本文由小茆同学编译，Roe校对，转载请注明。

满电设备的重要性

为什么电池电量在调查中很重要？最关键的原因之一是，如果手机死机，您不仅会中断电源，还会失去从当前会话中收集关键易失性数据的潜在机会，和未知密码或其他情况下获取设备内容的能力。

另一方面，如果手机开机，紧迫感就会增加。调查员必须在手机没电之前，尽快开展设备采集，否则必须在运送到实验室进行采集和分析前，连接此设备进行充电。

当设备开启时，我们知道我们需要将设备与网络隔离，从而减少远程擦除或数据丢失的可能性。针对这些可能性的一个很好的预防措施是将手机放在屏蔽袋中并隔离设备。在更恶劣的情况下，也可以使用几张锡纸或类似的东西来阻止设备连接到网络。然而这本身就是一个问题，正如 NIST Special Publication 800-101 Revision 1, Guidelines on Mobile Device Forensics所注释的那样，“当手机信号被阻止时，它会在尝试连接到网络时迅速耗尽电池电量。因为无法连接到网络的设备将其信号强度提高到最大而导致功耗增加，所以保持移动设备开启并且隔离无线电，会缩短电池寿命。因此，为了省电，一些移动设备通常会进入节能模式并在短时间不活动后关闭显示屏。”(Ayers, Brothers, Jansen, 2014)

为了防止使这种普遍现象进一步复杂化，大多数取证软件产品都要求设备具有一定的电量，以便更好地获取设备。当手机没电并低于各种电池阈值时，设备由于电量不足，更有可能发生服务中断和获取错误。

在这些紧张和时间敏感的时刻，意识很重要，记住收集与特定设备适配的手机充电器，并在需要的情况下将其用于提取。如果您能找到充电器，请将其与手机一起放入证物袋中。这将极大地帮助您以后在普通的提取电缆不适用于您的特定设备的情况下进行采集。

对于传统手机和智能手机设备，可遵循以下基本流程：

1. 如果手机处于关机状态，无论任何原因请不要重新开机；

2. 如果手机是开机状态，请不要关闭手机，并检查电池电量，确保电量耗尽之前到达实验室。

• 将手机网络断开，如条件允许开启飞行模式，或将手机放置网络隔离设备中；

• 拍照并录制屏幕上的信息及内容；

• 尽可能记录手机序列号

• 拔掉电源插头

• 基于任何原因将手机中的SIM卡取出，都可能造成通话记录都涉及，包括拨打、接听或未接电话等信息记录；

• 手机尽可能保存在适当条件下，避免不必要的外界因素导致手机丢失；

• 在获取手机时接到新的来电，应立即断开手机网络，无论是什么原因，都会设计手机产生新的数据，可能会破坏手机中的重要数据；

• 手机应移交给取证实验室，包括相关电源等关联物品；

• 如果手机有密码一类，应及时与嫌疑人确定清楚，以节省时间和精力；

参考链接：

https://belkasoft.com/importance_of_fully_charged_devices