3现场获取
3.1准备
在进行手机电子数据现场获取之前,需分析案情并进行准备工作,包括:
a)现场获取的目的和范围;
b)现场获取的人员,需明确分工,落实责任;
c)明确手机现场获取需携带的仪器设备;
d)明确手机现场获取采用的方法、标准和规范;
e)明确手机现场获取步骤;
f)明确手机现场获取操作可能造成的影响。
3.2证据获取
3.2.1静态获取
对于已经关闭的手机,在法律允许的范围内并在获得授权的情况下,对手机进行拍照或者拍摄,获取并记录手机的相关附件设备和信息,包括但不限于:
a)手机品牌和型号;
b)手机唯一性标示(如:IMEI号);
c)手机SIM卡和外置存储卡;
d)手机的启动密码和PIN码;
e)手机附件设备(如:电源线、数据线和其它配备设备)和相关手册。
3.2.2动态获取
3.2.2.1对于处于运行状态的手机,如未启用安全验证机制(如开机密码和PIN码)或能获取解决安全验证机制的方法,应按照3.2.1方法进行获取,并记录手机的操作系统。
3.2.2.2如手机已启用安全验证机制(如开机密码和PIN码),且无法获取解决安全验证机制的方法,应将手机从无线网络隔离后提取数据。将手机从无线网络隔离的方法包括:
a)电子/射频屏蔽;
b)设置为“飞行”模式;
c)禁用Wi-Fi、蓝牙和红外通信。