电子物证一些琐碎（1）

电子物证，其实这个东西，就是把电子设备的有用信息提取出来，然后，在电脑或者手机上显示出来，然后，把所有信息关联起来，勾画出这个人的社会画像。

现在每人至少一部手机，一般人，电脑设备的少一些，主要是手机作为日常沟通、支付、获取信息、导航等用途。

主要一大类的app，是社交通信软件，如：LINE、WhatsApp、Messenger、Facebook、TikTok、微信、QQ、抖音、Telegram、KakaoTalk、Instagram、Snapchat、skype、google chat、陌陌等所有的聊天通信工具，他们的聊天信息，都主要保存到手机本地的sqlite数据库里，而sqlite数据库的机制，对应删除方面，又有一些机制，导致可以部分可以删除恢复的，网上能找到很多免费版的，有以色列、俄罗斯、美国、和某些的，主要参考前面三个国家的，直接调用他们的库，然后把3个所有恢复的数据合并起来，就能实现恢复更多的。所以，一般在手机上直接删除信息，只要获取到这个app的sqlite文件，就可能恢复出被删除的数据，不过恢复几率有一定比例的，不能确保100%，也不是早删除的就能恢复、刚刚删除的就容易恢复。

最好的方式，就是恢复出厂设置，然后copy文件到手机，知道塞满整个手机的flash，然后把这些copy的文件简单删除就可以了。

不过，例如微信、QQ等那个地方的，就不太一样，服务器被要求需要保存几年的，你删除也没有任何用，主要是，你是不是重点的，如果是，其实一个文件就可以调出来所有记录的，逃不掉的。

而且，类似于利用这些工具发送文件，也会被保存到服务器的，就是语音通话也不例外。

所以，重要的东西，就各自考虑好怎样传送的。

就设备来说：android和iphone，毫无意外，肯定iphone安全性高，没有锁屏密码，就不要想的，而安卓，主要是有个bootloader存在，有被获取到信息的可能，而且有些厂家会留有后门的，至于哪个，就不好说了，这个后门，就是在bootloader下，用数据线连到手机，发送某些指令过去，就把整个data区整个download到电脑上，这样这个镜像下载下来，你的手机整个数据就在里面，怎样搞都可以了。所以，如果需要安全，就iphone，不二之选。而且，还有，最好用itunes连接手机，然后设一个备份密码，这样手机被备份到电脑上，如果没有这个备份密码，也是解不开的。iphone的取证的原理，也是通过itunes备份到电脑，然后再解析出来的。不过，一般人都没有设这个密码，而且itunes，很多时候把自动把手机备份到电脑上面的，如果这样，只要取到你的电脑，也是获取你手机的信息的。不要随便备份，不要备份到本机，或者cloud。

如果需要备份的话，例如：重要文件、重要照片、重要视频，例如像以前陈老师泄露的重要照片，这些，最好拷贝到电脑上，然后，用rar压缩，添加密码，需要起码15位以上，大小写字幕、数字、特殊字符加起来的混合字符串，这样就算最强的gpu集群暴力破解都没有时间、办法实现，以现在的条件，可能几十万年都没有跑完的，而且不要使用你常用的密码，因为会有些会猜跟你有关的组合字符串密码来破解的。

还要，提到的telegram和whatsapp，获取到本地的数据库，也是能解出来的，大家需要注意这点。

还有，一些旅游订房的软件，可以直接获取到订房信息的。

购物软件，外卖软件，你能在上面看到的购物信息，都是保存到本地，也是能获取的，位置信息也获取，几点在哪吃了什么东西，一目了然。

如果你安装了导航工具，那些都会保存你的导航信息，画像获取到的时候，会把你的行走路线直接呈现出来。

有些app，会把基站的编号都记录下来，根据这个基站编号，也会获取到你的定位的。

至于通过某些软件的支付，支付给谁，都是能看到的。无所遁形。

所以，电子物证，就是把所有的有用信息都能获取出来，然后在电脑上，根据某些条件关联上，例如：手机号、通信软件id、位置信息交叉、时间地点等，然后标出成一个时间空间的图形，让你的所有信息呈现出来以供分析。

所以，自己掂量一下的，保护好自己。

之后在分析其他方面。