編者按：本期铅鲤，數(shù)據(jù)恢復(fù)四川省重點實驗室科研人員介紹一種“快速查找智能手機中地理位置信息”的新方法蕉朵，與現(xiàn)有技術(shù)相比腥光，該技術(shù)優(yōu)勢在于：可根據(jù)手機中地理位置信息的存儲規(guī)律建立模板关顷，并使用該模板快速找手機中的地理信息數(shù)據(jù)，增加查找地理位置的準(zhǔn)確度武福，減少查找時間议双，快速獲取手機行蹤軌跡信息，比常規(guī)方法提速數(shù)十倍捉片，可協(xié)助公安平痰、檢察等司法部門快速取證，提高破案成功率伍纫。

一宗雇、背景介紹

隨著智能手機的普及，人們的生活莹规、工作赔蒲、學(xué)習(xí)、社交良漱、娛樂等已離不開智能手機舞虱。智能手機在使用過程中會隨著時間的推移產(chǎn)生和存儲大量數(shù)據(jù)，這些數(shù)據(jù)可能涉及機主行動的位置母市、時間矾兜，而這些海量的地理位置信息是手機程序在運行過程中必然產(chǎn)生的。公檢法系統(tǒng)在電子取證過程中患久，如果能有效提取相關(guān)手機中的定位痕跡焕刮，就可能快速獲取更多案件線索，提高破案效率墙杯。所以配并，在電子取證領(lǐng)域，找到一種可以找到快速提取手機定位信息的技術(shù)方案高镐，就顯得十分重要溉旋。

1、手機定位的含義

手機定位信息指的是手機在運行過程中嫉髓，通過訪問GPS观腊、手機信號站點邑闲、WIFI網(wǎng)絡(luò)等方式保存下來的定位痕跡，通常定位痕跡的表現(xiàn)形式為經(jīng)緯度梧油、基站苫耸、mac地址等。其中儡陨，經(jīng)緯度對應(yīng)唯一的真實地理位置褪子，而基站和mac地址屬于大數(shù)據(jù)情況下，第三方服務(wù)提供的真實地理位置解析骗村。

2嫌褪、軌跡提取的含義

軌跡提取指的是對用戶所到過的時空進(jìn)行一種回溯性取證，通過對手機中的定位痕跡及其產(chǎn)生的時間進(jìn)行提取胚股，并對提取的定位痕跡進(jìn)行篩選笼痛，保留真實、有效琅拌、有意義的定位痕跡缨伊。將篩選出來定位痕跡與時間關(guān)聯(lián)，構(gòu)建出完整的時空軌跡进宝，從而得出用戶在實際生活中曾經(jīng)到過的地方倘核、意圖到達(dá)的地方以及經(jīng)常活動的位置范圍等重要信息即彪。

3、軌跡重現(xiàn)的意義

針對電子取證而言活尊，軌跡提取毋庸置疑是極其重要的隶校，辦案人員可根據(jù)手機展現(xiàn)的時空軌跡進(jìn)行定點辦案，直接縮短所涉案件的辦案時間蛹锰，直接影響所涉案件的進(jìn)程深胳。

二、軌跡提取前期準(zhǔn)備工作---模板預(yù)先積累

1铜犬、模板預(yù)先積累

模板預(yù)先積累舞终，是指針對已有應(yīng)用進(jìn)行定位痕跡數(shù)據(jù)的提前分析。智能手機定位痕跡數(shù)據(jù)快速提取主要就是通過“模板預(yù)先積累”的形式進(jìn)行癣猾，這是目前最普遍的實現(xiàn)方式敛劝。

2、兩種模板積累方式

模板積累方式大體分為兩種：第一種是普通的積累方式纷宇，也就是“Winhex+人工”夸盟，Winhex是一種免費軟件，人工要分析的部分相對較多像捶，過程繁瑣上陕；第二種是最新研發(fā)出的一種積累方式桩砰，“效率源智能分析工具+人工”，這種方式以效率源智能分析工具（PC桌面版+Android應(yīng)用版）進(jìn)行數(shù)據(jù)模板積累释簿，速度可比第一種快數(shù)十倍亚隅。同時，第二種方法以智能分析為基準(zhǔn)庶溶，剔除了枯燥重復(fù)工作煮纵，只留最重要的步驟給人工分析，有效節(jié)約人力渐尿，提高效率醉途。

第二種方式具體分為以下步驟，如圖1所示：

【圖1：快速提取方式 】

2.1定位痕跡母版的預(yù)定義

2.1.1歸納定位痕跡在智能手機之中存儲的特征值砖茸，基本特征值為定位痕跡文件路徑隘擎、定位痕跡坐標(biāo)系、經(jīng)度凉夯、緯度货葬、時間。

坐標(biāo)系：基于坐標(biāo)系的不同那么數(shù)據(jù)存儲的結(jié)果將會發(fā)生不同的變化劲够，所以該屬性是一個重要屬性震桶，不同的坐標(biāo)系保存的坐標(biāo)值是不同的，一旦該特征出現(xiàn)問題便會引起數(shù)據(jù)誤差征绎，這種可修復(fù)誤差在電子取證中是不能出現(xiàn)的蹲姐。以下以成都天府廣場在常用的坐標(biāo)系下的表達(dá)為例，如圖2所示人柿。

【圖2：天府廣場在各坐標(biāo)系下的表示 】

2.1.2母版的定義是一種經(jīng)驗的積累柴墩，對積累數(shù)據(jù)的高度歸納提取，根據(jù)定位痕跡在數(shù)據(jù)中存儲形式可以分為以下類型凫岖。

a：XML文件普通類型江咳、XML文件分割類型、XML文件JSON類型哥放、XML文件正則式類型歼指。

b：DB文件普通類型、DB文件分割類型甥雕、DB文件JSON類型踩身、DB文件正則式類型。

c：日志文件類型社露。

d：屬性文件類型惰赋。

e：其他標(biāo)準(zhǔn)類型。

2.1.3由于分類比較復(fù)雜，以下以XML文件圖示舉例赁濒，用戶可以查看在XML各種分類中數(shù)據(jù)的具體存儲形式轨奄。

a：XML文件普通類型

普通類型的XML文件，以鍵值對的形式保存數(shù)據(jù)拒炎，其鍵以屬性的方式保存挪拟，值可以以屬性，也可以以XML文件TXT標(biāo)志保存击你，如圖3所示玉组。

【圖3：XML文件普通類型】

b：XML文件分割類型

分割類型的數(shù)據(jù)主要是以特殊的字符串或者某些特定的標(biāo)志進(jìn)行分割，如圖4所示丁侄。

【圖4 XML文件分割類型 】

c：XML文件JSON類型

JSON類型是指存儲數(shù)據(jù)以JSON的方式進(jìn)行數(shù)據(jù)保存惯雳，如圖5所示，經(jīng)緯度在JSON中的關(guān)鍵字是latitude鸿摇，longitude石景。

【圖5： XML文件JSON類型 】

d：XML文件正則類型

正則是類型指的是數(shù)據(jù)保存的相對而言沒有特定的意義，如圖6所示拙吉。

【圖6：XML文件正則類型】

2.2解析母版方法的預(yù)定義

解析母版方法的預(yù)定義是指解析預(yù)先定義的針對母版類型配置的解析方法潮孽，這是開發(fā)人員對已積累模板的解析思路，通過程序語言完成筷黔，這里不再進(jìn)行詳細(xì)解釋往史。

2.3應(yīng)用子版的預(yù)定義

應(yīng)用子版的定義指的是將某應(yīng)用包含定位痕跡的文件，以母版的形式擴展出該文件獨立的模板佛舱，子模板必須進(jìn)行大量的數(shù)據(jù)積累椎例，這樣才能夠獲取到足夠多的數(shù)據(jù)。軌跡提取需要提取的定位痕跡必須是有意義的请祖，所以不僅僅是滿足經(jīng)緯度订歪、基站、mac地址的格式便需要提取出來损拢，還需要對以下四個方面進(jìn)行確認(rèn)，其中a撒犀、b用于數(shù)據(jù)解析福压，c、d用于數(shù)據(jù)描述或舞，c荆姆、d確定該數(shù)據(jù)是否是有效數(shù)據(jù)。

a：文件類型

文件類型指的是該文件屬于什么類型的文件映凳，文件的類型是由文件頭確認(rèn)胆筒。以下以XML文件的二進(jìn)制頭為例，如圖7所示。

【圖7： XML文件頭】

b：數(shù)據(jù)存儲類型

數(shù)據(jù)存儲類型就是該文件數(shù)據(jù)的存儲形式屬于母版定義類型中的哪一種仆救。

c：數(shù)據(jù)代表意義

指的是該項數(shù)據(jù)的意義抒和，例如該地理位置屬于用戶到過的地方、屬于用戶搜索后想要到達(dá)的地方彤蔽。

d：坐標(biāo)系

坐標(biāo)系的確認(rèn)需要使用應(yīng)用摧莽，使其定位到當(dāng)前位置，獲取文件中的經(jīng)緯度信息和當(dāng)期實際地理位置在各大坐標(biāo)系中的具體指進(jìn)行比較顿痪，相差最小的便認(rèn)為是該種坐標(biāo)系镊辕。

三、定位痕跡恢復(fù)的操作流程

定位痕跡的恢復(fù)的流程蚁袭，如圖8所示征懈。

【圖8：快速提取流程圖】

1、加載子板

加載模板指的是加載子模板和加載解析模塊揩悄。

1.1子板加載：一般都會將子模板制作成獨立的文件并放在服務(wù)端卖哎，這樣便于模板的管理和維護(hù)。這種機制是因為第三方應(yīng)用的升級速度比較快虏束，這樣必然造成數(shù)據(jù)的丟失和數(shù)據(jù)的缺失棉饶，放在服務(wù)端可以直接以下載模板的形式進(jìn)行應(yīng)用更新，對應(yīng)用的影響更加的小镇匀。

1.2解析子版模塊加載：解析模塊是針對母版的通用解析方案照藻，同樣適用于解析子版。

2汗侵、遍歷應(yīng)用解析子版

解析定位痕跡即是對子板中記錄的應(yīng)用進(jìn)行遍歷解析幸缕，這種針對性的解析方案有如下優(yōu)勢。

2.1針對開發(fā)者：該種模板解析的方法使得程序冗余代碼得到大量的精簡晰韵，模板的方式更加易于更新和維護(hù)等发乔。

2.2針對用戶：解析速度更快，用戶體驗更好雪猪，升級流量損耗小等栏尚。

3、真實地址解析

真實地址的解析是針對定位痕跡解析的結(jié)果而言只恨，它代表著將手機中不為人熟悉的定位痕跡轉(zhuǎn)化為真實的地理位置信息译仗。

注意事項：方案的不足之處

基于智能手機中定位痕跡的恢復(fù)，現(xiàn)階段是應(yīng)用針對性恢復(fù)官觅，在沒有進(jìn)行數(shù)據(jù)確認(rèn)的前提下纵菌，無法進(jìn)行有效數(shù)據(jù)的快速提取。這是由于軌跡提取本身要求高的原因引起的休涤，它要求提取出來的數(shù)據(jù)應(yīng)當(dāng)是用戶想要到達(dá)或者曾經(jīng)到達(dá)的地方咱圆。假如普遍性的提取手機中包含的定位信息，那么提取的無用數(shù)據(jù)量將會增加，同時恢復(fù)出來的數(shù)據(jù)真實性也將降低序苏。

小結(jié)：隨著智能手機應(yīng)用的越來越廣泛手幢，手機定位也越來越多地被使用，而手機定位痕跡能夠真實記錄用戶的位置數(shù)據(jù)杠览，已成為公安弯菊、檢察等司法部門偵查破案的重要電子證據(jù)。數(shù)據(jù)恢復(fù)四川省重點實驗室科研人員通過利用智能分析工具進(jìn)行模板預(yù)先積累踱阿，比常規(guī)方法提速數(shù)十倍管钳，可大大提升智能手機定位痕跡的提取速度，提升電子取證的效率软舌。