Первым и, пожалуй, наиболее важным шагом получения цифровых доказательств является обеспечение их сохранности. Ведь, чтобы в дальнейшем извлеченные из мобильного устройства данные имели юридическую силу, необходимо сохранить их в исходном состоянии. При этом с цифровыми доказательствами преимущественно работают эксперты по информационной безопасности, в то время как существует довольно большое число рисков и угроз (как со стороны объектов исследования, так и в отношении дополнительной информации о преступнике), которые способны корректно обработать только специалисты по физической безопасности. Министерство юстиции США подготовило руководство для сотрудников , занимающихся расследованием цифровых преступлений, учитывающее все аспекты обеспечения сохранности цифровых и физических доказательств, извлеченных из мобильных устройств, которое затрагивает вопросы их поиска, распознавания, документирования, сбора и защиты.

Охрана и оценка места происшествия
1. Обеспечение юридической силы процедур работы на месте происшествия (получение всех необходимых разрешений, а также в ходе работы возможных дополнительных полномочий, в которых может возникнуть потребность).
2. Обеспечение безопасности всех людей на месте происшествия (нельзя забывать, что мобильные устройства могут, например, являться частью взрывного устройства).
3. Сохранение целостности традиционных и цифровых доказательств (помимо разнообразных цифровых данных, которые можно извлечь из мобильного устройства, оно может являться источником традиционных улик, например отпечатков пальцев, материалов для анализа ДНК).
4. Определение потенциальных источников доказательств (само устройство и синхронизируемое с ним оборудование, сим-карта, накопители информации, различные периферийные устройства и другие приспособления).
5. Оценка места происшествия и разработка плана поиска доказательств (устройство может быть обнаружено в сложном состоянии, например погруженным в жидкость, в этом случае, с целью предотвратить короткое замыкание, извлекается аккумулятор, а само устройство доставляется в лабораторию в контейнере, заполненном такой же жидкостью, при условии, что жидкость неедкая).
6. Защита доказательств (нельзя допускать контакт подозреваемого с мобильным устройством, поскольку многие из них имеют коды возврата к параметрам изготовителя).
7. Беседа с подозреваемым(ми) и свидетелями (получение информации о кодах безопасности и паролях).

Документирование места происшествия
1. Описание места происшествия (вся видимая информация должна быть зафиксирована, при этом нельзя допускать никаких изменений в окружение мобильных и других устройств, являющихся потенциальными носителями доказательств).
2. Фиксация расположения и состояния компьютеров, накопителей информации, других цифровых и периферийных устройств и физических доказательств, включая состояние питания (для дальнейшего расследования важными могут оказаться любые данные: от информации на дисплее мобильного устройства, до активности светодиодов и прочих индикаторов).
3. Выявление и фиксация неэлектронных доказательств (накладные, инструкции, упаковка и т.п. могут предоставить полезную информацию о характеристиках устройства).
4. Определение и описание компонентов электронного оборудования, которые не будут изъяты (может оказаться крайне полезным в дальнейшем, в случае возникновения вопросов об окружающей обстановке).
5. Детальное фотографирование места происшествия (также является доказательством невмешательства специалистов, работавших с уликами в окружающую место происшествия обстановку).
6. Строгое документирование всех этапов работы с вещественными доказательствами, включающее информацию о том, кто собирал улики, где и каким образом они были получены, как хранились и как защищались при хранении, кто изымал улики из хранилища и с какой целью (позволяет обеспечить неприкосновенность улик и сохранить их юридическую силу).

Сбор доказательств
1. Обеспечение изоляции мобильного устройства от других устройств, используемых для синхронизации данных (необходимо для предотвращения влияния извне, например, подключенное к компьютеру при помощи провода мобильное устройство следует отсоединить от компьютера, чтобы остановить передачу данных или синхронизацию, при этом компьютер и все обнаруженные кабели и подставки изымаются вместе с мобильным устройством).
2. Обеспечение изоляции мобильного устройства от радиосети путем выключения устройства или помещения его в экранированный контейнер (важно для того, чтобы не позволить новым данным, например SMS-сообщению, перезаписать существующую информацию).
3. Оценка заряда аккумулятора мобильного устройства и обеспечение его поддержания на необходимом уровне путем выключения, использования портативного источника дополнительного питания, перевода аппарата в энергосберегающий режим и т.п. (позволяет избежать ряда потенциальных проблем с механизмами аутентификации после повторного включения устройства и обеспечить успешное извлечение из него цифровых данных).
4. Обеспечение аккуратного обращения с мобильными устройствами, которые могли быть модифицированы производителем или владельцем (гарантирует сохранение доказательной ценности обнаруженных устройств).
5. Сбор неэлектронных доказательств: записанных паролей, примечаний, чистой бумаги с отпечатавшимися на ней надписями, руководств, текстовых и графических распечаток и т.п. (позволяет повысить скорость и эффективность расследования).

Упаковка, транспортировка и хранение доказательств
Общие рекомендации специалистам на данном этапе включают: запрет на любые действия по добавлению, изменению или ликвидации данных во всех обнаруженных устройствах и накопителях; обеспечение необходимого температурного и влажностного режима, а также защиту от механических повреждений, статического электричества и магнитного излучения; строгое документирование упаковки, транспортировки и хранения.
1. Упаковка доказательств:
a. Составление описи доказательств и маркирование всех изымаемых устройств.
b. Помещение устройства в непроницаемый для различных излучений контейнер с обязательным прикреплением ярлыка (обеспечивает защиту от механических и электронных повреждений, защищает от случайного нажатия клавиш во время транспортировки).
c. Обеспечение поддержания необходимого уровня заряда устройства с помощью автономного внешнего зарядного устройства, прикуривателя автомобиля и т.п. (если использование зарядных устройств требует подключения через отверстия в радионепроницаемом контейнере или пакете, то используемый кабель должен быть надлежащим образом экранирован во избежание его использования в качестве антенны).
2. Транспортировка доказательств:
a. Избегание источников магнитного излучения (например, приемопередатчиков).
b. Избегание чрезмерно высоких или низких температур, влажности и других критических показателей окружающей среды, которые способны повредить перевозимое устройство.
c. Избегание физических угроз в отношении перевозимого аппарата (например, чрезмерных вибраций и ударов).
3. Хранение доказательств:
a. Обеспечение учета доказательств в соответствии с официальными стандартами и требованиями.
b. Обеспечение оптимальных для хранения устройства условий окружающей среды (вдали от источников повышенной температуры и влажности).
c. Защита хранимых доказательств от магнитных излучений, статического электричества, пыли и т.п.
d. Обеспечение строгого контроля доступа к доказательствам.

НЕКОТОРЫЕ ВИДЫ МОДИФИКАЦИЙ МОБИЛЬНЫХ УСТРОЙСТВ
• Повышение уровня безопасности
Некоторые организации и частные пользователи могут использовать дополнительные механизмы обеспечения безопасности мобильных устройств: визуальную и биометрическую аутентификацию, а также аутентификацию с использованием электронных ключей. Попытка незаконного доступа к такому устройству может обернуться блокировкой устройства или уничтожением его содержимого.
• Вредоносные программы
Мобильное устройство может содержать вирусы, бессознательно допущенные на устройство пользователем, а также различные умышленно установленные приложения для изменения или повреждения данных, хранящихся в мобильном устройстве. Такие программы могут активироваться некими входными параметрами, аппаратными прерываниями или сторожевыми таймерами.
• Переназначение кодов
Электронные коды, установленные производителем по умолчанию, могут быть переназначены для выполнения иных функций. Тогда нажатие одной или комбинации клавиш, могут запускать произвольные программы и приложения.