近年来智能手机技术迅速发展,手机上网、聊天、电子交易等服务被用户广泛使用。与此同时,一些不法分子利用手机这些功能进行高科技犯罪的案例也不断增加,手机中留下的犯罪证据已成为公安、检察院、法院等部门进行案件侦破的重要依据。为了及时有效地打击利用手机等智能电子设备进行的违法犯罪,维护社会稳定,如何在合法合规的情况下获取犯罪嫌疑人在智能电子设备中留下的犯罪证据,已成为了电子设备数字取证研究的重点。智能手机取证过程分为证据的保全、获取、分析和报告生成四个阶段。证据获取是手机取证技术研究的关键;证据分析是在获取到的证据数据中分析整理出对案件审理有价值的信息;而手机中已删除数据的恢复又是智能手机取证技术研究的主要难点之一,往往也是案件侦破的突破口;报告生成主要是将手机中有价值的信息呈献给取证人员,为取证人员快速破案提供保障。本文主要对证据获取技术、手机删除信息数据的恢复技术、以及报告的可视化进行了深入的研究,主要研究内容和创新点有:(1)研究了手机数据物理获取和逻辑获取技术。在深入分析Android智能手机系统数据存储结构基础上,基于Android调试工具,设计实现了手机数据自动获取工具,为后续的数据恢复、分析和可视化奠定基础。(2)基于SQLite3数据库的存储结构和记录删除机制,提出了基于特征码的镜像数据恢复技术,实现了对手机中已删除的基本信息、通讯录、通话记录、短信等内容的快速精准恢复。(3)在手机信息网络形式化定义的基础上构建了信息网络模型,以联系人与被取证人员联系次数为权重,利用遗传算法求解基于该模型的最优图布局,形象直观地呈现出被取证人员的社会关系网,方便了取证人员快速发现潜在证据,降低取证难度,加快破案速度。(4)设计实现了 Android手机取证原型系统。基于该系统实现了手机数据的获取、手机基本信息数据(包括未删除和删除)的恢复以及即时通讯数据的可视化展示和导出。