PDA、黑莓和iPod的取证分析
一、PDA取证
(一)PDA概述
个人数字助理(PDA)是一种手持计算设备,它集计算、电话、传真和互联网等多种功能于一身。如今,PDA功能强大,可作为手机、传真发送器、网络浏览器和个人组织者,本质上是一台小型计算机。其主要组件包括微处理器(尺寸受限)、输入设备(如触摸屏)以及运行软件的操作系统。
(二)PDA取证调查方法
PDA取证的调查过程主要有以下四个步骤:
1.检查(Examination)
- 首先要明确潜在的证据来源,如设备本身、设备底座、电源以及设备接触过的任何外设或介质。
- 还需调查与被检查PDA同步过的其他设备。
2.识别(Identification)
- 确定正在调查的设备类型。
- 识别设备使用的操作系统,这对调查过程至关重要,且设备可能运行两个操作系统。
- 可借助底座接口、制造商序列号、底座类型和电源等接口辅助识别。
3.收集(Collection)
- 从PDA的内存设备(如SD卡、MMC半导体卡、微型驱动器和USB令牌等)收集数据和潜在证据。
- 收集电源引线、电缆和PDA的任何底座。
- 优先收集易失性信息,因为设备断电或重置后,这些信息可能丢失。收集后将PDA放入证据袋,并保持稳定的电源支持。
4.记录(Documentation)
- 记录所有可见数据,包括案件编号、收集日期和时间。
-
技术解析)
)
