其他进程调用固定的接口来实现数据共享。作为内容提供者,Content Provider 为取证分析提供了可读取的系统文件,特别是其目录下保存的“*.XML”文件,对手机多媒体文件等的溯源分析至关重要。安卓手机录音溯源鉴定,其核心在于是否能找出应用与系统之间的通信痕迹,以及文件元数据在系统文件中的标识,从而判断文件的写入及流转过程,以求证录音文件的原始性。解构安卓操作系统对文件的管理方式及系统的数据结构可知,操作系统会在特定的
14、系统文件中记录其他文件的元数据信息。文件生成时,系统会根据文件的属性及格式,匹配相应的记录模式。而用户在对文件进行上传、下载、保存、标记、分享等操作时产生的痕迹3,以及用户使用应用行为的系统记录与需要溯源的文件之间的印证证明,就构成了文件原始性评判的主要依据。简言之,安卓智能手机录音文件的溯源鉴定,可从三个方面展开:1)文件系统级的取证分析;2)基于操作系统对文件的管理机制,调取文件在生成、存储、上传、下载、复制、移动等操作时系统的数据记录,对特定文件进行溯源分析;3)通过用户使用痕迹与数据本身的关联分析,来解决文件的溯源问题4。考虑到当前安卓手机根权限获取技术难度大、不少手机存储介质有加密、
15、数据恢复方法多类各样之实际,本文主要采用后两种方式展开研究。2 材料与方法2.1 实验材料2 2.1 1.1 1 录制设备 录制设备 实验用录制设备信息如表 1 所示。表1 实验用录制设备信息Table 1 Recording equipment information 设备型号系统版本Android版本录音机应用版本HUAWEI P7-L00 EMUI 3.15.1.13.0HUAWEI EVA-AL10EMUI 8.0.08.0.08.0.0HUAWEI DUB-AL00aEMUI 8.2.08.1.08.2.0MI8MIUI 10.3.591.9.33MI9MIUI 11.0.891.9
16、.50MI10MIUI 12.0.4101.9.61注:录音机应用作为智能手机最基本的系统应用之一,一般系手机出厂时自带。表1中两大品牌手机各型号间内置录音机应用的基本功能相仿,但在用户界面、应用的扩展功能上有一定差异。2 2.1 1.2 2 录音类型 录音类型 通常,安卓智能手机提供的录音功能包括普通录音和通话录音。华为手机的录音机应用,在录制普通录音和通话录音时调用不同的程序。如系统版本为 EMUI 3.1 的华为 P7-L00 手机,通话录音时调用“HwCallRecorder.apk”;普通录音则调用“soundrecorder”应用程序。但是,三款小米手机则调用应用内的同一程序包。以
17、上两种录制方式生成录音文件的规则、方法、信道不同,所生成的普通录音文件和通话录音文件,在默认文件名、存储格式、存储路径等方面存在差异。有鉴于此,本文分别针对这两类录音文件,逐一开展溯源分析。2 2.1 1.3 3 取证分析工具 取证分析工具 为尽可能降低取证分析对实验用手机系统内数据的影响,实验基于高级逻辑备份生成的数据进行,并根据文件属性、数据存储格式等条件,选用对应工具进行取证分析5-6(见表 2)。刑事技术Forensic Science and Technology3882023 年 第 48 卷 第 4 期表2 实验用取证分析工具Table 2 Forensic tool infor
18、mation软件名称版本号功用手机助手Hisuite小米手机助手11.0.0.5803.0高级逻辑备份MediaInfo20.9元数据分析AccessData FTK Imager4.5.0.3文件信息查看Cool Edit Pro2.1.3097.0音频文件编辑处理MOBILedit Forensic Express7.4.0.20408手机取证分析ExactFile1.0.0.15散列计算Quick XML Reader1.1.5.0XML文件解析2.2实验过程2 2.2 2.1 1 录音样本制作 录音样本制作 1)录制正常录音样本按设备提供的不同场景设置和格式,在“普通录音”模式下录制现
19、场谈话录音;使用设备通话页面提供的通话录音功能,录制通话录音。2)制作变动文件样本首先,模拟删除文件操作,在录音机应用内,对正常录制后的音频文件进行删除操作;其次,模拟修改、标记、分享、收藏、下载文件等操作。2 2.2 2.2 2 取证分析 取证分析 1)对实验用手机进行高级逻辑备份。2)基于备份文件,进行取证分析。重点检验录音文件的存储目录、系统文件记录、应用日志等。3)将多类数据解析后,进行横纵维度的系统比较,解读其中的关键数据。3 结果与讨论3.1 正常录制的录音文件分析3 3.1 1.1 1 普通录音 普通录音 华为手机默认的录制格式为“m4a”,小米手机的默认录制格式为“mp3”。两
20、大品牌手机录制的普通录音文件,默认文件名均以开始录制的日期(时间)进行标识,但同品牌不同版本的录音机应用、两大品牌手机之间,普通录音文件的文件命名格式有差异(见表 3)。1)华为手机其普通录音默认保存于手机数据分区“录音/声音”目录下(见表 4),该目录下还存有其他与录音相关的信息。经检验发现:华为 P7-L00 手机预设的架构体系及功能尚不完善,可获取的有效信息少,不具备相应数据的可参考性;华为 EVA-AL10 及 DUB-AL00a 手机,二者在系统底层记录机制与文件生成机制上完全相同。因此,下文仅以华为 DUB-AL00a 为例进行说明。华为 DUB-AL00a 手机在录制生成文件时,
21、无论是否进行手动保存操作,均会将录制的音频文件自动保存于默认路径下,并在同目录下的“.vtdata”文件夹内生成与音频文件对应的“*_text”文件,还会在“.backup”文件夹内生成与录音文件一一对应的“*_direction.txt”文件和“recordmode.txt”文件。需要特别强调,系统版本为 EMUI 8.X 的华为智能手机,为方便语音转写,当用户录制普通录音时,会同时形成两个文件,一个是经过封装的“m4a”文件,另一个是未经容器打包的无后缀名显示的“*_text”文件(“*”的格式为“年月日 _ 时分秒”)。上述“m4a”音频文件通常保存在“/Sounds”目录下,而上述“*
22、_text”文件则保存在“/Sounds/.vtdata”目录下。与此同时,在“/Sounds/.backup”目录下,会对应生成记录有上述“m4a”音频文件位 置 等 信 息 的“*_direction.txt”文 件。此 外,在“/Sounds/.backup”目录下,还会更新最近一次录制的“m4a”文件以及与该文件对应的“*_text”文件位置等信息,并存储至“recordmode.txt”文件中。待普通录音文件、“*_text”文件、“*_direction.txt”文件、“recordmode.txt”先后形成后,在手机系统分区“/Content Providers”目录下的“Med
23、iaFiles.表3 普通录音默认文件格式、文件名信息Table 3 Default fi le format and fi le name information of ordinary recordings设备型号录音机版本默认格式默认文件名格式(示例)HUAWEI P7-L003.0m4a日期_录音序号(20220101_001.m4a)HUAWEI EVA-AL108.0.0m4a日期_时间编码(20220101_123456.m4aHUAWEI DUB-AL00a8.2.0m4a日期_时间编码(20220101_123456.m4a)MI81.9.33mp3日期,小时.分钟(Jan
24、1,12.12 PM.mp3)MI91.9.40mp3日期,小时分钟(Jan 1,12.12 PM.mp3)MI101.9.61mp3日期,小时.分钟(Jan 1,12.12 PM.mp3)表4 华为手机普通录音默认存储路径Table 4 Default storage path of ordinary recording fi les made by Huawei cellphone设备型号系统版本默认存储目录 HUAWEI P7-L00EMUI 3.1/storage/emulated/0/Recordings HUAWEI EVA-AL10EMUI 8.0.0/storage/emula
25、ted/0/SoundsHUAWEI DUB-AL00aEMUI 8.2.0/storage/emulated/0/Sounds3892023 年 第 48 卷 第 4 期王 俊,等:华为和小米安卓智能手机录音的溯源鉴定研究xml”中,会对应记录上述四个文件的时间、名称、位置等信息。因此,将待检的普通录音文件与上述三个对应文件,以及“MediaFiles.xml”中记录的数据进行比对,若数据能够交叉印证,基本就可得出某录音文件就是某特定手机所录制的判断意见。以 图 1 中 的“20220215_175005.m4a”文 件 为例,其文件名显示的开始录制时间为“2022 年 2 月15 日 17
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为 小米 智能手机 录音 溯源 鉴定 研究
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。