某市近期抓获一盗窃团伙, 在犯罪嫌疑人住处获取了几十部无SIM卡手机。为了深挖余罪, 办案单位将手机送检, 要求对手机信息进行提取, 期待找到失主, 进一步扩大战果。在对送检手机进行检验过程中, 发现一部外观为高仿nokia n8的国产山寨手机, 经用数据线连接进行检验后发现无法进行数据的提取, 经对该手机平台及CPU型号进行查询, 确定为MTK平台, CPU型号为6253。此手机只能用物理检测的方法进行机身内存文件的镜像提取^[1]。由于该手机的电池为内置电池, 只能对手机进行拆机来找到供电脚。笔者在互联网搜索nokia n8手机的拆机方法^{[2, 3]}尝试拆机, 最终成功提取到手机信息。详细步骤如下:

第一, 找到手机机身下端两侧的2个螺丝, 将手机下端拆开, 打开手机下端保护盖, 找到手机下盖2个内置的螺丝, 将其拆下。

第二, 找到手机顶端隐藏的1个螺丝, 将顶部保护盖拆开, 找到手机顶端保护盖下的2个螺丝, 并拆下。

第三, 掀开最上面的手机屏幕, 找到2个内置的固定电路板的螺丝, 将手机内屏掀开, 即可看到手机的内置电池。

第四, 用DC-4500镜像取证盒的供电夹链接手机供电脚, 数据线连接好手机数据接口, 进行镜像获取。

第五, 将获取到的镜像文件导入DC-4500手机取证系统进行文件解析, 获取到手机信息。

获取完毕后, 将手机重新装好, 手机开机正常。

国产山寨手机内存提取技术的难点在于以下2个方面:

第一, 检验前对手机使用何种平台的判断。手机品牌和种类繁多造成手机生产商依托的平台不同以及CPU型号的不同。国产手机大都选择了联发科(MediaTek)平台, 还有少量手机搭载展讯(spreadtrum)平台, 极少数的手机搭载的是英飞凌(INF)等平台, 近期市场又新出现了“ 互芯” CT1128中低端平台。所以, 确定被检手机使用哪个平台是检验国产山寨手机最为关键的第一步。方法是:以手机品牌加型号为关键词, 运用互联网的搜索引擎进行搜索, 以确定其使用的平台和CPU型号, 直接选择手机平台及CPU型号有助于快速对手机进行内存数据的获取。目前国内一些手机信息提取设备提供了对各种手机平台及CPU的型号进行选择的功能。

第二, 在使用物理检测方法检验国产山寨机的过程中, 常会遇到一些由于手机电池为内置模式、元器件焊接不良、虚焊造成供电困难的情况; 以及因人为因素导致手机进水、轻微损坏等问题的出现, 给检验带来了很大的难度。这就需要检验人员能够了解不同品牌和型号的手机结构, 在平时的检验中注意积累, 且适当学习手机维修的简单知识, 来帮助我们更好的完成手机的检验工作。