Trường hợp này, điện thoại có thể được bảo vệ bằng mật khẩu, hoặc khóa mô hình.có ba cách để tiếp cận với các thiết bị bị khóa.[12] Cách đầu tiên các điều tra viên cần phải xem xét tới khả năng có thể vượt qua được mã bảo vệ này bằng cách tìm kiếm mật khẩu có được lưu trữ ở đâu tại hiện trường vụ án không hoặc thậm chí tra khảo chủ nhân của thiết bị đó. Giả sử, tại hiện trường vụ án, tổ điều tra đã bắt giữ được nghi phạm và thu giữ thiết bị di động của nghi phạm đó. Trong quá trình thu thập bằng chứng, thiết bị của y (kẻ tình nghi) có đặt mã bảo vệ. Vậy trong trường hợp này, khả năng vượt qua mã bảo vệ bằng việc tra hỏi kẻ tình nghi để có được sự truy cập hợp lý và thực hiện các bước thu thập bằng chứng như mục 2.3.2. Ngược lại nếu kẻ tình nghi không thành thật trong việc khai báo mã bảo vệ truy cập thiết bị hoặc chưa xác định được chủ nhân của thiết bị, các điều tra viên cần phải kiểm tra việc truy cập vào thiết bị qua ADB được không. Nếu có thể kết nối thiết bị qua ADB và có được quyền người dùng cao nhất, lúc này việc ta có thể vượt mã bảo vệ một cách dễ dàng. Nếu như thiết bị có mã bảo vệ, không thể kết nối qua ADB debug, hay kết nối được thông qua ADB debug nhưng không có tài khoản người dùng cao nhất lúc này chúng ta cần sử công cụ UFED để vượt qua mã bảo vệ đó và quay về thu thập bằng chứng như trường hợp điện thoại không có mã bảo vệ [13]
62
Thủ tục không chính xác hoặc xử lý không đúng cánh một thiết bị di động tại hiện trường có thể dẫn tới việc đánh mất dữ liệu. Hơn nữa, các biện pháp điều tra truyền thống có thể cần để thiết lập mối quan hệ giữa bằng chứng và chủ sở hữu hoặc người sử dụng. Ví dụ như khi phát hiện bằng chứng là chiếc điện thoại, máy tính cá nhân cần phải sử dụng phương pháp kiểm tra DNA hoặc dấu vân tay để xác định chủ sở hữu của thiết bị đó. Vậy nên bằng chứng không được xử lý đúng cách ngay tại bước thu thập này có thể dẫn đến hư hỏng và vô dụng đối với vụ án. Đối với thiết bị di động ngoài chiếc điện thoại đấy, ngoài ra còn có các nguồn bằng chứng có thể hỗ trợ trong quá trình điều tra như: ổ xạc, dây cáp, các thiết bị ngoại vi, thẻ nhớ.
Một số công cụ pháp lý phục vụ cho giai đoạn thu thập bằng chứng như ADB, winhex, dd. Ngoài ra công ty ViaForensics đã phát triển một công cụ miễn phí cho các cơ quan thực thi pháp luật có tên gọi là “Android Forensic Logical Application – (AFLogical)” với mục đích trích xuất các thông tin từ điện thoại Android, gần đây một công cụ thương mại viaExtract được phát hành, nó cung cấp chức năng phân tích sâu hơn với bất kỳ thiết bị sử dụng Android nào trên thị trường, thêm phần chức năng báo cáo.
2.4 Quy trình phân tích bằng chứng
Việc truy cập dữ liệu được lưu trữ trên các thẻ nhớ đã qua sử dụng hoặc tái sử dụng có thể dẫn tới việc ghi đè dữ liệu quan trọng do đó bất kỳ cài đặt hay lưu trữ dữ liệu trên bộ nhớ cần được tách thẻ nhớ ra khỏi điện thoại di động và xử lý riêng biệt bằng các phương pháp phân tích trên máy tính, để đảm bảo thông tin về thời gian cho các tập tin lưu trữ trên thẻ nhớ không bị thay đổi trong quá trình phân tích. Tương tự như vậy, thẻ SIM sẽ được xử lý riêng rẽ với các điện thoại di động được coi là bằng chứng để đảm bảo tính toàn vẹn của dữ liệu chứ trên SIM.
Các bước thực hiện để kiểm tra và phân tích một chiêc điện thoại Android được mô tả như hình sau: [14]
63